Analiza GDPR (2): 10 SFATURI PENTRU MANAGERI – NU LĂSAȚI PE MÂINE…

Au trecut 6 luni de la intrarea în vigoare a noului Regulament UE 679 și aproximativ un an de când alinierea GDPR a devenit un subiect extrem de discutat. După o perioadă extrem de agitată, care a culminat cu avalanșa de declarații și solicitări de consimțământ de la sfârșitul lunii mai, lucrurile au intrat treptat, într-o stare de acalmie. Asta poate fi BINE, dacă presupunem că oamenii au înțeles despre ce e vorba și au început demersurile de aliniere. Dar realitatea ne arată că presupunerea este FALSA. Realitatea este alta și ASTA NU E BINE.   

Totul pleacă de la manageri

Demararea unor proiecte de aliniere este legată ombilical de o decizie managerială. Nimic nu se poate face dacă managementul nu este convins de importanța subiectului. Dar înțelegerea importanței nu este totul. Managementul trebuie să gestioneze demararea activităților, să stabilească o echipă, să delege un responsabil și, mai ales să planifice resursele. Adică să se implice.

Orice analiză sau audit de business care constituie prima fază în derularea unui proiect de asigurare a conformității are în vedere nivelul de implicare managerial. Sunt managerii implicați direct, participă la discuții sau au delegat o persoană de încredere care să se ocupe de tot?

Ce situații am întâlnit în realitate? Toate demersurile de implementare realizate până acum, în majoritatea cazurilor,  au fost impulsul unei presiuni externe și destul de puțin și de rar rezultatul unei convingeri reale. Din păcate, încă sunt mulți manageri care consideră GDPR:

  • o mare prostie,
  • un simplu exercițiu birocratic,
  • o amenințare cu penalități uriașe care nu vor periclita niciodată propria organizație,
  • mulți bani aruncați degeaba.
  • o bătaie de cap în plus, care mai poate să aștepte
  • o mare cacealma, nimeni nu a fost amendat pana acum
  • niciunul dintre amici sau parteneri nu a făcut nimic pentru asta și nu li s-a întâmplat nimic
  • cei care au angajat o firmă de consultanță a dat banii degeaba pentru că au fost nevoiți să facă totul singuri…
  • ceva inutil. Eu nu lucrez decât cu date de business. Astea sunt date publice, nu personale

Și lista ar putea continua…

Ce putem face

Oameni buni, niciodată nu e prea târziu. Oricând puteți începe exercițiile de aliniere. Iată câteva sfaturi:

  1. GDPR NE PRIVEȘTE PE TOȚI. Nu e o prostie, o găselniță a politicienilor sau avocaților ca să ne mai ia niște bani. Orice organizație, asociație, sau persoană fizică autorizată exercită o activitate în care ajunge să dețină niște date personale ale clienților, partenerilor sau angajaților E OBLIGATĂ să se supună GDPR.
  2. MĂRIMEA NU CONTEAZĂ. Fie că avem o companie cu 10, 50 sau peste 250 de angajați, fie că suntem o microîntreprindere, un ONG sau o asociație profesională, fie că administrăm o asociație de locatari sau că suntem un consultant independent, avocat, stomatolog sau blogger specializat, AVEM NEVOIE DE GDPR. Desigur că nu toți avem nevoie de toate procedurile și politicile. Dar există un nucleu de activități și măsuri care sunt absolut obligatorii pentru orice fel de organizație. Nu avem cum să evităm asta. TREBUIE SĂ FIM PREGĂTIȚI.
  3. GDPR ÎNSEAMNĂ ASUMAREA RĂSPUNDERII. Suntem răspunzători pentru datele noastre personale. Pentru angajații noștri. Pentru clienții noștri. Pentru partenerii noștri. Nu facem asta cu gândul la inspecțiile Autorității și nici ca pe o simplă formalitate birocratică. O facem pentru binele nostru și al comunității în care trăim și activăm. O FACEM CA RESPONSABILI PENTRU RESPONSABILITATEA NOASTRĂ.
  4. GDPR ESTE MAI MULT DECÂT UN SIMPLU PROIECT. Mai mult decât o implementare de soluții IT. Mai mult decât o revizuire birocratică a documentelor dintr-o altă perspectivă birocratică. Este o acțiune asumată, documentată și permanentă care presupune luarea de decizii, elaborarea de politici, adoptarea de proceduri, dar mai ales o acțiune de echipă, în care avem o triplă implicare: OAMENI, TEHNOLOGIE, PROCESE.
  5. GDPR ESTE O CERINȚĂ PERMANENTĂ. Nu este un simplu hei-rup, o activitate punctuală sau o implementare de proceduri după care cineva îți dă o diplomă. Este un exercițiu permanent, o cerință obligatorie de business pentru întregul ciclu de viață al uni afaceri. Ca să păstrăm un nivel optim de conformitate trebuie să acționăm continuu, să rămânem între anumiți parametri.

