Unul din lucrurile pe care îl aud des când vorbesc cu diverse companii este „nu vrem să fim perfecți, vrem și noi niște documente”. Sau „vrem și noi niște șabloane”. Ieftin, să nu ne batem capul. Am auzit odată și un „noi credeam că veniți, faceți niște documente și noi vom putea să continuăm să facem ce vrem, dumneavoastră ne spuneți că anumite activități de business trebuie schimbate cu totul?” (moment de șoc și groază).
Documentația este necesară, dar nu și suficientă pentru conformitatea la GDPR.
Conformitatea la GDPR înseamnă de fapt să iei în considerare riscurile pe care prelucrările tale de date le aduce persoanelor vizate – angajați, clienți, parteneri, vizitatori. Trackerele alea multe pe care le pui pe site-ul tău #CăAșaSeFace și #CeilalțiFacLaFel încalcă grav intimitatea oamenilor. Consimțămintele alea pe care le iei de la angajați ca să poți face chestii cu datele lor personale nu sunt conforme și îți pot aduce amenzi (temeiul legal în prelucrările de date asociate proceselor de resurse umane foarte rar poate fi consimțământul – există o relație disproporționată angajator – angajat care invalidează condiția de „liber dat” – obligatorie pentru corectitudinea consimțământului). Trimiterea unui email cu toată lumea în CC (din greșeală) în loc de BCC poate fi un data breach.
Se fac multe abuzuri în prelucrările de date personale. Se fac și mai multe în documentele servite de marile brand-uri furnizorilor.
Între operator (data controller) și persoana împuternicită (data processor) este obligatoriu să se semneze un document legal (conform art 28 din GDPR) care reglementează relația dintre cei doi din perspectiva prelucrărilor de date personale. Însă multe din aceste documente legale, cunoscute ca DPA (Data Processing Agreement/ Annex) sau pe românește APD (Anexă pentru Prelucrarea Datelor) sunt pline de greșeli și clauze abuzive. De exemplu o clauză des întâlnită pe care o consider abuzivă (și șmecherească) este că dacă un audit cerut de operator (art 28 din GDPR dă acest drept operatorului) găsește neconformități la un împuternicit, împuternicitul plătește auditul. Cât de greu îmi este ca auditor să găsesc o foaie rătăcită în imprimantă sau o foaie lăsată pe masă la vedere (neconformități de securitate) și să vin cu o factură de 50.000 EUR către o mică firmă?
Poanta este că mulți furnizori mici semnează ca primarii documentele astea și apoi se roagă să nu vină năpasta peste ei. La clienții mei am reușit să scoatem genul acesta de clauze, dar câți mai sunt în piață cu mizerii prin contracte…
Documente corecte de APD/DPA, GRATUIT! De la mama lor, de la Comisia Europeană.
Cei de la Comisia Europeană au văzut și ei haiducia din piață și au decis să dea (cu ocazia necesității schimbării altor documente denumite Standard Contractual Clauses pentru garanțiile transferurilor de date în afara Zonei Economice Europene) niște șabloane de APD/DPA care vor cam deveni obligatorii.
Deocamdată au fost publicate în Engleză, Germană și Franceză, însă ele vor fi disponibile în toate limbile Uniunii Europene. Există un termen de adopție de 18 luni, însă noi la Tudor Galoș Consulting începem să le folosim IMEDIAT.
Descărcați-le GRATUIT de AICI.
1 comentariu Adaugă comentariu