Amenda, cât e amenda?
Deși cu toții ne speriem când auzim de amenzi mari pentru nerespectarea GDPR, ar trebui să ne gândim totodată și alte consecințe: costurile nerespectării legislației de către un start-up nu se limitează doar la o amendă (deși te poate zgudui bine), ci la impactul asupra clienților, reputației, numelui, imaginii etc. Gândiți-vă doar la scandalul (a se citi ”linșaj mediatic”) de 2 zile despre o companie agricolă cu un pui care a fost un pic mai vesel.
Dar cu picioarele pe pământ: amenda este de până la 20 milioane euro sau 4% din cifra de afaceri.
Da, dar e complicat.
Știm. Așa că să o luăm pe pași.
Pasul 1: stabilește dacă ești operator de date sau persoană împuternicită.
Sau, cum în mod greșit găsim prin documente de specialitate, controlor și procesator (așa e când Google Translate mai dă rateuri).
Există două categorii principale de ”muncitori ai datelor” în cadrul GDPR;
(a) operatorii; și (b) persoanele împuternicite.
Pe scurt, un operator ia decizii cu privire la ce trebuie să facă cu datele personale colectate (cum ar fi start-up), în timp ce o persoană împuternicită acționează doar în numele operatorului în "prelucrarea" datelor (de exemplu, un furnizor de servicii de tip cloud, firmă de contabilitate etc.).
Pasul 2: vezi cam ce date prelucrezi și cam ce faci cu ele.
Nu trebuie neapărat să ții un registru de operațiuni/intrări-ieșiri dacă nu îndeplinești anumite praguri, dar e bine ca măcar să le ai schițate cumva pe undeva ca să știi ce faci cu datele respective.
Asta o poți face printr-o notă de informare și o politică de prelucrare a datelor personale bine pusă la punct, prin care explici oamenilor (de cele mai multe ori ăsta e momentul în care te luminezi și tu) ce date iei de la ei și ce faci cu ele.
Pasul 3: revizuiește contractele cu terțele persoane
Dacă abia acum începi, este cu atât mai bine pentru că nu ai ce revizui, ci introduci direct clauze/anexe specifice pentru prelucrarea datelor în contractele pe care le închei cu furnizorii, prestatorii de servicii și colaboratorii.
E mai simplu să faci de la zero decât să revizuiești și să te rogi de ei să negocieze și apoi să semneze, mai ales că nimeni nu are chef de hârtii peste hârtii.
Pasul 4: dacă ai angajați/colaboratori, keep and eye on them
Nu firma lucrează propriu-zis cu datele personale, ci angajații sau persoanele contractate de societate în sensul ăsta.
În procedura cu angajații și colaboratorii este important să ai clauze de confidențialitate bine puse la punct, ca să știi cine are acces la date, ce face cu ele și cum le manipulează. Și ce se întâmplă în cazul în care cineva pleacă cu datele respective, la un concurent, de exemplu.
Pasul 5: atenție la securitate
GDPR vine în avantajul companiilor care pot folosi această ”nouă legislație” drept un instrument foarte bun pentru a spori încrederea în rândul clienților și al consumatorilor.
De la început, ar trebui să verifici, mai ales dacă ai o aplicație/platformă/magazin online vulnerabilitățile sistemului - cine poate accesa, cum, unde stochezi datele etc. și să promovezi asta în rândul potențialilor clienți ca un atu a ceea ce oferi tu.
Pasul 6: și mai mare atenție la marketing
Cu toții facem promovare, în special în mediul online - diferența este că de când se aplică GDPR (mai 2018), trebuie să fii și mai atent cu datele personale pe care le prelucrezi.
Vorbim aici de campanii pe Facebook, colectare de lead-uri, newsletter, cold calling, targeting & retargeting. E bine să te documentezi și să pun la punct politici bune încă de la început pentru a ști exact ce să faci în momentul în care vrei să lansezi un produs pe piață sau să promovezi un serviciu.
Pe scurt, ce ar trebui să faci
Activitățile rapid la îndemână pe care trebuie să le ai în vedere la un start-up, ar cam fi:
- cunoașteți fluxurile de date ale afacerii voastre - ce date apar și ce se întâmplă (gândiți-vă la fiecare aspect, de la furnizori și vânzători la clienți și pe site-ul dvs.);
- desenează o diagramă care să vă ajute la nivel de afacere să explicați diferitele fluxuri de date unei autorități de reglementare (indiferent dacă sunteți sau nu obligat să mențineți înregistrările standard GDPR ale prelucrării, trebuie să aveți un fel de documentație despre datele pe care le prelucrați);
- să stabilești dacă ești un operator de date sau o persoană împuternicită în relație cu persoanele vizate și cu colaboratorii;
- să te asiguri că ai o politică de confidențialitate care explică abordarea & prelucrarea datelor personale (avem aici un curs online care te învață pas cu pas cum să scrii documentele) - ține minte că transparența este cheia;
- modifică/semnează contractele cu clienții si furnizorii astfel încât să ai clauze de prelucrare a datelor personale. Este posibil ca aceștia să aibă deja un acord de prelucrare a datelor personale (DPA) pe care să îl revizuiți și să îl semnați. Este important ca acesta să fie în linie cu principiile enumerate anterior și cu obiectivele voastre.
- descrii măsurile tehnice pe care le utilizezi pentru protejarea datelor (acest lucru poate fi solicitat de clienți);
- documentezi cât timp stochezi datele (nu mai poți păstra la nesfârșit toate tipurile de date personale - trebuie să poțijustifica perioada de păstrare);
- ai o politică privind încălcarea datelor pentru a te asigura că acționezi în noile intervale de timp pentru notificare (operatorii ar trebuie să notifice autoritatea în termen de 72 de ore de la conștientizarea încălcării datelor);
- pregătești un plan pe termen mai lung la finalizarea celor de mai sus pe care să îl urmărești și să verifici constant modul de implementare.
Cum mergem mai departe?
Dacă vrei să afli mai multe despre cum să implementezi GDPR în compania ta, mă găsești pe biztool.ro unde putem intra în dialog.
De asemenea, organizez un curs autorizat de DPO (Data Protection Officeer) în București pe 22-23 aprilie, cu examen ANC pe 24 mai.
Dacă ești interesat, completează formularul de mai jos și te voi contacta în cel mai scurt timp.
Nu îți vorbesc despre diplome și alte cele, ci te invit la o discuție, mai mult un Q&A, unde să încercăm să găsim răspunsuri și să înțelegem ce trebuie făcut. Și cum. Iar la final te alegi și cu o diplomă verde, că cine știe când îți trebuie.