Regulamentul UE nr. 679/2016 are ca scop asigurarea unui echilibru intre progresul rapid al tehnologiei si apararea dreptului la viata privata in privinta prelucrarii datelor cu caracter personal. Din cauza faptului ca zona de tehnologie este complet eterogena, cerintele regulamentului se concentreaza mai mult pe drepturile cetatenilor decat sa ceara niste schimbari cu subiect si predicat de genul “Split TVA”. Pasii de mai jos va vor ajuta sa constientizati de unde sa incepeti si care sunt zonele in care trebuie facute schimbari pentru a respecta cerintele UE.
Pasul 1 – Informarea (durata – 1 saptamana)
1. Ce ? Cititi un pic despre ce inseamna GDPR, exista deja ghiduri facute care pot fi trimise la toata lumea din organizatie pentru a se intelege cerintele legale ce intra in vigoare anul viitor, si deasemenea sa se pregateasca terenul pentru urmatoarele actiuni ale echipei de conducere pe subiect.
2. Cine? Trebuie sa aflati cine lucreaza cu date personale in organizatia dumneavoastra. Un alt e-mail scurt trimis la toata lumea la o zi dupa ce a fost trimis ghidul GDPR, la care fiecare destinatar sa raspunda cu DA sau NU la intrebarea daca lucreaza cu date personale. De inclus un termen de maxim 48 ore in care sa se raspunda.
3. Cum? Detalii despre procesarea datelor cu caracter personal de la cei care le folosesc in organizatie. Se creeaza o lista de distributie care sa ii contina pe toti cei care au raspuns afirmativ la mail-ul de la pasul 2. Se face un nou e-mail catre aceasta lista de distributie, in care sa se ceara mai multe informatii despre ce date personale folosesc fiecare dintre ei, unde le tin, daca le introduc in vreuna sau mai multe aplicatii existente, cat de necesare le sunt aceste date (nota de la 1 la 10) si cine mai are acces la aceste informatii. Se poate folosi un chestionar care se face simplu cu Google Forms sau orice alta platforma folositi, de asemenea de dat un termen de raspuns relativ scurt, 24-48 ore, fiecare destinatar ar trebui sa poata raspunda relativ repede cu privire la informatii care le folosesc in activitatea zilnica.
Atentie la situatiile unde sunt persoane care nu au acces la un calculator dar culeg date personale! Exista posibilitatea ca un paznic, gestionar sau casierita sa fie persoana care strange cele mai multe date personale intr-o organizatie, de fapt majoritatea operatorilor cheie sunt persoane care se afla in partea de jos a organigramelor.
Pasul 2 – Analiza datelor si a optiunilor – (durata – 1-2 saptamani)
In acest moment ar trebui deja sa aveti o imagine mai clara cu datele cu caracter personal din organizatie, cine opereaza si foloseste aceste date, cum sunt folosite si in ce sisteme se gasesc ele.
In aceasta etapa se pot implica deja toate persoanele care conduc departamentele, atat cu rol de autoritate/responsabilitate asupra informatiilor primite la pasul 1 cat si cu rol de asistenta pentru spetele culese (asistenta juridica, HR, administrativa, IT, etc.)
Este momentul in care puteti sa va ganditi la urmatoarele lucruri:
⁃ Chiar avem nevoie de toate aceste date personale ? daca nu se mai folosesc date personale, nu mai este nevoie sa respectam noile cerinte. Poate fi un moment bun pentru simplificarea proceselor operationale;
⁃ Cine ar fi trebuit sa raspunda la e-mail si nu a raspuns? Este posibil ca unele persoane relevante din organizatie sa nu fi raspuns sau sa nu poata raspunde? Vezi nota de la pasul 1;
⁃ Care sunt sistemele care contin date personale, daca se pot modifica, au contract de mentenanta, strategia de aliniere la GDPR a furnizorilor;
⁃ Cat ar dura si costa alinierea tuturor spetelor existente in organizatie pe subiectul GDPR;
Pasul 3 – Decizia (durata – in functie de cultura organizationala)
Cu siguranta ca din primii doi pasi, veti obtine suficiente date ca sa puteti decide ce este de facut, si este momentul in care puteti lua decizii in cunostinta de cauza de planificare a acestor schimbari, si daca se poate face cu resursele interne sau pe ce subiecte aveti nevoie de ajutor din exterior.
