Consiliul Naţional al Întreprinderilor Private Mici şi Mijlocii din România (CNIPMMR) a realizat în perioada 30.05-4.06.2018 un sondaj sub forma unui chestionar aplicat pe site-ul www.cnipmmr.ro şi la nivelul membrilor CNIPMMR privind impactul noilor reguli privind protecția datelor și stadiul de implementare a măsurilor necesare pentru conformare la nivelul întreprinderii/ organizației. Respondenţii în număr de 210, au fost în proporţie de 51,4 % microîntreprinderi, 21,6 % întreprinderi mici, 18,9% întreprinderi mijlocii şi 8,1% ONG-uri și alte forme juridice.

Din cei 210 respondenți, 52,6% au între 1-9 salariați, 26,3% dețin între 10-50 salariați, 15,8% au între 51-250 de salariați, restul de 5,3% având peste 250 de salariați.

Întrebați dacă dețin informații despre conținutul Regulamentului General privind Protecţia Datelor (GDPR) nr. 679/2016, 79,4% au răspuns pozitiv.

Întrebați unde au găsit informații corespunzătoare despre conținutul Regulamentului General privind Protecţia Datelor, respondenții au menționat:

  • 12%: Autoritățile publice din România
  • 30%: Mass-media
  • 35%: Site-urile naționale/la nivel european
  • 15%: Societăți de consultanță
  • 8%: Altele

Întrebați dacă au reușit să adopte măsuri la nivelul societății/organizației lor pentru implementarea Regulamentului General privind Protecţia Datelor din data de 25 mai 2018, 42,1% au răspuns negativ, 28,9% pozitiv, 28,9% menționând că urmează.

Găsești aici un ghid de implementare pentru regulamentul GDPR.

Astfel, etapele pe care au reusit să le parcurgă până acum la nivelul societății/organizației pentru implementarea Regulamentului General privind Protecţia Datelor, au fost:

  • 22%: Protejarea – stabilirea de măsuri de securitate pentru a proteja datele personale (crearea unui plan de gestiune a riscurilor și utilizarea unei infrastructuri sigure și caracteristici avansate de securitate)
  • 39%: Auditarea datelor și proceselor, pentru a evalua măsura în care GDPR se aplică organizației/societatii (identificarea datelor cu caracter personal și a locului unde se află ele)
  • 22%: Gestionarea – controlarea modului în care se utilizează datele cu caracter personal (adoptarea de politici transparente, care arată clar în ce fel, când și cum colectează și prelucrează organizația dvs. date cu caracter personal)
  • 17%: Asigurarea noilor cerinte si standarde privind transparența, răspunderea și păstrarea evidențelor (folosirea de instrumente corespunzatoare).

Întrebați dacă la nivelul societății/organizației este cazul numirii unui responsabil pentru protecția datelor, 54,1% dintre IMM-uri au răspuns pozitiv.

Astfel, în ceea ce privește problema responsabilului pentru protecția datelor, respondenții au menționat:

  • 40%: Vor numi o persoană dintre salariații existenți
  • 46,7%: Urmează să găsească o soluție
  • 13,6%: Vor externaliza către o societate specializată.

Întrebați dacă au întâmpinat dificultăți în implementarea Regulamentului General privind Protecţia Datelor, 86,% au răspuns pozitiv.

Vezi aici care este răspunsul avocatului la diferitele nelămuriri legate de implementarea regulamentului GDPR.

Astfel, printre cele mai importante dificultăți întâmpinate în implementarea GDPR, respondenții au menționat:

  • 6%: Creșterea cheltuielilor de consultanță
  • 14%: Complexitatea regulamentului (multe pagini, terminologie dificilă)
  • 16%: Lipsa unor ghiduri practice/proceduri standard
  • 16%: Creșterea efortului birocratic (noi proceduri, efort sporit pentru obtinerea consimțământului de colectarea și prelucrare a datelor cu caracter personal)
  • 14%: Insuficientă informare și lipsa unor campanii organizate
  • 34%: Altele (Timpul insuficient pentru implementare, Creșterea cheltuielilor de personal (noi angajări/măriri de salariu), Creșterea cheltuielilor de investiții (noi echipamente/soft-uri), Consultanți insuficienți și dificil de găsit, Lipsa unor măsuri de susținere/facilități fiscale).

La întrebarea ”ce soluții tehnice ați operaționalizat în domeniul protecţiei datelor până în prezent”, respondenții au menționat:

  • 24%: Capabilități de prevenire a pierderilor de date (DLP) pentru a examina fluxurile de date și a identifica datele cu caracter personal care nu fac obiectul garanțiilor sau autorizațiilor adecvate
  • 29%: Criptarea datelor
  • 26%: Instrumente automate pentru descoperirea, catalogarea și clasificarea datelor personale în întreaga organizație
  • 21%: Altele (instrumente DLP pentru a bloca sau pune în carantină fluxurile de date cu probleme, în așteptarea rectificării adecvate, achiziționarea de echipamente performante și/sau softuri).

La întrebarea “Ați reusit să vă instruiți salariatii proprii privind regulile/procedurile adoptate de confidențialitate și securitate a datelor”, doar 21,1% au răspuns pozitiv, restul menționând ca urmează (44,7%) sau că nu au reușit încă să îți instruiască salariații (34,2%).

Întrebați dacă consideră că amenzile de 20 milioane de euro sau 4% din cifra de afaceri sunt exagerat de mari sau sunt disproporționate, 97,4% au răspuns pozitiv.

În cazul întrebării “Considerați că autoritățile publice competente au asigurat măsuri corespunzătoare pregătirii implementării GDPR în România?”, 97,4% au menționat că nu.

Astfel, printre măsurile pe care respondenți le consideră necesare pentru înțelegerea și facilitarea implementării GDPR, se numără:

  • 23%: Traininguri cu finanțare europeană
  • 43%: Elaborarea unor ghiduri suport
  • 31%: Realizarea unui program de digitalizare și susținerea costurilor implicate, din fondurile UE
  • 3%: Altele

Regulamentul GDPR – proces complex și costuri ridicate

Cheltuielile vor fi diferite în funcție de sectorul de activitate și de complexitatea activităților desfășurate, fiind vizate aducerea site-ului și a sistemelor interne în conformitate cu regulamentul, prelucrarea datelor angajaților, a datelor clienților în scopuri de marketing, a datelor sensibile ale unor clienți (date de sănătate, cazier fiscal/judiciar), vânzarile on-line.

Potrivit studiului “The Economic Costs of the European Union’s Cookie Notification Policy” din 2014 politica de notificare a vizitatorilor asupra folosirii cookie-urilor (cea pe care Regulamentul General privind Protecția Datelor vine să o înlocuiască) genera o cheltuială anuală de peste 2 miliarde de euro în cadrul Uniunii Europene. Costul investit în aducerea site-ului și a sistemelor interne în conformitate cu reglementările în vigoare fusese atunci estimat la 900€/site, sumă ce poate fi un reper și pentru cerintele Regulamentului General privind Protecția Datelor.