Iată un exemplu pe care îl folosesc des în discuțiile din proiecte sau de la ședințele de instruire: Obținerea conformității GDPR poate fi comparată cu pregătirile de decolare pe care le face echipajul unei aeronave. Pregătim instrucțiunile de zbor, verificăm echipajul, consultăm aparatura de bord și demarăm procedurile de decolare. Dar menținerea conformității GDPR pe termen lung trebuie comparată cu zborul propriu-zis. Cu activitățile absolut necesare pentru menținerea la un plafon de 11000 de metri. Nu ne permitem sa greșim. Chiar dacă se setează pilotul automat, cineva tot trebuie să vegheze și să știe în permanență ce este de făcut.

  1. GDPR ESTE O INVESTIȚIE ÎN EFICIENȚĂ. Nu sunt bani aruncați. Nimeni nu ne obligă să facem toate achizițiile dintr-o dată. O analiză de risc poate ajuta la crearea unor planuri de remediere gradată a eventualelor surse de incidente legate de pierderea de date personale. Ne concentrăm pe ce e mai important acum și facem un efort. Un buget alocat pentru viitorul exercițiu financiar ne va ajuta la păstrarea echilibrului balanței. Sunt multe posibilități de realocare a unor bugete în momentul în care am devenit conștienți că E MUSAI NEVOIE DE ASTA.
  2. INSTRUIȚI-VĂ OAMENII. Instruirea nu este o rușine. Este o nevoie permanentă. Nu înțelegeți exact despre ce e vorba și nu aveți timp să vă bateți capul. Participați la o ședință de instruire GDPR de una sau două zile. Sunt deja zeci de cursuri care oferă asta. O puteți face și online, de la birou sau din fotoliul de acasă. Veți vedea despre ce e vorba. Veți înțelege de ce e important. VEȚI REALIZA CE RESPONSABILITĂȚI AVEȚI.
  3. PREGĂTIȚI-VĂ UN SPECIALIST ÎN PROTECȚIA DATELOR. Chiar dacă legea nu vă obligă să angajați sau să numiți un DPO, multe aspecte legate de adoptarea GDPR reclamă competențele unui om care a parcurs o instruire de DPO. Nu așteptați ca să se rezolve problema certificării. Nu mai este timp pentru așteptare. Nu aveți nevoie de diplome, ci de (cel puțin) un om care să știe de unde să înceapă, cu cine să înceapă și ce e de făcut.
  4. AVEM NEVOIE DE CULTURĂ GDPR. Asta înseamnă respectul pentru date. Instruirea permanentă a angajaților. Testarea eficienței sau efectivității procedurilor existente. Adaptarea la schimbare. GDPR va suferi modificări în timp. Verificarea conformității cu normativele conexe precum e Privacy sau NIS. Conformitatea GDPR devine o permanență, la fel ca regulamentele de ordine interioară, protecție împotriva incendiilor sau măsurile de evacuare în caz de calamități naturale. Protejați-vă datele! Scrieți un postit-ul lipit pe ușă unde scrie: ”stinge lumina!”, ”verifică gazele!” sau ”activează alarma!”
  5. GDPR ESTE O OPORTUNITATE, NU O CALAMITATE. Priviți eforturile de aliniere ca pe o investiție în eficientizarea activităților. Ca pe un prim demers în transformarea digitală a organizației. Ca pe o etichetă de încredere față de angajați, clienți și parteneri.

