Cum îl numim, cum îl pregătim și ce îl punem să facă pe DPO. Sunt cele mai discutate subiecte din ultimul an. 

Unul dintre cele mai discutate subiecte legate de protecția datelor personale, încă de acum doi ani când s-a anunțat aprobarea finală a Parlamentului European, a fost cel legat de un personaj cheie, despre care nu se mai discutase până atunci: Ofițerul de protecția datelor personale sau așa cum îl știe toată lumea: DPO. A fost și este încă un subiect controversat și de aceea e bine să venim cu o serie de lămuriri.

ASPECTE NECLARE ASOCIATE POZIȚIEI DE DPO

Orice operator de date personale cu peste 250 de angajați este obligat să numească/ angajeze un DPO – o informație falsă care a circulat multă vreme în virtutea faptului că într-una dintre versiunile intermediare ale Regulamentului UE 679/2016 era prevăzută acest diferențiator, asociat cu granița dintre companiile de mărime medie și cele mari.

Deși obligativitatea numirii unui DPO este acum foarte clară prin conținutul Art.37, Alin.1, se mențin încă neclarități generate de ambiguitatea definirii unor termeni precum ”monitorizare sistematică” sau ”scară largă”, care apare menționat aici de două ori.

Articolul 37, Aliniat 1 din GDPR, zice că trebuie desemnat un ofițer de protecție a datelor (DPO) pentru:

• o autoritate publică (cu excepția instanțelor care acționează în calitatea lor judiciară);
• organizații care fac o monitorizare sistematică, la scară largă, a persoanelor;
• organizații care fac o prelucrare la scară largă a unor categorii speciale de date.

GDPR nu definește ce înseamnă „autoritate publică sau organism public”. Grupul de Lucru Articolul 29 – pe care îl vom numi în continuare WP29 –  consideră că o asemenea noțiune trebuie stabilită în conformitate cu dreptul intern. În consecință, autoritățile și organismele publice includ autoritățile naționale, regionale și locale, dar conceptul, în conformitate cu legislația națională aplicabilă, include, de asemenea, o serie de alte organisme guvernate de legislația în domeniul public. În astfel de cazuri, desemnarea unui DPO este obligatorie.

”Monitorizarea periodică și sistematică” – Noțiunea de monitorizare periodică și sistematică a persoanelor vizate nu este definită în GDPR, dar conceptul de „monitorizare a comportamentului persoanelor vizate” este menționat în Considerentul 24 și include toate formele de urmărire și profilarea pe Internet, inclusiv în scop de publicitate comportamentală. Cu toate acestea, noțiunea de monitorizare nu este restricționată în mediul online, iar urmărirea online ar trebui să fie considerată doar ca un exemplu de monitorizare a comportamentului persoanelor vizate.

WP29 interpretează „periodic” ca însemnând una sau mai multe din următoarele:

• în curs de desfășurare sau care apare la anumite intervale într-o anumită perioadă
• recurente sau repetate la perioade fixe
• constante sau care au loc periodic WP29 interpretează „sistematic” ca însemnând una sau mai multe din următoarele:
• apărut conform sistemului pre-aranjat, organizat sau metodic
• luând loc ca parte a unui plan general de colectare a datelor
• efectuat ca parte a unei strategii

Exemple de activități care pot constitui o monitorizare periodică și sistematică a persoanelor vizate: operarea unei rețele de telecomunicații; furnizarea de servicii de telecomunicații; e-mail de direcționare repetată; activități de marketing bazate pe date; profilare și scoring în scopul evaluării riscurilor (de exemplu, în scopul de credit scoring, stabilirea primelor de asigurare, de prevenire a fraudelor, detectarea spălării banilor); urmărirea locației, spre exemplu, prin aplicații mobile; programe de loialitate; publicitate comportamentală; monitorizarea wellness, fitness și a datelor de sănătate prin intermediul dispozitivelor portabile; televiziune cu circuit închis; dispozitive conectate spre exemplu, contoare inteligente, mașini inteligente, automatizare acasă, etc.

