Despre cum poți să implementezi cerințele GDPR cu cît mai multe resurse interne/proprii s-a scris mai puțin. Este complicat? Complicată este analiza datelor nu culegerea lor (aceasta din urmă este consumatoare de timp). S-ar putea în schimb să te sperie bugetul de care va fi nevoie pentru asigurarea măsurilor tehnice. Responsabilitatea finală cu privire la conformitate este a ta și nu a consultantului.

1. Stabilește o echipă a proiectului: un jurist + cineva de la IT (care a avut legătură cu securitatea și managementul riscurilor, cunoaște tehnologii de securitate) și HR (dacă se poate pentru că s-ar putea ca datele personale ale angajaților tăi să fie mai critice decît ale clienților). Dă-le „putere de decizie„ și „ascultă-i„: sînt angajații tăi și cunosc cel mai bine cultura organizațională, afacerea.
2. Echipa trebuie să se documenteze: juristul să citească GDPR și toate ghidurile și opiniile WP29 (unde se află răspunsuri la multe cazuri practice); cel de la IT cel puțin GDPR și ghidurile pentru PIA și raportarea incidentelor. Nu îi strică însă dacă citește și restul documentelor de la WP29. Aceaste lecturi sînt însă doar baza.
3. Cel de la IT ar trebuie să realizeze cîteva liste:
   • aplicațiile folosite de organizație pentru prelucrarea datelor (Office, ERP/CRM, backup etc)
   • echipamentele folosite pentru prelucrarea datelor (stații de lucru, servere, laptopuri, echipamente mobile etc)
   • soluțiile de securitate existente în momentul analizei.
4. Instruiește-ți angajații pentru că ei sînt cei care lucrează cu documente și date personale. Angajații tăi cunosc cel mai bine procesele și chiar legislația aplicabilă speței respective. Ei vor fi sursa de informații pentru echipa proiectului: garbage in – garbage out…..
5. Inventariază datele personale. Angajații responsabili de un proces cunosc cel mai bine realitatea, cazurile excepționale. Există suficiente resurse gratuite, mai mult sau mai puțin analitice, dar nu folosi modele/template-uri pe care nu le înțelegi sau nu corespund afacerii tale. Adaptează-le! Există și soluții contracost.
6. Desenează fluxul datelor pentru a analiza legalitatea, perioada de stocare, distrugerea etc. Opinia juridică este critică în acest moment.
7. În urma analizei vei ști ce proceduri trebuie actualizate/scrise, dacă formularele web trebuie actualizate, care sînt procesele care trebuie modificate și ce măsuri de securitate tehnică mai sînt necesare. Aici poți să ceri ajutor din exterior, punctual, dacă sînt spețe complicate (verifică însă experiența consultantului. Certificările nu sînt întotdeauna o garanție)
8. Descoperă datele din organizație: identifică fizic locul în care acestea sînt prelucrate și stocate. Dacă în urma analizei au fost identificate situații în care nu mai este nevoie de date, atunci șterge-le.
9. Identifică furnizorii cu care faci schimb de date personale și revizuiește contractele: și tu și persoana împuternicită aveți obligații și responsabilități explicite.
10. Fă o revizie post proiect prin raportare la situațiile în care se poate lua amendă (mustrările și avertismentele nu îți scot bani din cont). Nu te zgîrci la bani acolo unde „pedeapsa„ înseamnă amendă. Nu uita că trebuie să demonstrezi conformitatea, adică trebuie să ai probe!
11. Testează măsurile tehnice.
12. Corectează toate neconformitățile.
13. Nu răsufla ușurat: afacerea ta va continua și după 25 mai. La fel și GDPR.

Împreună cu Valy a(m) dezvoltat un model de aplicație cu ajutorul SharePoint din Office 365. Scopul a fost să oferim o resursă internă care să ajute într-un astfel de proiect:

• inventariere date/documente și obținere de rapoarte despre acestea
• suport pentru analiză
• suport pentru evaluare riscuri și realizare (D)PIA
• o listă de verificare post implementare cu 35 de situații în care neconformitățile au ca rezultat…amendă.