Depinde doar de noi. Este responsabilitatea noastră ca manageri. Conformitatea GDPR nu se poate asigura fără implicarea noastră și a  întregii organizații. De noi depinde cum aplicăm procedurile recomandate de un consultant. De noi depinde cum asimilăm politicile și cum ne asigurăm că oamenii le și respectă. De noi depinde sănătatea și eficiența afacerii noastre. De noi depinde cum putem transforma conformitatea într-un avantaj competitiv.

 

Advertisements

V-AȚI NUMIT DEJA UN DPO?

Dacă DA, felicitări! Aveți acum un ghid să vă conducă prin labirinctul procedurilor, proceselor, politicilor, metodologiilor, recomandărilor, normelor, standardeor și reglementărilor menite să ne faciliteze conformitatea GDPR.

Dacă nu ați făcut-o încă, aveți posibilitatea să îl înregisitrați oficial. Autoritatea Națională de Supraveghere a postat pe site Formularul de înregistrare a Responsabilului cu Protecția Datelor Personale (Data Protection Officer – DPO).

Cum procedura de selecție și de numire a acestui personaj important continua să rămână unul dintre cele mai dezbătute subiecte pre și post 25 Mai, vă propun un acces rapid la o serie de articole care au avut ca principal tematică condițiile de numire a ofițerului cu protecția datelor.

GDPR EXPLICITAT (11) – UN PERSONAJ IMPORTANT: DATA PROTECTION OFFICER, Octombrie 2017

CUM POT OBȚINE CERTIFICAREA DPO ÎN ROMÂNIA?Noiembrie 2017

AVEM UN DPO – CUM ÎL CERTIFICĂM?, Ianuarie 2018

Ghidul Grupului de Lucru Articolul 29 privitor la Responsabilul cu protecția datelor poate fi descărcat de aici:

http://www.dataprotection.ro/servlet/ViewDocument?id=1384

Vă interesează o recomandare pentru cursuri DPO? Completați formularul de mai jos și veți fi contactați.

Nota Confidențialitate: Completând acest formular vă dați acordul pentru a fi contactați în scopul discutării ofertelor de cursuri DPO. Datele Dvs. personale incluse in acest formular vor fi prelucrate doar în scopul pentru care au fost încredințate. Citiți mai mult în Politica de Confidentialitate.

 

Cum pot obține certificarea DPO în România?

International Association of Privacy Professionals (IAPP) estimează un necesar de peste 75.000 de ofițeri pentru protecția datelor în întreaga Europă – înt-o apreciere inițială cifra era de 28.000). Chiar și așa, privind cu luciditate, această cifră pare mult subdimensionată față de nevoile reale din toate țările membre și din toate industriile.

Victimă sigură sau super-erou?

Una dintre marile noutăți cu care vine GDPR este necesitatea stabilirii unui ofițer cu protecția datelor personale, care să joace rolul de intermediar între organizație și autoritatea de supraveghere. Regulamentul stipulează destul de clar în articolele 37 – 39 când trebuie ales, care este rolul și ce îndatoriri are un DPO. Puteți citi despre toate acestea pe larg în recentul meu articol ” GDPR Explicitat (11) : Un personaj important – Data Protection Officer (DPO)”.  Mai mult de atât, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a postat pe site-ul sau în versiunea românească ”Ghidul privind Responsabilul cu protecția datelor (DPO)” care conține recomandări valoroase ale grupului de lucru Articolul 29.

Există deja destule surse de informare legate de condițiile în care trebuie să numim un DPO și cam ce ar trebui să facă un astfel de personaj care va avea un o poziție distinctă în schema oricărei organizații. Cu toate aceste, continuă să existe o serie de incertitudini legate de diferite aspecte. De exemplu, într-o versiune inițială GDPR menționa că orice companie care are peste 250 de angajați e obligată să numească un DPO. Ulterior s-a renunțat la această delimitare și au rămas în vigoare cele trei situații clare în care suntem obligați să numim un DPO.

În conformitate cu Articolul 37, Aliniat 1 din GDPR, trebuie să desemnăm un ofițer de protecție a datelor (DPO) dacă:

  • suntem o autoritate publică (cu excepția instanțelor care acționează în calitatea lor judiciară);
  • efectuăm o monitorizare sistematică, la scară largă, a persoanelor (de exemplu, urmărirea comportamentului online);
  • facem o prelucrare la scară largă a unor categorii speciale de date sau date referitoare la condamnările penale și infracțiuni.

