Regulamentul GDPR – implicațiile pentru IMM-urile românești

Oana Coșman

Regulamentul GDPR, privind protecția datelor care au caracter personal, a intrat în vigoare la nivel european, adică și în România, din data de 25 mai. Cât de pregătite au fost companiile de dimensiuni medii și mici din țara noastră pentru a se conforma cerințelor acestui regulament?

Consiliul Naţional al Întreprinderilor Private Mici şi Mijlocii din România (CNIPMMR) a realizat în perioada 30.05-4.06.2018 un sondaj sub forma unui chestionar aplicat pe site-ul www.cnipmmr.ro şi la nivelul membrilor CNIPMMR privind impactul noilor reguli privind protecția datelor și stadiul de implementare a măsurilor necesare pentru conformare la nivelul întreprinderii/ organizației. Respondenţii în număr de 210, au fost în proporţie de 51,4 % microîntreprinderi, 21,6 % întreprinderi mici, 18,9% întreprinderi mijlocii şi 8,1% ONG-uri și alte forme juridice.

Din cei 210 respondenți, 52,6% au între 1-9 salariați, 26,3% dețin între 10-50 salariați, 15,8% au între 51-250 de salariați, restul de 5,3% având peste 250 de salariați.

Întrebați dacă dețin informații despre conținutul Regulamentului General privind Protecţia Datelor (GDPR) nr. 679/2016, 79,4% au răspuns pozitiv.

Întrebați unde au găsit informații corespunzătoare despre conținutul Regulamentului General privind Protecţia Datelor, respondenții au menționat:

Alina Baciu, Senior HR Business Partner Vodafone - „Când te pregătești de...

12%: Autoritățile publice din România
30%: Mass-media
35%: Site-urile naționale/la nivel european
15%: Societăți de consultanță
8%: Altele

Întrebați dacă au reușit să adopte măsuri la nivelul societății/organizației lor pentru implementarea Regulamentului General privind Protecţia Datelor din data de 25 mai 2018, 42,1% au răspuns negativ, 28,9% pozitiv, 28,9% menționând că urmează.

Găsești aici un ghid de implementare pentru regulamentul GDPR.

Astfel, etapele pe care au reusit să le parcurgă până acum la nivelul societății/organizației pentru implementarea Regulamentului General privind Protecţia Datelor, au fost:

22%: Protejarea – stabilirea de măsuri de securitate pentru a proteja datele personale (crearea unui plan de gestiune a riscurilor și utilizarea unei infrastructuri sigure și caracteristici avansate de securitate)
39%: Auditarea datelor și proceselor, pentru a evalua măsura în care GDPR se aplică organizației/societatii (identificarea datelor cu caracter personal și a locului unde se află ele)
22%: Gestionarea – controlarea modului în care se utilizează datele cu caracter personal (adoptarea de politici transparente, care arată clar în ce fel, când și cum colectează și prelucrează organizația dvs. date cu caracter personal)
17%: Asigurarea noilor cerinte si standarde privind transparența, răspunderea și păstrarea evidențelor (folosirea de instrumente corespunzatoare).

Întrebați dacă la nivelul societății/organizației este cazul numirii unui responsabil pentru protecția datelor, 54,1% dintre IMM-uri au răspuns pozitiv.

Astfel, în ceea ce privește problema responsabilului pentru protecția datelor, respondenții au menționat:

Dan Mihăescu: Ce trebuie să știe fondatorii despre GapMinder Fund II?...

40%: Vor numi o persoană dintre salariații existenți
46,7%: Urmează să găsească o soluție
13,6%: Vor externaliza către o societate specializată.

Întrebați dacă au întâmpinat dificultăți în implementarea Regulamentului General privind Protecţia Datelor, 86,% au răspuns pozitiv.

Vezi aici care este răspunsul avocatului la diferitele nelămuriri legate de implementarea regulamentului GDPR.

