10 sfaturi pentru manageri cu privire la GDPR

Au trecut 8 luni de la intrarea in vigoare a noului Regulament UE 679 si aproximativ un an de cand alinierea GDPR a devenit un subiect extrem de discutat. Dupa o perioada extrem de agitata, care a culminat cu avalansa de declaratii si solicitari de consimtamant de la sfarsitul lunii mai, lucrurile au intrat treptat, intr-o stare de acalmie. Asta poate fi BINE, daca presupunem ca oamenii au inteles despre ce e vorba si au inceput demersurile de aliniere. Dar realitatea ne arata ca presupunerea este FALSA. Realitatea este alta si ASTA NU E BINE.

Totul pleaca de la manageri
Demararea unor proiecte de aliniere este legata ombilical de o decizie manageriala.
Nimic nu se poate face daca managementul nu este convins de importanta subiectului.

Dar intelegerea importantei nu este totul. Managementul trebuie sa gestioneze demararea activitatilor, sa stabileasca o echipa, sa delege un responsabil si, mai ales sa planifice resursele. Adica sa se implice efectiv.

Orice analiza sau audit de business care constituie prima faza in derularea unui proiect de asigurare a conformitatii are in vedere nivelul de implicare managerial. Sunt managerii implicati direct, participa la discutii sau au delegat o persoana de incredere care sa se ocupe de tot?

Ce situatii am intalnit in realitate? Toate demersurile de implementare realizate pana acum, in majoritatea cazurilor, au fost impulsul unei presiuni externe si destul de putin si de rar rezultatul unei convingeri reale. Din pacate, inca sunt multi manageri care considera GDPR:

• o mare prostie;
• un simplu exercitiu birocratic;
• o amenintare cu penalitati uriase care nu vor periclita niciodata propria organizatie;
• multi bani aruncati degeaba;
• o bataie de cap in plus, care mai poate sa astepte;
• o mare cacealma, nimeni nu a fost amendat pana acum;
• niciunul dintre amici sau parteneri nu a facut nimic pentru asta si nu li s-a intamplat nimic;
• cei care au angajat o firma de consultanta a dat banii degeaba pentru ca au fost nevoiti sa faca totul singuri;
• ceva inutil. Eu nu lucrez decat cu date de business. Astea sunt date publice, nu personale;

Si lista ar putea continua

Ce putem face?
Oameni buni, niciodata nu e prea tarziu. Oricand puteti incepe exercitiile de aliniere. Iata cateva sfaturi:

1. GDPR NE PRIVESTE PE TOTI. Nu este o prostie, o gaselnita a politicienilor sau a avocatilor ca sa ne mai ia niste bani. Orice organizatie, asociatie, sau persoana fizica autorizata exercita o activitate in care ajunge sa detina niste date personale ale clientilor, partenerilor sau angajatilor. ESTE OBLIGATA sa se supuna GDPR.
2. MARIMEA NU CONTEAZA. Fie ca avem o companie cu 10, 50 sau peste 250 de angajati, fie ca suntem o microintreprindere, un ONG sau o asociatie profesionala, fie ca administram o asociatie de locatari sau ca suntem un consultant independent, avocat, stomatolog sau blogger specializat, AVEM NEVOIE DE GDPR. Desigur ca nu toti avem nevoie de toate procedurile si politicile. Dar exista un nucleu de activitati si masuri care sunt absolut obligatorii pentru orice fel de organizatie. Nu avem cum sa evitam asta. TREBUIE SA FIM PREGATITI!
3. GDPR INSEAMNA ASUMAREA RASPUNDERII. Suntem raspunzatori pentru datele noastre personale. Pentru angajatii nostri. Pentru clientii nostri. Pentru partenerii nostri. Nu facem asta cu gandul la inspectiile Autoritatii si nici ca pe o simpla formalitate birocratica. O facem pentru binele nostru si al comunitatii in care traim si activam. O FACEM CA RESPONSABILI PENTRU RESPONSABILITATEA NOASTRA.
4. GDPR ESTE MAI MULT DECAT UN SIMPLU PROIECT. Mai mult decat o implementare de solutii IT. Mai mult decat o revizuire birocratica a documentelor dintr-o alta perspectiva birocratica. Este o actiune asumata, documentata si permanenta care presupune luarea de decizii, elaborarea de politici, adoptarea de proceduri, dar mai ales o actiune de echipa, in care avem o tripla implicare: OAMENI, TEHNOLOGIE, PROCESE.
5. GDPR ESTE O CERINTA PERMANENTA. Nu este un simplu hei-rup, o activitate punctuala sau o implementare de proceduri dupa care cineva iti da o diploma. Este un exercitiu permanent, o cerinta obligatorie de business pentru intregul ciclu de viata al uni afaceri. Ca sa pastram un nivel optim de conformitate trebuie sa actionam continuu, sa ramanem intre anumiti parametri. Iata un exemplu pe care il folosesc des in discutiile din proiecte sau de la sedintele de instruire: Obtinerea conformitatii GDPR poate fi comparata cu pregatirile de decolare pe care le face echipajul unei aeronave. Pregatim instructiunile de zbor, verificam echipajul, consultam aparatura de bord si demaram procedurile de decolare. Dar mentinerea conformitatii GDPR pe termen lung trebuie comparata cu zborul propriu-zis. Cu activitatile absolut necesare pentru mentinerea la un plafon de 11000 de metri. Nu ne permitem sa gresim. Chiar daca se seteaza pilotul automat, cineva tot trebuie sa vegheze si sa stie in permanenta ce este de facut.
6. GDPR ESTE O INVESTITIE IN EFICIENTA. Nu sunt bani aruncati. Nimeni nu ne obliga sa facem toate achizitiile dintr-o data. O analiza de risc poate ajuta la crearea unor planuri de remediere gradata a eventualelor surse de incidente legate de pierderea de date personale. Ne concentram pe ce este mai important acum si facem un efort. Un buget alocat pentru viitorul exercitiu financiar ne va ajuta la pastrarea echilibrului balantei. Sunt multe posibilitati de realocare a unor bugete in momentul in care am devenit constienti ca E MUSAI NEVOIE DE ASTA.
7. INSTRUITI-VA OAMENII. Instruirea nu este o rusine. Este o nevoie permanenta. Nu intelegeti exact despre ce e vorba si nu aveti timp sa va bateti capul. Participati la o sedinta de instruire GDPR de una sau doua zile. Sunt deja zeci de cursuri care ofera asta. O puteti face si online, de la birou sau din fotoliul de acasa. Veti vedea despre ce e vorba. Veti intelege de ce e important. VETI REALIZA CE RESPONSABILITATI AVETI.
8. PREGATITI-VA UN SPECIALIST IN PROTECTIA DATELOR. Chiar daca legea nu va obliga sa angajati sau sa numiti un DPO, multe aspecte legate de adoptarea GDPR reclama competentele unui om care a parcurs o instruire de DPO. Nu asteptati ca sa se rezolve problema certificarii. Nu mai este timp pentru asteptare. Nu aveti nevoie de diplome, ci de (cel putin) un om care sa stie de unde sa inceapa, cu cine sa inceapa si ce e de facut.
9. AVEM NEVOIE DE CULTURA GDPR. Asta inseamna respectul pentru date. Instruirea permanenta a angajatilor. Testarea eficientei sau efectivitatii procedurilor existente. Adaptarea la schimbare. GDPR va suferi modificari in timp. Verificarea conformitatii cu normativele conexe precum ePrivacy sau NIS. Conformitatea GDPR devine o permanenta, la fel ca regulamentele de ordine interioara, protectie impotriva incendiilor sau masurile de evacuare in caz de calamitati naturale. Protejati-va datele! Scrieti acest lucru pe un post-it si lipiti-l pe usa alaturi de: stinge lumina! , verifica gazele! sau activeaza alarma!
10. GDPR ESTE O OPORTUNITATE, NU O CALAMITATE. Priviti eforturile de aliniere ca pe o investitie in eficientizarea activitatilor. Ca pe un prim demers in transformarea digitala a organizatiei. Ca pe o eticheta de incredere fata de angajati, clienti si parteneri.

Depinde doar de noi. Este responsabilitatea noastra ca manageri. Conformitatea GDPR nu se poate asigura fara implicarea noastra si a intregii organizatii. De noi depinde cum aplicam procedurile recomandate de un consultant. De noi depinde cum asimilam politicile si cum ne asiguram ca oamenii le si respecta. De noi depinde sanatatea si eficienta afacerii noastre. De noi depinde cum putem transforma conformitatea cu GDPR intr-un avantaj competitiv.