În rest, rămâne la latitudinea noastră dacă vom aloca sau nu o astfel de poziție, chiar dacă avem o microîntreprindere cu 2 angajați… Recomandarea grupului de lucru Articolul 29 este totuși ca în funcție de complexitatea și riscurile asociate activităților de prelucrare a datelor cu caracter personal să fie numit un DPO care poate coordona activitățile de mapare a fluxurilor de date, poate realiza o evaluare de impact sau poate administra analizele de risc.

Alte neclarități sunt legate de statutul oarecum special de subordonare în schema unei organizații, precum și de condițiile în care un DPO poate fi tras la răspundere. De aici și pozițiile oarecum extreme de victimă sigură a autorităților de supraveghere sau de super-erou, care cu vitejia sa poate apăra compania de orice amenințare. În fine, alte discuții controversate se referă la pregătirea optimă a unui DPO și din ce departament ar trebui recrutat: HR, legal, operațional sau IT? Și aici există o multitudine de recomandări ce oferă o plajă largă de soluții, precum constituirea unui grup de acțiune cu reprezentanți ai tuturor departamentelor implicate care să susțină în permanență – și la o adică să poată să suplinească, rolul unui DPO. La limita extremă este apelarea la serviciile unui DPO super-specializat, care eventual poate consilia mai multe organizații, la limita conflictului de interese. Și aici fiecare poate să aleagă soluția cea mai convenabilă.

Dacă ne uităm însă la recomandările organismelor de certificare cu recunoaștere internațională precum IAPP sau PECB vom vedea că pentru acordarea unei diplome de Certified Data Protection Officer este nevoie de o experiență de minim 2-3 ani în protecția datelor personale. De aici reiese că un candidat serios la poziția de DPO trebuie să fi avut un rol cu certe competențe tehnologice și operaționale, oameni cu experiență în project management, data quality, baze de date, managementul riscurilor, securitatea sau protecția datelor. Diferitele statistici arată că în prezent e nevoie de cel puțin 25-30 de ore de instruire doar pentru a obține o înțelegere coerentă a problematicii GDPR, și de ceva mai mult timp pentru pregătirea poziției de DPO.

Unde ne certificăm ofițerii pentru protecția datelor? O soluție este programul de cursuri RQM Cert

Iată-ne ajunși la un alt punct de răscruce în eforturile noastre pentru conformitate. Am identificat cel mai potrivit om din organizație care ne poate reprezenta în fața autorităților, dar cum îl instruim? Unde găsim cursuri de certificare pentru poziția de DPO? Dacă veți citi Catalogul GDPR Ready publicat recent, veți găsi mai multe programe de instruire disponibile la ora aceasta la noi în țară.

La evenimentul Noua ordine europeană pentru protecția datelor personale organizat de agenția Concord Communication în 12 octombrie și având ca partener principal casa de avocatură Mușat & Asociații, a participat și compania RQM Certification, partener PECB pentru România, care a oferit o prezentare a serviciilor de pregătire profesională pentru poziția de Certified Data Protection Officer.

Programul de instruire oferit de RQM Certification este acreditat de PECB, organizație cu sediul în Canada recunoscută internațional pentru competențele și expertiza în implementările standardelor ISO. PECB este un organism de certificare pentru persoane, sisteme de management și produse, pentru o gamă largă de standarde internaționale. Ca furnizor global de servicii de instruire, examinare, audit și certificare, PECB oferă expertiza sa în mai multe domenii precum securitatea informației, IT, continuitatea afacerii, managementul serviciilor, sistemele de management al calității sau managementul riscului. Prin parteneriatul cu PECB, compania RQM Cert poate asigura în România obținerea certificărilor pentru standardele ISO 9001, ISO/TS 16949, ISO 31000, ISO 14001 și ISO 27001.

