Luna trecută am participat la un al doilea eveniment pe tema GDPR. A fost organizat de către Deloitte Romania iar eu am fost un fel de reprezentant al chapterului IAPP. Dar nu asta este important. Am constatat că mai mult de 2/3 dintre participanți erau juriști…

Am spus îns scurta mea intervenție de acolo și astăzi scriu: GDPR nu este doar probema departamentului juridic! Nici a IT-ului!

Dacă vrem să facem din conformare un proiect de succes atunci „actorii„ trebuie să fie:

• CISO
• Risk&compliance
• HR
• CIO
• Marketing
• BCP
• cineva-de-la-nivel-executiv-din-business

Cînd scriu cele de mai sus pornesc de la realitatea din organizații: datele alea personale sînt împrăștiate prin întreaga organizație. Nimeni nu știe mai bine decît șeful unității funcționale de ce le colectează/prelucrează/stochează. Politicile și procedurile care trebuie create/actualizate există la nivelul fiecărei unități funcționale! (HR-ul va trebuie să actualizeze fișele de post; IT-ul va trebuie să vadă cum stă treaba cu controalele tehnice care să asigure conformarea; cei de la juridic vor trebuie să aibă clauze noi prin contractele cu terții..etc..).

Peste toți cei de mai sus poate interveni, acolo unde este obligatoriu, responsabilul cu securitatea datelor personale: „consilierul intern„.

Există țări în UE care au cerințe mai restrictive decît GDPR. De exemplu, în Germania, DPO este cerut pentru orice organizație cu mai mult de 9 angajați. Pot spune deci că, în cazul firmelor care fac parte dintr-un grup, abordarea cea mai bună este să identifici cerințele de conformare cele mai restrictive!