Mediile de prelucrare sunt ca niște rețele neuronale, iar datele cu caracter personal sunt informațiile cu care sinapsele sunt acționate. Cultura organizațională/ instituțională (formală dar și informală) este bazinul în care riscul apare, inclusiv pentru protecția datelor, dar care găzduiește latente și soluțiile de conformare.
Protecția datelor este întreagă atunci când întreaga echipă contribuie și participă activ, în mod constant, proporțional cu rolul fiecărui membru, la construcția continuă a guvernării datelor conform principiilor GDPR. Implementarea și menținerea cerințelor GDPR în mod corect înseamnă implicit acționarea unui scut de protecție pentru întreaga activitate a operatorului.
Protecția datelor nu este „one time project” și nici nu este „one man show”, cum îmi place mie să spun, iar o echipă de succes conține integrată și componenta de privacy, în mod specific modulată activităților de prelucrare ale operatorului.
Protecția datelor face parte din capitolele esențiale ce compun managementul riscurilor iar vulnerabilitatea sistemelor de prelucrare – automatizate sau nu – are preponderent ca prim actor eroarea izvorâtă din resursa umană – motorul oricărei organizații/ instituții.
Toate canalele de input a informației la tine în firmă conțin și date personale
Toate procesele de lucru de la tine din firmă conțin și date personale
Toate transmisiunile pe internet/ aplicații/ etc. la tine în firmă conțin și date personale
Există baze de date cu informații personale care pot fi monetizate, însă nu oricum și nu în orice condiții
Dacă sunt întrebat despre o referință în ceea ce privește GDPR, prima opțiune este Cătălina. Potrivită atât pentru radiografii și implementare corectă a politicilor, dar și ca speaker în evenimente de business. Mulțumesc pentru modul în care am colaborat.
Recomand. Cătălina mi-a adus claritate și mi-a ușurat implementarea în tot ceea ce înseamnă GDPR. Modul de lucru a fost simplu, clar, dar cel mai important a fost că am avut parte de disponibilitatea de a mi se răspunde rapid și pe înțelesul meu la fiecare întrebare.
D-na Cătălina arată o preocupare constantă pentru oameni, ca urmare a viziunii sale clare asupra proiectului respectiv, asupra chimiei echipei și a arhitecturii rezultatelor; cu grijă față de acele elemente care ar părea secundare dar care transformă un plan bun într-unul de real succes. Dacă aș reduce totul la două cuvinte, aș spune despre d-na Cătălina astfel: anduranță și tonus!
Sunați-o! Foarte profi. Luând în calcul amenzile pentru lucruri care ni se par mărunte, Cătălina este alegerea optimă să facă curățenie și upgrade. Am avut mai multe cazuri în ultimii ani, gestionate ușor și cu succes datorită protocoalelor implementate cu ajutorul ei.
GDPR se aplică tuturor operatorilor de date, într-o măsură direct proporțională cu riscurile asociate datelor prelucrate. Trebuie analizat de la caz la caz care sunt cerințele de conformare. Numărul de angajați este doar unul din elementele de luat în considerare pentru stabilirea măsurilor de protecție ce trebuie implementate. Pot exista situații când activitatea desfășurată nu necesită mulți angajați, cum este, de exemplu, vânzarea printr-un magazin online cu sute/ mii de clienți persoane fizice.
Politica GDPR reprezintă transpunerea principiului transparenței prin informarea oamenilor cu care interacționezi în business despre prelucrarea datelor lor. GDPR obligă la respectarea a 7 principii, nu doar a unuia, drept pentru care publicarea acestei politici/ note de informare nu este suficientă, rămânând descoperite arii esențiale de legalitate a site-ului tău.
Amintește-ți că „nu se face primăvară cu o floare” și că iluzia de conformitate cu care te amăgești te și expune! Renunță la a mai copia politici de pe internet, de multe ori grosolan preluate, și fă cu sens și complet conformarea GDPR a site-ului tău, ca primă interfață a oamenilor cu afacerea ta!
Consimțământul se folosește numai după epuizarea celorlalte 5 temeiuri de prelucrare enunțate ca legalitate a prelucrării la art. 6, alin.1) din GDPR, și nu de fiecare dată când colectezi și prelucrezi mai departe date cu caracter personal. Dezavantajul consimțământului este că acesta poate fi retras oricând de către persoana vizată, ceea ce înseamnă că legalitatea utilizării în continuare a datelor respective dispare și ești pasibil de amendă. Așa că fii cu băgare de seamă când dai consimțăminte la semnat, mai ales că marea majoritate a celor care circulă online nu respectă condițiile de validitate și sunt o pierdere se timp.