Certificarea DPO oferită de RQM permite specialiștilor desemnați să dobândească expertiza necesară pentru a înțelege riscurile care ar putea avea un impact negativ asupra organizației, oferindu-le cunoștințele esențiale pentru a implementa strategia necesară, pe baza celor mai bune practici, cerințe și principii GDPR. Cursurile Certified Data Protection Officer  organizate de RQM Cert sunt eșalonate pe o durată de 5 zile lucrătoare și sunt structurate în 25 de secțiuni ce acoperă o largă paletă de probleme, de la elementele de bază conținute de GDPR, la analiza nivelului de pregătire, implementarea și complianța, la obținerea și mai ales păstrarea nivelului de conformitate necesar pentru evitarea oricărui risc și continuitatea în business.

    

 

GDPR Explicitat (11) : Un personaj important – Data Protection Officer (DPO)

Una dintre noutățile cu care a venit GDPR este obligativitatea numirii unui ofițer responsabil cu protecția datelor (DPO – Data Protection Offcier) al cărui rol principal este coordonare și supraveghere a implementării condițiilor de conformitate GDPR, precum și ca persoană de legătură între organizație și autoritatea de supraveghere.

Deși condițiile numirii unui DPO, sarcinile și competențele acestuia sunt stipulate destul de clar în Articolele 37 – 39 din noul Regulament, importanța strategică a acestei poziții face ca subiectul să fie în centrul atenției în toate discuțiile și recomandările legate de GDPR. În acest articol vom prezenta elementele esențiale legate de numirea DPO și vom încerca să lămurim câteva dintre aspectele cele mai controversate.

Când suntem obligați să numim un ofițer de protecție a datelor?

Potrivit GDPR, este obligatoriu ca anumiți operatori și persoane împuternicite de operatori să desemneze un ofițer de protecție a datelor (DPO). În această situație se află toate autoritățile și organismele publice, indiferent de tipul datelor prelucrate, precum și  celelalte organizații care monitorizează în mod sistematic și pe scară largă persoanele fizice sau prelucrează categorii speciale de date cu caracter personal pe scară largă. Chiar și în situația în care GDPR nu impune în mod expres numirea unui DPO, organizațiile pot găsi ca fiind utilă desemnarea unui DPO în mod voluntar. Grupul de Lucru Articolul 29 („WP29”) încurajează aceste eforturi voluntare.

În conformitate cu Articolul 37, Aliniat 1 din GDPR, trebuie să desemnați un ofițer de protecție a datelor (DPO) dacă:

  • sunteți o autoritate publică (cu excepția instanțelor care acționează în calitatea lor judiciară);
  • efectuați o monitorizare sistematică, la scară largă, a persoanelor (de exemplu, urmărirea comportamentului online);
  • faceți o prelucrare la scară largă a unor categorii speciale de date sau date referitoare la condamnările penale și infracțiunile.

Există însă cazuri în care un grup de organizații, cum ar fi de exemplu partenerii dintr-un lanț de distribuție,  execută în mod frecvent activități comune care implică fluxuri de date ce pot fi controlate și monitorizate centralizat, la nivel de grup sau asociație de parteneri. În asemenea situații, puteți desemna un singur ofițer de protecție a datelor care să acționeze pentru un grup de organizații sau autorități publice, ținând cont de structura și dimensiunea acestora.

Alineatele 2 – 4 din Articolul 37: Desemnarea responsabilului cu protecţia datelor explicitează cele mai importante astfel de cazuri:

”(2) Un grup de organizații poate numi un responsabil cu protecţia datelor unic, cu condiţia ca responsabilul cu protecţia datelor să fie uşor accesibil din fiecare întreprindere.

(3) În cazul în care operatorul sau persoana împuternicită de operator este o autoritate publică sau un organism public, poate fi desemnat un responsabil cu protecţia datelor unic pentru mai multe dintre aceste autorităţi sau organisme, luând în considerare structura organizatorică şi dimensiunea acestora.

(4) În alte cazuri decât cele menţionate la alineatul (1), operatorul sau persoana împuternicită de operator ori asociaţiile şi alte organisme care reprezintă categorii de operatori sau de persoane împuternicite de operatori pot desemna sau, acolo unde dreptul Uniunii sau dreptul intern solicită acest lucru, desemnează un responsabil cu protecţia datelor. Responsabilul cu protecţia datelor poate să acţioneze în favoarea unor astfel de asociaţii şi alte organisme care reprezintă operatori sau persoane împuternicite de operatori.”

