Trei saptamani pana la GDPR, impact major pentru firme: Cum implementam si care sunt primii pasi de urmat

Marti, 08 Mai 2018, ora 12:16
10855 citiri
Trei saptamani pana la GDPR, impact major pentru firme: Cum implementam si care sunt primii pasi de urmat
Foto: Arhiva Pixabay

Pentru a evita amenzi de pana la 20 de milioane de euro, toate firmele din Romania care prelucreaza informatii cu caracter personal ale propriilor angajati sau ale clientilor vor trebui sa dovedeasca, incepand cu 26 mai, ca respecta normele Regulamentului General de Protectia Datelor (GDPR).

Conformarea la acest nou set de reguli se anunta laboriasa si scumpa, mai ales pentru intreprinzatorii care pana acum nu s-au pregatit deloc sa intampine schimbarile produse de intrarea in vigoare a Regulamentului.

Marea problema a intreprinzatorilor este ca in Romania nu s-au creat, inca, proceduri standard de urmat pentru implementarea GDPR, desi mai sunt doar trei saptamani pana cand acesta va intra in vigoare.

In consecinta, fiecare intreprinzator trebuie sa citeasca regulamentul, sa-l inteleaga si apoi sa-l aplice cum stie mai bine, in speranta ca nu greseste prea mult si ca nu va incasa amenzi de pana la 20 de milioane de euro sau 4% din cifra de afaceri de la Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP), incepand cu 26 mai.

Totul incepe cu un audit si cu intocmirea unui registru

Pentru a le veni in ajutor intreprinzatorilor, specialistii in drept au stabilit strategii care ar putea usura conformarea la cerintele GDPR. Detalii despre parte dintre pasii pe care ar trebui sa ii urmeze un intreprinzator pentru a reusi sa respecte noile exigente in materie de protectia datelor a oferit pentru Ziare.com Ecaterina Burlacu, senior associate la firma de avocatura PeliFilip.

"E important sa intelegem ca noul Regulament pune accent nu doar pe respectarea normelor de protectia datelor cu caracter personal, ci si pe documentarea riguroasa a operatiunilor de colectare si prelucrare a acestor date.

In consecinta, ar trebui sa incepem cu realizarea unui audit, in urma caruia sa stabilim ce inseamna la nivelul societatii prelucrare de date cu caracter personal si care sunt vulnerabilitatile. Este esential sa intocmim, in aceasta etapa, un registru in care sa notam fiecare operatiune de prelucrare de date personale efectuata la nivelul societatii. Preferabil ar fi ca acest registru sa fie unul in format electronic, dat fiind faptul ca il vom actualiza destul de des.

La acest moment nu exista un registru unic, in forma unitara, pe care sa-l putem folosi. Va trebui, deci, sa il cream, in baza modului in care este el definit de Regulament. Au fost lansate pe piata si o serie de aplicatii care ne pot ajuta sa intocmim acest registru", a declarat avocatul Ecaterina Burlacu.

Scopul acestui audit este sa-i permita societatii sa stabileasca pasii pe care ii are de urmat pentru a implementa cat mai repede, mai usor si mai ieftin prevederile GDPR.

Doar un specialist poate stabili procedura corecta de lucru cu datele

Specialistul consultat de Ziare.com a vorbit si despre urmatorii pasi pe care antreprenorul ii are de facut.

"In baza auditului, urmeaza sa luam o serie de masuri care sa ne permita, intr-un timp cat mai scurt, sa ne putem conforma la cerintele Regulamentului. Odata ce intelegem clar ce avem de facut, incepe implementarea. De fapt, urmeaza sa ne cream, la nivelul societatii, o procedura proprie care sa ne permita sa adresam toate problemele.

Asta inseamna, printre altele, intocmirea unor documente care sa demonstreze modul in care facem prelucrarea de date cu caracter personal. Nu vom avea acces, la acest moment, nici la o lista unica a pasilor de parcurs si nici la una a documentelor pe care ar trebui sa le intocmim.

In consecinta, n-ar fi exclus ca, desi s-a pregatit temeinic, o societate sa nu reuseasca totusi sa respecte exigentele GDPR in modul cerut de ANSPDCP. Tocmai de accea, in loc sa lucreze pe cont propriu, multe societati aleg sa ceara sprijinul unor avocati cu experienta in aplicarea legislatiei privind protectia datelor. Nu exista o garantie ca tot ce propune si va face avocatul specializat va fi suta la suta pe placul inspectorilor ANSPDCP, dar probabilitatea de reusita in ceea ce priveste conformarea la GDPR va fi, cu siguranta, mai mare", a apreciat avocatul Ecaterina Burlacu.

Crearea procedurilor de lucru cu datele nu va fi, insa, suficienta. Societatea care se pregateste sa respecte normele GDPR va trebui, in plus, sa isi instruiasca atat salariatii, cat si partenerii de afaceri pentru a respecta procedura de colectare si prelucrare a datelor cu caracter personal, a mai spus specilistul consultat de Ziare.com.

Cine va avea nevoie de responsabil cu protectia datelor

Societatile comerciale care prelucreaza pe scara larga date cu caracter personal - cum ar fi, spre exemplu, companiile de asigurari, spitalele private sau bancile - vor fi nevoite sa aiba un responsabil cu protectia datelor (Data Protection Officer - DPO).