”Pe scară largă”: Potrivit Considerentului 91, ar putea fi incluse aici „operațiunile de prelucrare pe scară largă care au drept obiectiv prelucrarea unui volum considerabil de date cu caracter personal la nivel regional, național sau supranațional și care ar putea afecta un număr mare de persoane vizate și care sunt susceptibile de a genera un risc ridicat”. Pe de altă parte, considerentul prevede în mod expres că „prelucrarea datelor cu caracter personal nu ar trebui considerată a fi la scară largă în cazul în care prelucrarea se referă la date cu caracter personal de la pacienți sau clienți ai unui anumit medic sau un alt profesionist în domeniul sănătății sau un avocat”. Este important să se ia în considerare faptul că, în timp ce considerentul oferă exemple aflate la extremele scalei (prelucrare efectuată de un medic în comparație cu prelucrarea datelor dintr-o țară întreagă sau din Europa), există o zonă mare gri între aceste extreme. În plus, trebuie amintit faptul că acest considerent se referă la evaluările impactului asupra protecției datelor. Acest lucru implică faptul că unele elemente pot fi specifice în acest context și nu se aplică neapărat la desemnarea DPO în același mod.

În orice caz, WP29 recomandă ca următorii factori să fie luați în considerare atunci când se stabilește dacă prelucrarea este efectuată pe o scară largă:

• numărul persoanelor vizate – ori un număr exact ori un procent din populația relevantă
• volumul datelor și/sau gama de elemente diferite de date în curs de prelucrare
• durata sau permanența activității de prelucrare a datelor
• aria geografică acoperită de activitatea de prelucrare

Aprobarea și publicarea Legii 190/ 2018 în luna iunie a indus un nou val de confuzii prin Articolul 4 care se ocupă de prelucrarea unui număr de identificare național și care vine cu obligativitatea angajării unui DPO pentru toți operatorii care au ca principal temei legal Legitimul Interes. Confuziile sunt evident generate de faptul că dintre toate cele 6 temeiuri legale enunțate prin Articolul 6 – Legalitatea prelucrării, Legitimul Interes este cel mai dificil de stabilit prin prisma echilibrului ce trebuie menținut cu interesele private ale persoanei vizate și a unor seturi de analize menite să probeze valabilitatea ca temei legal într-o sumedenie de situații particulare. Mai multe pe această temă într-un articol Analiza GDPR dedicat Legitimului Interes.

Legea 190/ 2018 prin Art.4 stipulează ca orice Operator de date personale care prelucrează date cu caracter special precum numerele de identificare națională (serie Card Identitate, CNP, serie Pașaport, serie Permis Conducere, serie Card Sănătate) și are ca temei legal Legitimul interes e obligat să numească un DPO, pe lângă alte condiții speciale.

Art. 4: Prelucrarea unui număr de identificare național

(1)Prelucrarea unui număr de identificare naţional, inclusiv prin colectarea sau dezvăluirea documentelor ce îl conţin, se poate efectua în situaţiile prevăzute de art. 6 alin. (1) din Regulamentul general privind protecţia datelor.

(2)Prelucrarea unui număr de identificare naţional, inclusiv prin colectarea sau dezvăluirea documentelor ce îl conţin, în scopul prevăzut la art. 6 alin. (1) lit.f) din Regulamentul general privind protecţia datelor, respectiv al realizării intereselor legitime urmărite de operator sau de o parte terţă, se efectuează

cu instituirea de către operator a următoarelor garanţii:

a)punerea în aplicare de măsuri tehnice şi organizatorice adecvate pentru respectarea, în special, a principiului reducerii la minimum a datelor, precum şi pentru asigurarea securităţii şi confidenţialităţii prelucrărilor de date cu caracter personal, conform dispoziţiilor art. 32 din Regulamentul general privind protecţia datelor;

b)numirea unui responsabil pentru protecţia datelor, în conformitate cu prevederile art. 10 din prezenta lege;

c)stabilirea de termene de stocare în funcţie de natura datelor şi scopul prelucrării, precum şi de termene specifice în care datele cu caracter personal trebuie şterse sau revizuite în vederea ştergerii;

d)instruirea periodică cu privire la obligaţiile ce le revin a persoanelor care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, prelucrează date cu caracter personal.

