GDPR la o firmă mică: partea de IT și partea juridică
GDPR pare un subiect complex și costisitor, mai ales după un e-mail care promite amenzi. Pentru o firmă mică, însă, înseamnă, în primul rând, bună organizare și disciplină pe partea de IT, nu un volum mare de documente cumpărat sub presiune. Îl împărțim, calm, în două: partea de IT, unde te putem ajuta noi, și partea juridică, unde răspunsul corect este un jurist și ghidurile ANSPDCP, nu un articol de blog.
Ce cere, de fapt, în termeni simpli
Dincolo de jargon, GDPR prevede câteva lucruri simple. Deții, în firmă, date personale ale clienților, ale angajaților și ale furnizorilor: nume, adrese, CNP-uri, e-mailuri. Trebuie să le păstrezi în siguranță, să le folosești doar în scopul declarat și să poți răspunde atunci când cineva îți cere ce date ai despre el sau când, la un moment dat, acele date ajung unde nu ar trebui.
Acestea sunt cerințele de fond. Restul (registre, politici, formulare) este felul în care demonstrezi, pe hârtie, că le respecți. Esențial este însă ca, dincolo de documente, ele să se întâmple efectiv. O firmă cu politici bine redactate, dar fără un backup verificat, este conformă pe hârtie și vulnerabilă în realitate.
Partea de IT, care ne revine nouă
Aici intervenim noi, pentru că jumătate din GDPR înseamnă, de fapt, igienă IT aplicată corect. Înseamnă să știi cine are acces la ce date și de ce, astfel încât nu toată lumea să aibă acces la tot. Înseamnă un backup verificat, ca datele să nu se piardă, și stații de lucru actualizate și protejate, pe care un atac să nu le poată compromite. Iar acolo unde se justifică, pe laptopuri și pe copiile păstrate în afara biroului, criptare, astfel încât un calculator pierdut să nu se transforme automat într-o breșă de date.
Tot aici intervine și aspectul la care puțini se gândesc înainte de a fi nevoie: ce faci atunci când, totuși, se produce un incident. GDPR îți acordă 72 de ore pentru a notifica autoritatea după ce ai aflat de o breșă serioasă, iar 72 de ore trec repede dacă rolurile nu sunt stabilite. De aceea contează să ai, din timp, un plan clar: cine izolează incidentul, cine analizează ce date au fost expuse, cine notifică. Exact acest plan îl pregătim împreună în cadrul auditului.
Partea juridică, pentru un jurist
Cealaltă jumătate este juridică și organizatorică, iar aici nu pretindem expertiză: registrul prelucrărilor, temeiul legal pentru fiecare tip de date, consimțământul unde este nevoie, clauzele GDPR din contracte, informarea persoanelor vizate. Pe acestea le rezolvi cu un jurist sau un consultant și te ghidezi după ANSPDCP, autoritatea care răspunde de protecția datelor în România.
Delimitarea este simplă. Modul în care datele sunt protejate tehnic revine unui furnizor IT competent; ceea ce ai dreptul să faci cu ele și cum le documentezi revine unui jurist. Cele două domenii se completează, însă nu se substituie unul altuia.
Rolul nostru în conformitatea GDPR
Nu îți vindem un „pachet GDPR” și nici teamă. Ceea ce facem este să punem la punct partea de IT astfel încât, atunci când te întreabă un client, un auditor sau chiar autoritatea, să ai răspunsuri concrete, nu promisiuni: cine are acces, când a fost verificat ultima dată backup-ul, cum sunt protejate stațiile de lucru, ce se întâmplă în cazul unei breșe. Începe cu un audit gratuit la fața locului: analizăm starea actuală a datelor, iar la final primești o listă clară a ceea ce este în regulă și a ceea ce merită consolidat.