Conferinţa ZF Mobilio 2018. Consultanţii: Folosiţi-vă de GDPR pentru a vă pune ordine în procesele de business şi în sistemele de IT

24 apr 2018 Autori: Ioana Nita , Ştefan Stan

De la stânga la dreapta: Adrian Seceleanu - editor hi-tech ZF, Adrian Floarea - CEO al certSIGN, Adrian Locusteanu - delivery director, business segment al grupului Telekom România, Bogdan Pismicenco - territory sales manager al Kaspersky pentru România, Bulgaria şi Republica Moldova, Daria Cristina Rambu - senior account manager în cadrul companiei Romanian Software şi Ovidiu Seceleanu - software sales director al companiei HTSS

♦ Respectarea noilor norme de protecţie a datelor trebuie să fie abordată din perspectivă  tehnologică, de business şi juridică.

Companiile ar trebui să se folo­seas­că de intrarea în vigoare a re­gulamentului privind protecţia da­telor cu caracter personal (Gene­ral Data Protection Re­gulation - GDPR) pentru a-şi pune ordine în procesele de business şi sistemele de IT care sunt utilizate pentru colectarea şi prelucrarea da­­telor personale, au declarant speakerii invi­taţi la conferinţa ZF Mobilio 2018.

„Orice reglementare care vine să facă or­di­ne într-un domeniu aduce business com­pa­ni­ilor im­plicate. GDPR e o ocazie pentru com­pa­nii să-şi pună ordine pe partea de securitate şi ca uti­lizatori să ne punem ordine în felul în care co­mu­nicăm. Registrul GDPR este o mo­da­litate struc­turată de a ţine procesele din or­ga­nizaţie ca­re implică date cu caracter per­sonal“, a decla­rat Ovidiu Seceleanu, director vânzări software în cadrul companiei High-Tech System Software.

Pentru majoritatea companiilor, intrarea în vigoare a regulamentului GDPR reprezintă un proces amplu şi o investiţie substanţială pen­tru asigurarea protecţiei datelor cu caracter personal. Jucătorii din domeniul financiar se numără printre cei care sunt deja aproape în totalitate în conformitate cu reglementările GDPR, dat fiind specificul industriei bancare şi de asigurări – reglementate şi supravegheate de autorităţi dedicate.

„Peste 50% din companii nu vor fi «GDPR ready» la sfârşitul anului. Acesta este un studiu optimist, alte studii zic că peste 80% din companii nu vor fi în conformitate la nivel european. Foarte multe companii se aşteaptă să realizeze foarte mult în foarte puţin timp şi cu investiţii nu neapărat ridicate. Sunt companii care tratează GDPR-ul ca un exerciţiu de «legal». Sunt alte companii unde totul pleacă de la IT, care ştiu tot ce trebuie cumpărat şi care sunt soluţiile care asigură conformitatea cu GDPR. De fapt sunt trei aspecte şi poate niciunul nu ar trebui ignorat: aspectul tehnologic, aspectul de business şi aspectul juridic“, a spus Adrian Locusteanu, delivery director, business segment, Telekom România.

De la stânga la dreapta: Tudor Damian - managing partner & CIO al Avaelgo, Oana Terteleac - enterprise channel manager în cadrul Microsoft România, Raul Zachia - avocat în cadrul practicii de protecţia datelor al societăţii de avocatură NNDKP şi Laura Păvăloaia, business developer al Power Net Consulting


Cea mai simplă modalitate prin care companiile îşi pot alinia busi­nessul la regulamentul GDPR este cu ajutorul consul­tan­ţilor juridici şi specialiştilor tehnici.

„De cele mai multe ori, când vrei să asiguri conformitatea cu GDPR, cea mai simplă metodă este să angajezi un consultant, care îţi zice ce să faci, cum să defineşti nişte standarde, procese generale, să arăţi că îţi pasă de clienţi. Cel mai dificil lucru este să le faci o agregare a datelor, pe care ulterior să le controlezi. Mereu când cineva te va întreba «unde sunt datele mele?» trebuie să ştii să răspunzi“, a precizat Adrian Floarea, CEO-ul certSIGN. El a adăugat că este foarte probabil ca o serie de companii să primească amenzi pentru nerespectarea cerinţelor GDPR.

„Eu sper că aceste amenzi vor avea rol educativ, nu distructiv. E uşor să vii să găseşti neconformităţi, nu trebuie neapărat să aplici amenda maximă.“

Până în prezent, amenzile pentru nerespectarea cerinţelor privind datele cu carácter personal colectate şi procesate de către companii erau de câteva zeci de mii de lei, însă după intrarea în vigoare a regulamentului GDPR, acestea ajung până la 4% din cifra de afaceri la nivel de grup sau 20 de milioane de euro.

