Adaptarea firmelor la GDPR: Cât poate costa conformarea la noile reguli pentru protecția datelor

Adaptarea procedurilor de lucru, a infrastructurii fizice, dar și instruirea personalului în vederea respectării cerințelor impuse prin intrarea în vigoare a cadrului legal european unic în materie de prelucrare a datelor personale generează costuri importante pentru firme. Mai mult, deși regulile se aplică deja, sunt încă multe companii ce încă nu au făcut demersurile necesare, astfel că sunt pasibile de a primi amenzi uriașe, așa cum am avertizat într-un material anterior.

În timp ce companiile internaționale cheltuie milioane de dolari pentru adaptarea activităților la GPDR, întreprinderile mici au un cost mult diminuat, de sute sau doar mii de euro. În acest buget pot fi incluse redactarea procedurilor interne, adaptarea infrastructurii fizice, implementarea schimbărilor pe site, angajarea unor specialiști sau participarea la cursuri în acest domeniu. 

Continuarea articolului este exclusivă pentru abonații avocatnet.ro premium. Aceștia pot afla mai multe despre:

• costurile estimative presupuse de adaptarea la GDPR;
• măsurile ce trebuie luate de companii și care pot implica investiții suplimentare.

Nevoia de a respecta noua legislație europeană privind protecția datelor personale determină companiile să cheltuiască milioane de dolari, însă acești bani sunt cheltuiți pentru diverse proceduri, nu pentru activități productive. Respectarea regulilor impuse de GDPR este un proces continuu, iar sume importante vor fi cheltuite anual, de acum înainte.

Cheltuielile pe care firmele le suportă pentru implementarea prevederilor GDPR sunt diferite în funcție de sectorul de activitate și de complexitatea activităților desfășurate, fiind vizate aducerea site-ului și a sistemelor interne în conformitate cu regulamentul, însă şi alte aspecte trebuie tratate cu seriozitate: prelucrarea datelor angajaților, a datelor clienților în scopuri de marketing, a datelor sensibile ale unor clienți (date de sănătate, cazier fiscal/judiciar, spre exemplu), vânzarile online etc.

O primă estimare a coturilor implicate de acest proces este oferită de Consiliul Național pentru Întreprinderile Private Mici și Mijlocii din România, în cadrul unui sondaj privind implicațiile GDPR pentru IMM-uri și ale cărei rezultate au fost date publicității la începutul acestei luni.

Sondajul amintește studiul “The Economic Costs of the European Union’s Cookie Notification Policy” din 2014, în care costul investit în aducerea unui site și a sistemelor interne în conformitate cu reglementările în vigoare la acel moment fusese estimat la 900 de euro, sumă ce poate fi un reper și pentru cerințele GDPR.

În străinătate, de exemplu, Bitdefender estimează costurile pentru firmele americane ca fiind de obicei undeva pe la 50.000 - 100.000 de dolari, însă alte companii pot avea de cheltuit și spre un milion de euro sau chiar mai mult. Evident, multinaționalele pot ajunge la costuri de câteva milioane bune de dolari, conform Forbes. Iar Financial Times indică un cost lunar de 1.263 de lire sterline pentru micile afaceri britanice, care într-un an ar fi undeva la 15.000 de lire sterline.

Conform sondajului amintit mai sus, doar una din trei companii românești au reusit să adopte măsuri pentru implementarea GDPR, principalele etape efectuate până în prezent fiind cele în legătură cu auditarea datelor și a proceselor pentru a evalua măsura în care GDPR se aplică organizației.

Chiar dacă în cazul companiilor mici nu discutăm de aceleași bugete ca în cazul multinaționalelor, procesul de adaptare a infrastructurii tehnice și a procedurilor interne este în egală măsură costisitor și burocratic, iar în cele ce urmează prezentăm principalele activități pe care firmele trebuie să le parcurgă.

Ce măsuri de conformare la GDPR pot aduce costuri suplimentare

1. Evaluarea situației inițiale

În primul rând, alinierea la GDPR implică evaluarea situației existente în prezent în cadrul firmei și identificarea proceselor care necesită modificări sau îmbunătățiri. În urma acestei analize, societatea își va pregăti un plan de acțiune, aplicarea căruia va trebui să conducă la implementarea efectivă a măsurilor, inclusiv a soluțiilor tehnologice necesare.

2. Stabilirea unor proceduri de lucru

Stabilirea unor proceduri de lucru va asigura societatea asupra faptului că toți cei implicați în colectarea, procesarea sau stocarea informațiilor personale vor cunoaște limitele legale în care își vor desfășura activitatea.

La fel ca și în cazul evaluării situației inițiale, această etapă este una birocratică: în cazul firmelor mici și mijlocii va conduce la consumul de resurse umane și financiare, fapt ce va îngreuna activitatea societății.

3. Inventarierea datelor personale prelucrate

Pentru adaptarea la GDPR, unul dintre primii pași pe care societatea trebuie să îi facă este inventarierea datelor personale deja deținute și prelucrate în trecut. Această activitate servește identificării unor posibile scurgeri de date ce a avut loc în perioada anterioară, dar și identificarea unor soluții optime pentru ca acest lucru să nu se mai producă în viitor.