Potrivit aceluiași Articol 37, responsabilul cu protecția datelor este desemnat pe baza calităților profesionale și, în special, a cunoștințelor experților privind legislația și practicile privind protecția datelor și capacitatea de a îndeplini sarcinile menționate la Articolul 39. În anumite situații, agentul responsabil cu protecția datelor poate fi membru al personalului operatorului sau prelucrătorului sau poate îndeplini sarcinile pe baza unui contract de servicii externalizate. Controlorul sau procesatorul trebuie să publice datele de contact ale responsabilului cu protecția datelor și să le comunice autorității de supraveghere.

Care este rolul funcției de DPO?

Prin natura funcției și a împuternicirilor de care dispune, un DPO deține o poziție centrală, cu rol strategic, într-o organizație. Particularitățile și noutatea acestei poziții nasc o serie de întrebări care parțial sunt clarificate prin textul GDPR. La altele vom încerca să găsim noi răspunsul.

Potrivit Articolului 38: Funcţia responsabilului cu protecţia datelor, noi ca operatori trebui să ne asigurăm că responsabilul cu protecţia datelor ”este implicat în mod corespunzător şi în timp util în toate aspectele legate de protecţia datelor cu caracter personal”. Mai mult de atât, avem datoria să acordăm DPO tot sprijinul pentru îndeplinirea sarcinilor menţionate la Articolul 39, asigurându-i toate resursele necesare pentru buna executare a acestor sarcini. Printre aceste resurse se numără accesul la datele cu caracter personal şi la operaţiunile de prelucrare a acestora, cât și facilitarea accesului la resursele de instruire, pentru menţinerea cunoştinţelor sale de specialitate.

Un aspect foarte important și deci și foarte comentat legat de poziția DPO în cadrul unei organizații este autonomia acestuia în problemele de siguranța a datelor. Așa cum zice Articolul 38, Alineatul 3: ”Operatorul şi persoana împuternicită de operator se asigură că responsabilul cu protecţia datelor nu primeşte niciun fel de instrucţiuni în ceea ce priveşte îndeplinirea acestor sarcini.” Cum spuneam, această poziție privilegiată a generat numeroase discuții și nelămuriri privitoare la poziționarea acestei funcții în relațiile cu structurile de management și celelalte linii de business.

Nedumeririle sunt și mai mult accentuate de prevederea regulamentului prin care un DPO nu poate fi demis sau sancţionat de către operator pentru îndeplinirea sarcinilor sale. Responsabilul cu protecţia datelor răspunde direct în faţa celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator. Cele mai frcvente întrebări sunt legate de ce se întâmplă în situația în care sfaturile sau recomandările DPO sunt depășite sau eronate, ceea ce atrage vulnerabilități în privința rotecției datelor.  Un alt rol critic al DPO este acela de a prelua comunicarea cu persoanele vizate, în cazul în care acestea se prevalează de exercitarea drepturilor lor, în temeiul prezentului regulament.

Un alt punct important, în special în situația în care DPO își exercită activitățile ca extern, pentru una sau mai multe companii, este obligaţia de a respecta secretul și confidenţialitatea în ceea ce priveşte îndeplinirea sarcinilor sale. E clar că acest lucru trebuie reglementat printr-o secțiune specială a contractului individual de muncă sau a contractului de prestări de servicii. Astfel de reglementări trebuie să menționeze explicit care sunt categoriile de informații la care DPO are dreptul de acces, care este rolul său în prelucrarea efectivă a datelor și cum poate gira acesta condițiile asumate de organizație prin limitarea volumului de date procesate, siguranța comunicării sau a stocării.

Potrivit Alineatului 6 din Articolul 38: ”Responsabilul cu protecţia datelor poate îndeplini şi alte sarcini şi atribuţii. Operatorul sau persoana împuternicită de operator se asigură că niciuna dintre aceste sarcini şi atribuţii nu generează un conflict de interese.” Dar înainte de alte comentarii, haideți să vede care sunt sarcinile de bază ale unui DPO.

Ce atribuții aveți în calitate de DPO?

