ANALIZĂ GDPR (1):  CUM POT DEVENI DPO ÎN ROMANIA

Cum îl numim, cum îl pregătim și ce îl punem să facă pe DPO. Sunt cele mai discutate subiecte din ultimul an. După o primă serie de 15 articole GDPR Explicitat care au acoperit cele mai importante aspecte ale noului regulament, reluăm Inițiativa GDPR Ready cu un nou proiect public: ANALIZA GDPR, în care aducem sub lupă tematici esențiale dintr-o perspectivă mai aprofundată. Și ce subiect de analiză mai potrivit puteam alege pentru primul articol din noua serie? Controversata poziție de DPO.  

Unul dintre cele mai discutate subiecte legate de protecția datelor personale, încă de acum doi ani când s-a anunțat aprobarea finală a Parlamentului European, a fost cel legat de un personaj cheie, despre care nu se mai discutase până atunci: Ofițerul de protecția datelor personale sau așa cum îl știe toată lumea: DPO. A fost și este încă un subiect controversat și de aceea e bine să venim cu o serie de lămuriri.

ASPECTE NECLARE ASOCIATE POZIȚIEI DE DPO

Orice operator de date personale cu peste 250 de angajați este obligat să numească/ angajeze un DPO – o informație falsă care a circulat multă vreme în virtutea faptului că într-una dintre versiunile intermediare ale Regulamentului UE 679/2016 era prevăzută acest diferențiator, asociat cu granița dintre companiile de mărime medie și cele mari.

Deși obligativitatea numirii unui DPO este acum foarte clară prin conținutul Art.37, Alin.1, se mențin încă neclarități generate de ambiguitatea definirii unor termeni precum ”monitorizare sistematică” sau ”scară largă”, care apare menționat aici de două ori.

Articolul 37, Aliniat 1 din GDPR, zice că trebuie desemnat un ofițer de protecție a datelor (DPO) pentru:

  • o autoritate publică (cu excepția instanțelor care acționează în calitatea lor judiciară);
  • organizații care fac o monitorizare sistematică, la scară largă, a persoanelor;
  • organizații care fac o prelucrare la scară largă a unor categorii speciale de date.

GDPR nu definește ce înseamnă „autoritate publică sau organism public”. Grupul de Lucru Articolul 29 – pe care îl vom numi în continuare WP29 –  consideră că o asemenea noțiune trebuie stabilită în conformitate cu dreptul intern. În consecință, autoritățile și organismele publice includ autoritățile naționale, regionale și locale, dar conceptul, în conformitate cu legislația națională aplicabilă, include, de asemenea, o serie de alte organisme guvernate de legislația în domeniul public. În astfel de cazuri, desemnarea unui DPO este obligatorie.

”Monitorizarea periodică și sistematică” – Noțiunea de monitorizare periodică și sistematică a persoanelor vizate nu este definită în GDPR, dar conceptul de „monitorizare a comportamentului persoanelor vizate” este menționat în Considerentul 24 și include toate formele de urmărire și profilarea pe Internet, inclusiv în scop de publicitate comportamentală. Cu toate acestea, noțiunea de monitorizare nu este restricționată în mediul online, iar urmărirea online ar trebui să fie considerată doar ca un exemplu de monitorizare a comportamentului persoanelor vizate.

WP29 interpretează „periodic” ca însemnând una sau mai multe din următoarele:

  • în curs de desfășurare sau care apare la anumite intervale într-o anumită perioadă
  • recurente sau repetate la perioade fixe
  • constante sau care au loc periodic WP29 interpretează „sistematic” ca însemnând una sau mai multe din următoarele:
  • apărut conform sistemului pre-aranjat, organizat sau metodic
  • luând loc ca parte a unui plan general de colectare a datelor
  • efectuat ca parte a unei strategii

Exemple de activități care pot constitui o monitorizare periodică și sistematică a persoanelor vizate: operarea unei rețele de telecomunicații; furnizarea de servicii de telecomunicații; e-mail de direcționare repetată; activități de marketing bazate pe date; profilare și scoring în scopul evaluării riscurilor (de exemplu, în scopul de credit scoring, stabilirea primelor de asigurare, de prevenire a fraudelor, detectarea spălării banilor); urmărirea locației, spre exemplu, prin aplicații mobile; programe de loialitate; publicitate comportamentală; monitorizarea wellness, fitness și a datelor de sănătate prin intermediul dispozitivelor portabile; televiziune cu circuit închis; dispozitive conectate spre exemplu, contoare inteligente, mașini inteligente, automatizare acasă, etc.

”Pe scară largă”: Potrivit Considerentului 91, ar putea fi incluse aici „operațiunile de prelucrare pe scară largă care au drept obiectiv prelucrarea unui volum considerabil de date cu caracter personal la nivel regional, național sau supranațional și care ar putea afecta un număr mare de persoane vizate și care sunt susceptibile de a genera un risc ridicat”. Pe de altă parte, considerentul prevede în mod expres că „prelucrarea datelor cu caracter personal nu ar trebui considerată a fi la scară largă în cazul în care prelucrarea se referă la date cu caracter personal de la pacienți sau clienți ai unui anumit medic sau un alt profesionist în domeniul sănătății sau un avocat”. Este important să se ia în considerare faptul că, în timp ce considerentul oferă exemple aflate la extremele scalei (prelucrare efectuată de un medic în comparație cu prelucrarea datelor dintr-o țară întreagă sau din Europa), există o zonă mare gri între aceste extreme. În plus, trebuie amintit faptul că acest considerent se referă la evaluările impactului asupra protecției datelor. Acest lucru implică faptul că unele elemente pot fi specifice în acest context și nu se aplică neapărat la desemnarea DPO în același mod.

În orice caz, WP29 recomandă ca următorii factori să fie luați în considerare atunci când se stabilește dacă prelucrarea este efectuată pe o scară largă:

  • numărul persoanelor vizate – ori un număr exact ori un procent din populația relevantă
  • volumul datelor și/sau gama de elemente diferite de date în curs de prelucrare
  • durata sau permanența activității de prelucrare a datelor
  • aria geografică acoperită de activitatea de prelucrare

Aprobarea și publicarea Legii 190/ 2018 în luna iunie a indus un nou val de confuzii prin Articolul 4 care se ocupă de prelucrarea unui număr de identificare național și care vine cu obligativitatea angajării unui DPO pentru toți operatorii care au ca principal temei legal Legitimul Interes. Confuziile sunt evident generate de faptul că dintre toate cele 6 temeiuri legale enunțate prin Articolul 6 – Legalitatea prelucrării, Legitimul Interes este cel mai dificil de stabilit prin prisma echilibrului ce trebuie menținut cu interesele private ale persoanei vizate și a unor seturi de analize menite să probeze valabilitatea ca temei legal într-o sumedenie de situații particulare. Mai multe pe această temă într-un articol Analiza GDPR dedicat Legitimului Interes.

Legea 190/ 2018 prin Art.4 stipulează ca orice Operator de date personale care prelucrează date cu caracter special precum numerele de identificare națională (serie Card Identitate, CNP, serie Pașaport, serie Permis Conducere, serie Card Sănătate) și are ca temei legal Legitimul interes e obligat să numească un DPO, pe lângă alte condiții speciale.

Art. 4: Prelucrarea unui număr de identificare național

(1)Prelucrarea unui număr de identificare naţional, inclusiv prin colectarea sau dezvăluirea documentelor ce îl conţin, se poate efectua în situaţiile prevăzute de art. 6 alin. (1) din Regulamentul general privind protecţia datelor.

(2)Prelucrarea unui număr de identificare naţional, inclusiv prin colectarea sau dezvăluirea documentelor ce îl conţin, în scopul prevăzut la art. 6 alin. (1) lit.f) din Regulamentul general privind protecţia datelor, respectiv al realizării intereselor legitime urmărite de operator sau de o parte terţă, se efectuează

cu instituirea de către operator a următoarelor garanţii:

a)punerea în aplicare de măsuri tehnice şi organizatorice adecvate pentru respectarea, în special, a principiului reducerii la minimum a datelor, precum şi pentru asigurarea securităţii şi confidenţialităţii prelucrărilor de date cu caracter personal, conform dispoziţiilor art. 32 din Regulamentul general privind protecţia datelor;

b)numirea unui responsabil pentru protecţia datelor, în conformitate cu prevederile art. 10 din prezenta lege;

c)stabilirea de termene de stocare în funcţie de natura datelor şi scopul prelucrării, precum şi de termene specifice în care datele cu caracter personal trebuie şterse sau revizuite în vederea ştergerii;

d)instruirea periodică cu privire la obligaţiile ce le revin a persoanelor care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, prelucrează date cu caracter personal.

