Ready, steady, GDPR: provocări, oportunități și soluții practice cu privire la GDPR (Regulamentul General Privind Protecția Datelor)
Termenul de implementare al regulamentului general privind protecția și prelucrarea datelor cu caracter personal (GDPR) se apropie rapid, iar companiile de la nivel național și european se pregătesc să se adapteze cerințelor înainte de luna mai 2018. Pentru a întâmpina principalele provocări cu privire la această directivă europeană, BusinessMark a organizat, pe 28 martie, conferința Ready, steady, GDPR!. Printre subiectele puse în discuție se numără: rolul Ofițerului de conformitate în companii, preparation & compliance, conformitatea cu GDPR, cum se integrează un DPO în organigrama unei societăți, importanța lucrului în echipă pentru o bună aliniere la GDPR, securitatea cibernetică și GDPR etc.
Daniel Drăgan, Managing Partner, BusinessMark a moderat cele două sesiuni ale evenimentului și a lansat speakerii în discuții interesante pentru reprezentanții mediului de afaceri.
Intervenția Nicoletei Ionescu, Legal Manager, Orange Financial Services s-a concentrat pe rolul responsabilului cu protecția datelor – aspecte de natură practică. După ce a oferit mai multe detalii cu privire la prevederile legale relevante privind numirea unui DPO (Data Protection Officer) și poziționarea unui DPO în organizație, aceasta a prezentat un studiu de caz privind sancțiunile aplicate pentru incompatibilitate într-o situație din Germania. La final, Nicoleta Ionescu a subliniat faptul că principiul independenței responsabilului pentru protecția datelor statuat de Regulament nu trebuie interpretat ca o cerință absolută, a lipsei vreunei subordonări ierarhice și nici ca o interdicție de a îndeplini alte activități în cadrul entității, atât timp cât sunt respectate principiile legale privind evitarea conflictului de interese stabilite de Regulament.
În continuarea discuțiilor, Cristina Costache, CIPP/E – Legal Manager Strauss România a abordat subiecte, precum: pregătirea organizației pentru alinierea la GDPR, programul de compliance, identificarea key – stakeholders (resurse/ buget, funcțiune, influență, cunoștințe), identificarea capabilității companiei de a îndeplini această etapă cu propriile resurse, training și conștientizarea organizației. În ceea ce privește pregătirea organizației pentru alinierea la GDPR, aceasta a menționat alți doi pași importanți: mapare date și plan de remediere/ GAP analysis (dacă este cazul), implementarea planului de remediere/ aliniere la GDPR.
Prezentarea Gabrielei Popescu, Legal Attorney, Microsoft România a cuprins o serie de recomandări: zona descopăr (identificarea datelor cu caracter personal și locul de stocare), admnistrez (administrarea modului în care datele cu caracter personal sunt folosite și accesate), protejez (stabilirea controalelor de securitate pentru a preveni, descoperi și răspunde vulnerabilităților și încălcărilor referitoare la date), raportez (păstrarea documentației necesare, administrarea cererilor de date și notificărilor de încălcare).
Roxana Ionescu, Partner, Head of Data Protection, NNDKP a oferit mai multe exemple practice și a expus o serie de lucruri de evitat în efortul de conformare la GDPR. Încă de la început, aceasta a precizat că adaptarea la GDPR va fi un proces permanent și a subliniat faptul că încă din faza de descoperire, companiile trebuie să știe care este scopul prelucrării datelor. Totodată, Roxana Ionescu a discutat despre subiecte, precum: incidente de securitate, implicarea oamenilor pe partea operațională și cea tehnică, reguli de acces și securitate, obligativitatea din raport cu autoritatea, politica de utilizare a coockie-urilor etc.
David Molony, U.K. Cyber Team Leader – Aon Risk Solutions – Global Risk Consulting a adus în discuție importanța securității cibernetice în contextul GDPR. Acesta a analizat o serie de puncte cheie: transformarea digitală și pregătirea cadrului pentru posibile amenințări, perceperea schimbării privind riscul cibernetic, zona cyber și creșterea diferenței de eficiență a capitalului, integrarea securității, confidențialii, legalității și riscurilor.
Pe parcursul prezentării sale, Raluca Silaghi, Manager, Radu și Asociații | EY Law a făcut precizări cu privire la: conceptul de DPO (Data Protection Officer) în GDPR, numirea unui DPO, cum este ales un astfel de responsabil, cum este poziționat acesta în companie și care sunt atribuțiile care îi revin. Aceasta a menționat câteva dintre sarcinile responsabilului cu protecția datelor cu caracter personal: monitorizarea, prioritizarea riscului, relația cu terții, ținerea registrelor, implicarea în efectuarea DPIA.
În cadrul conferinței, Bianca Naghi, Managing Associate, D&B David și Baias a făcut precizări cu privire la: interesul legitim ca și bază legală care justifică prelucrarea, îndeplinirea obligației de transparență în cazul în care prelucrarea se întemeiază pe interes legitim, obligațiile impuse împuternicitului de către operator. Totodată, aceasta a oferit câteva exemple de clauze contractuale între operator și împuternicit.
Carmen Adamescu, Partener, EY România și-a expus punctul de vedere cu privire la GDPR Compliance Services – full lifecycle ent to end GDPR compliance services proposal din perspectiva companiei în care își desfășoară activitatea. Nu în ultimul rând, aceasta a accentuat faptul că GDPR este o lege europeană importantă, iar reprezentanții din România au datoria de a o respecta nu numai din perspetiva companiilor din care fac parte, ci și în calitatea lor de cetățeni europeni.
Cristina Iacobescu, LL.M, CIPP/E, Associate, Reff & Asociații SCA a oferit o perspectivă cu privire la exercitarea drepturilor persoanelor vizate în baza GDPR. Aceasta a analizat 8 dintre drepturile persoanei vizate: dreptul de informare, dreptul de acces, dreptul la rectificare, dreptul la ștergere a datelor, dreptul la restricționarea prelucrării, dreptul la portabilitatea datelor, dreptul la opoziție, dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată a datelor. În plus, Cristina Iacobescu a punctat principalele elemente cu privire la: aspectele de luat în considerare în implementarea proceselor și procedurilor interne, facilitarea procesului de exercitare a drepturilor online/ offline, aspecte particulare anumitor reguli.
Robert Stoicescu, Manager, Risk Assurance Services, PwC România a abordat GDPR din următoarele perspective: întrebări și răspunsuri despre DATA în domeniul GDPR, descoperirea datelor – automată sau manuală, cine sunt cei vizați, cum se utilizează datele, gestionarea drepturilor persoanelor vizate, cum asigurăm datele, instrumentele de suport pentru DPO, GDPR versus securitate și proiecte de implementare a proiectului.
Evenimentul Ready, steady, GDPR! a fost organizat de BusinessMark alături de: AON Romania, Nestor Nestor Diculescu Kingston Petersen, EY Romania, PwC Romania, Rent for Comfort, ARILOG, Plantăm fapte bune în România, Asociația The Social Incubator.
