Sancțiunile aplicate de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) creează impresia că organizațiile au implementat formal cerințele Regulamentului General privind protecția Datelor (GDPR), fără să testeze eficiența procedurilor interne adoptate. Posibil ca în unele cazuri personalul să fi fost instruit superficial, într-un limbaj excesiv de tehnic și neadaptat activității concrete. Care sunt pașii de urmat, pentru ca măsurile de implementare GDPR să fie eficiente?

Daniel VinereanFoto: Pwc Romania

Implementarea GDPR a fost una dintre preocupările majore ale anului 2018, indiferent de domeniul de activitate al organizațiilor chemate să-l respecte. Sume, adesea considerabile, au fost investite în audituri și rapoarte de specialitate. Au fost scrise proceduri și au fost elaborate documente gata de pus în practică. O adevărată revoluție, consumată în timp record, care a urmărit schimbarea radicală a modului în care drepturile persoanelor fizice sunt respectate.

Lucrurile s-au mai temperat în prima jumătate a anului 2019, pentru ca, în vară, ANSPDCP să aplice patru amenzi, una după alta. Aproape instantaneu, subiectul implementării GDPR a fost redeschis, preocupările mutându-se, de aceasta dată în zona eficienței măsurilor luate.

În proiectele noastre post implementare, am constatat că eforturile depuse nu par a avea întotdeauna rezultatele dorite. Uneori angajații nu știu exact ce au de făcut în caz de nevoie în acest domeniu - de la o banală și uzuală campaniei de marketing și până la stabilirea gravității unui incident de securitate. Analizând practica recentă ANSPDCP, constatăm că și atunci când angajații știu ce au de făcut, nu respectă procedurile interne.

Conformarea la cerințele GDPR nu trebuie făcută superficial și fără a lua în considerare particularitățile activităților de prelucrare. O abordare practică este întotdeauna indicată.

Un cadru procedural general nu poate asigura finalitatea unui mod de lucru eficient. Datele cu caracter personal sunt prelucrate de diverse departamente cu atribuții specifice, în domeniul financiar-contabil sau al resurselor umane, IT sau marketing, de exemplu. Toate aceste funcțiuni din cadrul unei organizații prelucrează volume mari de date cu caracter personal, iar scopurile și temeiurile legale ce stau la baza acestor prelucrări sunt diferite și imposibil de generalizat.

Există soluții? Cu siguranță, da!

Desemnarea unei persoane cu atribuții specifice în materia protecției datelor cu caracter personal, chiar și atunci când, aparent, nu se impune numirea unui responsabil cu protecția datelor, poate juca un rol esențial în crearea unei culturi a protecției datelor în cadrul organizației. Totodată, poate contribui decisiv la asigurarea eficienței procedurilor interne adoptate în acest domeniu. Desigur, o astfel de soluție însemnă reducerea, chiar și parțială, a timpului alocat de această persoană altor atribuții de serviciu, fapt ce poate fi considerat un efort greu de acceptat de unele organizații. Pe termen lung însă, o astfel de decizie se poate dovedi una foarte bună.

Instruirea angajaților este o altă acțiune esențială care trebuie avută în vedere cu prioritate. În ultimă instanță, ei sunt cei care prelucrează datele cu caracter personal în fiecare zi și tot ei sunt cei care pot expune organizația riscurilor asociate prelucrărilor realizate cu nerespectarea prevederilor legale, inclusiv a celor stabilite de GDPR. Sesiunile de instruire ar trebui să adreseze aspectele practice cu care se confruntă angajații cu ocazia îndeplinirii atribuțiilor de zi cu zi și să puncteze importanța datelor cu caracter personal în cadrul organizației. Instruirea formală, prin simpla completare a unor liste de prezență, ar trebui evitată cu orice preț.

Testarea eficienței măsurilor adoptate în procesul de implementare a cerințelor GDPR. Rolul acestei acțiuni este de a trece dincolo de aparența cadrului formal adoptat la nivelul organizației și de a oferi răspunsuri concrete cu privire la ce ar mai trebui îmbunătățit sau revizuit pentru a asigura conformarea. Testarea se poate face intern, prin simularea unor incidente de securitatea ce ar putea afecta datele cu caracter personal. Se poate face însă și prin intermediul unor experți externi, capabili să efectueze teste complexe de penetrare și care să ofere răspunsuri clare privind viteza de reacție internă și eficiența sistemelor informatice utilizate.

Sunt doar câteva soluții simple, ușor de implementat și care ar trebui avute în vedere indiferent de domeniul de activitate și mărimea organizației pentru că GDPR se aplică tuturor, iar nevoia de respectare a cerințelor sale ar trebui să reprezinte un efort continuu.

Un articol semnat Daniel Vinerean, Senior Associate, D&B David și Baias