Multe discuții și nelămuriri au avut ca temă autonomia DPO în problemele de siguranță a datelor, mai ales aspectele ce țin de poziționarea acestei funcții în relațiile cu structurile de management și celelalte linii de business. Așa cum zice Articolul 38, Alineatul 3: ”Operatorul şi persoana împuternicită de operator se asigură că responsabilul cu protecţia datelor nu primeşte niciun fel de instrucţiuni în ceea ce priveşte îndeplinirea acestor sarcini.” Mai mult de atât, operatorii au datoria de a acorda DPO tot sprijinul pentru îndeplinirea sarcinilor menţionate la Articolul 39, asigurându-i toate resursele necesare pentru buna executare a acestor sarcini. Printre aceste resurse se numără accesul la datele cu caracter personal şi la operaţiunile de prelucrare a acestora, cât și facilitarea accesului la resursele de instruire, pentru menţinerea cunoştinţelor sale de specialitate.

În fine, alte discuții controversate se referă la pregătirea optimă a unui DPO și din ce departament ar trebui recrutat: HR, legal, operațional sau IT? Aici există o multitudine de recomandări ce oferă o plajă largă de soluții, precum constituirea unui grup de acțiune cu reprezentanți ai tuturor departamentelor implicate care să susțină în permanență – și la o adică să poată să suplinească, rolul unui DPO. La limita extremă este apelarea la serviciile unui DPO super-specializat, care eventual poate consilia mai multe organizații, la limita conflictului de interese. Și aici fiecare poate să aleagă soluția cea mai convenabilă.

Destul de neclare sunt și situațiile în care numirea unui DPO intern ar putea genera un conflict de interese. Potrivit Alineatului 6 din Articolul 38: ”Responsabilul cu protecţia datelor poate îndeplini şi alte sarcini şi atribuţii. Operatorul sau persoana împuternicită de operator se asigură că niciuna dintre aceste sarcini şi atribuţii nu generează un conflict de interese.”

Ca recomandare practică, este de dorit ca un DPO să nu îndeplinească în același timp și orice altă funcție implică accesul și prelucrarea de date personale. Adică nu putem avea un DPO care este în același timp șef de resurse umane, financiar-contabilitate, vânzări sau servicii IT. Asta nu înseamnă că nu putem aloca responsabilități DPO oricărui angajat din aceste departamente care este degrevat de vechea funcție și urmează să activeze în condiții de deplină neutralitate, conform fișei postului.

CARE SUNT AȘTEPTĂRILE DE LA UN DPO

Prin natura funcției și a împuternicirilor de care dispune, un DPO deține o poziție centrală, cu rol strategic, într-o organizație.

Potrivit Articolului 38: Funcţia responsabilului cu protecţia datelor, operatorii trebuie să se asigure că responsabilul cu protecţia datelor ”este implicat în mod corespunzător şi în timp util în toate aspectele legate de protecţia datelor cu caracter personal”.

Regulamentul prevede că un DPO nu poate fi demis sau sancţionat de către operator pentru îndeplinirea sarcinilor sale. Responsabilul cu protecţia datelor răspunde direct în faţa celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator.

Un alt rol critic al DPO este acela de a prelua comunicarea cu persoanele vizate, în cazul în care acestea se prevalează de exercitarea drepturilor lor, în temeiul prezentului regulament.

Un alt punct important, în special în situația în care DPO își exercită activitățile ca extern, pentru una sau mai multe companii, este obligaţia de a respecta secretul și confidenţialitatea în ceea ce priveşte îndeplinirea sarcinilor sale, ceea ce trebuie reglementat printr-o secțiune specială a contractului individual de muncă sau a contractului de prestări de servicii.

Astfel de reglementări trebuie să menționeze explicit care sunt categoriile de informații la care DPO are dreptul de acces, care este rolul său în prelucrarea efectivă a datelor și cum poate gira acesta condițiile asumate de organizație prin limitarea volumului de date procesate, siguranța comunicării sau a stocării.

Este important ca DPO sau echipa sa, să fie implicat, cât mai devreme posibil, în toate aspectele legate de protecția datelor. DPO trebuie privit ca un partener de discuție în cadrul organizației și trebuie inclus în grupurile de lucru relevante care se ocupă cu activități de prelucrare a datelor din cadrul organizației. În consecință, organizația ar trebui să se asigure că:

  • DPO este invitat să participe în mod regulat la ședințele conducerii la nivel înalt și la nivel mediu.
  • Prezența DPO este recomandată în cazul în care se iau decizii cu implicații asupra protecției datelor. Toate informațiile relevante trebuie să fie transmise DPO în timp util pentru a permite ca acesta să ofere o consiliere corespunzătoare.
  • Avizului DPO trebuie să i se acorde întotdeauna o importanță deosebită. În caz de dezacord, WP29 recomandă, ca bună practică, documentarea motivelor pentru care nu a fost urmat avizul DPO.
  • DPO trebuie să fie consultat cu promptitudine imediat ce a avut loc o încălcare a securității datelor sau un alt incident. Atunci când este cazul, operatorul sau persoana împuternicită de operator ar putea elabora ghiduri privind protecția datelor sau proceduri care stabilesc situații când DPO trebuie să fie consultat.

CE EXPERIENȚĂ TREBUIE SĂ AIBĂ UN DPO

Responsabilul cu protecția datelor trebuie să aibă calitățile profesionale și cunoștințele profesionale adecvate recunoscute de legislația privind protecția datelor. În prezent, nu există o cerință expresă de a deține o anumită calificare sau certificare. Cu toate acestea, deținerea unei certificări  în conformitate cu GDPR este o modalitate eficientă de a demonstra cunoștințele experților.

În Articolul 39, Alineatul 1 din GDPR ni se spune care sunt sarcinile care îi revin unui DPO. Să vedem cam ce experiență necesită fiecare:

  • informarea şi consilierea companiei şi personalului care se ocupă de prelucrare cu privire la obligaţiile GDPR, dar și altor dispoziţii de drept al Uniunii sau drept intern referitoare la protecţia datelor – impune aptitudini clare pe parte legislativă și procedurală;
  • monitorizarea respectării GDPR, a altor dispoziţii de drept referitoare la protecţia datelor şi a politicilor de protecţie a datelor cu caracter personal, inclusiv alocarea responsabilităţilor şi acţiunile de sensibilizare şi de formare a personalului implicat în operaţiunile de prelucrare, precum şi auditurile aferente – în plus față de abiltățile legislative se recomandă aptitudini manageriale de alocare a responsabilităților, sensibilizare și de formare a personalului, precum și experiență de auditare;
  • furnizarea de consiliere la cerere în ceea ce priveşte evaluarea impactului asupra protecţiei datelor şi monitorizarea funcţionării acesteia, în conformitate cu articolul 35 – aici e clar că e nevoie de cineva familiarizat cu evaluarea riscurilor și a impactului asupra protecției datelor;
  • cooperarea cu autoritatea de supraveghere; – aici practic e doar o chestiune de reprezentare, DPO acționând ca persoana de contact;
  • punct de contact pentru autoritatea de supraveghere – la fel ca mai sus.

Din ce avem până acum, reiese că un DPO trebuie să aibă cunoștințe temeinice de legislație internă și europeană, să aibă un bun spirit managerial, să fie capabil să facă o analiză de risc și să fie un bun comunicator.

Un DPO trebuie să fie independent. Acest lucru nu înseamnă neapărat că, în calitate de operator sau procesator, trebuie să numiți o persoană externă; rolul DPO poate fi îndeplinit de un angajat. Postul poate fi un rol cu ​​jumătate de normă sau combinat cu alte sarcini, însă, în îndeplinirea rolului, DPO trebuie să aibă o linie independentă de raportare și să fie împuternicit să raporteze direct comitetului fără intervenție. Ceea ce este important este faptul ca, pentru a-și îndeplini sarcinile, persoana desemnată trebuie să fie un profesionist în domeniul protecției datelor cu “cunoștințe de specialitate privind legislația și practicile privind protecția datelor“.