Este cumva contra intuitiv deoarece in general se intalnesc multe situatii in care se incepe cu decizia, se fac eforturi sustinute la inceput dar de indata ce apare alta prioritate din zona de operational, financiar sau guvernanta, lucrurile si rezultatele se dilueaza.
Foarte important este sa se inteleaga de intregul colectiv ca GDPR-ul poate implica transformarea organizatiilor, motiv pentru care ar fi bine ca aceste schimbari sa fie conduse de persoane din varful companiilor. Recomand deasemenea realizarea unei analize de risc care sa ajute la prioritizarea initiativelor descoperite.
Pasul 4 – Implementarea (durata – pina pe 25 mai 2018)
Imediat ce aveti lista de initiative, acestea ar trebui transformate in proiecte, respectiv sa fie constituite echipe, alocate resurse si stabilite obiective si termene pentru indeplinirea respectarii cerintelor legale. Acum incepe adevaratul test: usor de zis, greu de facut.
http://eur-lex.europa.eu/legal-content/RO/TXT/PDF/?uri=CELEX:32016R0679&from=EN
http://www.dataprotection.ro/?page=Regulamentul_nr_679_2016
http://www.dataprotection.ro/servlet/ViewDocument?id=1262
http://www.dataprotection.ro/servlet/ViewDocument?id=1298
http://www.dataprotection.ro/servlet/ViewDocument?id=1327
Descarca de mai jos:
Cred ca ati fi largit putin cercul cititorilor (daca nu cumva intentionati sa fie limitat la specialisti) daca deja din titlu sau imediat dupa ati fi explicat ce e GDPR. BIneinteles, exista surse de informare, dar efectul poate fi ca posibilii cititori nu ramin la articol din acest motiv.
Multumesc pentru comentariu!
Este corect, am incercat sa ma adresez celor carora subiectul le este familiar, dar nu stiu cu ce sa inceapa.
Din dorinta de a nu face un articol foarte lung, am scos informatiile generale despre acest Regulament, si chiar si asa, am primit alte mesaje ca articolul este destul de lung.
Spuneți „Din cauza faptului ca zona de tehnologie este complet eterogena, cerintele regulamentului se concentreaza mai mult pe drepturile cetatenilor decat sa ceara niste schimbari cu subiect si predicat de genul “Split TVA”. „
Regulamentul chiar despre asta este: despre drepturile noastre atunci cînd ni se prelucrează date cu carcater personal, nu despre tehnologie! (Regulamentul nu va mai permite „întîmplări„ precum cea de la CAS București)
Regulamentul este un „update„ la Directiva 95/46 transpusă la noi în practică prin Legea 677/2001.
Mi se pare că de la Pasul 1 încolo ați simplificat foarte mult lucrurile cînd realitatea este mult mai complexă:
– după ce aflăm care sînt datele personale pe care le colectăm (de fapt discutăm de documente pe care se află aceste date personale și ar fi bine ca în acel email să le spunem angajaților ce înseamnă date cu carcater personal) ar trebui să „desenăm„ fluxul acestor date.
– din pasul anterior ar trebui să vedem care este legalitatea fiecărei operațiuni de prelucrare și care este durata de stocare (din punct de vedere al cerințelor legale și din punct de vedere al obiectului afacerii), pe unde mai ajung datele în afara organizației noastre etc.
– urmează apoi partea cea mai anevoioasă: să „descoperi„ exact locul unde se află acele date în organizație (server, bază de date, mail, laptop, memory stick, copie pe suport hîrtie, cloud…)
– urmează, tot ca etapă de analiză, evaluarea impactului asupra drepturilor și libertăților persoanei vizate.
– se identifică ce controale există în organizație astfel încît persoanei vizate să îi fie respectat dreptul la viață privată și se decide de ce mai este nevoie în funcție de riscuri.
Mulțumesc pentru comentariu!
Pașii menționați de dumneavoastră sunt foarte corecți.
Realitatea este mult mai complexă, și nu cred că aș fi fost în stare să scriu un articol care să acopere toate aspectele ce trebuiesc îndeplinite prin acest regulament.
Sper ca cei care sunt vizați de implicațiile acestor norme să înceapă cât mai repede să se documenteze despre subiect pentru a putea respecta toate cerințele până in mai 2018.
Salut Radu! Noi putem acomoda la clienti orice solutie din fiecare etapa: audit, training, tehnologie. Putem oferi si solutii de SOC (security operations center).