Atât societatea comercială, dar și persoana împuternicită de acesta (din rândul propriilor angajați sau o persoană contractată extern) trebuie să înțeleagă activitățile de prelucrare ale datelor cu caracter personal:

• unde și cum sunt colectate datele;
• cine asigură colectarea datelor;
• cum sunt transmise;
• unde este asigurată stocarea datelor;
• pentru ce perioadă de timp sun stocate datele;
• cum va fi asigurată ștergerea datelor personale.

4. Desemnarea responsabilului cu protecția datelor

Respectarea obligațiilor impuse prin intermediul Regulamentului european pentru protecția datelor presupune monitorizarea continuă a activității de colectare, păstrare, utilizare și chiar de ștergere a informațiilor de acest tip. Tocmai de aceea, societățile a căror activitate presupune colectarea acestor date vor trebui să își stabilească un responsabil cu protecția datelor.

Această persoană nu trebuie să fie din cadrul societății în mod obligatoriu, astfel că în anumite situații, atunci când firma este mică sau volumul de activitate este redus, este preferată externalizarea acestui serviciu.

Chiar și atunci când este preferată o persoană din cadrul organizației, atribuțiile privind protecția datelor pot fi alocate în completarea responsabilităților deja deținute de către angajatul în cauză.

Trebuie menționat faptul că responsabilul cu protecția datelor se bucură (sau ar trebui să se bucure) de o independență mai mare în comparație cu restul angajaților companiei.

Dintre cele două situații expuse (externalizarea atribuțiilor și desemnarea unei persoane din mediul intern), este preferată cea de-a doua variantă. Pentru a fi de un real ajutor societății, responsabilul cu protecția datelor personale trebuie să cunoască bine activitatea desfășurată.

5. Participarea la un curs dedicat GDPR

Volumul de informații, multitudinea de reguli și proceduri pe care trebuie să le urmezi, ia în unele cazuri chiar să le proiectezi de la zero, fac necesară participarea la un curs dedicat Regulamentului general privind protecția datelor.

Un astfel de curs ajută participanții să redacteze politici interne, contracte, ghiduri de conformare și notificări menite să îi ajute să optimizeze cadrul de conformare la GDPR în compania în care activează.

6. Adaptarea site-ului companiei

Orice companie care colectează, prelucrează și stochează informații personale trebuie să se asigure că aceste activități sunt derulate într-un mediu sigur, ferit de riscurile pierderii datelor. Prin urmare, având în vedere că multe din activitățile  unei companii se desfășoară în mediul online, site-ul afacerii trebuie să fie adaptat noilor obligații.

În primul rând, site-ul trebuie să conțină o politică privind colectarea datelor personale. Astfel, vizitatorii trebuie să cunoască ce tipuri de module cookie sunt folosite pe site, de unde provin acestea, ce date colectează, care este perioada de stocare, cum se dezactivează aceste cookies, precum și în ce scopuri sunt folosite.

Este foarte important ca utilizatorul să aibă posibilitatea de a accepta sau de a refuza colectarea propriilor informații.

O problemă suplimentară apare atunci când site-ul este vizitat de persoane sub 16 ani. În acest caz, trebuie obținut consimțământul unui părinte, prin intermediul unui formular special creat în acest sens. Părintele va fi informat pe e-mail cu privire la prelucrarea datelor personale.

7. Adaptarea infrastructurii IT a societății

Regulamentul european în privința datelor personale implică asigurarea unui grad ridicat de siguranță a datelor stocate de către companie. Prin urmare, atunci când volumul informațiilor personale prelucrate este ridicat, se impun investiții suplimentare în adaptarea infrastructurii IT. Acest lucru va presupune achiziția de echipamente de securitate informatică, dar și a unor pachete software pentru servere, calculatoare, etc.

8. Relația societății cu angajații sau colaboratorii

Obligațiile impuse de noul pachet legislativ european nu se aplică doar colectării datelor de la clienți sau persoane terțe, ci și propriilor salariați sau colaboratori.

Este important de reținut faptul că societățile trebuie să identifice în mod corect temeiul de prelucrare a datelor personale și să respecte drepturile angajatului în legătură cu prelucrarea. Prin urmare, trebuie respectat dreptul salariatului de a fi informat. De asemenea, angajatul trebuie să îți dea consimțământul cu privire la prelucrarea datelor, stocarea lor, având de asemenea dreptul de a solicita ștergerea acestor informații.

În final, trebuie subliniat faptul că adaptarea la cerințele GDRP poate impune și alte acțiuni, având în vedere faptul că pentru că o conformare corectă la GDPR se face în funcție de specificul fiecărei companii.

Începând din 25 mai 2018, GDPR reprezintă cadrul legal european unic în materie de prelucrare a datelor personale. Asta înseamnă că orice companie din România care prelucrează date personale este obligată să respecte prevederile GDPR, iar cu cât cerințele specifice vor fi mai numeroase, cu atât mai birocratic și costisitor va fi întregul proces pentru companiile mici și mijlocii.