Dacă ne uităm însă la recomandările unor organisme de certificare cu recunoaștere internațională precum IAPP sau PECB, vom vedea că pentru acordarea unei diplome de Certified Data Protection Officer este nevoie de o experiență de minim 2-3 ani în protecția datelor personale. De aici reiese că un candidat serios la poziția de DPO trebuie să fi avut un rol cu certe competențe tehnologice și operaționale, oameni cu experiență în project management, data quality, baze de date, managementul riscurilor, securitatea sau protecția datelor. Diferitele statistici arată că în prezent e nevoie de cel puțin 25-30 de ore de instruire doar pentru a obține o înțelegere coerentă a problematicii GDPR, și de ceva mai mult timp pentru pregătirea poziției de DPO.

RECOMANDĂRILE WP29

”Ghidul privind Responsabilul cu protecția datelor (‘DPO’) publicat de grupul de lucru Articolul 29  în decembrie 2016 și revizuit în aprilie 2017, oferă operatorilor informațiile cele mai pertinente privind necesitatea numirii unui responsabil cu protecția datelor, precum și principalele atribuții ale acestora. Anterior adoptării GDPR, WP29 a susținut că DPO reprezintă un punct important al responsabilității și că numirea unui DPO poate facilita respectarea și, în plus, poate reprezenta un avantaj competitiv pentru companii.

DPO trebuie desemnat pe baza calităților profesionale și, în special a cunoștințelor de specialitate în dreptul și practicile în domeniul protecției datelor, precum și pe baza capacității de a-și îndeplini sarcinile. Nivelul de expertiză necesar ar trebui determinat pe baza operațiunilor de prelucrare efectuate și a protecției necesare pentru datele cu caracter personal prelucrate. De exemplu, în situația în care o operațiune de prelucrare a datelor este deosebit de complexă sau în cazul în care este implicat un volum mare de date speciale, DPO poate necesita un nivel mai ridicat de expertiză și suport.

Aptitudinile și expertiza relevante includ:

  • experiență în legislația și practicile de protecție a datelor la nivel național și european, precum și o înțelegere complexă a RGPD
  • înțelegerea operațiunilor de prelucrare efectuate
  • înțelegerea tehnologiilor de informații și de securitate a datelor
  • cunoașterea sectorului de afaceri și a organizației · abilitatea de a promova protecția datelor în cadrul organizației

Pe lângă facilitarea respectării prin punerea în aplicare a instrumentelor de responsabilitate (cum ar fi facilitarea evaluărilor impactului asupra protecției datelor și efectuarea sau facilitarea auditurilor), DPO acționează ca intermediar între părțile interesate relevante (de exemplu autoritățile de supraveghere, persoanele vizate și liniile de business din cadrul unei organizații).

Este important de știut că DPO nu este personal responsabil în caz de nerespectare a GDPR. Regulamentul spune clar că responsabil este operatorul sau persoana împuternicită de operator care trebuie să se asigure și să fie în măsură să demonstreze că prelucrarea este efectuată în conformitate cu dispozițiile sale (Articolul 24, Alineat 1).

Respectarea normelor de protecție a datelor reprezintă responsabilitatea operatorului sau a persoanei împuternicite de operator. Operatorul sau persoana împuternicită de operator are de asemenea un rol crucial în a permite îndeplinirea eficientă a atribuțiilor DPO. Numirea unui DPO reprezintă un prim pas, dar trebuie să se asigure că DPO are autonomie și resurse suficiente pentru îndeplinirea sarcinilor într-un mod eficient.

 

CUM ȘI UNDE NE PREGĂTIM DPO ÎN ROMÂNIA

Am scris mult pe această temă în ultimul an. O simplă cercetare de piață pe ofertele actuale de cursuri DPO relevă o mare varietate de opțiuni care merg de la simple cursuri de formare profesională cu durata de o zi, până la cursuri de certificare DPO acreditate internațional cu durata de 5 zile.

De la bun început am discutat în toate articolele mele despre lipsa unor reglementări care să certifice competențele celor care susțin cursurile de instruire și nivelul profesional de certificare garantat de diploma obținută. În lipsa unor standarde de certificare se merge pe principiul că piața aduce experiența, care ajută la formarea experților. În țările cu tradiție, un rol important îl au asociațiile profesionale și mediile academice.

O încercare de reglementare la nivel național s-a realizat în martie 2018, când la inițiativa unei echipe de specialiști de la PWC Audit srl și D&B David și Baiaș s-a depus la ANC (Autoritatea Națională de Certificări) o propunere de Standard ocupațional pentru educație și formare profesională pe baza Codului COR 242231.  ANC a aprobat acest standard ocupațional prin decizia  nr.74 din 19 martie 2018 dar la vremea respectivă s-a discutat că propunerea de standard ocupațional nu a primit și aprobarea de la ministerele muncii și educației. Codul COR 242231 privitor la meseria de ”Responsabil cu protecția datelor personale cu caracter personal” fusese acceptat de către Ministerul Muncii și Justiției Sociale și Institutul Național de Statistică încă de anul trecut prin Ordinul 1786/2017, pe o listă de 26 de noi ocupații, printre care cele de bonă, preot, catehet, prezentator TV, diacon, depanator telefoane mobile inteligente, inspector patriarhal sau paracliser…

În fine din septembrie 2018 o serie de companii care susțin cursuri au anunțat începerea unor programe de instruire bazate pe COR 242231 care sunt acreditate de cele două ministere și au ca finalitate o diplomă ce poartă girul ANC. Nici un anunț oficial legat de la cele 2 ministere, ANC sau ANSPDCP nu a apărut încă în mod public. Conform Standardului ocupațional enunțat, stadiul de pregătire pentru un DPO este de 180 de ore, dintre care 60 de ore de teorie și 120 de ore de practică realizate sub autoritatea unui Formator autorizat ANC. Interesant este faptul că Formatorul trebuie să aibă o experiență minima de 3 ani în domeniul protecției datelor cu caracter personal, iar Evaluatorul din comisia de examinare o experiență similară de minimum 5 ani…

Concluzionând, la ora actuală există 4 categorii de cursuri DPO oferite pe piața din România, diferențiate prin durată, nivel și diplomă de certificare și, evident, prin preț:

  • cursuri de formare profesională de 1-3 zile, cu diploma de participare
  • cursuri online, cu acces la material filmat de cca. 4-6 ore, examen online
  • cursuri de specializare cu acreditarea unor organizații internaționale și certificare DPO, durata 4-5 zile
  • cursuri de specializare bundle cu examen IAPP, cu un pachet de beneficii si diplome CIPP-E și CIPM acreditate de IAPP, durata 4-5 zile
  • cursuri acreditate ANC, cu durata de 180 de ore.

Care dintre aceste forme de curs este cea mai potrivită pentru companiile interesate să își formeze un DPO? Asta depinde de fiecare. Oferta de cursuri a apărut și s-a diversificat pe baza cererii. Important este să rețineți că GDPR nu condiționează în niciun fel numirea unui DPO de existența unei diplome, ci doar de experiența pe care o deține.

Puteți începe demersurile de aliniere la GDPR și fără DPO. Este suficient să fiți conștienți de responsabilitatea dvs. ca operatori sau procesatori de date personale și să demarați câțiva pași simpli, precum analiza fluxurilor de date, redactarea și gestionarea registrelor de evidență obligatorii, stabilirea politicilor interne, inventarierea contratelor cu partenerii și clienții, actualizarea politicilor publice și notificărilor către persoanele vizate, precum și instruirea tuturor angajaților implicați în procesele de prelucrare a datelor personale.

Oricare dintre membri echipei de coordonare poate fi numit DPO, în oricare dintre aceste faze. În plus, oricând puteți apela la un DPO extern. Important este să începeți.

Important este să înțelegeți că este responsabilitatea voastră a tuturor și că se poate. Trebuie să înțelegeți. Sigur că se poate.

Vă interesează o recomandare pentru cursuri DPO? Completați formularul de mai jos și veți fi contactați.

Nota Confidențialitate: Completând acest formular vă dați acordul pentru a fi contactați în scopul discutării ofertelor de cursuri DPO. Datele Dvs. personale incluse in acest formular vor fi prelucrate doar în scopul pentru care au fost încredințate. Citiți mai mult în Politica de Confidentialitate.