Multe discuții și nelămuriri au avut ca temă autonomia DPO în problemele de siguranță a datelor, mai ales aspectele ce țin de poziționarea acestei funcții în relațiile cu structurile de management și celelalte linii de business. Așa cum zice Articolul 38, Alineatul 3: ”Operatorul şi persoana împuternicită de operator se asigură că responsabilul cu protecţia datelor nu primeşte niciun fel de instrucţiuni în ceea ce priveşte îndeplinirea acestor sarcini.” Mai mult de atât, operatorii au datoria de a acorda DPO tot sprijinul pentru îndeplinirea sarcinilor menţionate la Articolul 39, asigurându-i toate resursele necesare pentru buna executare a acestor sarcini. Printre aceste resurse se numără accesul la datele cu caracter personal şi la operaţiunile de prelucrare a acestora, cât și facilitarea accesului la resursele de instruire, pentru menţinerea cunoştinţelor sale de specialitate.

În fine, alte discuții controversate se referă la pregătirea optimă a unui DPO și din ce departament ar trebui recrutat: HR, legal, operațional sau IT? Aici există o multitudine de recomandări ce oferă o plajă largă de soluții, precum constituirea unui grup de acțiune cu reprezentanți ai tuturor departamentelor implicate care să susțină în permanență – și la o adică să poată să suplinească, rolul unui DPO. La limita extremă este apelarea la serviciile unui DPO super-specializat, care eventual poate consilia mai multe organizații, la limita conflictului de interese. Și aici fiecare poate să aleagă soluția cea mai convenabilă.

Destul de neclare sunt și situațiile în care numirea unui DPO intern ar putea genera un conflict de interese. Potrivit Alineatului 6 din Articolul 38: ”Responsabilul cu protecţia datelor poate îndeplini şi alte sarcini şi atribuţii. Operatorul sau persoana împuternicită de operator se asigură că niciuna dintre aceste sarcini şi atribuţii nu generează un conflict de interese.”

Ca recomandare practică, este de dorit ca un DPO să nu îndeplinească în același timp și orice altă funcție implică accesul și prelucrarea de date personale. Adică nu putem avea un DPO care este în același timp șef de resurse umane, financiar-contabilitate, vânzări sau servicii IT. Asta nu înseamnă că nu putem aloca responsabilități DPO oricărui angajat din aceste departamente care este degrevat de vechea funcție și urmează să activeze în condiții de deplină neutralitate, conform fișei postului.

CARE SUNT AȘTEPTĂRILE DE LA UN DPO

Prin natura funcției și a împuternicirilor de care dispune, un DPO deține o poziție centrală, cu rol strategic, într-o organizație.

Potrivit Articolului 38: Funcţia responsabilului cu protecţia datelor, operatorii trebuie să se asigure că responsabilul cu protecţia datelor ”este implicat în mod corespunzător şi în timp util în toate aspectele legate de protecţia datelor cu caracter personal”.

Regulamentul prevede că un DPO nu poate fi demis sau sancţionat de către operator pentru îndeplinirea sarcinilor sale. Responsabilul cu protecţia datelor răspunde direct în faţa celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator.

Un alt rol critic al DPO este acela de a prelua comunicarea cu persoanele vizate, în cazul în care acestea se prevalează de exercitarea drepturilor lor, în temeiul prezentului regulament.

Un alt punct important, în special în situația în care DPO își exercită activitățile ca extern, pentru una sau mai multe companii, este obligaţia de a respecta secretul și confidenţialitatea în ceea ce priveşte îndeplinirea sarcinilor sale, ceea ce trebuie reglementat printr-o secțiune specială a contractului individual de muncă sau a contractului de prestări de servicii.

Astfel de reglementări trebuie să menționeze explicit care sunt categoriile de informații la care DPO are dreptul de acces, care este rolul său în prelucrarea efectivă a datelor și cum poate gira acesta condițiile asumate de organizație prin limitarea volumului de date procesate, siguranța comunicării sau a stocării.