Astfel, printre cele mai importante dificultăți întâmpinate în implementarea GDPR, respondenții au menționat:

6%: Creșterea cheltuielilor de consultanță
14%: Complexitatea regulamentului (multe pagini, terminologie dificilă)
16%: Lipsa unor ghiduri practice/proceduri standard
16%: Creșterea efortului birocratic (noi proceduri, efort sporit pentru obtinerea consimțământului de colectarea și prelucrare a datelor cu caracter personal)
14%: Insuficientă informare și lipsa unor campanii organizate
34%: Altele (Timpul insuficient pentru implementare, Creșterea cheltuielilor de personal (noi angajări/măriri de salariu), Creșterea cheltuielilor de investiții (noi echipamente/soft-uri), Consultanți insuficienți și dificil de găsit, Lipsa unor măsuri de susținere/facilități fiscale).

La întrebarea ”ce soluții tehnice ați operaționalizat în domeniul protecţiei datelor până în prezent”, respondenții au menționat:

24%: Capabilități de prevenire a pierderilor de date (DLP) pentru a examina fluxurile de date și a identifica datele cu caracter personal care nu fac obiectul garanțiilor sau autorizațiilor adecvate
29%: Criptarea datelor
26%: Instrumente automate pentru descoperirea, catalogarea și clasificarea datelor personale în întreaga organizație
21%: Altele (instrumente DLP pentru a bloca sau pune în carantină fluxurile de date cu probleme, în așteptarea rectificării adecvate, achiziționarea de echipamente performante și/sau softuri).

La întrebarea “Ați reusit să vă instruiți salariatii proprii privind regulile/procedurile adoptate de confidențialitate și securitate a datelor”, doar 21,1% au răspuns pozitiv, restul menționând ca urmează (44,7%) sau că nu au reușit încă să îți instruiască salariații (34,2%).

Întrebați dacă consideră că amenzile de 20 milioane de euro sau 4% din cifra de afaceri sunt exagerat de mari sau sunt disproporționate, 97,4% au răspuns pozitiv.

În cazul întrebării “Considerați că autoritățile publice competente au asigurat măsuri corespunzătoare pregătirii implementării GDPR în România?”, 97,4% au menționat că nu.

Astfel, printre măsurile pe care respondenți le consideră necesare pentru înțelegerea și facilitarea implementării GDPR, se numără:

23%: Traininguri cu finanțare europeană
43%: Elaborarea unor ghiduri suport
31%: Realizarea unui program de digitalizare și susținerea costurilor implicate, din fondurile UE
3%: Altele

Regulamentul GDPR – proces complex și costuri ridicate

Cheltuielile vor fi diferite în funcție de sectorul de activitate și de complexitatea activităților desfășurate, fiind vizate aducerea site-ului și a sistemelor interne în conformitate cu regulamentul, prelucrarea datelor angajaților, a datelor clienților în scopuri de marketing, a datelor sensibile ale unor clienți (date de sănătate, cazier fiscal/judiciar), vânzarile on-line.

Potrivit studiului “The Economic Costs of the European Union’s Cookie Notification Policy” din 2014 politica de notificare a vizitatorilor asupra folosirii cookie-urilor (cea pe care Regulamentul General privind Protecția Datelor vine să o înlocuiască) genera o cheltuială anuală de peste 2 miliarde de euro în cadrul Uniunii Europene. Costul investit în aducerea site-ului și a sistemelor interne în conformitate cu reglementările în vigoare fusese atunci estimat la 900€/site, sumă ce poate fi un reper și pentru cerintele Regulamentului General privind Protecția Datelor.

Recomandarile noastre:

Spațiile verzi și eficiența energetică, viziunea pentru un București sustenabil

Sursa green.start-up.ro

Românii de la Rottaprint se extind în internațional: comenzi în 14 țări, în 2023

Sursa retail.ro

Topul celor mai mici salarii din România: avem unul dintre cele mai mari decalaje din UE

Sursa wall-street.ro

Cine sunt câștigătorii premiilor RoFintech Awards 2024?

Sursa futurebanking.ro

Oana Coșman

Editor start-up.ro & redactor-șef Green Start-Up, jurnalist cu o experiență de 17 ani în presa de business (Forbes România, Ziarul Financiar, Business Standard), călător avid și cu o pasiune pentru unicorni și fonduri de investiții, Oana urmărește îndeaproape antreprenorii din întreaga lume și descoperă poveștile lor.