 

Advertisements

GDPR Explicitat (11) : Un personaj important – Data Protection Officer (DPO)

Una dintre noutățile cu care a venit GDPR este obligativitatea numirii unui ofițer responsabil cu protecția datelor (DPO – Data Protection Offcier) al cărui rol principal este coordonare și supraveghere a implementării condițiilor de conformitate GDPR, precum și ca persoană de legătură între organizație și autoritatea de supraveghere.

Deși condițiile numirii unui DPO, sarcinile și competențele acestuia sunt stipulate destul de clar în Articolele 37 – 39 din noul Regulament, importanța strategică a acestei poziții face ca subiectul să fie în centrul atenției în toate discuțiile și recomandările legate de GDPR. În acest articol vom prezenta elementele esențiale legate de numirea DPO și vom încerca să lămurim câteva dintre aspectele cele mai controversate.

Când suntem obligați să numim un ofițer de protecție a datelor?

Potrivit GDPR, este obligatoriu ca anumiți operatori și persoane împuternicite de operatori să desemneze un ofițer de protecție a datelor (DPO). În această situație se află toate autoritățile și organismele publice, indiferent de tipul datelor prelucrate, precum și  celelalte organizații care monitorizează în mod sistematic și pe scară largă persoanele fizice sau prelucrează categorii speciale de date cu caracter personal pe scară largă. Chiar și în situația în care GDPR nu impune în mod expres numirea unui DPO, organizațiile pot găsi ca fiind utilă desemnarea unui DPO în mod voluntar. Grupul de Lucru Articolul 29 („WP29”) încurajează aceste eforturi voluntare.

În conformitate cu Articolul 37, Aliniat 1 din GDPR, trebuie să desemnați un ofițer de protecție a datelor (DPO) dacă:

  • sunteți o autoritate publică (cu excepția instanțelor care acționează în calitatea lor judiciară);
  • efectuați o monitorizare sistematică, la scară largă, a persoanelor (de exemplu, urmărirea comportamentului online);
  • faceți o prelucrare la scară largă a unor categorii speciale de date sau date referitoare la condamnările penale și infracțiunile.

Există însă cazuri în care un grup de organizații, cum ar fi de exemplu partenerii dintr-un lanț de distribuție,  execută în mod frecvent activități comune care implică fluxuri de date ce pot fi controlate și monitorizate centralizat, la nivel de grup sau asociație de parteneri. În asemenea situații, puteți desemna un singur ofițer de protecție a datelor care să acționeze pentru un grup de organizații sau autorități publice, ținând cont de structura și dimensiunea acestora.

Alineatele 2 – 4 din Articolul 37: Desemnarea responsabilului cu protecţia datelor explicitează cele mai importante astfel de cazuri:

”(2) Un grup de organizații poate numi un responsabil cu protecţia datelor unic, cu condiţia ca responsabilul cu protecţia datelor să fie uşor accesibil din fiecare întreprindere.

(3) În cazul în care operatorul sau persoana împuternicită de operator este o autoritate publică sau un organism public, poate fi desemnat un responsabil cu protecţia datelor unic pentru mai multe dintre aceste autorităţi sau organisme, luând în considerare structura organizatorică şi dimensiunea acestora.

(4) În alte cazuri decât cele menţionate la alineatul (1), operatorul sau persoana împuternicită de operator ori asociaţiile şi alte organisme care reprezintă categorii de operatori sau de persoane împuternicite de operatori pot desemna sau, acolo unde dreptul Uniunii sau dreptul intern solicită acest lucru, desemnează un responsabil cu protecţia datelor. Responsabilul cu protecţia datelor poate să acţioneze în favoarea unor astfel de asociaţii şi alte organisme care reprezintă operatori sau persoane împuternicite de operatori.”

Potrivit aceluiași Articol 37, responsabilul cu protecția datelor este desemnat pe baza calităților profesionale și, în special, a cunoștințelor experților privind legislația și practicile privind protecția datelor și capacitatea de a îndeplini sarcinile menționate la Articolul 39. În anumite situații, agentul responsabil cu protecția datelor poate fi membru al personalului operatorului sau prelucrătorului sau poate îndeplini sarcinile pe baza unui contract de servicii externalizate. Controlorul sau procesatorul trebuie să publice datele de contact ale responsabilului cu protecția datelor și să le comunice autorității de supraveghere.

Care este rolul funcției de DPO?

Prin natura funcției și a împuternicirilor de care dispune, un DPO deține o poziție centrală, cu rol strategic, într-o organizație. Particularitățile și noutatea acestei poziții nasc o serie de întrebări care parțial sunt clarificate prin textul GDPR. La altele vom încerca să găsim noi răspunsul.

Potrivit Articolului 38: Funcţia responsabilului cu protecţia datelor, noi ca operatori trebui să ne asigurăm că responsabilul cu protecţia datelor ”este implicat în mod corespunzător şi în timp util în toate aspectele legate de protecţia datelor cu caracter personal”. Mai mult de atât, avem datoria să acordăm DPO tot sprijinul pentru îndeplinirea sarcinilor menţionate la Articolul 39, asigurându-i toate resursele necesare pentru buna executare a acestor sarcini. Printre aceste resurse se numără accesul la datele cu caracter personal şi la operaţiunile de prelucrare a acestora, cât și facilitarea accesului la resursele de instruire, pentru menţinerea cunoştinţelor sale de specialitate.

Un aspect foarte important și deci și foarte comentat legat de poziția DPO în cadrul unei organizații este autonomia acestuia în problemele de siguranța a datelor. Așa cum zice Articolul 38, Alineatul 3: ”Operatorul şi persoana împuternicită de operator se asigură că responsabilul cu protecţia datelor nu primeşte niciun fel de instrucţiuni în ceea ce priveşte îndeplinirea acestor sarcini.” Cum spuneam, această poziție privilegiată a generat numeroase discuții și nelămuriri privitoare la poziționarea acestei funcții în relațiile cu structurile de management și celelalte linii de business.

Nedumeririle sunt și mai mult accentuate de prevederea regulamentului prin care un DPO nu poate fi demis sau sancţionat de către operator pentru îndeplinirea sarcinilor sale. Responsabilul cu protecţia datelor răspunde direct în faţa celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator. Cele mai frcvente întrebări sunt legate de ce se întâmplă în situația în care sfaturile sau recomandările DPO sunt depășite sau eronate, ceea ce atrage vulnerabilități în privința rotecției datelor.  Un alt rol critic al DPO este acela de a prelua comunicarea cu persoanele vizate, în cazul în care acestea se prevalează de exercitarea drepturilor lor, în temeiul prezentului regulament.

Un alt punct important, în special în situația în care DPO își exercită activitățile ca extern, pentru una sau mai multe companii, este obligaţia de a respecta secretul și confidenţialitatea în ceea ce priveşte îndeplinirea sarcinilor sale. E clar că acest lucru trebuie reglementat printr-o secțiune specială a contractului individual de muncă sau a contractului de prestări de servicii. Astfel de reglementări trebuie să menționeze explicit care sunt categoriile de informații la care DPO are dreptul de acces, care este rolul său în prelucrarea efectivă a datelor și cum poate gira acesta condițiile asumate de organizație prin limitarea volumului de date procesate, siguranța comunicării sau a stocării.

Potrivit Alineatului 6 din Articolul 38: ”Responsabilul cu protecţia datelor poate îndeplini şi alte sarcini şi atribuţii. Operatorul sau persoana împuternicită de operator se asigură că niciuna dintre aceste sarcini şi atribuţii nu generează un conflict de interese.” Dar înainte de alte comentarii, haideți să vede care sunt sarcinile de bază ale unui DPO.

Ce atribuții aveți în calitate de DPO?

Condițiile minime pe care trebuie să le asigurați dacă aveți funcția de DPO sunt definite în Articolul 39:

  • Să informați și să consiliați organizația și angajații cu privire la obligațiile de a respecta GDPR și alte legi privind protecția datelor;
  • Să monitorizați respectarea GDPR și a altor legi privind protecția datelor, inclusiv gestionarea activităților interne de protecție a datelor;
  • Să consiliați activitățile organizației ce au legătură cu evaluările de impact privind protecția datelor;
  • Să instruiți personalul și să efectuați audituri interne;
  • Să fiți primul punct de contact pentru autoritățile de supraveghere și pentru persoanele fizice ale căror date sunt prelucrate (angajați, clienți etc.).