Este important ca DPO sau echipa sa, să fie implicat, cât mai devreme posibil, în toate aspectele legate de protecția datelor. DPO trebuie privit ca un partener de discuție în cadrul organizației și trebuie inclus în grupurile de lucru relevante care se ocupă cu activități de prelucrare a datelor din cadrul organizației. În consecință, organizația ar trebui să se asigure că:

• DPO este invitat să participe în mod regulat la ședințele conducerii la nivel înalt și la nivel mediu.
• Prezența DPO este recomandată în cazul în care se iau decizii cu implicații asupra protecției datelor. Toate informațiile relevante trebuie să fie transmise DPO în timp util pentru a permite ca acesta să ofere o consiliere corespunzătoare.
• Avizului DPO trebuie să i se acorde întotdeauna o importanță deosebită. În caz de dezacord, WP29 recomandă, ca bună practică, documentarea motivelor pentru care nu a fost urmat avizul DPO.
• DPO trebuie să fie consultat cu promptitudine imediat ce a avut loc o încălcare a securității datelor sau un alt incident. Atunci când este cazul, operatorul sau persoana împuternicită de operator ar putea elabora ghiduri privind protecția datelor sau proceduri care stabilesc situații când DPO trebuie să fie consultat.

CE EXPERIENȚĂ TREBUIE SĂ AIBĂ UN DPO

Responsabilul cu protecția datelor trebuie să aibă calitățile profesionale și cunoștințele profesionale adecvate recunoscute de legislația privind protecția datelor. În prezent, nu există o cerință expresă de a deține o anumită calificare sau certificare. Cu toate acestea, deținerea unei certificări  în conformitate cu GDPR este o modalitate eficientă de a demonstra cunoștințele experților.

În Articolul 39, Alineatul 1 din GDPR ni se spune care sunt sarcinile care îi revin unui DPO. Să vedem cam ce experiență necesită fiecare:

• informarea şi consilierea companiei şi personalului care se ocupă de prelucrare cu privire la obligaţiile GDPR, dar și altor dispoziţii de drept al Uniunii sau drept intern referitoare la protecţia datelor – impune aptitudini clare pe parte legislativă și procedurală;
• monitorizarea respectării GDPR, a altor dispoziţii de drept referitoare la protecţia datelor şi a politicilor de protecţie a datelor cu caracter personal, inclusiv alocarea responsabilităţilor şi acţiunile de sensibilizare şi de formare a personalului implicat în operaţiunile de prelucrare, precum şi auditurile aferente – în plus față de abiltățile legislative se recomandă aptitudini manageriale de alocare a responsabilităților, sensibilizare și de formare a personalului, precum și experiență de auditare;
• furnizarea de consiliere la cerere în ceea ce priveşte evaluarea impactului asupra protecţiei datelor şi monitorizarea funcţionării acesteia, în conformitate cu articolul 35 – aici e clar că e nevoie de cineva familiarizat cu evaluarea riscurilor și a impactului asupra protecției datelor;
• cooperarea cu autoritatea de supraveghere; – aici practic e doar o chestiune de reprezentare, DPO acționând ca persoana de contact;
• punct de contact pentru autoritatea de supraveghere – la fel ca mai sus.

Din ce avem până acum, reiese că un DPO trebuie să aibă cunoștințe temeinice de legislație internă și europeană, să aibă un bun spirit managerial, să fie capabil să facă o analiză de risc și să fie un bun comunicator.

Un DPO trebuie să fie independent. Acest lucru nu înseamnă neapărat că, în calitate de operator sau procesator, trebuie să numiți o persoană externă; rolul DPO poate fi îndeplinit de un angajat. Postul poate fi un rol cu ​​jumătate de normă sau combinat cu alte sarcini, însă, în îndeplinirea rolului, DPO trebuie să aibă o linie independentă de raportare și să fie împuternicit să raporteze direct comitetului fără intervenție. Ceea ce este important este faptul ca, pentru a-și îndeplini sarcinile, persoana desemnată trebuie să fie un profesionist în domeniul protecției datelor cu “cunoștințe de specialitate privind legislația și practicile privind protecția datelor“.

