GDPR la început de drum. Între mituri și conformitate

În ultimii 3 ani de zile, Regulamentul General privind Prelucrarea Datelor cu Caracter Personal s-a transformat în, probabil, cea mai cunoscută reglementare, indiferent că am avut nevoie să înțelegem cum să o respectăm sau pentru că, pur și simplu, am auzit de la prieteni sau cunoștințe că au de implementat conformitatea cu Regulamentul. Iar dacă denumirea de la început te-a băgat în ceață, poate acronimul GDPR te ajută să-ți dai seama despre ce vorbim.

De la intrarea în vigoare a GDPR, au apărut articole, analize ori investigații, în România sau în alte state membre UE, și experți care se concentrează exclusiv pe aplicabilitatea și rezolvarea problemelor rezultate din aplicarea GDPR. Cu toate acestea, conformitatea cu GDPR pentru antreprenori sau firme mici și medii e încă un mister, mai ales dacă azi, când citești acest articol, faci primii pași în noul tău business. Așa că, la Digital 2 Law, ne-am gândit să creăm un ghid care sintetizează experiența noastră practică de lucru cu startup-uri și companii din zona de tehnologie pe probleme derivate din GDPR.


Mai întâi, cum a apărut GDPR?

GDPR (General Data Protection Regulation sau, în română, Regulamentul General privind Protecția Datelor) a intrat în vigoare la 25 mai 2018 și a fost conceput pentru a aduce într-un singur loc toate drepturile cetățenilor rezidenți ai UE  în legătură cu modul în care organizațiile prelucrează și utilizează datele lor cu caracter personal.
GDPR este cea mai cuprinzătoare legislație privind protecția datelor cu caracter personal elaborată la nivel mondial până în prezent și cuprinde reguli stricte privind modul în care organizațiile ar trebui să gestioneze datele cu caracter personal.

Care sunt cele mai comune erori de percepție a GDPR pe care le-am întâlnit? 

„GDPR nu se aplică tuturor companiilor” - FALS

GDPR se aplică oricărei companii (indiferent de mărimea acesteia) care prelucrează date cu caracter personal în desfășurarea activității sale. Mai mult, GDPR se aplică și altor organizații (de exemplu, ONG-uri) sau persoanelor fizice care prelucrează date cu caracter personal pentru îndeplinirea unui scop profesional. 
Ca atare, chiar dacă ești freelancer, start-up, IMM sau corporație, ba chiar asociație sau fundație, și lucrezi cu angajați, colaboratori, clienți sau utilizatori (offline sau online), trebuie să respecți GDPR.
 

„Politicile de cookies și confidențialitate de pe site sunt suficiente” - FALS

Politicile de pe site-ul organizației tale sunt un început bun, dar nu suficient ca să poți fi sigur că respecți GDPR în întregime. Pe lângă aceste politici, mai sunt multe alte documente și proceduri GDPR ce trebuie implementate la nivelul organizației: note de informare angajați și candidați, furnizori, registre interne de prelucrare, proceduri privind breșele de securitate, contracte de transfer de date și așa mai departe. În plus, respectarea GDPR e un demers în constantă adaptare, în funcție de evoluția organizației tale – iar dacă ești un startup care caută tărâmul magic numit product-market fit, o dată cu fiecare pivotare e posibil să fie nevoie să te repoziționezi și cu privire la maniera în care te conformezi cu GDPR. Sunt câteva arii importante ce trebuie acoperite pe care le-am sintetizat în secțiunile acestui articol.

„Riscurile sunt scăzute dacă nu sunt conform GDPR” - FALS

Autoritatea română de protecție a datelor (ANSPDCP) începe sa fie din ce în ce mai activă și rezultatele se văd. De la amenzi de câteva mii/zeci de mii de euro pană la amenzi de sute de mii. În plus, dacă prelucrezi date cu caracter personal în mai multe state, autoritățile pot ajunge să colaboreze între ele în cadrul unei investigații.
Impactul poate să fie pe de o parte amenda în sine, însă și pierderea reputației companiei produce o vătămare importantă, fapt ce poate atrage după sine mai puțini clienți și implicit vânzări mai mici. 

„Mă descurc singur, caut pe net si adaptez documentele” - FALS

Abordarea este riscantă și consumatoare de timp. Trebuie să-ți dedici mult efort pentru înțelegerea terminologiei legale și personalizarea documentației găsite pentru organizația ta. Acest timp nu este deloc neglijabil – mai ales când ai de jonglat cu multe roluri în mica ta organizație - iar la final, cea mai mică eroare poate să invalideze toată munca depusă și te poate expune și mai mult prin iluzia unei false conformări. 

„Pot aștepta să fiu conform cu GDPR când situația financiară a organizației îmi va permite” - FALS

GDPR are în centrul său două principii: privacy by design și privacy by default. Scopul lor este să insufle ideea că, din momentul în care îți construiești organizația, serviciile și/sau produsele pe care le vei pune pe piață, ar trebui să ai în vedere ce date prelucrezi și dacă ai cu adevărat nevoie să le prelucrezi. Din fericire, există soluții pe piață care îți permit să începi procesul de conformare cu GDPR încă din primele luni ale activității sale, fie că discutăm de produse tech sau de soluții hibrid care implică avocați și software.

PDF

Descarcă Ghidul GDPR

 

Newsletter-ul Startarium. Citește sinteza lunară direct pe e-mail