Condițiile minime pe care trebuie să le asigurați dacă aveți funcția de DPO sunt definite în Articolul 39:

  • Să informați și să consiliați organizația și angajații cu privire la obligațiile de a respecta GDPR și alte legi privind protecția datelor;
  • Să monitorizați respectarea GDPR și a altor legi privind protecția datelor, inclusiv gestionarea activităților interne de protecție a datelor;
  • Să consiliați activitățile organizației ce au legătură cu evaluările de impact privind protecția datelor;
  • Să instruiți personalul și să efectuați audituri interne;
  • Să fiți primul punct de contact pentru autoritățile de supraveghere și pentru persoanele fizice ale căror date sunt prelucrate (angajați, clienți etc.).

Dar poate cel mai important aspect al acestor atribuții este legat de faptul că, în îndeplinirea sarcinilor dvs. de DPO, trebuie să ţineți seama, în mod corespunzător (zice legea), dar cu maximă responsabilitate (zic cele mai bune practici) de riscul asociat operaţiunilor de prelucrare. Și aici trebuie să țineți seama atât de natura și de domeniul de aplicare, cât și de contextul şi scopurile prelucrării.

De ce calificare am nevoie pentru a deveni ofițer de protecție a datelor?

Responsabilul cu protecția datelor trebuie să aibă calitățile profesionale și cunoștințele profesionale adecvate recunoscute de legislația privind protecția datelor. În prezent, nu există o cerință expresă de a deține o anumită calificare sau certificare. Cu toate acestea, deținerea unei certificări  în conformitate cu GDPR este o modalitate eficientă de a demonstra cunoștințele experților. Conform GDPR, ca DPO trebuie să beneficiați de toate condițiile și tot suportul organizației pentru a avea acces la cele mai performante resurse de instruire.

Un DPO trebuie să fie independent. Acest lucru nu înseamnă neapărat că, în calitate de operator sau procesator, trebuie să numiți o persoană externă; rolul DPO poate fi îndeplinit de un angajat. Postul poate fi un rol cu ​​jumătate de normă sau combinat cu alte sarcini, însă, în îndeplinirea rolului, DPO trebuie să aibă o linie independentă de raportare și să fie împuternicit să raporteze direct comitetului fără intervenție. Ceea ce este important este faptul ca, pentru a-și îndeplini sarcinile, persoana desemnată trebuie să fie un profesionist în domeniul protecției datelor cu “cunoștințe de specialitate privind legislația și practicile privind protecția datelor“.

Recomandările Grupului de lucru Articolul 29

Printre numeroasele informații, ghiduri, texte de lege și documente extrem de utile publicate pe site-ul Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) poate fi găsit și descărcat ”Ghidul privind Responsabilul cu protecția datelor (‘DPO’). Publicat de grupul de lucru Articolul 29  în decembrie 2016 și revizuit în aprilie 2017, acest ghid are menirea de a oferi tuturor operatorilor informațiile cele mai pertinente privind necesitatea numirii unui responsabil cu protecția datelor, precum și principalele atribuții ale acestora.

Cu toate că Directiva 95/46/CE3 (încă aflată în vigoare) nu impune niciunei organizații să numească un DPO, această practică de numire a unui DPO s-a dezvoltat, de-a lungul anilor, în mai multe state membre. Anterior adoptării RGPD, grupul de lucru Articolul 29 a susținut că DPO reprezintă un punct important al responsabilității și că numirea unui DPO poate facilita respectarea și, în plus, poate reprezenta un avantaj competitiv pentru companii.

Pe lângă facilitarea respectării prin punerea în aplicare a instrumentelor de responsabilitate (cum ar fi facilitarea evaluărilor impactului asupra protecției datelor și efectuarea sau facilitarea auditurilor), DPO acționează ca intermediar între părțile interesate relevante (de exemplu autoritățile de supraveghere, persoanele vizate și liniile de business din cadrul unei organizații).

Este important de știut că DPO nu este personal responsabil în caz de nerespectare a RGPD. Regulamentul spune clar că responsabil este operatorul sau persoana împuternicită de operator care trebuie să se asigure și să fie în măsură să demonstreze că prelucrarea este efectuată în conformitate cu dispozițiile sale (Articolul 24, Alineat 1). Respectarea normelor de protecție a datelor reprezintă responsabilitatea operatorului sau a persoanei împuternicite de operator. Operatorul sau persoana împuternicită de operator are de asemenea un rol crucial în a permite îndeplinirea eficientă a atribuțiilor DPO. Numirea unui DPO reprezintă un prim pas, dar trebuie să se asigure că DPO are autonomie și resurse suficiente pentru îndeplinirea sarcinilor într-un mod eficient.