Dacă ne uităm însă la recomandările unor organisme de certificare cu recunoaștere internațională precum IAPP sau PECB, vom vedea că pentru acordarea unei diplome de Certified Data Protection Officer este nevoie de o experiență de minim 2-3 ani în protecția datelor personale. De aici reiese că un candidat serios la poziția de DPO trebuie să fi avut un rol cu certe competențe tehnologice și operaționale, oameni cu experiență în project management, data quality, baze de date, managementul riscurilor, securitatea sau protecția datelor. Diferitele statistici arată că în prezent e nevoie de cel puțin 25-30 de ore de instruire doar pentru a obține o înțelegere coerentă a problematicii GDPR, și de ceva mai mult timp pentru pregătirea poziției de DPO.

RECOMANDĂRILE WP29

”Ghidul privind Responsabilul cu protecția datelor (‘DPO’) publicat de grupul de lucru Articolul 29  în decembrie 2016 și revizuit în aprilie 2017, oferă operatorilor informațiile cele mai pertinente privind necesitatea numirii unui responsabil cu protecția datelor, precum și principalele atribuții ale acestora. Anterior adoptării GDPR, WP29 a susținut că DPO reprezintă un punct important al responsabilității și că numirea unui DPO poate facilita respectarea și, în plus, poate reprezenta un avantaj competitiv pentru companii.

DPO trebuie desemnat pe baza calităților profesionale și, în special a cunoștințelor de specialitate în dreptul și practicile în domeniul protecției datelor, precum și pe baza capacității de a-și îndeplini sarcinile. Nivelul de expertiză necesar ar trebui determinat pe baza operațiunilor de prelucrare efectuate și a protecției necesare pentru datele cu caracter personal prelucrate. De exemplu, în situația în care o operațiune de prelucrare a datelor este deosebit de complexă sau în cazul în care este implicat un volum mare de date speciale, DPO poate necesita un nivel mai ridicat de expertiză și suport.

Aptitudinile și expertiza relevante includ:

• experiență în legislația și practicile de protecție a datelor la nivel național și european, precum și o înțelegere complexă a RGPD
• înțelegerea operațiunilor de prelucrare efectuate
• înțelegerea tehnologiilor de informații și de securitate a datelor
• cunoașterea sectorului de afaceri și a organizației · abilitatea de a promova protecția datelor în cadrul organizației

Pe lângă facilitarea respectării prin punerea în aplicare a instrumentelor de responsabilitate (cum ar fi facilitarea evaluărilor impactului asupra protecției datelor și efectuarea sau facilitarea auditurilor), DPO acționează ca intermediar între părțile interesate relevante (de exemplu autoritățile de supraveghere, persoanele vizate și liniile de business din cadrul unei organizații).

Este important de știut că DPO nu este personal responsabil în caz de nerespectare a GDPR. Regulamentul spune clar că responsabil este operatorul sau persoana împuternicită de operator care trebuie să se asigure și să fie în măsură să demonstreze că prelucrarea este efectuată în conformitate cu dispozițiile sale (Articolul 24, Alineat 1).

Respectarea normelor de protecție a datelor reprezintă responsabilitatea operatorului sau a persoanei împuternicite de operator. Operatorul sau persoana împuternicită de operator are de asemenea un rol crucial în a permite îndeplinirea eficientă a atribuțiilor DPO. Numirea unui DPO reprezintă un prim pas, dar trebuie să se asigure că DPO are autonomie și resurse suficiente pentru îndeplinirea sarcinilor într-un mod eficient.

 

CUM ȘI UNDE NE PREGĂTIM DPO ÎN ROMÂNIA

Am scris mult pe această temă în ultimul an. O simplă cercetare de piață pe ofertele actuale de cursuri DPO relevă o mare varietate de opțiuni care merg de la simple cursuri de formare profesională cu durata de o zi, până la cursuri de certificare DPO acreditate internațional cu durata de 5 zile.

