Da, amenzile sunt mari, însă dacă autoritatea de supraveghere vine, îți va da și măsuri tehnice și organizaționale pe care să le iei și îți va da și un termen limită până la care să le iei. De exemplu autoritatea din Olanda a verificat un spital la care datele cu caracter personal ale unei celebrități au fost expuse neautorizat. A aplicat o amendă de 460.000 de EUR și a solicitat spitalului modificarea aplicației CRM/ERP astfel încât accesul să se facă granular.

Termenul de implementare a fost 2 octombrie 2019, altfel spitalul va fi amendat cu încă 100.000 EUR la fiecare două săptămâni până implementează. Nu vreau să vă spun cât costă să modifici în câteva luni sau săptămâni o aplicație ERP/CRM pentru a restricționa accesul la anumite înregistrări. Dar vă asigur că poate depăși toată amenda.

De exemplu în cazul amenzii din România se cam știa de problema expunerii CNP-ului în aplicația bancară către beneficiarul unei depuneri. Multe bănci au fix aceeași problemă. Însă costul reparării acestei probleme probabil a fost foarte mare și s-a tot amânat. Acum banca are un termen limită până la care să repare aplicația și foarte probabil costurile vor fi foarte mari.

De asemenea, un mare retailer din România a fost controlat și a primit avertisment împreună cu un proces verbal care specifica anumite măsuri tehnice și organizaționale necesare demonstrării conformității. Nu știm ce scrie în procesul verbal știm însă că retailer-ul l-a contestat în instanță, deci probabil măsurile cerute au un impact serios în business.

Ca să răspund acum la întrebare, nu există un „glonț de argint” care să rezolve problema. Conformitatea nu este un pas pe care îl faci o dată și aia este. Conformitatea presupune monitorizarea continuă a tuturor activităților de prelucrări de date cu caracter personal, evaluarea tuturor riscurilor, prioritizarea în funcție de impact și probabilitate, reducerea riscurilor, training-uri către toți angajații implicați în prelucrări de date cu caracter personal, redactarea documentației necesare conformității, semnarea anexelor de prelucrări de date cu terțele părți care prelucrează date cu caracter personal.

Firmele trebuie să facă o analiză foarte serioasă a tuturor prelucrărilor de date cu caracter personal și să ia în practică (nu doar în teorie, pe hârtie) măsurile tehnice și organizaționale necesare protecției prelucrărilor datelor și a respectării drepturilor persoanelor vizate.
Informaţii suplimentare la office@corporactive.ro.