Care sunt situațiile în care poate apărea conflictul de interese?

Iarăși un aspect important și mult discuta și comentat privitor la rolul și atribuțiile DPO în cadrul unei organizații. Iată câteva considerații privitoare la Conflictul de interese extrase din Ghidul menționat mai sus.

Articolul 38, Alineatul 6 din GDPR permite DPO „să îndeplinească și alte sarcini și atribuții”. Cu toate acestea, este nevoie ca organizația să se asigure că „niciuna dintre aceste sarcini și atribuții nu generează un conflict”. Absența conflictului de interese este strâns legată de obligația de a acționa în mod independent. Cu toate că îi este permis să aibă și alte funcții, acestuia îi pot fi încredințate alte sarcini și atribuții cu condiția ca acestea să nu dea naștere unor conflicte de interese.

Acest lucru se referă mai ales la faptul că rolul de DPO nu presupune și libertatea de a stabili scopurile și mijloacele de prelucrare a datelor cu caracter personal. Acest lucru trebuie luat în considerare de la caz la caz, ținându-se cont de structura organizațională specifică fiecărei organizații. Ca regulă generală, funcții din cadrul organizației cu care poate intra în conflict pot include funcții de conducere (cum ar fi director executiv, director operațional, director financiar, șeful serviciului medical, șeful departamentului de marketing, șef departamentului de resurse umane sau șeful departamentului IT), dar, în același timp, și alte funcții inferioare dacă acestea conduc la posibilitatea de a stabili scopurile și mijloacelor de prelucrare.

În plus, un conflict de interese poate apărea, în situația în care un DPO extern este rugat să reprezinte operatorul sau persoana împuternicită de operator în instanță, în cazurile care implică probleme de protecție a datelor. În funcție de activitățile, dimensiunea și structura organizației, o bună practică pentru operatori și persoanele împuternicite de operatori ar putea fi:

  • să identifice funcțiile ce ar fi incompatibile cu funcția de DPO;
  • să elaboreze norme interne pentru a evita conflictele de interese;
  • să includă o explicație mai generală cu privire la conflictele de interese;
  • să declare că DPO nu are niciun conflict de interese în ceea ce privește funcția sa;
  • să includă garanții în normele interne ale organizației și să se asigure că anunțul de post vacant pentru funcția de DPO sau contractul de prestări servicii este suficient de precis și detaliat pentru a evita conflictul de interese.

În acest context, trebuie avut în vedere faptul că respectivele conflicte de interese mai pot lua diverse forme în funcție de faptul dacă DPO este recrutat intern sau extern.

Concluzionând, indiferent de organizație, sunteți liberi să numiți DPO, cu condiția să dispuneți de resurse pentru această poziție, iar persoana desemnată să aibă abilități suficiente pentru a-și îndeplini obligațiile stipulate de GDPR. Deși legea spune clar care sunt cazurile în care trebuie obligatoriu numit un DPO, conform grupului de lucru Articolul 29, în cazul în care considerați necesar, este recomandabil să numiți un DPO, care să corespundă tuturor condițiilor discutate până acum.  Obligațiile GDPR sunt de așa natură încât o consiliere și un sprijin pe care le avem la îndemână, din partea unui specialist în protecția datelor, pot fi un pas esențial pentru gestionare a riscurilor.

 

Urmăriți articolele publicate în cadrul inițiativei GDPR Ready!  În următorul material ne vom ocupa de condițiile de numire ale unui Data Protection Officer (DPO), precum și principalele sarcini ale acestuia.

 

Vă interesează o recomandare pentru cursuri DPO? Completați formularul de mai jos și veți fi contactați.

Nota Confidențialitate: Completând acest formular vă dați acordul pentru a fi contactați în scopul discutării ofertelor de cursuri DPO. Datele Dvs. personale incluse in acest formular vor fi prelucrate doar în scopul pentru care au fost încredințate. Citiți mai mult în Politica de Confidentialitate.

 

%d bloggers like this: