Ce înseamnă GDPR?
Orice companie care colectează informații cu caracter personal de la orice persoană fizică trebuie să fie extrem de grijulie cu aceste informații. Cum le colectează, cum le utilizează, cum le protejează de acces neautorizat, cât timp le pastrează și cum/când le distruge. Amenzile pot fi foarte mari (asta știe deja toată lumea)!
GDPR (General Data Protection Regulation) nu este o reglementare referitoare exclusiv la IT, ci stabilește niște reguli de conduită pentru toate departamentele unei companii. Pentru a putea considera o companie “GDPR Compliant”, trebuie luate anumite măsuri în mai multe departamente.
- IT – instituirea măsurilor de securitate cibernetică. Alertarea autorităților în cazul unei breșe de securitate ( care duce la compromiterea datelor cu caracter personal);
- HR – mecanisme de prelucrare a datelor cu caracter personal ale angajaților și în procesul de recrutare, reglementarea procesului de concediere; inclusiv informațiile medicale ale angajaților, diplomele de studii, certificările tehnice se supun acestei Reglementari;
- Juridic – modificarea documentației prin intermediul căreia se colectează date personale (formulare, solicitări, acte) în vederea obținerii consimțământului în mod express și fără echivoc;
- Marketing – instrucțiuni clare privind modul în care se efectuează comunicarea cu clienții companiei sau cu potențialii clienți. Invitațiile la evenimente, informațiile promoționale, newsletter transmise clienților vor fi setate în acord cu prevederile regulamentului;
- Facility/Securitate – înregistrări de supraveghere video, pontaj, monitorizare GPS, analize de risc cu privire la cazierul personal. Toate aceste elemente vor fi puse în acord cu prevederile GDPR;
Cui se aplica?
Tuturor companiilor care activează pe teritoriul tărilor din Uniunea Europeană. Chiar dacă sediul central al firmei se află în străinătate, atât timp cât firma prelucrează date cu caracter personal colectate sau procesate pe teritoriul UE trebuie respectat regulamentul.
Cum se aplică?
Colectarea datelor cu caracter personal (adresă, numar de telefon, adresă de e-mail, religie, preferință sportivă, preferință culinară, stare civilă, preferințe muzicale sau de orice altă natură) se va face cu acordul explicit al persoanelor vizate. Asta înseamnă că s-a terminat cu explicațiile de genul “am adresa dvs. de mail de pe un site public…”. Datele personale colectate anterior datei de 25 mai, indiferent prin ce metode, nu mai vor mai putea fi folosite fără acordul expres al persoanei în cauză.
Datele cu caracter personal din cadrul companiei trebuie, în primul rând, să fie catalogate, marcate, sau indentificate clar la locul unde sunt amplasate, indiferent dacă aceste date sunt în format fizic sau electronic. Aceste date vor fi supuse măsurilor consistente de protecție, fizice și electronice.
Orice incident de securitate care duce la compromiterea, deteriorarea, copierea sau alterarea datelor cu caracter personal trebuie notificat atât Autoritătii Naționale, cât și persoanelor ale căror date au fost compromise.
Important de reținut este că acest Regulament nu este doar o problemă de IT în companie!
Există cel puțin 5 departamente care vor fi afectate, într-o măsură mai mică sau mai mare, de Regulamentul general privind protecția datelor. În opinia mea, procesul de implementare în cadrul organizațiilor ar trebui să fie condus de către un jurist, pentru a asigura o analiză cât mai consistentă și relevantă a datelor, proceselor și sistemelor care trebuie ajustate.