Stiri

Fă-te frate cu tehnologia să treci GDPR-ul

27 June 2019

 

După un an de viaţă cu GDPR, avem două veşti interesante, dar mai ales utile. În primul rând, aflați că nu mai puţin de 90.000 de firme au raportat oficial breşe de securitate, dintre care 400 sunt din România – informarea ANS o găsiți aici. În al doilea rând, se pare că este liniștea dinaintea furtunii deoarece, la nivel de măsuri, primul an a fost de probă şi va urma o intensificare a controalelor şi amenzilor.

Bilanţul publicat de autorități în luna mai nu este foarte surprinzător. Europenii nu au exagerat cu reclamaţiile, iar autorităţile nu au exagerat cu amenzile. Românii, spre exemplu, au depus 5.260 de plângeri şi sesizaţii, iar autoritatea a efectuat 485 investigații din oficiu şi 496 investigații la plângerea persoanelor vizate.

Amenzile au fost puţine şi în cuantum redus, având în vedere faptul că dintre cele 56 de milioane euro colectate în Europa, 50 au venit din partea Google, penalizat usturător de autorităţile franceze. Situaţia s-a deteriorat însă rapid, iar în ultimele două luni, ştirile au arătat amenzi tot mai mari acordate unor companii şi organizaţii din cele mai diverse domenii de activitate. Nu vă gândiţi că GDPR se aplică doar firmelor mari și exemple sunt destule.

 

În România, la nivelul securităţii datelor, cele mai frecvente abateri au vizat accesul neautorizat la datele cu caracter personal prelucrate de operator, dar şi dezvăluirea acestor date prin expedieri eronate sau prin lipsa unei protecţii adecvate în faţa atacurilor. Depăşirea acestor situaţii şi ieşirea de sub incidenţa GDPR sunt posibile printr-o combinaţie de politici şi tehnologie. Definirea unor politici în spiritul GDPR implică analiza de business şi audit, urmate de implementarea unor produse specifice pentru asigurarea securităţii şi disponibilităţii datelor.

Primul pas – auditul GDPR

Derularea unui audit GDPR reprezintă punctul de plecare într-o călătorie de durată, ce vizează nu doar respectarea punctuală a unor norme, ci mai ales crearea unei culturi de confidențialitate cu privire la datele cu caracter personal.

În 2018, alături de casa de avocatură Mihai & Co. Business Lawyers, am creat pachetul de servicii de consultanţă „Audit GDPR high-level“ ce presupune parcurgerea unui număr de etape, împreună cu specialiști dedicați din zona juridică și de IT. Respectivul proces se finalizează cu raportarea situației actuale a companiei, precum și dezvoltarea recomandărilor de implementare a unui set de acțiuni în vederea conformării la noul regulament. Alături de conformitate, auditul are ca obiectiv creşterea generică a disponibilității și securității datelor și aplicațiilor, împreună cu optimizarea modului de utilizare a resurselor IT.

Unul dintre cei mai relevanți beneficiari este compania RoPharma, care a derulat anul trecut un audit GDPR alături de NOD şi ASK4IT din Braşov.

Proiectul a implicat mai multe etape de analiză, detaliere a obiectivelor, colectare de informaţii şi trasare de procese & fluxuri de lucru, la care au fost implicaţi decidenți din cadrul departamentelor de marketing, IT, juridic, HR etc. Obiectivul principal a fost optimizarea modului în care sunt preluate, stocate și prelucrate datele, cum sunt transmise acestea, cum este obținut consimțământul clienților, care sunt măsurile recomandate de minimizare a datelor etc.

Complementar, procesul de audit a inclus şi realizarea unui chestionar extins, care a adresat două direcții de bază: aspectele legate de zona juridică și procedurală a companiei și cele aferente zonei IT, cu elementele specifice. La finalul proiectului, RoPharma a primit un raport de audit, care a dat o imagine de ansamblu asupra stadiului în care se afla compania la acel moment în raport cu cerințele GDPR  și a oferit o serie de recomandări concrete pentru atingerea obiectivelor stabilite.

Pentru mai multe informaţii despre acest proiect, găsiți studiul de caz extins aici.

Clym, platforma de confidențialitate a datelor

Oferta NOD pentru complianța cu GDPR nu acoperă însă doar segmentul de audit. Oferim inclusiv o platformă tehnologică dedicată. Încă de anul trecut avem în portofoliu Clym „ one platform for global privacy needs”, prin care clienţii finali pot respecta mai uşor obligațiile de protecție a datelor. Clym se adresează oricărei organizații ce colectează și procesează date cu caracter personal, acoperind şase arii principale ale conformării cu legislația de protecție a datelor personale:

– Gestionarea consimțământului cu privire la cookie-uri

– Chitanțe de consimțământ

– Gestionarea documentelor și politicilor

– Administrare date companie & DPO

– Localizare

Platforma se remarcă printr-o procedură de integrare rapidă, procese prestabilite tip GDPR și posibilitatea personalizării prin jurisdicție, limbă și layout. Platforma este localizată şi poate fi utilizată atât în companii private, cât şi în instituţii publice, având deja o bază semnificativă de referinţe în România.

 

Concluzii?

Este uşor de înţeles că regimul de aplicare al GDPR se va înăspri pe măsură ce autorităţile vor considera finalizată perioada de probă. Sunt de aşteptat intensificări ale controalelor, dar mai ales ale sancţiunilor aplicate.

La final, avem însă şi o veste bună. NOD are capacitatea să vă susţină în demersul de a oferi clienţilor finali ajutor în alinierea la cerinţe, indiferent dacă este vorba despre conştientizarea noii stări de facto, derularea unui audit şi trasarea unor măsuri de acţiune sau implementarea efectivă a unor instrumente care să sigure protecţia efectivă a datelor confidenţiale.

 

© 2019 NOD Academy