De la bun început am discutat în toate articolele mele despre lipsa unor reglementări care să certifice competențele celor care susțin cursurile de instruire și nivelul profesional de certificare garantat de diploma obținută. În lipsa unor standarde de certificare se merge pe principiul că piața aduce experiența, care ajută la formarea experților. În țările cu tradiție, un rol important îl au asociațiile profesionale și mediile academice.

O încercare de reglementare la nivel național s-a realizat în martie 2018, când la inițiativa unei echipe de specialiști de la PWC Audit srl și D&B David și Baiaș s-a depus la ANC (Autoritatea Națională de Certificări) o propunere de Standard ocupațional pentru educație și formare profesională pe baza Codului COR 242231.  ANC a aprobat acest standard ocupațional prin decizia  nr.74 din 19 martie 2018 dar la vremea respectivă s-a discutat că propunerea de standard ocupațional nu a primit și aprobarea de la ministerele muncii și educației. Codul COR 242231 privitor la meseria de ”Responsabil cu protecția datelor personale cu caracter personal” fusese acceptat de către Ministerul Muncii și Justiției Sociale și Institutul Național de Statistică încă de anul trecut prin Ordinul 1786/2017, pe o listă de 26 de noi ocupații, printre care cele de bonă, preot, catehet, prezentator TV, diacon, depanator telefoane mobile inteligente, inspector patriarhal sau paracliser…

În fine din septembrie 2018 o serie de companii care susțin cursuri au anunțat începerea unor programe de instruire bazate pe COR 242231 care sunt acreditate de cele două ministere și au ca finalitate o diplomă ce poartă girul ANC.  Conform Standardului ocupațional enunțat, stadiul de pregătire pentru un DPO este de 180 de ore, dintre care 60 de ore de teorie și 120 de ore de practică realizate sub autoritatea unui Formator autorizat ANC. Interesant este faptul că Formatorul trebuie să aibă o experiență minima de 3 ani în domeniul protecției datelor cu caracter personal, iar Evaluatorul din comisia de examinare o experiență similară de minimum 5 ani…

Concluzionând, la ora actuală există 4 categorii de cursuri DPO oferite pe piața din România, diferențiate prin durată, nivel și diplomă de certificare și, evident, prin preț:

• cursuri de formare profesională de 1-3 zile, cu diploma de participare
• cursuri online, cu acces la material filmat de cca. 4-6 ore, examen online
• cursuri de specializare cu acreditarea unor organizații internaționale și certificare DPO, durata 4-5 zile
• cursuri de specializare bundle cu examen IAPP, cu un pachet de beneficii si diplome CIPP-E și CIPM acreditate de IAPP, durata 4-5 zile
• cursuri acreditate ANC, cu durata de 180 de ore.

Care dintre aceste forme de curs este cea mai potrivită pentru companiile interesate să își formeze un DPO? Asta depinde de fiecare. Oferta de cursuri a apărut și s-a diversificat pe baza cererii. Important este să rețineți că GDPR nu condiționează în niciun fel numirea unui DPO de existența unei diplome, ci doar de experiența pe care o deține.

Puteți începe demersurile de aliniere la GDPR și fără DPO. Este suficient să fiți conștienți de responsabilitatea dvs. ca operatori sau procesatori de date personale și să demarați câțiva pași simpli, precum analiza fluxurilor de date, redactarea și gestionarea registrelor de evidență obligatorii, stabilirea politicilor interne, inventarierea contratelor cu partenerii și clienții, actualizarea politicilor publice și notificărilor către persoanele vizate, precum și instruirea tuturor angajaților implicați în procesele de prelucrare a datelor personale.

Oricare dintre membri echipei de coordonare poate fi numit DPO, în oricare dintre aceste faze. În plus, oricând puteți apela la un DPO extern. Important este să începeți.

Important este să înțelegeți că este responsabilitatea voastră a tuturor și că se poate. Trebuie să înțelegeți. Sigur că se poate.