„GDPR-ul clar nu este o sperietoare, dar pentru companii ar trebui să fie un avânt de a conştientiza care sunt pentru ei datele mai importante decât cele cu caracter personal, datele despre furnizori şi clienţi, strategia pentru lansarea unui nou produs etc. Pierderea acestor date poate fi chiar mai periculoasă decât a datelor cu caracter personal. Aş pune accent pe implicarea tuturor angajaţilor, de conştientizare a pericolelor care vin din zona de IT“, a punctat Bogdan Pismicenco, Territory Sales Manager România, Bulgaria, Republica Moldova, Kaspersky Lab.

Pentru noile businessuri, în special din zona online, intrarea în vigoare a regulamentului GDPR reprezintă un obstacol în dezvoltare, în condiţiile în care pentru start-up-uri este foarte dificil să aloce resurse şi pentru un consultant juridic şi soluţii de securitate complexe.

„Mă îngrijorează comercianţii mici, pentru că ei nu au capacitatea de a accesa informaţia, de a plăti un consultant să îi ajute cu zona de GDPR şi nu au bani să angajeze un ofiţer. Ar trebui să fie o discuţie la nivel de industrie, nu la nivelul fiecărui magazin. Trebuie să facem ceva pentru micii jucători din e-commerce, pentru că noi avem în România cea mai mare creştere din Europa pe zona de comerţ electronic. Dacă vine GDPR şi nimeni nu-i ajută, această creştere se va opri“, a subliniat Marius Costin, CEO al PayU România.

Pentru comercianţii online mari însă, deşi alinierea la cerinţele GDPR reprezintă un cost, aceasta este totodată şi o oportunitate de extindere a serviciilor oferite, şi implicit de dezvoltare a businessului.

„Credem că GDPR aduce o oportunitate de a crea relaţii cu clienţii. Toate companiile mari îşi doresc să creeze un mediu în care clienţii să interacţioneze uşor cu ei. Văd mult potenţial în zona de servicii cu valoare adăugată. Produsele de asigurare pe care le implementăm devin din ce în ce mai complexe şi mai flexibile“, a menţionat Liviu Huluţă, Affinity Practice Manager în cadrul Marsh România. Astfel, dacă un retailer online este obligat să asigure securitatea şi confidenţialitatea datelor cu character personal colectate şi prelucrate, acesta le poate folosi pentru introducerea unor noi servicii, cum sunt asigurările, care necesită implicit colectarea informaţiilor personale.

 

Ce au declarat speakerii în cadrul conferinţei ZF Mobilio 2018

 

Adrian Floarea, CEO certSIGN:

♦ Companiile mari care au exerciţiul reglementărilor europene ştiu la ce să se aştepte în cazul în care nu sunt corespunzători în aceste reglementări.

♦ GDPR-ul a venit mult mai târziu decât ar fi trebuit să vină. Orice companie care primeşte amenda maximă ar putea ajunge foarte uşor în faliment.

♦ Odată cu explozia reţelelor sociale, dacă aplicai pentru o ofertă era startul de a primi zeci, sute de mailuri şi a fi contactat de multe persoane.

♦ În momentul de faţă există o preocupare în piaţă. Puţini fac însă ceva în această direcţie.

♦ De cele mai multe ori, când vrei să asiguri conformitatea cu GDPR, cea mai simplă metodă este să angajezi un consultant, care îţi zice ce să faci, cum să defineşti nişte standarde, procese generale, să arăţi că îţi pasă de clienţi.

 

Adrian Locusteanu, delivery director, business segment, Telekom România

♦ Foarte multe companii se aşteaptă să realizeze foarte mult în foarte puţin timp şi cu investiţii nu neapărat ridicate.

♦ Sunt companii care tratează GDPR-ul ca un exerciţiu de ”legal”. Sunt alte companii unde totul pleacă de la IT, care ştie tot ce trebuie cumpărat şi ştiu soluţiile care ne vor face GDPR compliant. De fapt sunt trei aspecte şi poate niciunul nu ar trebui ignorat: aspectul tehnologic, aspectul de business şi aspectul de legal.

♦ Se va schimba modul de interacţionare cu clienţii ca business, tehnologic e o ocazie perfectă de a pune lucrurile în ordine, iar răspunderea ţine de partea de legal.

♦ GDPR a fost inspirat într-o proporţie foarte mare de legea datelor cu caracter personal din Germania.

 

Ovidiu Seceleanu, software sales director, HTSS

♦ Orice reglementare care vine să facă ordine într-un domeniu aduce business companiilor implicate.

♦ GDPR e o ocazie pentru companii să-şi pună ordine pe partea de securitate şi ca utilizatori să ne punem ordine în felul în care comunicăm.

♦ Companiile mari, operatorii, aveau deja sisteme de control. Sunt grupuri de companii care au terminat deja procesul de GDPR, în zona companiilor mici şi medii lucrurile sunt împărţite.