Nu desconsidera importanța cunoștințelor de specialitate și nu te erija tu în specialist, cum mulți antreprenori procedează! Abuzul de consimțământ îți aduce riscuri noi în sistemul de operare a datelor și te vulnerabilizează în relația cu persoana vizată!
Angajații beneficiază de protecția intimității lor și când sunt la muncă, drept pentru care supravegherea video intruzivă, incorect reglementată și fără informarea (după caz, consultarea) prealabilă a acesteia constituie o încălcare a cerințelor legale aduse de GDPR. Cu atât mai mult această prelucrare este cu risc ridicat când operatorul folosește
sisteme de recunoaștere facială sau camerele înregistrează și audio. Supravegherea video necesită obligatoriu măsuri de protecție ca atribuirea de roluri și responsabilități clare, procedurare și instruire pentru gestiunea sistemului CCTV, precum și verificări periodice ale conformității.
Ia în serios componenta GDPR pentru supraveghere video, pentru a nu avea mai târziu probleme cu angajații, partenerii tăi sau chiar cu ANSPDCP! Sunt multe amenzi date pe supravegherea video neconformă și e păcat să-ți irosești resursele plătindu-le, în loc să investești în consolidarea business-ului tău!
GDPR este aliatul, și nu dușmanul afacerii tale! Te obligă să scoți din subteran probleme, să le clarifici și să mergi mai departe consolidat! Fluxul de date ce compune activitatea operatorului se desfășoară în cadrul proceselor de lucru. GDPR aduce cerințe clare pe linie de securitate și confidențialitate a informațiilor – datele cu caracter personal, ceea ce este parte integrantă din managementul riscului. Conform GDPR, este obligatorie asigurarea disponibilității datelor, ceea ce implică luarea de măsuri care asigură inclusiv continuitatea și reziliența afacerii tale. Mai ales în această eră a digitalizării, GDPR este o importantă resursă de protejare a afacerii tale și de pregătire a echipei tale pentru a face față atacurilor cibernetice și pentru a fi capabili să acționeze potrivit în situații în care persoanele vizate își exercită drepturile pe care le au.
Nu cădea în capcana acestui mit și alege-ți profesioniști să te ajute cu implementarea GDPR, structurat, etapizat și specific pentru a constata singur cât de bine este cu GDPR pentru afacerea ta! Vei fi surprins să descoperi în afacerea ta probleme care erau dintotdeauna exact sub ochii tăi, dar nu le reperasei, deși îți produceau efecte nedorite.
În mod diferit față de pleiada de responsabili dintr-o firmă/ instituție – SSM/ RSVTI/ RMC/ etc. – responsabilul cu protecția datelor nu poate face parte din echipa de management (formală sau informală) care stabilește scopurile și mijloacele pentru operarea datelor personale. În plus, art. 37-39 din GDPR reglementează acest rol precum și condițiile aplicare de numire – evitarea conflictului de interese și a incompatibilității, precum și capacitatea de a îndeplini sarcinile. Formarea DPO-ului este o condiție perpetuu de îndeplinit și de inserția corectă a acestuia în mediul de prelucrare depinde gradul de performanță cu care operatorul va proteja datele în viitor, de dorit într-un sistem de protecție „privacy by design & by default”.
Înțelege că DPO-ul este un specialist cu pregătire multidisciplinară și renunță la numiri de DPO fictivi numai ca să bifezi cerința! Caută un specialist compatibil cu tine și cu echipa ta și sprijină-l activ în implementarea GDPR în actifitatea companiei/ instituției pe care o conduci.
Acesta este un tip de gândire păgubos, pentru că expune la nerespectarea legii. GDPR este o lege în baza căreia, indiferent de obiectul de activitate, localizarea geografică sau de mărimea companiei/ instituției, sunt aplicate sancțiuni. Deloc paradoxal, tocmai afacerile mici sunt mai destabilizate în cazul primirii unei amenzi substanțiale, și nu marii coloși care uneori nici nu se resimt. În plus, nu îți imagina că este un demers complicat de realizat pentru a depune o plângere la ANSPDCP, pentru că nu este necesar decât să intri pe pagina de internet a Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, în secțiunea Plângeri RGPD (https://www.dataprotection.ro/?page=Plangeri_pagina_principala), să completezi acolo informațiile și plângerea a fost făcută.
Gândește constructiv și pozitiv pentru afacerea ta, pe termen scurt, mediu și lung și nu te „îmbăta cu apă rece”! Fii proactiv și pregătește-te din timp cu dovezi consistente de respectare a legii care reglementează protecția datelor personale, abandonând credința pisicii care „cade mereu în picioare”!
