A trecut aproape o lună de la intrarea în vigoare a noului Regulament general privind protecția datelor cu caracter personal (GDPR și, deși în ultimul an subiectul s-a dezbătut intens la nivel local, multe organizații consideră – pe bună dreptate în majoritatea cazurilor – că nu sunt pregătite încă pentru a respecta regulile GDPR. Iar excesiv de mediatizatele amenzi pe care le-ar putea primi le amplifică teama și dorința de a găsi cât mai rapid o soluție care să le rezolve, pe loc, toate cerințele de conformitate.
Problema e că o astfel de abordare este total nerealistă pentru că respectarea regulamentului presupune mai mult decât o simplă implementare de soluții de securitate, oricat de avansate ar fi ele. Pe lângă aplicații, conformitatea GDPR necesită modificarea proceselor de business, a fluxurilor de lucru și a modului în care lucrează și interacționează utilizatorii finali, de training etc., etc., etc.
Pentru că, oricât ne-am dori un panaceu capabil să ne scape de toate „chinurile“, alinierea la cerințele regulamentului este un proces evolutiv care trebuie abordat etapizat. Nicio organizație, oricât de mare ar fi și în orice domeniu ar activa, nu poate trage linie și afirma „Gata – începând de la data de... suntem «100% compliant»!“. Nici măcar operatorii telecom, care sunt obișnuiți cu Directiva ePrivacy, cu Legea 667/2001, 506/2004 sau 235/2015 și, mai ales, cu amenzile aplicate de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.
E un lucru absolut firesc – business-urile se transformă, tipurile de date colectate se modifică, atitudinea clienților finali se schimbă și – mai ales! – percepția legiuitorului asupra modului în care trebuie aplicate regulamentele evoluează și se adaptează specificului local.
Pentru că sunt atâtea variabile în ecuație și pentru că, dincolo de temeri, în rândul companiilor există încă multe aspecte neelucidate vizavi de GDPR, am organizat recent împreună cu Camera de comerț româno-olandeză și cu cabinetul de avocatură Magdalena Popescu un workshop interactiv în care am tratat problematica GDPR dintr-o dublă perspectivă – cea juridică și cea a securității IT, abordare complementară și utilă pentru că ajută organizațiile să înțeleagă cât, unde și cum pot să le ajute soluțiile IT, care sunt limitările acestora și cum pot fi compensate.
Și pentru că lumea s-a săturat de abordări teoretice și de prezentări de principii, ne-am axat – atât noi, cât și avocata Magdalena Popescu – pe exemple concrete și soluții practice
De exemplu, colegul nostru, Andrei Suciu, Senior Consultant în cadrul PRAS, a prezentat un studiu de caz despre cum am soluționat cerințele de conformitate GDPR în cadrul subsidiarei unei companii internaționale mari care:
• activează în România prin 45 de puncte de lucru;
• are peste 1.500 de colaboratori care utilizează echipamentele mobile personale pentru colectarea, procesarea și accesarea datelor cu caracter personal (iar organizația nu are niciun control asupra acestor device-uri pentru că... BYOD);
• salvează datele în Cloud atât în interiorul cât și în exteriorul UE;
• nu dorea să își modifice procesele de business și nici nu era dispusă să facă investiții mari în infrastructura hardware & software.
Și evident că – în pofida tuturor acestor „condiții vitrege“ – voia să atingă statutul „GDPR compliant“ cât mai rapid posibil.
Dacă v-am stârnit interesul și vreți să aflați cum am reușit să împăcăm și lupul, și capra, și varza, și regulamentul, și bugetul... contactați-ne!