♦ Noi am dezvoltat un registru electronic, l-am postat în cloud, unde toţi şefii de departamente care au procese care implică date cu caracter personal îşi pot documenta procesele.

♦ Registrul GDPR este o modalitate structurată de a ţine procesele din organizaţie care implică date cu caracter personal.

 

Liviu Huluţă, affinity practice manager, Marsh Manager

♦ Credem că GDPR aduce o oportunitate de a crea relaţii cu clienţii. Toate companiile mari îşi doresc să creeze un mediu în care clienţii să interacţioneze uşor cu ei.

♦ Văd mult potenţial în zona de value added services. Produsele de asigurare pe care le implementăm devin din ce în ce mai complexe şi mai flexibile.

♦ Cred că va fi o mare bătălie în a crea ecosisteme. Primul pas este foarte dureros şi sugerez clar să se apeleze la consultanţi. Am făcut schimbări, în principal în securizarea datelor, cum le criptăm etc.

♦ Nu cred că mulţi clienţi îşi vor da datele discreţionare tuturor comercianţilor. Cei care vor fi pregătiţi acum şi vor putea procesa datele cu un specialist de user experience (UX) foarte bun, care contează extrem de mult.

 

Bogdan Pismicenco, territory sales manager România, Bulgaria, Republica Moldova, Kaspersky Lab

♦ Majoritatea clienţilor noştri au deja soluţii de securitate, problema se pune a le îmbunătăţi pentru a se alinia la aceste standarde, este mai greu de înţeles pentru ei de ce antivirusul nu mai e suficient.

♦ Datele sunt peste tot, de la secretariat la CEO. Ar trebui ca toţi angajaţii companiei, de la recepţie până la management, să fie conştienţi de acest lucru. Ar trebui implicaţi în proces, să se facă nişte traininguri etc.

♦ GDPR-ul clar nu este o sperietoare, dar pentru companii ar trebui să fie un avânt de a conştientiza care sunt pentru ei datele mai importante decât cele cu caracter personal, datele despre furnizori şi clienţi, strategia pentru lansarea unui nou produs etc. Pierderea acestor date poate fi chiar mai periculoasă decât a datelor cu caracter personal.

 

Daria Cristina Rambu, senior account manager, Romanian Software

♦ Suntem furnizori de servicii de procesare date personale, prin platforma noastră procesăm deja peste 20.000 de salariaţi pentru mai mult de 600 de clienţi din toate zonele de activitate.

♦ Platforma noastra este dedicata exclusiv departamentului de HR, iar procesarea de date cu character personal se află în centrul business-ului Romanian Software.

♦ Pot să confirm că GDPR ne-a adus business, ne pregătim de această directivă de mai mulţi ani.

♦ A fost o ocazie buna şi pentru noi şi pentru clienţi să sistematizăm procesarea de date cu character personal, cu ajutorul unei firme de consultanţă.

♦ Era inevitabil să ne întrebe clienţii dacă suntem pregătiţi să procesăm datele personale.

Marius Costin, PayU România

♦ Este foarte important ca magazinele online să înţeleagă că un procesator de plăţi acţionează în numele lor. Ei sunt primii responsabili cu privire la acest proces de colectare şi prelucrare a datelor.

♦ GDPR nu ar trebui să aibă un impact din punctul nostru de vedere. Dar trebuie ca magazinele să aibă transparenţă, să se asigure că ştim cine sunt terţii cu care lucrează, cine procesează datele etc.

♦ Magazinele online mari sunt aliniate GDPR. Au făcut toate schimbările din sistem, cea mai mare problemă era cu opt-out-ul.

♦ Pe mine mă îngrijorează comercianţii mici, pentru că ei nu au capacitatea de a accesa informaţia, de a plăti un consultant să îi ajute cu zona de GDPR şi nu au bani să angajeze un ofiţer.

 

Cristina Deca, managing partner Decalex

♦ GDPR este un prim pas. Anul viitor se preconizează că va intra în vigoare şi regulamentul de e-privacy, care reglementează cookie-urile şi comunicarea online.

♦ Regulamentul este destul de flexibil, rămâne la latitudinea inspectorilor. Zona de cookie-uri va trebui să fie cu consimţământ, odată cu regulamentul de e-privacy.

♦ Zona de privacy by design şi by default ar trebui integrată în zona de ecommerce. Utilizatorul ar trebui să aibă un panou când intră prima oară pe site şi să aleagă dacă vrea să fie retargetat.

♦ Zona de banking este diferită de restul pieţei. Faţă de alte ţări, românii au mai mare încredere în bănci faţă de alte autorităţi, pentru că sistemele de securitate sunt net superioare faţă de instituţiile de stat, de exemplu, dar au senzaţia că băncile colectează extrem de multe date.