Dar poate cel mai important aspect al acestor atribuții este legat de faptul că, în îndeplinirea sarcinilor dvs. de DPO, trebuie să ţineți seama, în mod corespunzător (zice legea), dar cu maximă responsabilitate (zic cele mai bune practici) de riscul asociat operaţiunilor de prelucrare. Și aici trebuie să țineți seama atât de natura și de domeniul de aplicare, cât și de contextul şi scopurile prelucrării.

De ce calificare am nevoie pentru a deveni ofițer de protecție a datelor?

Responsabilul cu protecția datelor trebuie să aibă calitățile profesionale și cunoștințele profesionale adecvate recunoscute de legislația privind protecția datelor. În prezent, nu există o cerință expresă de a deține o anumită calificare sau certificare. Cu toate acestea, deținerea unei certificări  în conformitate cu GDPR este o modalitate eficientă de a demonstra cunoștințele experților. Conform GDPR, ca DPO trebuie să beneficiați de toate condițiile și tot suportul organizației pentru a avea acces la cele mai performante resurse de instruire.

Un DPO trebuie să fie independent. Acest lucru nu înseamnă neapărat că, în calitate de operator sau procesator, trebuie să numiți o persoană externă; rolul DPO poate fi îndeplinit de un angajat. Postul poate fi un rol cu ​​jumătate de normă sau combinat cu alte sarcini, însă, în îndeplinirea rolului, DPO trebuie să aibă o linie independentă de raportare și să fie împuternicit să raporteze direct comitetului fără intervenție. Ceea ce este important este faptul ca, pentru a-și îndeplini sarcinile, persoana desemnată trebuie să fie un profesionist în domeniul protecției datelor cu “cunoștințe de specialitate privind legislația și practicile privind protecția datelor“.

Recomandările Grupului de lucru Articolul 29

Printre numeroasele informații, ghiduri, texte de lege și documente extrem de utile publicate pe site-ul Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) poate fi găsit și descărcat ”Ghidul privind Responsabilul cu protecția datelor (‘DPO’). Publicat de grupul de lucru Articolul 29  în decembrie 2016 și revizuit în aprilie 2017, acest ghid are menirea de a oferi tuturor operatorilor informațiile cele mai pertinente privind necesitatea numirii unui responsabil cu protecția datelor, precum și principalele atribuții ale acestora.

Cu toate că Directiva 95/46/CE3 (încă aflată în vigoare) nu impune niciunei organizații să numească un DPO, această practică de numire a unui DPO s-a dezvoltat, de-a lungul anilor, în mai multe state membre. Anterior adoptării RGPD, grupul de lucru Articolul 29 a susținut că DPO reprezintă un punct important al responsabilității și că numirea unui DPO poate facilita respectarea și, în plus, poate reprezenta un avantaj competitiv pentru companii.

Pe lângă facilitarea respectării prin punerea în aplicare a instrumentelor de responsabilitate (cum ar fi facilitarea evaluărilor impactului asupra protecției datelor și efectuarea sau facilitarea auditurilor), DPO acționează ca intermediar între părțile interesate relevante (de exemplu autoritățile de supraveghere, persoanele vizate și liniile de business din cadrul unei organizații).

Este important de știut că DPO nu este personal responsabil în caz de nerespectare a RGPD. Regulamentul spune clar că responsabil este operatorul sau persoana împuternicită de operator care trebuie să se asigure și să fie în măsură să demonstreze că prelucrarea este efectuată în conformitate cu dispozițiile sale (Articolul 24, Alineat 1). Respectarea normelor de protecție a datelor reprezintă responsabilitatea operatorului sau a persoanei împuternicite de operator. Operatorul sau persoana împuternicită de operator are de asemenea un rol crucial în a permite îndeplinirea eficientă a atribuțiilor DPO. Numirea unui DPO reprezintă un prim pas, dar trebuie să se asigure că DPO are autonomie și resurse suficiente pentru îndeplinirea sarcinilor într-un mod eficient.

Care sunt situațiile în care poate apărea conflictul de interese?

Iarăși un aspect important și mult discuta și comentat privitor la rolul și atribuțiile DPO în cadrul unei organizații. Iată câteva considerații privitoare la Conflictul de interese extrase din Ghidul menționat mai sus.

Articolul 38, Alineatul 6 din GDPR permite DPO „să îndeplinească și alte sarcini și atribuții”. Cu toate acestea, este nevoie ca organizația să se asigure că „niciuna dintre aceste sarcini și atribuții nu generează un conflict”. Absența conflictului de interese este strâns legată de obligația de a acționa în mod independent. Cu toate că îi este permis să aibă și alte funcții, acestuia îi pot fi încredințate alte sarcini și atribuții cu condiția ca acestea să nu dea naștere unor conflicte de interese.

Acest lucru se referă mai ales la faptul că rolul de DPO nu presupune și libertatea de a stabili scopurile și mijloacele de prelucrare a datelor cu caracter personal. Acest lucru trebuie luat în considerare de la caz la caz, ținându-se cont de structura organizațională specifică fiecărei organizații. Ca regulă generală, funcții din cadrul organizației cu care poate intra în conflict pot include funcții de conducere (cum ar fi director executiv, director operațional, director financiar, șeful serviciului medical, șeful departamentului de marketing, șef departamentului de resurse umane sau șeful departamentului IT), dar, în același timp, și alte funcții inferioare dacă acestea conduc la posibilitatea de a stabili scopurile și mijloacelor de prelucrare.

În plus, un conflict de interese poate apărea, în situația în care un DPO extern este rugat să reprezinte operatorul sau persoana împuternicită de operator în instanță, în cazurile care implică probleme de protecție a datelor. În funcție de activitățile, dimensiunea și structura organizației, o bună practică pentru operatori și persoanele împuternicite de operatori ar putea fi:

  • să identifice funcțiile ce ar fi incompatibile cu funcția de DPO;
  • să elaboreze norme interne pentru a evita conflictele de interese;
  • să includă o explicație mai generală cu privire la conflictele de interese;
  • să declare că DPO nu are niciun conflict de interese în ceea ce privește funcția sa;
  • să includă garanții în normele interne ale organizației și să se asigure că anunțul de post vacant pentru funcția de DPO sau contractul de prestări servicii este suficient de precis și detaliat pentru a evita conflictul de interese.

În acest context, trebuie avut în vedere faptul că respectivele conflicte de interese mai pot lua diverse forme în funcție de faptul dacă DPO este recrutat intern sau extern.

Concluzionând, indiferent de organizație, sunteți liberi să numiți DPO, cu condiția să dispuneți de resurse pentru această poziție, iar persoana desemnată să aibă abilități suficiente pentru a-și îndeplini obligațiile stipulate de GDPR. Deși legea spune clar care sunt cazurile în care trebuie obligatoriu numit un DPO, conform grupului de lucru Articolul 29, în cazul în care considerați necesar, este recomandabil să numiți un DPO, care să corespundă tuturor condițiilor discutate până acum.  Obligațiile GDPR sunt de așa natură încât o consiliere și un sprijin pe care le avem la îndemână, din partea unui specialist în protecția datelor, pot fi un pas esențial pentru gestionare a riscurilor.

 

Urmăriți articolele publicate în cadrul inițiativei GDPR Ready!  În următorul material ne vom ocupa de condițiile de numire ale unui Data Protection Officer (DPO), precum și principalele sarcini ale acestuia.

 

Vă interesează o recomandare pentru cursuri DPO? Completați formularul de mai jos și veți fi contactați.

Nota Confidențialitate: Completând acest formular vă dați acordul pentru a fi contactați în scopul discutării ofertelor de cursuri DPO. Datele Dvs. personale incluse in acest formular vor fi prelucrate doar în scopul pentru care au fost încredințate. Citiți mai mult în Politica de Confidentialitate.

 

GDPR Q&A: CELE MAI FRECVENTE ÎNTREBĂRI ȘI RĂSPUNSURI

 

Iată o pagină online interactivă care se înscrie în inițiativa GDPR Ready! Prin interactivitate înțelegem atât actualizarea periodică a conținutului cu noi întrebări și răspunsuri, cât și posibilitatea de inserare de întrebări și răspunsuri care provin de la terțe părți. Oricare dintre dvs. poate contribui prin recomandări și comentarii la continua actualizare a acestei pagini.

