Companiile, indiferent de marime si activitate, ar trebui sa aiba un set de politici si proceduri interne bine scrise si gandite, care sa reflecte cultura lor organizationala (stim ca suna pompos, dar una e sa ai o firma cu 3 angajati care vinde produse in online si alta sa ai o firma de distributie produse alimentare cu 5 puncte de lucru la nivelul tarii si diferite stocuri).

Aceste politici sunt distincte de notificarile „externe” (ie. nota de informare) a companiei prin care aceasta informeaza clientii/partenerii/colaboratorii companiei cu privire la modul in care aceasta prelucreaza, stocheaza si transmite datele lor personale.

Altfel zic, politica interna de confidentialitate/prelucrare a datelor a companiei stabileste obiectivele companiei cu privire la datele protejate si defineste procedurile companiei pentru a se asigura ca aceste obiective sunt indeplinite.

Iata cinci situatii principale in care aceste politici sunt deficitare si cum mai degraba nu te ajuta:

1. Politica de confidentialitate nu este documentata corespunzator

Este de la sine inteles ca politicile si procedurile de confidentialitate ale unei companii trebuie sa fie scrise si stocate intr-o locatie accesibila. Dar toate informatiile care stau la baza acestor politici si proceduri ar trebui sa fie bine documentate si sa reflecte cat mai bine sistemul actual al companiei.

Amenzi de peste 45.000 de...
Citeste si: Amenzi de 45.000 lei, aplicate taximetristilor din Capitala

Aceasta documentatie ar trebui sa includa o descriere cuprinzatoare a sistemelor, datelor si fluxurilor de date ale companiei. Documentarea acestor informatii, impreuna cu politica de confidentialitate va facilita identificarea momentului in care elementele care stau la baza politicii s-au schimbat, astfel incat politica necesita o actualizare (a se vedea numarul 2 de mai jos). Acest lucru este mai frecvent decat ne-am putea imagina: ganditi-va doar cand deschideti un nou punct de lucru, listati un nou produs pe site, decideti sa implementati o noua campanie media de promovare si asa mai departe.

De asemenea, o politica bine documentata si pusa la punct va usura modificarile viitoare cand, de exemplu, alte persoane din cadrul companiei preiau aceasta sarcina. O documentare bine amanuntita si pusa la punct inca de la inceput va salva o buna bucata de timp in sarcina noii persoane care trebuie sa actualizeze documentatia, ceea ce se traduce in timp salvat pentru companie (si bani).

2. Politica nu este actualizata in mod corespunzator

Un document bine pus la punct este si un document actualizat. Nu spunem ca ar trebui sa ai toate versiunile de politici (cel putin alea publice) pe site, insa este bine ca ultima versiune sa aiba mentiunea ”actualizata la data de …”.

Pe scurt, companiile se schimba in timp - fie ca vor creste sau vor scadea. Degeaba scriem o politica foarte buna in 2009, cand aveam un singur punct de lucru si 2 angajati, iar in 2019 avem deja 4 puncte de lucru, 3 noi depozite, 200 angajati, inca 5 linii de produse, vindem pe online si avem campanii de promovare in online.

Primaria din Cluj-Napoca vrea...
Citeste si: Primaria din Cluj vrea sa amendeze calatorii care miros urat

Mai e si situatia in care compania vrea sa se foloseasca de protectia datelor cu caracter personal ca o oportunitate de a creste increderea consumatorilor si a clientilor in brand.

Astfel de schimbari interne justifica o reexaminare a politicii de confidentialitate a companiei.

De asemenea, se produc schimbari externe. Noile legi si reglementari in domeniul confidentialitatii si protectiei datelor devin tot mai frecvente si necesita o adaptare ”din mers”. Organizatiile trebuie sa tina cont de aceste modificari prin revizuirea corespunzatoare a politicilor lor de confidentialitate (spre exemplu sa nu mai faca referire la legi abrogate de cateva luni bune ar fi un inceput). Totodata, priviti modificarile din cadrul legislativ nu ca pe o povara de ”iar trebuie sa schimb documentele si sa semnez hartii”, ci mai degraba ca o noua oportunitate de a revizui inclusiv modul de lucru intern al companiei (spre exemplu, acum poti introduce controale mult mai ”dure” privind scoaterea documentelor din firma pe ideea protectiei datelor personale si poti impune sanctiuni mai dure angajatilor).

3. Exista o politica care le acopera pe toate

Nu suntem ipocriti - intotdeauna in documente vor exista ”bucatele” universal valabile, mai ales cand vorbim despre principii generale si conditii - e greu sa reinventezi roata - poti doar sa o cosmetizezi.

ANRE a aplicat amenzi de...
Citeste si: ANRE: Sute de controale la firmele din energie si amenzi de 20 mil lei

Totusi, chiar daca cineva iti ofera un template de pornire, facut dupa legislatie, trebuie sa ai in vedere ca tocmai asta este - un sablon, si nu o solutie magica care sa te protejeze de amenzi si sanctiuni.

