Sondaj CNIPMMR: Implicatiile GDPR pentru IMM-uri

În data de 4 mai 2016, a fost publicat în Jurnalul Oficial al Uniunii Europene pachetul legislativ privind protecţia datelor la nivelul Uniunii Europene, respectiv:

– Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), care va avea directă aplicabilitate în toate statele membre, inclusiv în România, începând cu data de 25 mai 2018 și

– Directiva (UE) 2016/680 referitoare la protecţia datelor personale în cadrul activităţilor specifice desfăşurate de autorităţile de aplicare a legii. Regulamentul UE 2016/679 circumstanțiază și detaliază multe condiții deja existente în legislația europeană (Directiva privind protecția datelor cu caracter personal 95/46/EC, care își va înceta aplicabilitatea).

Nerespectarea Regulamentului General privind Protecția Datelor poate atrage mai multe tipuri de sancțiuni/despăgubiri, inclusiv amenzi foarte mari de până la 20 de milioane de euro sau 4% din cifra de afaceri globală.

Consiliul Naţional al Întreprinderilor Private Mici şi Mijlocii din România (CNIPMMR) a realizat în perioada 30.05-4.06.2018 un sondaj sub forma unui chestionar aplicat pe site-ul www.cnipmmr.ro şi la nivelul membrilor CNIPMMR privind impactul noilor reguli privind protecția datelor și stadiul de implementare a măsurilor necesare pentru conformare la nivelul întreprinderii/ organizației.

Respondenţii în număr de 210, au fost în proporţie de 51,4 % microîntreprinderi, 21,6 % întreprinderi mici, 18,9% întreprinderi mijlocii şi 8,1% ONG-uri și alte forme juridice.

Din cei 210 respondenți, 52,6% au între 1-9 salariați, 26,3% dețin între 10-50 salariați, 15,8% au între 51-250 de salariați, restul de 5,3% având peste 250 de salariați.

Întrebați dacă dețin informații despre conținutul Regulamentului General privind Protecţia Datelor nr. 679/2016, 79,4% au răspuns pozitiv.

Întrebați unde au găsit informații corespunzătoare despre conținutul Regulamentului General privind Protecţia Datelor, respondenții au menționat:

• 35%: Site-urile naționale/la nivel european
• 30%: Mass-media
• 15%: Societăți de consultanță
• 12%: Autoritățile publice din România
• 8%: Altele

Întrebați dacă au reușit să adopte măsuri la nivelul societății/organizației lor pentru implementarea Regulamentului General privind Protecţia Datelor din data de 25 mai 2018, 42,1% au răspuns negativ, 28,9% pozitiv, 28,9% menționând că urmează.

Astfel, etapele pe care au reusit să le parcurgă până acum la nivelul societății/organizației pentru implementarea Regulamentului General privind Protecţia Datelor, au fost:

• 39%: Auditarea datelor și proceselor, pentru a evalua măsura în care GDPR se aplică organizației/societatii (identificarea datelor cu caracter personal și a locului unde se află ele)
• 22%: Gestionarea – controlarea modului în care se utilizează datele cu caracter personal (adoptarea de politici transparente, care arată clar în ce fel, când și cum colectează și prelucrează organizația dvs. date cu caracter personal)
• 22%: Protejarea – stabilirea de măsuri de securitate pentru a proteja datele personale (crearea unui plan de gestiune a riscurilor și utilizarea unei infrastructuri sigure și caracteristici avansate de securitate)
• 17%: Asigurarea noilor cerinte si standarde privind transparența, răspunderea și păstrarea evidențelor (folosirea de instrumente corespunzatoare)

Întrebați dacă la nivelul societății/organizației este cazul numirii unui responsabil pentru protecția datelor, 54,1% au răspuns pozitiv.

Astfel, în ceea ce privește problema responsabilului pentru protecția datelor, respondenții au menționat:

• 46,7%: Urmează să găsească o soluție
• 40%: Vor numi o persoană dintre salariații existenți
• 13,6%: Vor externaliza către o societate specializată

Întrebați dacă au întâmpinat dificultăți în implementarea Regulamentului General privind Protecţia Datelor, 86,% au răspuns pozitiv.

Astfel, printre cele mai importante dificultăți întâmpinate în implementarea GDPR, respondenții au menționat:

• 16%: Lipsa unor ghiduri practice/proceduri standard
• 16%: Creșterea efortului birocratic (noi proceduri, efort sporit pentru obtinerea consimțământului de colectarea și prelucrare a datelor cu caracter personal, etc.)
• 14%: Complexitatea regulamentului (multe pagini, terminologie dificilă, etc.)
• 14%: Insuficientă informare și lipsa unor campanii organizate
• 6%: Creșterea cheltuielilor de consultanță
• 34%: Altele (Timpul insuficient pentru implementare, Creșterea cheltuielilor de personal (noi angajări/măriri de salariu), Creșterea cheltuielilor de investiții (noi echipamente/soft-uri), Consultanți insuficienți și dificil de găsit, Lipsa unor măsuri de susținere/facilități fiscale)

Întrebați ce soluții tehnice ați operaționalizat în domeniul protecţiei datelor până în prezent, respondenții au menționat:

• 29%: Criptarea datelor
• 26%: Instrumente automate pentru descoperirea, catalogarea și clasificarea datelor personale în întreaga organizație
• 24%: Capabilități de prevenire a pierderilor de date (DLP) pentru a examina fluxurile de date și a identifica datele cu caracter personal care nu fac obiectul garanțiilor sau autorizațiilor adecvate
• 21%: Altele (instrumente DLP pentru a bloca sau pune în carantină fluxurile de date cu probleme, în așteptarea rectificării adecvate, achiziționarea de echipamente performante și/sau softuri;)

La întrebarea “Ați reusit să vă instruiți salariatii proprii privind regulile/procedurile adoptate de confidențialitate și securitate a datelor”, doar 21,1% au răspuns pozitiv, restul menționând ca urmează (44,7%) sau că nu au reușit încă să îți instruiască salariații (34,2%).

Întrebați dacă consideră că amenzile de 20 mil. euro sau 4% din cifra de afaceri sunt exagerat de mari sau sunt disproporționate, 97,4% au răspuns pozitiv.

În cazul întrebării “Considerați că autoritățile publice competente au asigurat măsuri corespunzătoare pregătirii implementării GDPR în România?”, 97,4% au menționat că nu.

Astfel, printre măsurile pe care respondenți le consideră necesare pentru înțelegerea și facilitarea implementării GDPR, se numără:

• 43%: Elaborarea unor ghiduri suport
• 31%: Realizarea unui program de digitalizare și susținerea costurilor implicate, din fondurile UE
• 23%: Traininguri cu finanțare europeană
• 3%: Altele

PROCES COMPLEX DE IMPLEMENTARE ȘI CU COSTURI RIDICATE

Cheltuielile vor fi diferite în funcție de sectorul de activitate și de complexitatea activităților desfășurate, fiind vizate aducerea site-ului și a sistemelor interne în conformitate cu Regulamentul, prelucrarea datelor angajaților, a datelor clienților în scopuri de marketing, a datelor sensibile ale unor clienți (date de sănătate, cazier fiscal/judiciar etc.), vânzarile on-line, etc.

Potrivit studiului “The Economic Costs of the European Union’s Cookie Notification Policy” din 2014 politica de notificare a vizitatorilor asupra folosirii cookie-urilor (cea pe care Regulamentul General privind Protecția Datelor vine să o înlocuiască) genera o cheltuială anuală de peste 2 miliarde de euro în cadrul Uniunii Europene. Costul investit în aducerea site-ului și a sistemelor interne în conformitate cu reglementările în vigoare fusese atunci estimat la 900€/site, sumă ce poate fi un reper și pentru cerintele Regulamentului General privind Protecția Datelor.

CNIPMMR SOLICITĂ MĂSURI PENTRU SUSȚINEREA IMM-URILOR

Având în vedere complexitatea domeniului și costurile mari de implementare, CNIPMMR solicită autorităților competente adoptarea următoarelor măsuri urgente:

• realizarea unui program de digitalizare și susținerea costurilor implicate, din fondurile UE
• asigurarea unui serviciu de consiliere gratuită pentru IMM-uri pentru implementarea Regulamentului General privind Protecția Datelor;
• realizarea unui ghid aplicativ concret și complet pentru IMM-uri, cu pași de urmat, proceduri operaționale, instituții, termene, formulare, etc. disponibil on-line;
• realizarea unei ample campanii de informare adaptate specificului IMM-urilor;
• realizarea de cursuri de formare, gratuite;
• punerea în aplicare a art. 3 alin. (1) din Legea prevenirii nr. 270/2017, potrivit cu care: “Toate autoritățile/instituțiile publice cu atribuții de control, constatare și sancționare a contravențiilor au obligația, corespunzător domeniilor aflate în responsabilitatea acestora, ca, în termen de 3 luni de la data intrării în vigoare a prezentei legi, să elaboreze și să difuzeze materiale documentare și ghiduri și să aloce pe pagina de internet secțiuni special dedicate informării publice”;
• punerea în aplicare a art. 3 alin. (3) din Legea prevenirii nr. 270/2017, potrivit cu care: autoritățile/instituțiile publice cu atribuții de control au obligația să elaboreze proceduri de îndrumare și control, să afișeze pe site-urile proprii spețele cu frecvență ridicată și soluțiile de îndrumare emise, să exercite activ rolul de îndrumare, oferind, conform procedurilor, indicațiile și orientările necesare pentru evitarea pe viitor a încălcării prevederilor legale;
• punerea în aplicare a art. 3 alin. (4) din Legea prevenirii nr. 270/2017, potrivit cu care: „Autoritatea administrației publice centrale cu atribuții de coordonare la nivel național a domeniului mediul de afaceri (Ministerul pentru Mediul de Afaceri, Comerț și Antreprenoriat) are obligația ca, în termen de 6 luni de la data intrării în vigoare a prezentei legi, de a dezvolta și opera un portal dedicat oferirii în mod centralizat de servicii online și resurse în vederea informării în ceea ce privește aspectele prevăzute la alin. (1)”.