 

Oana Terteleac, enterprise channel manager, Microsoft România

♦ Multe dintre companiile din România vor începe implemnetarea de GDPR după 25 mai 2018.

♦ De multe ori oamenii încearcă să rezolve singuri ceea ce compania nu le permite. Acum este un moment bun pentru companie să se gândească dacă foloseşte instrumentele de productivitate bună, care sunt datele cu caracter personal şi care sunt datele de business etc.

♦ Acelaşi standard pe care îl reglementează GDPR pentru datele personale ar trebui să fie şi la business sau la ”reţetele” secrete ale companiilor.

♦ O cerinţă importantă din partea clienţilor este de a descoperi care sunt datele cu caracter personal.

♦ Hârtiile care stau pe biroul doamnei de la recepţie stau în guvernanţa celor care se ocupă la locul faptei. Noi ne referim la datele în format electronic. De foarte multe ori, folosim servicii din partea unor “hosteri”. Poate nu avem datele unui furnizor de servicii internaţional, iar vizibilitatea acestor surse poate fi una consolidată.

 

Tudor Damian, managing partner, CIO & Avaelgo

♦ Multe dintre soluţiile existente ale companiilor trebuie schimbate sau actualizate, ceea ce înseamnă costuri suplimentare. Mai ales în situaţiile când soluţiile existente sunt rareori conforme cu cerinţele GDPR.

♦ De cele mai multe ori soluţia este achiziţionată de la un terţ, un serviciu pe care îl foloseşti. Aici avem două variante: fie terţul te informează că vrea să schimbe aplicaţia, să o facă GDPR compliant, sau nu. Atunci tu ca business ai de luat o decizie: continui cu un furnizor care nu are în plan să îmi ofere o soluţie care să mă ajute tehnic, sau să merg către alt furnizor în piaţă. Şi s-ar putea să dureze 1-2 ani până facem tranziţia la alt sistem ERP.

♦ Noi am ieşit cu o ofertă de DPO as a service - data protection officer externalizat. Acesta este un rol pur consultativ, nu este un rol care poate prelua din responsabilităţi.

 

Raul Zachia, avocat în cadrul practicii de protecţie a datelor, NNDKP

♦ Dacă până acum amenzile se învârteau în jurul zecilor de mii de lei, după GDPR sunt până la 4% din cifra de afaceri la nivel de grup sau 20 de milioane de euro.

♦ GDPR are destul de multe reguli abstracte. Ca regulă, datele persoanelor juridice nu sunt date cu caracter personal.

♦ Pe lângă nume, prenume şi CNP avem şi IP, adresa MAC, datele privind comportamentul utilizatorului, colectate cu cookie-uri, sunt toate date cu caracter personal.

♦ Simpla vizualizare a unor date cu caracter personal este prelucrare, ştergerea, transferul, salvarea unui document etc. Orice verb ai pune în faţa ”datelor cu caracter personal” este prelucrare de date.

♦ Aceste reguli nu sunt chiar atât de noi. Majoritatea principiilor sunt în România din 2001. Este adevărat că apar şi anumite concepte noi, însă toate vin în sprijinul operatorilor, pentru a-i ajuta să demonstreze conformarea cu prevederile regulamentului.

 

Laura Păvăloaia, business developer, Power Net Consulting

♦ La sfârşitul lui 2017, aproximativ 7% din companiile româneşti erau în curs sau deja s-au aliniat cu GDPR.

♦Când mergeam la clienţi mari, toată lumea ne întreba când vine GDPR-ul, când se implementează şi când intră în vigoare. Anul trecut, vorbeam singuri împreună cu consultanţii GDPR, la sfârşitul anului am văzut un trend pozitiv, care a continuat în acest an.

♦ 60-70% din companii ştiu dacă sunt operatori de date personale. Peste 55% dintre companii nu au început procesul de adoptare a cerinţelor GDPR.

♦ Un aspect important, care este şi driverul în adoptarea noilor cerinţe GDPR, este nivelul de implicare managerială. Fără o abordare holistică nu poate fi definit cu succes şi implementat un astfel de proces.

 

De la stânga la dreapta: Ioana Niţă - redactor business hi-tech ZF, Cristina Deca - managing partner al Decalex, Marius Costin - CEO al PayU România şi Liviu Huluţă - affinity practice manager, Marsh România


25.05.2018 este data la care va intra în vigoare noul regulament general privind protecţia datelor personale din Uniunea Europeană.

Articol publicat în ediţia tipărită a Ziarului Financiar din data de 24.04.2018

 
Cuvinte cheie:
conferinta
, consultanti
, it
, zf mobilio
, amenzi
, comercianti
, securitate
, online
Vizualizari:
Printeaza
zf.ro
Abonează-te la Închide