Oricat de mult ar incerca cineva sa vina prin KIT-uri cu solutii ”croite pe industrii”, acestea vor fi folosite de companii doar ca linii diriguitoare, intrucat fiecare afacere - chiar si atunci cand vorbim despre buticuri care vand produse turcesti langa oficiile postale - are oarecum propriul ei mecanism de colectare, stocare, prelucrare si manipulare a datelor personale. Asa cum se intampla cu fiecare linie de activitate pana la urma.

De aceea este bine sa identificam ce scriem in fiecare politica, ce ni se cere din punct de vedere legal, unde ne aflam la momentul scrierii politicii din punct de vedere organizational si sa adaptam constant documentele la ceea ce face.

Spre exemplu, nu e bine sa ai un document inspirat de pe un alt site in care vorbesti de plati online si drept de retur cand produsele tale nu beneficiaza de dreptul de retragere al consumatorului. Sau sa spui ca persoanele pot accesa si modifica datele lor personale din contul de pe site in conditiile in care nu exista o asemenea posibilitate. Iar exemplele sunt nenumarate.

In domeniul protectiei datelor personale este foarte important sa identifici temeiul prelucrarii datelor - intrucat acesta ofera anumite drepturi persoanelor vizate si naste corelativ alte tipuri de obligatii in sarcina operatorului (citeste mai multe despre interesul legitim si temeiurile generale de prelucrare a datelor).

4. Politica interna nu defineste corespunzator rolurile de acces

Companiile pot ”profita” de aceasta ocazie cu GDPR pentru a identifica si, respectiv, limita, in mod corespunzator nivelul de acces pe care il poate avea o persoana in cadrul companiei.

Spre exemplu, inainte de GDPR aveai un server la comun la care toata lumea avea acces la toate documentele, cum e in mod curent. Cand scrii acum politica interna de acces la datele personale, poate te gandesti de 2 ori daca este bine ca receptionera sa aiba acces la toate contractele incheiate de companie cu furnizorii. Sau daca personalul de la contabilitate este obligatoriu sa aiba acces la materialele publicitare tinute sub cheie pentru lansarea noului produs. Sau daca inginerul care dezvolta o aplicatie e bine sa aiba acces la strategia ta de lansare si dezvoltare pe piata. Iar exemplele pot continua.

Intr-un limbaj pompos, o companie trebuie sa se asigure ca doar persoanele care au adevarat nevoie de acces la datele personale beneficiaza de acel acces - de cele mai multe ori, persoanele din conducere, managerii, seniorii, partenerii etc. ar trebui sa beneficieze de cel mai mare acces - ca si un DPO.

Politica de confidentialitate interna a companiei trebuie sa tina seama de acest lucru, asigurandu-se ca angajatii au acces numai la datele companiei necesare pentru a-si indeplini functiile. Desi acest lucru adauga un nivel de complexitate administrarii conturilor de utilizator si a drepturilor de acces, este necesar sa se asigure ca numai persoanele care au cu adevarat nevoie de date in activitatea zilnica au acces la acele date.

5. Politica nu a fost comunicata angajatilor

Ca in orice domeniu, degeaba facem un document foarte bine pus la punct, unde scriem de toate pentru toti daca nu il si comunicam catre persoanele direct implicate. Altfel spus, trebuie sa ne asiguram ca politica de confidentialitate si prelucrare a datelor personale (indiferent ca o punem in regulamentul de ordine interioara drept capitol distinct sau ca politica de sine statatoare) este adusa la cunostinta persoanelor. Putem face asta inclusiv printr-un mail catre aceste persoane la care anexam documentul sau sa punem documentul pe un server si sa informam persoanele unde il pot gasi. Insa trebuie sa ajunga si la ele.

Chiar daca recomandam organizarea de sesiuni de instruire in mod constant catre angajati (fie on-line, fie la sediul companiei), un prim pas este publicarea politicilor pe intranet.

Pe scurt, dezvoltarea unei politici interne de confidentialitate corelata cu proceduri de punere in aplicare nu este cu siguranta o sarcina usoara si nu se face de pe o zi pe alta.

Acest proces necesita ”mai multe minti” care sa lucreze la ea, inclusiv o consultare constanta cu DPO-ul companiei sau cu o persoana specializata in protectia datelor, pentru a sti cum sa construiesti o politica viabila si peste o perioada de timp si care sa poata fi adaptata ulterior cu usurinta. Mai mult, in momentul in care apasam butonul de publicare si politica ”prinde viata”, ea trebuie privit ca un document activ, care trebuie revizuit, analizat si actualizat cu regularitate.

Despre politici de confidentialitate si culturile organizationale vom vorbi in cadrul cursului acreditat ANC pentru a deveni DPO in data de 22-23 aprilie de la Bucuresti. Daca te pasioneaza domeniul protectiei datelor, vrei sa te angajezi ca DPO in cadrul unei companii sau sa incepi o cariera in acest domeniu, vino sa stam de vorba 2 zile si sa obtii autorizare recunoscuta ANC in urma unui examen sustinut pe 24 mai.

Daca esti interesat, completeaza formularul de mai jos si te voi contacta in cel mai scurt timp.


Te-ar putea interesa si:


Mai multe articole din sectiunea Legal Business »



Citeste si
Amenzi de 4% din cifra de afaceri pentru calitatea dubla a produselor