Regulamentul UE nr. 679/2016 are ca scop asigurarea unui echilibru intre progresul rapid al tehnologiei si apararea dreptului la viata privata in privinta prelucrarii datelor cu caracter personal. Din cauza faptului ca zona de tehnologie este complet eterogena, cerintele regulamentului se concentreaza mai mult pe drepturile cetatenilor decat sa ceara niste schimbari cu subiect si predicat de genul “Split TVA”. Pasii de mai jos va vor ajuta sa constientizati de unde sa incepeti si care sunt zonele in care trebuie facute schimbari pentru a respecta cerintele UE.
Pasul 1 – Informarea (durata – 1 saptamana)
1. Ce ? Cititi un pic despre ce inseamna GDPR, exista deja ghiduri facute care pot fi trimise la toata lumea din organizatie pentru a se intelege cerintele legale ce intra in vigoare anul viitor, si deasemenea sa se pregateasca terenul pentru urmatoarele actiuni ale echipei de conducere pe subiect.
2. Cine? Trebuie sa aflati cine lucreaza cu date personale in organizatia dumneavoastra. Un alt e-mail scurt trimis la toata lumea la o zi dupa ce a fost trimis ghidul GDPR, la care fiecare destinatar sa raspunda cu DA sau NU la intrebarea daca lucreaza cu date personale. De inclus un termen de maxim 48 ore in care sa se raspunda.
3. Cum? Detalii despre procesarea datelor cu caracter personal de la cei care le folosesc in organizatie. Se creeaza o lista de distributie care sa ii contina pe toti cei care au raspuns afirmativ la mail-ul de la pasul 2. Se face un nou e-mail catre aceasta lista de distributie, in care sa se ceara mai multe informatii despre ce date personale folosesc fiecare dintre ei, unde le tin, daca le introduc in vreuna sau mai multe aplicatii existente, cat de necesare le sunt aceste date (nota de la 1 la 10) si cine mai are acces la aceste informatii. Se poate folosi un chestionar care se face simplu cu Google Forms sau orice alta platforma folositi, de asemenea de dat un termen de raspuns relativ scurt, 24-48 ore, fiecare destinatar ar trebui sa poata raspunda relativ repede cu privire la informatii care le folosesc in activitatea zilnica.
Atentie la situatiile unde sunt persoane care nu au acces la un calculator dar culeg date personale! Exista posibilitatea ca un paznic, gestionar sau casierita sa fie persoana care strange cele mai multe date personale intr-o organizatie, de fapt majoritatea operatorilor cheie sunt persoane care se afla in partea de jos a organigramelor.
Pasul 2 – Analiza datelor si a optiunilor – (durata – 1-2 saptamani)
In acest moment ar trebui deja sa aveti o imagine mai clara cu datele cu caracter personal din organizatie, cine opereaza si foloseste aceste date, cum sunt folosite si in ce sisteme se gasesc ele.
In aceasta etapa se pot implica deja toate persoanele care conduc departamentele, atat cu rol de autoritate/responsabilitate asupra informatiilor primite la pasul 1 cat si cu rol de asistenta pentru spetele culese (asistenta juridica, HR, administrativa, IT, etc.)
Este momentul in care puteti sa va ganditi la urmatoarele lucruri:
⁃ Chiar avem nevoie de toate aceste date personale ? daca nu se mai folosesc date personale, nu mai este nevoie sa respectam noile cerinte. Poate fi un moment bun pentru simplificarea proceselor operationale;
⁃ Cine ar fi trebuit sa raspunda la e-mail si nu a raspuns? Este posibil ca unele persoane relevante din organizatie sa nu fi raspuns sau sa nu poata raspunde? Vezi nota de la pasul 1;
⁃ Care sunt sistemele care contin date personale, daca se pot modifica, au contract de mentenanta, strategia de aliniere la GDPR a furnizorilor;
⁃ Cat ar dura si costa alinierea tuturor spetelor existente in organizatie pe subiectul GDPR;
Pasul 3 – Decizia (durata – in functie de cultura organizationala)
Cu siguranta ca din primii doi pasi, veti obtine suficiente date ca sa puteti decide ce este de facut, si este momentul in care puteti lua decizii in cunostinta de cauza de planificare a acestor schimbari, si daca se poate face cu resursele interne sau pe ce subiecte aveti nevoie de ajutor din exterior.
Este cumva contra intuitiv deoarece in general se intalnesc multe situatii in care se incepe cu decizia, se fac eforturi sustinute la inceput dar de indata ce apare alta prioritate din zona de operational, financiar sau guvernanta, lucrurile si rezultatele se dilueaza.
Foarte important este sa se inteleaga de intregul colectiv ca GDPR-ul poate implica transformarea organizatiilor, motiv pentru care ar fi bine ca aceste schimbari sa fie conduse de persoane din varful companiilor. Recomand deasemenea realizarea unei analize de risc care sa ajute la prioritizarea initiativelor descoperite.
Pasul 4 – Implementarea (durata – pina pe 25 mai 2018)
Imediat ce aveti lista de initiative, acestea ar trebui transformate in proiecte, respectiv sa fie constituite echipe, alocate resurse si stabilite obiective si termene pentru indeplinirea respectarii cerintelor legale. Acum incepe adevaratul test: usor de zis, greu de facut.
Citeste intreg articolul si comenteaza pe Contributors.ro
