Actualizat în 11 Aug, 2021.

În ultimii ani GDPR-ul a ajuns să fie foarte popular, foarte urmărit și discutat. Cu toate acestea, nu tot ce se spune este și adevărat. Adesea întâlnim o sumedenie de înțelegeri greșite ale regulamentului dar și câteva mituri.

Prin acest articol ne propunem să vă prezentăm câteva mituri despre GDPR, cu care noi ne-am întâlnit:

1. GDPR-ul este o Revoluție

Auzim de multe ori că diverse persoane acuză legiuitorul despre faptul că a inventat o legislație menită doar să îngreuneze activitatea operatorilor. Totodată se spune că unele prevederi sunt exagerate și neaplicabile în societatea românească.

Cu toate acestea, trebuie să ne amintim următorul lucru: 60-70% din prevederile GDPR sunt regăsite într-o directivă anterioară (Directiva 95/46/CE) din 1995, iar legislația de punere în aplicare în România a fost Legea 677/2001. Dacă ne uităm mai departe în istorie, vedem prevederi care apără viața privată și datele cu caracter personal chiar înainte de anii 90. Astfel, analizând lucrurile vedem că GDPR-ul este o Evoluție și nu o Revoluție! GDPR-ul este o evoluție firească a legislației europene în acest domeniu și nu atât un lucru care ne creionează un nou mod de viață prin protecția datelor.

2. GDPR-ul te oprește să prelucrezi date

Din interacțiunile  avute cu diverși cursanți de-ai noștri, colaboratori sau alte persoane vizate, am putut vedea o serie de întrebări din care reieșea înțelegerea că GDPR-ul oprește / interzice prelucrarea datelor ca regulă. De multe ori am auzit întrebări de tipul: pot să le trimit newsletter dacă am consimțământul obținut în 2017? Pot să prelucrez CV-ul în procesul de recrutare sau am nevoie de un consimțământ pentru asta? Trebuie să șterg toată baza de date de emailuri acum că se aplică GDPR-ul? Toate aceste întrebări își au un singur răspuns: GDPR-ul nu interzice prelucrarea datelor ci reglementează un cadru în care prelucrările să fie efectuate în conformitate cu niște principii de protecție a vieții private a persoanei.

Astfel, da, trebuie să fim foarte atenți în identificarea corectă a temeiurilor legale în baza cărora ne desfășurăm activitatea, însă să nu pornim cu gândul că prelucrarea este interzisă din start.

3. Cumperi un kit de documente și ești conform

O tehnică adoptată de mulți operatori este următoarea: „să avem ceva, știm noi cum e cu protecția datelor”. Adică caută să cumpere un kit cu formulare pe care le semnează și consideră că sunt asigurați. Ei bine, din amenzile aplicate de ANSPDCP vedem că lucrurile nu stau deloc așa. Un kit de documente crează doar falsa impresie de siguranță pe când riscurile reale rămân, vulnerabilitățile rămân și posibilitatea amenzii rămâne.

Conformarea la GDPR presupune un proces asumat din partea conducerii, care implică mai mulți factori: resurse umane, juridic, IT, administrativ etc. coordonați, acolo unde este cazul de un Responsabil cu Protecția Datelor. Astfel, aproape fiecare latură a activității operatorului va fi avută în vedere spre analiză și monitorizare constantă.

4. Faci un curs, ești conform

Lucru care a caracterizat în mod aparte 2018 și o parte din 2019, trimiterea la un curs de perfecționare cu gândul că „gata, am obținut diploma, sunt conform” s-a dovedit ulterior a nu fi o metodă foarte eficientă. Vă amintiți cu siguranță fiecare dintre dumneavoastră valul de oferte de cursuri GDPR existente în trecut, însă care ne lăsau cu la fel de multe întrebări sau mai periculos, uneori cu înțelegeri greșite asupra regulamentului.

Sunt cursurile obligatorii? Da, este foarte important ca Responsabilul cu Protecția Datelor, persoana cu atribuții în acest domeniu sau chiar factori din managementul companiei să urmeze cursuri, pregătirea fiind un element cheie.

Este un curs suficient? Niciodată, chiar dacă este un curs de lungă durată, de 188 ore, cu multă practică. Uneori este nevoie de expertiză din mai multe domenii pentru a gestiona o situație: spre exemplu o breșă de securitate IT pe o platformă de plăți, care afectează drepturile persoanei vizate care efectuează atât confidențialitatea cât și plățile în sine. Avem 72 ore termen de raportare. Ce facem? Avem o mulțime de factori implicați: IT, protecția datelor, juridic, financiar. Cum gestionăm lucrurile? Ei bine, pentru a face față unei astfel de situații cu succes avem nevoie de cursuri specializate pentru tot personalul operatorului, sau de o echipă cu expertiză care te poate ajuta.

Adevărul este următorul: pentru conformarea la GDPR este nevoie de suport managerial și alocarea de resurse umane și materiale.

