Implementarea GDPR a fost una dintre preocupările majore ale anului 2018, indiferent de domeniul de activitate al organizațiilor chemate să-l respecte. Sume, adesea considerabile, au fost investite în audituri și rapoarte de specialitate. Au fost scrise proceduri și au fost elaborate documente gata de pus în practică. O adevărată revoluție, consumată în timp record, care a urmărit schimbarea radicală a modului în care drepturile persoanelor fizice sunt respectate.
În proiectele noastre post implementare, am constatat că eforturile depuse nu par a avea întotdeauna rezultatele dorite. Uneori angajații nu știu exact ce au de făcut în caz de nevoie în acest domeniu - de la o banală și uzuală campaniei de marketing și până la stabilirea gravității unui incident de securitate. Analizând practica recentă ANSPDCP, constatăm că și atunci când angajații știu ce au de făcut, nu respectă procedurile interne.
Un cadru procedural general nu poate asigura finalitatea unui mod de lucru eficient. Datele cu caracter personal sunt prelucrate de diverse departamente cu atribuții specifice, în domeniul financiar-contabil sau al resurselor umane, IT sau marketing, de exemplu. Toate aceste funcțiuni din cadrul unei organizații prelucrează volume mari de date cu caracter personal, iar scopurile și temeiurile legale ce stau la baza acestor prelucrări sunt diferite și imposibil de generalizat.
Desemnarea unei persoane cu atribuții specifice în materia protecției datelor cu caracter personal, chiar și atunci când, aparent, nu se impune numirea unui responsabil cu protecția datelor, poate juca un rol esențial în crearea unei culturi a protecției datelor în cadrul organizației. Totodată, poate contribui decisiv la asigurarea eficienței procedurilor interne adoptate în acest domeniu. Desigur, o astfel de soluție însemnă reducerea, chiar și parțială, a timpului alocat de această persoană altor atribuții de serviciu, fapt ce poate fi considerat un efort greu de acceptat de unele organizații. Pe termen lung însă, o astfel de decizie se poate dovedi una foarte bună.
Testarea eficienței măsurilor adoptate în procesul de implementare a cerințelor GDPR. Rolul acestei acțiuni este de a trece dincolo de aparența cadrului formal adoptat la nivelul organizației și de a oferi răspunsuri concrete cu privire la ce ar mai trebui îmbunătățit sau revizuit pentru a asigura conformarea. Testarea se poate face intern, prin simularea unor incidente de securitatea ce ar putea afecta datele cu caracter personal. Se poate face însă și prin intermediul unor experți externi, capabili să efectueze teste complexe de penetrare și care să ofere răspunsuri clare privind viteza de reacție internă și eficiența sistemelor informatice utilizate.
Un articol semnat Daniel Vinerean, Senior Associate, D&B David și Baias