Fiecare răspuns va avea menționată sursa. Acolo unde avem mai multe răspunsuri pertinente la aceeași întrebare, le vom publica pe toate, cu menționarea sursei fiecăruia. Pentru o evidență arbitrară, întrebările și răspunsurile vor fi numerotate descendent, astfel încât întotdeauna informația ”cea mai proaspătă” să se regăsească în partea superioară a paginii GDPR Ready Q&A.

Continuăm cu o serie de 13 întrebări legate de DPO, care au ca sursă Anexa documentului Guidelines on Data Protection Officers (‘DPOs’) elaborată de Grupul de lucru Articolul 29 (WP ART29.)

Q23. Care este rolul DPO în legătură cu DPIA și păstrarea evidenței operațiunilor de prelucrare?

În ceea ce privește evaluarea impactului operațiunilor de prelucrare (DPIA), operatorul sau persoana împuternicită de operator solicită avizul DPO în legătură cu următoarele aspecte, printre care:
• dacă să efectueze sau nu DPIA
• ce metodologie să fie folosită la efectuarea DPIA
• dacă să efectueze DPIA intern sau să externalizeze
• ce garanții (inclusiv măsuri tehnice și organizaționale) să pună în aplicare pentru reducerea oricăror riscuri la adresa drepturilor și intereselor persoanelor vizate
• dacă DPIA a fost sau nu efectuată corect și dacă respectivele concluzii (dacă să continue sau nu prelucrarea și ce garanții să pună în aplicare) respectă GDPR.

În ceea ce privește păstrarea unei evidențe a operațiunilor de prelucrare, operatorul sau persoana împuternicită de operator, și nu DPO, are obligația de a păstra o evidență a operațiunilor de prelucrare. Cu toate acestea, nimic nu împiedică operatorul sau persoana împuternicită de operator să atribuie DPO sarcina de a păstra o evidență a operațiunilor de prelucrare în numele operatorului sau persoanei împuternicite de operator. O astfel de evidență trebuie să fie considerată ca fiind unul dintre instrumentele care permit DPO să-și îndeplinească sarcinile de monitorizare a conformității, informare și consiliere a operatorului sau persoanei împuternicite de operator.
Sursa: Art.39,(1)c) și Art. 30 din GDPR

Q22. DPO este personal responsabil pentru nerespectarea cerințelor de protecție a datelor?

Nu. DPO nu este personal responsabil în situația în care există un caz de nerespectare a cerințelor de protecție a datelor. Operatorul sau persoana împuternicită de operator are obligația de a pune în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul Regulament. Respectarea normelor de protecție a datelor este o responsabilitate a operatorului sau a persoanei împuternicite de operator.

Q21. Ce înseamnă „monitorizarea conformității”?

Ca parte a acestor sarcini de monitorizare a conformității, DPO poate, în special:

  • să colecteze informații pentru a identifica operațiunilor de prelucrare
  • să analizeze și să verifice conformitatea operațiunilor prelucrare
  • să informeze, să consilieze și să emită recomandări operatorului sau persoanei împuternicite de operator.
    Sursa: Articolul 39(1) b) din GDPR

Q20. Care sunt garanțiile ce-i permit DPO să-și îndeplinească sarcinile în mod independent? Ce înseamnă „conflict de interese”?

Există anumite garanții ce-i permit DPO să acționeze în mod independent:

  • nu primește instrucțiuni de la operator sau persoana împuternicită de operator în ceea ce privește îndeplinirea sarcinilor sale
  • nu este demis sau sancționat de operator pentru îndeplinirea sarcinilor sale
  • nu există conflict de interese cu alte posibile sarcini sau atribuții.

Celelalte sarcini sau atribuții ale DPO nu trebuie să genereze un conflict de interese. Acest lucru
presupune, în special, faptul că DPO nu poate deține o poziție în cadrul organizației care ar conduce la posibilitatea ca DPO să stabilească scopurile și mijloacele de prelucrare a datelor cu caracter
personale. Acest lucru trebuie luat în considerare de la caz la caz, ținându-se cont de structura
organizațională specifică fiecărei organizații.

Ca regulă generală, funcții din cadrul organizației cu care poate intra în conflict pot include funcții de
conducere (cum ar fi director executiv, director operațional, director financiar, șeful serviciului
medical, șeful departamentului de marketing, șef departamentului de resurse umane sau șeful
departamentului IT), dar, în același timp, și alte funcții inferioare dacă acestea conduc la posibilitatea
de a stabili scopurile și mijloacelor de prelucrare. În plus, un conflict de interese poate apărea, de
asemenea, de exemplu, în situația în care un DPO extern este rugat să reprezinte operatorul sau
persoana împuternicită de operator în instanță, în cazurile care implică probleme de protecție a datelor.
Sursa: Art. 38(3) și 38(6) din GDPR

Q19. Care sunt resursele ce trebuie prevăzute de operator sau persoana împuternicită pentru DPO?

DPO trebuie să beneficieze de resursele necesare pentru îndeplinirea sarcinilor sale. În funcție de natura operațiunilor de prelucrare și a activităților și dimensiunii organizației, trebuie asigurate următoarele resurse pentru DPO:
• sprijin activ al funcției DPO din partea managementului superior
• timp suficient pentru DPO în vederea îndeplinirii atribuțiilor sale
• sprijin corespunzător în ceea ce privește resursele financiare, infrastructură (sediu, facilități, echipament) și personal, după caz
• comunicare oficială către toți angajații cu privire la desemnarea DPO
• accesul necesar la alte servicii precum resurse umane, juridic, IT, securitate etc. astfel încât DPO să beneficieze de un sprijin esențial, reacții și informații din partea altor servicii
• pregătire continuă
Sursa: Art. 38(2) din GDPR

Q18. Care sunt calitățile profesionale pe care trebuie să le posede un DPO?

DPO trebuie desemnat pe baza calităților profesionale și, în special a cunoștințelor de specialitate în dreptul și practicile în domeniul protecției datelor, precum și pe baza capacității de a-și îndeplini sarcinile.

Nivelul de expertiză necesar ar trebui determinat pe baza operațiunilor de prelucrare efectuate și a protecției necesare pentru datele cu caracter personal prelucrate. De exemplu, în situația în care o operațiune de prelucrare a datelor este deosebit de complexă sau în cazul în care este implicat un volum mare de date speciale, DPO poate necesita un nivel mai ridicat de expertiză și suport.

Aptitudinile și expertiza relevante includ:
• experiență în legislația și practicile de protecție a datelor la nivel național și european, precum și o înțelegere complexă a GDPR
• înțelegerea operațiunilor de prelucrare efectuate
• înțelegerea tehnologiilor de informații și de securitate a datelor
• cunoașterea sectorului de afaceri și a organizației
• abilitatea de a promova protecția datelor în cadrul organizației
Sursa: Art. 37(5) din GDPR

Q17. Există posibilitatea desemnării unui DPO extern?

Da. DPO poate fi membru al personalului operatorului sau persoanei împuternicite de operator (DPO intern) sau își poate îndeplini sarcinile în baza unui contract de prestări servicii. Acest lucru înseamnă că DPO poate fi extern și, în acest caz, funcția sa poate fi exercitată în baza unui contract de prestări servicii încheiat cu o persoană fizică sau o organizație.

În situația în care funcția DPO este exercitată de un furnizor de servicii extern, o echipă de persoane fizice angajate ale respectivei entități poate îndeplini eficient sarcinile DPO ca o echipă, sub responsabilitatea unei singure persoane desemnate ca persoană de contact principală și „persoană responsabilă” pentru client. În această situație, este esențial ca fiecare membru al organizației care exercită funcțiile unui DPO să îndeplinească toate cerințele aplicabile potrivit GDPR.

Din motive de claritate juridică și o bună organizare și pentru a preveni conflictele de interes pentru membrii echipei, Ghidul recomandă existența unei alocări clare a sarcinilor în cadrul echipei DPO și desemnarea unei singure persoane ca persoană de contact principală și persoană „responsabilă” pentru fiecare client.
Sursa: Art. 37(6) din GDPR

Q16. Unde poate fi localizat DPO?

Pentru a se asigura că DPO este accesibil, WP29 recomandă ca DPO să fie localizat pe teritoriul UE, chiar dacă operatorul sau persoana împuternicită de operator nu este stabilită pe teritoriul UE. Cu toate acestea, nu poate fi exclus faptul că, în anumite situații în care operatorul sau persoana împuternicită de operator nu are sediul în UE, un DPO își poate îndeplini sarcinile într-un mod mai eficient dacă este localizat în afara UE.