Pe site-ul ANSPDCP exista un ghid din care cei interesati pot afla daca au nevoie de DPO si cum sa-l aleaga.

Cu titlu general, DPO-ul poate fi un specialist extern contractat pentru indeplinirea acestor obligatii impuse de GDPR sau un angajat din organigrama, anume instruit in acest sens.

Potrivit unui raspuns dat de ANSPDCP la solicitarea Ziare.com, intr-o societate, un DPO poate avea si alte functii in firma, dar "nu poate fi director executiv, director operational, director financiar, seful serviciului medical, seful departamentului de marketing, seful departamentului de resurse umane sau seful departamentului IT". Motivul: daca ar cumula functiile, ar ajunge in situatia de a-si evalua propria activitate si ar fi tentat sa foloseasca intr-o maniera nepotrivita datele personale administrate.

Codurile de conduita care i-ar fi ajutat pe intreprinzatori sa se descurce mai usor nu s-au scris la timp, in Romania

Potrivit Regulamentului, codurile de conduita sunt, practic, seturi de reguli pe baza carora societatile ar putea intelege mai bine cum sa respecte GDPR, in functie de specificul activitatii.

Cu alte cuvinte, am putea avea cod de conduita pentru operatorii din industria telecom, unul pentru asiguratori, altul pentru banci si asa mai departe. Societatile insele ar putea contribui la scrierea condurilor, dar acestea ar fi valabile doar in conditiile in care ar fi aprobate de ANSPDCP.

Mai multe despre cum ar trebui sa functioneze lucrurile a explicat pentru Ziare.com Radu Mihaiu, fost secretar de stat in Guvernul Ciolos, actualmente coordonator al Comisiei de Taiat Hartii.

"Interpretarea autoritatii (atunci cand vine vorba modul in care un operator de date respecta codul - n.red.) ar trebui sa vina tocmai de la aceste coduri de conduita. Problema este ca, la acest moment, codurile nu exista nici macar in draft. N-au fost, inca, redactate.

Sau daca exista in draft, pe undeva, nimeni nu stie nimic despre ele. Sigur, codurile pot fi scrise intr-un timp mai lung sau mai scurt. Problema este ca ar trebui, potrivit Regulamentului, sa fie si adoptate de Autoritate. Iar legea care da dreptul Autoritatii de a adopta coduri este inca in Senat", a declarat Radu Mihaiu.

Reamintim ca Ministerul Afacerilor Interne (MAI) a lansat cu intarziere in dezbatere publica proiectul de lege care sa imputerniceasca ANSPDCP sa aplice GDPR. Mai exact, desi textul GDPR a fost publicat in Jurnalul Oficial al UE pe 4 mai 2016, cu mentiunea ca va intra in vigare peste 2 ani, MAI a avut nevoie de un an si 4 luni ca sa lanseze proiectul de act normativ care vizeaza modificarea Legii nr 102/2005 (privind infiintarea, organizarea si functionarea Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal, precum si pentru abrogarea Legii nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date).

Ulterior, proiectul de lege prezentat de Guvern Biroului Permanent al Camerei Deputatilor abia pe 10 aprilie 2018.

Deputatii au preluat in procedura de urgenta proiectul, l-au avizat, l-au votat si l-au inaintat Senatului. Totul, in doar 15 zile. Acum proiectul de lege asteapta sa fie avizat de cinci comisii de specialitate din Senat, iar comisia de fond - cea Juridica - are termen pana pe 22 mai sa depuna raportul final. Ulterior, ar trebui votata si adoptata pana pe 25 mai legea care sa abiliteze ANSPDCP sa monitorizeze implementarea GDPR si, eventual, sa dea sanctiuni cand si daca e cazul.

Ce anume se va intampla in primele zile de dupa intrarea in vigoare a GDPR ramane sa vedem. Oricum, e putin probabil ca toti intreprinzatorii care sunt operatori de date sa fie pana atunci perfect aliniati la cerintele europene.

Iar cine nu e astazi deja pe final cu implementarea masurilor prea mare lucru nu mai poate face in numai trei saptamani, indiferent cat de mari sunt amenzile pe care le-ar putea incasa incepand cu data de 26 mai.

Ciolacu: Apartenenţa României la NATO reprezintă o garanţie de securitate pentru ţara noastră. Vom continua să fim un actor influent şi constructiv FOTO/VIDEO
Ciolacu: Apartenenţa României la NATO reprezintă o garanţie de securitate pentru ţara noastră. Vom continua să fim un actor influent şi constructiv FOTO/VIDEO
Marcel Ciolacu, premierul României afirmă, la 20 de ani de la aderarea României la NATO, că apartenenţa României la Organizația Nord Atlantică reprezintă o garanţie de securitate pentru...
Președintele României: Relevanța NATO este cu atât mai mare în contextul extrem de complex pe care îl traversăm
Președintele României: Relevanța NATO este cu atât mai mare în contextul extrem de complex pe care îl traversăm
Klaus Iohannis, președintele României a transmis, vineri, 29 martie, la 20 de ani de la aderarea României la NATO, că România va rămâne profund implicată în procesul de adaptare...
#GDPR obligatii societati, #pasi pregatire procedura GDPR, #procedura GDPR Ecaterina Burlacu Radu Mihaiu , #lege