O lună până la implementarea GDPR: care sunt cerințele, cum se pregătesc companiile și ce soluții propun specialiștii în domeniu

Pe 18 aprilie, BusinessMark a organizat o nouă conferință pe tema implementării Regulamentului General privind Protecția și Prelucrarea Datelor cu caracter Personal, de această dată adresându-se mediului de afaceri din Cluj-Napoca. Evenimentul a reunit nouă specialiști în domeniu, care au oferit mai multe soluții și exemple de bune practici din experiența acumulată în cadrul unora dintre cele mai importante companii din România:

Conferința Ready, steady, GDPR! a fost deschisă de FRAGA VARADI – Associate, Reff și Asociații (membru Deloitte Legal), care a adus în discuție subiectul exercitării drepturilor persoanelor vizate în baza GDPR. Pe parcursul prezentării, s-a pus accent pe drepturile persoanei vizate, aspectele de luat în considerare în implementarea proceselor și procedurilor interne, dar și pe situațiile întâlnite în practică. Fraga Varadi a explicat, încă de la început, care sunt cele opt drepturi ale persoanei vizate: dreptul la informare, dreptul la acces, la rectificare, la ștergerea datelor, la restricționarea prelucrării, portabilitatea datelor, la opoziție și dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată a datelor.

În continuarea discuțiilor, CORINA ONAC – Avocat a oferit mai multe clarificări cu privire la adaptarea companiilor românești la noua directivă UE. Aceasta a punctat o serie de aspecte, precum: factorul de noutate adus de GDPR, măsuri ce trebuie întreprinse, identificarea și maparea datelor cu caracter personal prelucrate, ciclul informațional, identificarea temeiului procesării, stabilirea unei politici de păstrare a datelor și prelucrarea lor în scopuri specifice, revizuirea documentelor/ procedurilor, analiza numirii unui DPO. La final, Corina Onac a prezentat câteva concluzii: „ (1) Colectați doar date care vă sunt necesare pentru îndeplinirea activității; (2) Verificați periodic fluxul de date din interiorul companiei și al celor care pleacă din companie; (3) Nu folosiți datele deținute în alt scop decât cel pentru care au fost colectate; (4) Stocați date pe perioade justificate.”

CĂLIN TĂUT – Marketing/ Business Development Manager, PwC România a oferit răspunsuri la câteva întrebări cheie: cine este implicat în procesul GDPR, unde se găsesc datele și cum sunt folosite, cum sunt gestionate și securizate datele și care sunt principalele probleme întâmpinate în implementare. Acesta a identificat două probleme de implementare a proiectului: (1) complexitatea proiectului, precizând că nu există nicio imagine de ansamblu clară a complexității proiectului, nici pentru bugetarea clară, dar nici pentru punerea în aplicare și (2) situația lipsei resursele umane.

NICOLAE CIUTESCU – Director General în cadrul Multi Data Soft, o companie românească înființată în 2001, a prezentat în cadrul evenimentului soluțiile puse la dispoziție de Oracle pentru a ajuta la respectarea cerințelor GDPR. Acesta a pus accent pe trei dintre mijloacele de control: protecția oamenilor, a sistemelor software și a datelor. Soluțiile și exemplele de bune practici oferite în cadrul intervenției sale, se bazează pe o experiența de peste 20 de ani în industria IT & C.

În cea de-a doua sesiune a evenimentului, CAMELIA SIMONA BARBOS – Manager Contract Services and Data Protection, Emerson Automation Solutions a discutat despre transferurile de date cu caracter personal, cu focus pe particularitățile din cadrul companiei în care își desfășoară activitatea. Aceasta a precizat că, în 2017 Emerson a inițiat un program intitulat PDPP (Personal Data Protection Program), care constă în patru pași: inventar, analiză, implementare și monitorizare, training.

CRISTINA COSTACHE – CIPP/E – Legal Manager, Strauss România a prezentat o serie de pași importanți în ceea ce privește pregătirea organizației pentru alinierea la GDPR și a menționat faptul că programul de compliance ar trebui să se bazeze pe: training, testare, monitorizare autorități/ organisme, modificări în legislație și tehnologie, audit și monitorizare continuă. În opinia acesteia, pentru o trecere eficientă la GDPR companiile ar trebui să aibă în vedere aspecte, precum: identificarea key-stakeholders, identificarea capabilității companiei de a îndeplini această etapă cu propriile resurse, maparea datelor și a planului de remediere, implementarea planului de remediere și alinierea la GDPR.

Un alt subiect de impact în contextul GDPR este cel al responsabilului cu Protecția Datelor (DPO). IURIE COJOCARU – Managing Associate, Data Protection, NNDKP a adus completări semnificative cu privire la: prelucrarea pe scară largă, atribuțiile și pregătirea responsabilului cu protecția datelor. Acesta a precizat trei situații în care se desemnează un DPO: (1) Prelucrarea este efectuată de o autoritate sau un un organism public, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale; (2) activitățile principale constau în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă; (3) activitățile principale constau în prelucrarea pe scară largă a unor categorii speciale de date sau a unor date cu caracter personal privind condamnări penale și infracțiuni.

FERNANDA VELTER – CEE Client Innovation Center, Security & Privacy Practice Area Leader Security Consultant: Security Strategy, Risk & Compliance Services, COBIT5 Foundation certified, IBM România a făcut mai multe precizări cu privire la partea legislativă: „GDPR spune că fiecare țară din Uniunea Europeană trebuie să adopte o lege pentru implementarea GDPR-ului în țara respectivă. Până în acest moment, doar Germania și Austria au realizat o astfel de lege. În România, există două propuneri de legi, care au fost în dezbatere publică”. Aceasta a punctat, de asemenea, că din experiența de 10 ani, „este clar că asumarea acestei legi și asumarea unui program de protecție a datelor în companie ar trebui sa vină de la management”.

ALEXANDRU GHEORGHE –  Data Protection Officer, Provident Financial România a tratat subiectul desemnării unui DPO, precizând aspecte cheie despre alocarea resurselor necesare pentru DPO, responsabilitatea și autoritatea acestuia. În ceea ce privește pregătirea terenului pentru DPO. Nu în ultimul rând, acesta a făcut recomandări referitoare la: constituirea unei echipe responsabile cu protecția datelor (DPO și personalul acestuia), participarea în mod regulat a DPO-ului la reuniunile de la nivelul personalului de conducere la nivel superior și mediu, acordarea sprijinului activ funcției DPO din partea conducerii.

Evenimentul Ready, steady, GDPR! a fost organizat de BusinessMark alături de: Nestor Nestor Diculescu Kingston Petersen, Deloitte Romania, Reff & Associates, PwC Romania, Rent for Comfort, AVIS, DWNT,  Plantăm fapte bune în România, Asociația The Social Incubator. Radioul principal al evenimentului a fost: KISS FM.