5. Consimțământul este „cheia” pentru conformarea la GDPR

Mulți operatori au căutat să obțină consimțământul persoanei vizate pentru orice prelucrare: ex. consimțământ pentru a face viramentele salariale angajatului; consimțământ pentru oferirea de servicii medicale; consimțământ pentru ducerea la îndeplinirea a anumitor obligații legale. În acest sens lucrurile nefiind clare, se amestecă. Dacă și când avem nevoie de consimțământ și mai ales, dacă l-am obținut, înseamnă că suntem asigurați împotriva oricărei probleme?

GDPR-ul prevede șase temeiuri legale: obligație legală, încheierea / executarea unui contract, consimțământ, interes vital, interes public și interes legitim. Nu este scopul acestui articol să dezvoltăm fiecare dintre acestea, însă, pentru a sublinia ideea, este clar că atunci când există o lege care ne obligă să prelucrăm anumite date, le vom prelucra în virtutea obligației legale și NU avem nevoie de un consimțământ suplimentar pentru aceasta. La fel se întâmplă și cu alte temeiuri legale enumerate mai sus. Doar prin excepție, pentru cazuri de marketing, publicitate și alte situații asemănătoare vom solicita consimțământul.

6. IT-ul rezolvă conformitatea

Uneori am văzut situații în care managementul au pus în cârca IT-ului soluționarea problematicii protecției datelor: „protecția datelor, securitatea informațiilor? ISO 27001? Același lucru, mai adăugăm niște consimțăminte și am rezolvat conformitatea”. O astfel de situație este cum nu se poate mai adevărată, în primul rând pentru că este vorba de cunoașterea și înțelegerea unei legislații, oferirea de puncte de vedere și răspunsuri cererilor persoanelor vizate ș.a. Mai apoi pentru că IT-ul are deja mult de muncă și conformarea impune alocarea de timp.

Este util să fie implicat IT-ul în procesul de conformare? Da, categoric, mai mult decât util este aproape obligatoriu deoarece multe din aspectele recomandate de GDPR au o latură tehnică de aplicare, cunoscută în detaliu doar de personalul cu pregătire IT.

Este suficient ca personalul IT să „facă ceva” pentru conformare și ne scăpăm de griji? În nici un caz: spre ex. un operator instituție publică își numește șeful de serviciu de la IT, Responsabil cu Protecția Datelor. Acesta face un curs și încearcă să conformeze activitatea. Va fi obligat să înceapă analiza chiar cu propria sa numire, dacă s-a făcut în condiții de legalitate, să facă notificarea la ANSPDCP, să realizeze evidența prelucrărilor de date (cartografierea datelor), să urmărească clauzele și garanțiile contractuale, să întocmească politici și proceduri, să realizeze evaluări de impact, să ofere puncte de vedere și sprijin în oferirea de răspuns pentru cererile de drept de acces, să gestioneze incidentele la confidențialitatea și securitatea datelor și să facă instruirea personalului..  pentru început. După cum putem înțelege, soluția stă în altă parte.

7. GDPR-ul este o legislație, deci avocații sunt cei ce te pot conforma

GDPR-ul este o legislație, într-adevăr, însă există și o legislație contabilă pentru care există contabili, există o legislație medicală, în cadrul căreia își desfășoară activitatea medicii, o legislație specifică construcțiilor în care inginerii sunt cei care se asigură că toate prevederile sunt respectate. Astfel, chiar dacă un avocat poate cunoaște și înțelege prevederile acestui regulament, uneori îi pot lipsi cunoștințele tehnice sau de altă natură.

Din motivările amenzilor aplicate, vedem că autoritățile de supraveghere din U.E. menționează adesea despre neluarea de măsuri tehnice și organizatorice, motiv pentru care se aplică sancțiunea. Ei bine, vedem că de măsurile tehnice (ex. IT) răspunde personalul cu atribuții în acest sens, de cele organizatorice managementul organizației. Astfel vedem că este necesar să fie un efort de echipă, al întregii companii sau instituții. Este foarte util să existe o persoană cu pregătire juridică în echipa noastră care să ne sprijine, dar la fel de important este să avem și personal IT bine calificat.

Concluzii

Dacă există pregătire specifică în domeniul protecției datelor, atunci folosește-te de pregătirea personalului, dar implică și personalul tehnic și managementul.

Dacă în schimb, consideri că este necesară o echipă din afara companiei, o casă de avocatură cu colaborări în domeniul IT, o firmă de IT cu colaborări și în domeniul juridic care să poată duce la îndeplinire obligațiile impuse de legislația protecției datelor, nu ezita să cauți soluții.

Recomandarea noastră este cel mai adesea să se lucreze cu o echipă pentru tot procesul de conformare întrucât, după cum am putut și observa din cele de mai sus, legislația poate prezenta multe dificultăți atât de înțelegere cât și de punere în practică.

Un proverb spune așa „Unde-s doi, puterea crește” și amenda nu sosește (completarea noastră).

Alege să lucrezi cu echipa GDPR Complet pentru o abordare completă a tuturor problematicilor tale.