GDPR este tot mai discutat in zilele noastre, dar chiar daca multi au scris articole, prin prisma clientilor am aflat ca exista o lipsa de intelegere a termeniilor in momentul implementarii prevederilor, chiar daca Regulamentul 679/2016, Legea 190/2018 privind măsuri de punere în aplicare a Regulamentului prevad aspecte generale, exista o lipsa de intelegere cu privire implementarea personalizata, in functie de domeniul si particularitatea fiecarei companii.
Cu totii stim ca GDPR vizează toate companiile și instituțiile care procesează, au acces la date cu caracter personal care identifică direct sau indirect persoane fizice din statele membre UE. Regulamentul prevede o serie de obligații de respectat de catre toate organizațiile care dețin astfel de date, si care trebuie să asigure confidențialitatea, integritatea datelor și să poată dovedi că datele au fost obținute cu consimțământul explicit al persoanei vizate.
Ele trebuie să respecte si drepturile persoanelor vizate de datele deținute sau procesate: dreptul de acces la date, rectificarea sau ștergerea datelor, dreptul de a se opune prelucrării.
De asemenea sunt cunoscute penalitățile aplicate pana in prezent. (Marriott, Unicredit, Hilmi Medical Center SRL) si care pot ajunge până la 20 de milioane de euro sau 4% din cifra de afaceri globală. Totusi ce trebuie facut, pentru ca o legislatie poate fi citita de oricine, dar felul in care se implementeaza face diferenta, si scuteste societatile de sanctiuni.

Implementare personalizata
Implementarea personalizata nu este o optiune, particularitățile afacerilor sunt diferite, fiecare prelucrare este diferită și trebuie adresată corespunzator. O agentie de turism prelucreaza altfel datele pentru Europa decat pentru Orientul Mijlociu, si altfel decat un spital privat sau o companie farmaceutica, nu mai vorbim de firmele de telecomunicatii, societate comerciala in domeniul resurselor umane sau banci.
In aceste cazuri categoria de date este diferita, nu avem nevoie de toate datele de identificare, prelucrarea este diferita, arhivarea de asemenea si felul in care comunica sau notifica persoanele fizice este diferita.

2). Masurile de luat pentru conformitate
Cele mai importante masuri sunt stabilirea cu specialistii, asupra tipului de date necesara fi colectate, modul de colectare, modalitatea de informare a persoanelor fizice si a face un dosar in acest sens.
a). Evaluarea impactului
Inainte de orice alt pas este necesar o evaluare a impactului prelucrarii datelor cu caracter personal asupra vieții private (“DPIA“) pentru fiecare din activitățile de prelucrare a datelor.
Mentionam ca evaluarea impactului, trebuie facut de specialisti. DPO- ul nu intocmeste aceasta evaluare, ci doar consilieaza si supravegheaza executia ei. Rolul DPO-ului aici este de a se asigura ca obtine informatiile necesare pentru realizarea DPIA.
b). Consimtamantul
Multe societati comerciale considera ca avand consimtamantul prin Termenii generali, pagina de termeni și condiții atasate serviciilor, sunt conforme cu politicile. Nimic mai departe de adevar, consimtamantul nu se obtine prin cutii pre-bifate, si nu se transforma consimțământul într-o condiție prealabilă a unui serviciu. Aici multe societati inca sunt neconforme.
Trebuie separat consimțământul pe mai multe subiecte, tinut o evidență a momentului și contextului în care un utilizator și-a dat consimțământul, asigurat că o persoană poate să își retragă simplul consimțământul în orice moment.
De asemenea trebuie inclus numele companiei care solicita și a tuturor părților care se vor baza pe consimțământ, detaliat motivul colectarii datelor personale și destinatia acesteia;

c).Masurile juridice
Cele mai importante masuri juridice sunt modificarea politicilor interne si modificarea contractelor, dupa caz :
 declarații de confidențialitate (Privacy Policy);
 formularele de consimțământ, precum și dovezile că persoanele vizate și-au dat consimțământul si temeiul juridic al prelucrării datelor;
 procedurile puse în aplicare pentru exercitarea drepturilor de protecție a datelor ale persoanelor vizate;
 contractele updatate cu clauzele privind protectia datelor cu furnizori / procesatori de date
 procedurile interne în cazul unei încălcări a datelor.
De asemenea consideram ca numirea /angajarea/ externalizarea DPO de asemenea poate fi considerata o masura juridica.

d). Masurile IT
Dupa ce s-au identificat tipurile de date prelucrate prin pregătirea unui registru al activităților de prelucrare a datelor cu caracter personal, organizațiile identifica dacă sunt transferate datele și/sau cui sunt transferate, unde sunt găzduite/stocate și pentru cât timp.
Software-ul prin care se preiau datele personale, joaca aici un rol extrem de important. Software-ul in afara de siguranta si criptarea datelor trebuie sa asigure modalitatea de acces al persoanelor fizice la datele lor.

e). Rolul DPO
Rolul unui DPO (Data Protection Officer-Responsabil cu Protectia Datelor) este dezbatut pe larg în cadrul Capitolului IV, Secțiunea 4 din Regulamentul GDPR.
Desemnarea unui responsabil cu protecția datelor reprezintă un pas necesar în procesul de conformare la noile reglementări, acesta având un rol obligatoriu în toate instituțiile fie publice, sau private, fie ele chiar și non-profit, daca intra in contact cu datele personale ale persoanelor fizice.
În practică, majoritatea entităților procesează, mai mult sau mai puțin, date cu caracter personal în interes propriu(datele angajaților, datele clienților/furnizorilor persoane fizice) sau în interesul altor companii (bănci, campani de marketing etc.), motiv pentru care este recomandat ca în cadrul oricărei entități să existe un DPO intern/extern.
Activitățile principale ale operatorului constau în monitorizare periodică a operațiunilor de prelucrare, instruirea personalului cu privire la prelucrare si cooperarea cu autoritatea de supraveghere, punctul de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare.
Responsabilul poate fi angajat intern, dar de asemenea poate indeplini sarcinile în baza unui contract de servicii.
Chiar daca Regulamentul nu mentioneaza in mod expres, ca trebuie sa aiba studii juridice, totusi este mentionat ca trebuie sa aiba „cunoștințele de specialitate în dreptul și practicile din domeniul protecției datelor”, si sa poate interpreta nu numai dreptul intern , dar si cel al Uniunii Europene.
Consideram ca un curs DPO, cateodata este insuficient, acesta invata doar particularitatile GDPR, dar cursantul, daca nu are cunostinte in dreptul international, ii va fi greu interpretarea GDPR-ului in comparatie cu alte prevederi de drept international, ex. Legislatia NIS si altele.

Beneficiile implementarii GDPR
Cu toate ca multi vad implmentarea politicii ca un aspect obligatoriu, si care ingreuneaza afacerea lor fiind inca o norma de conformitate, in realitate o certificare GDPR aduce avantaje în termeni de marketing, ajuta la construirea unei imagini credibile. Simplul fapt de a avea bine pusă la punct securitatea datelor ajuta la loializarea cliențiilor și îi transforma în promotori ai brandului.