"Prin natura business-ului său, Smartree a fost mereu preocupat de aspectele ce țin de securitate și astfel a dezvoltat de peste 10 ani proceduri de back-up și protecție a datelor, planuri de business continuity și disaster recovery, funcționale și înaintea datei de 25 mai 2018 (...) Smartree a recurs la derularea unui audit extins al modului de lucru al tuturor departamentelor sale implicate în procesarea de date personale, încă din luna noiembrie a anului trecut (...) Am implementat deja noi proceduri de trimitere a datelor personale, iar în următoarea perioadă avem ca obiectiv dezvoltarea unui flux automat și securizat de trimitere a datelor cu caracter personal", a spus Adrian Stanciu, CEO Smartree, pentru redacția noastră.
avocatnet.ro: Ați numit deja sau vă gândiți să numiți curând un responsabil cu protecția datelor (DPO)? Pentru ce variantă optați: un salariat propriu sau un DPO extern?
Adrian Stanciu (AS, foto stânga): Smartree a numit un DPO extern pentru a superviza implementarea noilor proceduri necesare pentru conformitatea cu Regulamentul european privind protecția datelor cu caracter personal. Am considerat că este cea mai potrivită soluție pentru a putea beneficia de expertiza unui consultant cu adevărat pregătit pe această tema și care să ne poată ghida organizația, la modul consultativ, în oferirea de servicii îmbunătățite și în conformitate cu noua legislație, clienților noștri.
avocatnet.ro: Ați făcut un audit al datelor personale pe care le prelucrați? Considerați că unele dintre datele prelucrate până acum ar putea fi scoase din schemă, pe viitor (în ideea insuflată prin GDPR de a nu mai prelucra datele nenecesare)?
AS: Compania noastră, prin natura business-ului pe care îl derulează, este implicată în mod constant în prelucrarea de date cu caracter personal, fie că vorbim despre accesul la CV-urile primite pentru procesul de recrutare sau în calitate de împuternicit în numele clienților săi pentru procesarea datelor necesare în procesul de salarizare. Astfel, Smartree a recurs la derularea unui audit extins al modului de lucru al tuturor departamentelor sale implicate în procesarea de date personale, încă din luna noiembrie a anului trecut. În urma acestui audit, pe lângă măsurile de securitate existente și în conformitate cu standardele internaționale, s-au stabilit și documentat noi proceduri interne, organizatorice, menite să asigure conformitatea aplicațiilor de calcul salarial și a serviciilor oferite cu noile reguli legate de datele personale.
avocatnet.ro: Managementul datelor și al prelucrărilor: ați făcut sau luați în calcul o reorganizare a bucătăriei interne a prelucrărilor de date?
AS: Smartree înțelege importanța protejării datelor cu caracter personal și a făcut demersurile necesare pentru a asigura cadrul impus de Regulament pentru prelucrarea acestor date. Așadar, în cadrul organizației s-au stabilit și s-au documentat o serie de măsuri care să ofere protecție pe toate fluxurile de date personale, inclusiv prin certificarea securității pe date personale a subcontractorilor de tip data center, limitarea accesului la date în interiorul companiei, existența mai multor layere de securitate, dar și urmărirea și ștergerea datelor după ce scopul a fost atins.
avocatnet.ro: Cum ați pregătit sau cum veți pregăti angajații pentru înțelegerea GDPR-ului?
AS: Până în momentul de față, toți angajații Smartree au participat la multiple cursuri de inițiere în ceea ce privește conceptele de bază ale Regulamentului, precum: ce înseamnă date cu caracter personal, ce acțiuni presupune prelucrarea datelor sau care este temeiul prelucrării datelor. De asemenea, au fost prezentate angajaților principiile după care este construit acest Regulament și drepturile pe care le au persoanele vizate în raport cu prelucrarea datelor lor. Angajații Smartree pot oricând consulta diverse materiale suport sau pot apela la DPO-ul companiei. În ultima săptămână premergatoare datei de 25 mai, au avut loc și traininguri detaliate cu fiecare departament din cadrul companiei unde focusul a fost pe procesele specifice ale acelui department și procedurile ce trebuiesc urmate.
avocatnet.ro: Securitatea datelor și prelucrărilor: ce mecanisme aveți în vedere pentru a preveni incidentele de securitate și punerea în pericol a datelor prelucrate?
AS: Prin natura business-ului său, Smartree a fost mereu preocupat de aspectele ce țin de securitate și astfel a dezvoltat de peste 10 ani proceduri de back-up și protecție a datelor, planuri de business continuity și disaster recovery, funcționale și înaintea datei de 25 mai 2018. Securitatea informațiilor procesate de Smartree, fie în procesul de recrutare de personal sau în cel de salarizare prin intermediul aplicațiilor software proprii, este garantată și prin certificatul ISO 27001: 2013, un standard internațional de securitate. Bineînțeles că aceste proceduri au fost revizuite, detaliate și îmbunătățite, acolo unde era cazul, conform cerințelor din prezent.
avocatnet.ro: Ați luat în calcul anumite schimbări în relația cu clienții (candidații)? De exemplu: schimbarea unor formulare standard, folosirea unor abordări diferite față de cele de până acum.
AS: Tocmai pentru a asigura principiul transparenței în relația cu clienții noștri, am recurs în ultima perioadă la comunicări constante cu ei pe această temă pentru a pregăti trecerea la noile cerințe. În acest sens, am implementat deja noi proceduri de trimitere a datelor personale, iar în următoarea perioadă avem ca obiectiv dezvoltarea unui flux automat și securizat de trimitere a datelor cu caracter personal. În ceea ce privește candidații, dar și orice altă persoană vizată, am adoptat proceduri care ne ajută să venim în întâmpinarea acestora atunci când aleg să își exercite unul din drepturile garantate de noua legislație.