Q15. Mai multe organizații pot numi un DPO comun? Daca da, în ce condiții?

Da. Un grup de întreprinderi poate numi DPO unic, cu condiția ca aceasta să fie „ușor accesibil din fiecare întreprindere”. Noțiunea de accesibilitate se referă la sarcinile DPO ca punct de contact în ceea ce privește persoanele vizate, autoritatea de supraveghere, dar și pe plan intern în cadrul organizației. Pentru a se asigura că DPO, intern sau extern, este accesibil, este important să se asigure că datele de contact ale acestuia sunt disponibile.

DPO, cu ajutorul unei echipe, dacă este necesar, trebuie să fie în măsură să comunice eficient cu persoanele vizate și să coopereze cu autoritățile de supraveghere implicate. Acest lucru înseamnă că respectiva comunicare trebuie să aibă loc în limba sau limbile utilizate de autoritățile de supraveghere și persoanele vizate. Disponibilitatea unui DPO (fie fizică în același sediu cu angajații, prin intermediul unei linii telefonice sau prin alte mijloace sigure de comunicare) este esențială pentru a garanta că persoanele vizate vor fi în măsură să contacteze DPO.

Se poate desemna un singur DPO pentru mai multe autorități sau organisme publice, luând în considerare structura organizatorică și dimensiunea acestora. Sunt aplicabile aceleași considerente cu privire la resurse și comunicare. Având în vedere că DPO este responsabil pentru o varietate de atribuții, operatorul sau persoana împuternicită de operator trebuie să se asigure că un DPO unic, cu ajutorul unei echipe, poate efectua aceste competențe în mod eficient în ciuda faptul că este desemnat pentru mai multe autorități și organisme publice.
Sursa: Art. 37(2) și (3) din GDPR

Q14. Ce înseamnă „monitorizare periodică și sistematică”?

Noțiunea de monitorizare periodică și sistematică nu este definită în GDPR, dar include în mod clar toate formele de urmărire și profilarea pe Internet, inclusiv în scop de publicitate comportamentală. Cu toate acestea, noțiunea de monitorizare nu este restricționată în mediul online.

Exemple de activități care pot constitui o monitorizare periodică și sistematică a persoanelor vizate: operarea unei rețele de telecomunicații; furnizarea de servicii de telecomunicații; e-mail de direcționare repetată; activități de marketing bazate pe date; profilare și scoring în scopul evaluării riscurilor (de exemplu, în scopul de credit scoring, stabilirea primelor de asigurare, de prevenire a fraudelor, detectarea spălării banilor); urmărirea locației, spre exemplu, prin aplicații mobile; programe de loialitate; publicitate comportamentală; monitorizarea wellness, fitness și a datelor de sănătate prin intermediul dispozitivelor portabile; televiziune cu circuit închis; dispozitive conectate spre exemplu, contoare inteligente, mașini inteligente, automatizare acasă, etc.

WP29 interpretează „periodic” ca însemnând una sau mai multe din următoarele:
• în curs de desfășurare sau care apare la anumite intervale într-o anumită perioadă
• recurente sau repetate la perioade fixe
• constante sau care au loc periodic

WP29 interpretează „sistematic” ca însemnând una sau mai multe din următoarele:
• apărut conform sistemului
• prearanjat, organizat sau metodic
• luând loc ca parte a unui plan general de colectare a datelor
• efectuat ca parte a unei strategii
Sursa: Art.37(1)b) din GDPR

Q13. Ce înseamnă „pe scară largă”?

GDPR nu definește ce constituie prelucrarea pe scară largă. WP29 recomandă ca următorii factori să fie luați în considerare atunci când se stabilește dacă prelucrarea este efectuată pe o scară largă:
• numărul persoanelor vizate – ori un număr exact ori un procent din populația relevantă
• volumul datelor și/sau gama de elemente diferite de date în curs de prelucrare
• durata sau permanența activității de prelucrare a datelor
• suprafața geografică a activității de prelucrare

Exemple de prelucrări pe scară largă includ:
• prelucrarea datelor pacienților în activitatea regulată a unui spital
• prelucrarea datelor de călătorie a unei persoane fizice ce utilizează sistemul de transport public (spre exemplu urmărire cu ajutorul cardurilor de călătorie)
• prelucrarea în timp real a datelor de geolocalizare a clienților unei rețele internaționale de fast food în scopuri statistice de către o persoană împuternicită de operator specializată în
• furnizarea serviciilor de acest tip prelucrarea datelor clienților în activitatea regulată a unei companii de asigurări sau a unei bănci
• prelucrarea datelor personale de către un motor de căutare în scop de publicitate comportamentală
• prelucrarea datelor (conținut, trafic, localizare) de către furnizorii de telefonie sau servicii de Internet

Exemple ce nu constituie de prelucrări pe scară largă includ:
• prelucrarea datelor pacientului de către un medic individual
• prelucrarea datelor personale referitoare la condamnările penale și infracțiuni de către un avocat individual
Sursa: Art. 37(1) b și c) din GDPR

Q12. Ce înseamnă „activitate principală”?

„Activitățile principale” pot fi considerate ca operațiuni cheie necesare pentru îndeplinirea obiectivelor operatorului sau persoanei împuternicite de operator. Acestea includ, de asemenea, toate activitățile în care prelucrarea de date reprezintă o parte indisolubilă a activității operatorului sau persoanei împuternicite de operator. De exemplu, prelucrarea datelor privind starea de sănătate, cum ar fi dosarele medicale ale pacientului ar trebui să fie considerată a fi una dintre activitățile principale în orice spital și, prin urmare, spitalele trebuie să desemneze un DPO.
Pe de altă parte, toate organizații efectuează anumite activități, spre exemplu, plata angajaților lor sau deținerea de activități standard de suport IT. Acestea sunt exemple de funcții de sprijin necesare pentru activitatea de bază sau principală a organizației. Chiar dacă aceste activități sunt necesare sau esențiale, acestea sunt de obicei considerate mai degrabă funcții auxiliare decât activitate principală.
Sursa: GDPR Art. 37(1) b și c)

Q11. Ce organizații trebuie să numească un DPO?

Numirea unui DPO este o obligație dacă:
• prelucrarea este efectuată de o autoritatea publică sau un organism public (indiferent de datele prelucrate)
• activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă
• activități principale ale operatorului sau persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date personale privind condamnările penale și infracțiuni.

În cele din urmă, chiar și în cazul în care desemnarea unui DPO nu este obligatorie, organizațiile pot considera, uneori, ca fiind utilă desemnarea unui DPO în mod voluntar. Grupul de Lucru Articolul 29 în domeniul protecției datelor („WP29“) încurajează aceste eforturi voluntare. Atunci când o organizație desemnează un DPO în mod voluntar, sunt aplicabile aceleași cerințe privind numirea, poziția și sarcinile ca și cum desemnarea ar fi obligatorie.
Sursa: Art. 37(1) din GDPR

Q10: Care sunt penalitățile pentru ne-conformitate?

Organizațiile pot fi penalizate cu până la 4% din veniturile globale anuale sau cu suma de 20 Milioane Euro. Aceasta este amenda maximă care poate fi impusă pentru cele mai grave încălcări, precum de exemplu, lipsa unui consimțământ clar al clientului pentru procesarea datelor sau încălcarea elementelor esențiale ale conceptului Confidențialitate prin design. Există totuși o abordare graduată a amenzilor, de exemplu unei societăți i se poate aplica o amendă de 2% (din venitul global anual – nn) dacă nu are înregistrările în ordine (Articolul 28), dacă nu notifică autoritatea de supraveghere și persoana vizată despre o încălcare sau dacă nu efectuează o evaluare a impactului. Este important să rețineți că aceste reguli se aplică atât controlorilor (operatorilor de date – nn), cât și procesatorilor – adică furnizorii de Cloud nu vor fi scutiți de aplicarea GDPR.

Sursa: Site-ul oficial GDPR http://www.eugdpr.org/gdpr-faqs.html

 

Q9: Care este structura GDPR?

Noul Regulament este structurat pe 9 Capitole și 91 de Articole dispuse astfel:

  • Capitolul I Dispoziții generale: Articolele 1-4;
  • Capitolul II Principii: Articolele 5-11;
  • Capitolul III Drepturile subiectului de date: Articolele 12-23;
  • Capitolul IV Controlor și procesor: Articolele 24-43;
  • Capitolul V Transferul datelor cu caracter personal către țări terțe: Articolele 44-50;
  • Capitolul VI Autorități independente de supraveghere: Articolele 51-59;
  • Capitolul VII Cooperarea și coerența: Articolele 60-76;
  • Capitolul VIII Restituiri Obligații și sancțiuni: Articolele 77-84;
  • Capitolul IX Dispoziții referitoare la situațiile specifice de prelucrare: Articolele 85-91.

Sursa: cloudmania*

 

Q8: Sunt operator de date cu caracter personal?

Operatorul de date cu caracter personal este persoana fizică sau juridică, de drept public ori de drept privat care stabilește scopul şi mijloacele prelucrării. Aceasta înseamnă că operatorul a decis să prelucreze date cu caracter personal prin anumite operaţiuni, efectuate prin mijloace automate, precum şi prin alte mijloace decât cele automate. De asemenea, persoana fizică sau juridică poate fi desemnată ca operator printr-un act normativ sau în baza unui act normativ care determină scopul şi mijloacele de prelucrare a datelor cu caracter personal. Pentru ca o prelucrare să intre sub incidenţa prevederilor Legii nr. 677/2001 este necesar ca ea să se desfăşoare în cadrul unui sistem de evidenţă. Prin sistem de evidenţă se înţelege o bază de date, structurată potrivit unor criterii, criterii pe baza cărora datele pot fi accesate (de exemplu, pe criteriul alfabetic).     

Sursa: Site ANSPDCP http://www.dataprotection.ro/?page=IntrebariFrecvente1

 

Q7: Rolul de Data Protection Officer (DPO) e mai potrivit pentru o persoană tehnică sau una non-tehnică?

Un DPO trebuie să înțeleagă un mare număr de probleme tehnice, dar nu trebuie să fie neapărat o persoană tehnică. Acesta ar trebui să fie de fapt o persoană cu o largă orientare, deoarece trebuie să înțeleagă implicațiile afacerii și cum să vorbească și să comunice cu persoane externe, cum ar fi autoritățile de supraveghere. În organizațiile mai mari, în jurul unui DPO se constituie practic un grup, un număr de persoane pe care poate să-i ajute. Sunt companii care au echipe de 2 sau 3 persoane cu responsabilități asemănătoare DPO și care formează biroul responsabilului cu protecția datelor.

Sursa: cloudmania*

 

Q6: Ce înseamnă ”Pseudonimizarea”?

“Pseudonimizarea” este un termen întâlnit în cadrul conceptului ”Privacy by design” și se referă la prelucrarea datelor cu caracter personal în așa fel încât datele personale nu mai pot fi atribuite unui anumit subiect de date fără utilizarea unor informații suplimentare, cu condiția ca aceste informații suplimentare să fie păstrate separat și să facă obiectul unor măsuri tehnice și măsuri organizatorice pentru a se asigura că datele cu caracter personal nu sunt atribuite unei persoane fizice identificate sau identificabile. Cu alte cuvinte, datele personale utilizate pentru diferite procesări de business nu mai pot fi atribuite unei persoane identificabile, ci au ca echivalent un pseudonim, fie că pentru aceasta se folosesc denumiri, coduri numerice sau altfel de identificatori. Important este ca listele care fac asocierea între peroanele vizate și pseudonimele acestora să fie accesibile unui număr restrâns de persoane din cadrul operatorilor de date și a partenerilor de procesare. Listele de pseudonime trebuie de asemenea să facă obiectul unor măsuri tehnice și măsuri organizatorice speciale, pentru a ne asigura că datele cu caracter personal nu sunt atribuite unei persoane fizice identificate sau identificabile.

Sursa: cloudmania*

 

Q5: Care este diferența dintre un procesator de date și un controlor de date?

Controlorul (operatorul – nn) este o entitate care determină scopurile, condițiile și mijloacele de prelucrare a datelor cu caracter personal, în timp ce procesatorul este o entitate care prelucrează date cu caracter personal în numele controlorului.

Sursa: Site-ul oficial GDPR http://www.eugdpr.org/gdpr-faqs.html

 

Q4: Pe cine va afecta GDPR?

A1: GDPR se aplică nu numai organizațiilor cu sediul în statele membre ale Uniunii Europene, ci va fi valabilă și pentru organizațiile din afara UE dacă acestea oferă bunuri sau servicii, sau monitorizează comportamentul unor persoane vizate localizate în UE. Se aplică tuturor companiilor care procesează și stochează datele personale ale subiecților care au locuința de bază în Uniunea Europeană, indiferent de locația companiei
Sursa: Site-ul oficial GDPR http://www.eugdpr.org/gdpr-faqs.html

A2: Regulamentul se aplică controlorilor (operatorilor) și procesatorilor din UE, indiferent de locul în care au loc prelucrările de date.

Regulamentul se aplică în cazul activităților de prelucrare care au legătură cu:

  • Oferirea de bunuri sau servicii, indiferent dacă se solicită o plată a acestor oferte;
  • Monitorizarea comportamentului persoanelor vizate în cadrul UE, atâta vreme cât elementele comportamentului se referă la activitățile derulate de subiecți pe teritoriul Uniunii Europene.

Se aplică operatorilor care nu se află în UE, dar într-un teritoriu în care se aplică legislația statelor membre, în virtutea dreptului public internațional.

Sursa: GDPR, Article 3: Territorial scope

 

Q3: Ce reprezintă date personale?

A1: Orice informație referitoare la o persoană fizică sau la o “persoană vizată”, care poate fi utilizată pentru identificarea directă sau indirectă a persoanei (…constituie date personale –nn). Poate fi orice, de la un nume, o fotografie, o adresă de e-mail, detalii bancare, postări pe site-uri de socializare, informații medicale sau o adresă IP a computerului.

Sursa: Site-ul oficial GDPR http://www.eugdpr.org/gdpr-faqs.html

A2: “date cu caracter personal”- înseamnă orice informaţii privind o persoană fizică identificată sau identificabilă (“persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;

Sursa: GDPR, Article 4: Definitions

Q2: Care este diferența dintre un regulament și o directivă?

A1: Un regulament este un act legislativ obligatoriu. Acesta trebuie aplicat în întregime în întreaga UE, în timp ce o directivă este un act legislativ care stabilește un obiectiv pe care toate țările UE trebuie să-l atingă. Cu toate acestea, depinde de fiecare țară să decidă cum. Este important de menționat că GDPR este un regulament, spre deosebire de legislația anterioară, care este o directivă.

Sursa: Site-ul oficial GDPR http://www.eugdpr.org/gdpr-faqs.html

A2: În dreptul european există două tipuri principale de legislație:

Directive:

  • Implementarea individuală în fiecare stat membru;
  • Implementat prin crearea de legi naționale aprobate de parlamentele fiecărui stat membru;
  • Directiva europeană 95/46 / CE este o directivă;
  • Legea 677 din 2001 este echivalentul Directivei 95/46 cu aplicabilitate pe teritoriul României.

 Regulamente:

  • Cu aplicabilitate imediată în fiecare stat membru
  • Nu impune nicio legislație locală de punere în aplicare
  • UE 2016-679 este un Regulament care va intra în vigoare în data de 25 Mai 2018.

Sursa: cloudmania*

Q1: Când va intra în vigoare GDPR?

Noul Regulament european privitor la protecția datelor personale și la libera circulație a acestora este discutat de noi sub denumirea generică internatională de GDPR (General Data Protection Regulation). GDPR a fost aprobat de Parlamentul European în aprilie 2016 și va intra în vigoare după doi ani de tranziție de la publicarea oficială, începând cu data de 25 mai 2018.

Sursa: Site-ul oficial GDPR http://www.eugdpr.org/gdpr-faqs.html

Notă: Răspunsurile care au menționată ca sursă CloudMania* reprezintă fie propriile nostre răspunsuri, fie conținut preluat de pe site-uri publice neutre sau de la parteneri care prin acordurile de confidențialitate nu pot fi menționați în aceste condiții. Vom încerca să păstrăm aceste infomații cât mai exacte, prin respectarea sursei de  informare.

 

%d bloggers like this: