Ofițerul responsabil cu protecția datelor personale este un personaj al cărui profil ideal este încă destul de controversat. Deși condițiile numirii unui DPO, sarcinile și competențele acestuia sunt stipulate destul de clar în Articolele 37 – 39 din Regulament, importanța strategică a acestei poziții face ca subiectul să fie în centrul atenției în toate discuțiile și recomandările legate de GDPR.
Dincolo de toate necunoscutele care nu apar în ghiduri și clarificări și speculațiile venite dinspre piață, după un an de la intrarea în vigoare a GDPR putem veni cu niște certitudini. Avem destulă informație ca să putem trage niște concluzii.
În primul rând un DPO joacă un rol fundamental în asigurarea respectului pentru cerințele legislației de protecție a datelor personale. DPO este special angajat de organizația pe care o reprezintă pentru consiliere la aplicarea regulilor, dar are în celași timp și rolul de a coordona obținerea conformității pe plan intern.
1. AVEM NEVOIE SAU NU DE DPO ?
Aici lucrurile s-au mai clarificat, se discută mult despre asta, există recomandări, s-au scris o sumedenie de articole, în fine, există algoritme, GDPR ne spune clar care sunt condițiile obligatorii, dar cu toate astea mulți decidenți nu sunt siguri încă dacă DA sau NU…
Cum facem totuși să fim siguri? E foarte simplu: există 4 situații obligatorii și una facultativă, în care se recomandă numirea unui DPO:
- dacă prelucrarea este desfășurată de o autoritate publică sau de un organism public (GDPR, Art. 37, 1, a)
- dacă activitățile principale ale operatorului sau procesatorului constau în prelucrări care prevăd monitorizarea regulată și sistematică pe scară largă (GDPR, Art. 37, 1, b)
- dacă activitățile principale ale operatorului sau procesatorului constau în prelucrare pe scară largă a unor categorii speciale de date (GDPR, Art. 37, 1, c)
- orice organizație care prelucrează un număr de identificare național (inclusiv prin colectarea sau dezvăluirea documentelor ce îl conţin) și are ca singur temei legal legitimul interes, trebuie să ofere o serie de garanții, printre care și numirea unui DPO (Legea 190/ 2018, Art.4, 2, b).
- orice organizație care apreciază că prin natura activității sale execute o prelucrare sistematică a unor volume mari de date sau datele prelucrate au un grad ridicat de senzitivitate poate decide să își numească un DPO (Recomandare WP29, Ghid DPO)
Nu mai insist aici asupra ambiguității unor termini precum ”pe scară largă”, ”volume mari de date” sau ”monitorizare regulată și sistematică. Am comentat în articolele anterioare. Din experiența practică, cuantificarea acestor termini trebuie făcută ”la bun simț”, în funcție de propriile criterii privitoare la numărul de persoane afectate de prelucrare, volumul de date, tipurile de date, durata, sau extinderea geografică a activităților de prelucrare.
2. CÂND NUMIM UN DPO?
Practicile GDPR vin cu o sumedenie de recomandări, în funcție de sferele de influență ale diferitelor Autorități de supraveghere. Există ghiduri care ne îndeamnă ca numirea DPO să fie făcută încă de la începutul coagulării unui plan de proiect pentru implementare, în timp ce alții ne sfătuiesc să stabilim mai întâi echipa de proiect și să ne apucăm de treaba, în timp ce numirea DPO – dacă este cazul – să fie făcută pe parcurs în funcție de abilitățile manageriale ale celor participanți la proiect.
Personal, înclin pentru a doua alternativă, bazându-mă pe următoarele considerente:
- numirea unui DPO poate fi un proces anevoios, de durată și nu ne permitem să pierdem timp și să stăm cu mâinile la piept, în așteptarea unui super-erou…
- cu și fără DPO, esențial este rolul echipei de proiect care trebuie să includă reprezentanți ai tuturor departamentelor implicate în prelucrarea de date personale
- oricare dintre membrii acestei echipe poate fi numit DPO după demararea proiectului și acumularea de expertiză, cu condiția să nu existe o situație clară de conflict de interese
- toți membrii acestei echipe trebuie să fie conștienți de importanța participării lor și trebuie să își însușească cunoștințele de bază ale unui DPO, fie prin participarea la un instructaj de 2-3 zile din puzderia de oferte de pe piață, fie prin instruirea ”in situ”, împreună cu ceilalți colegi
- odată stabilit rolul de DPO, acesta trebuie să preia tot ce s-a făcut până la numirea sa și trebuie să parcurgă la rândul sau un curs de instruire
- durata și nivelul de dificultate al acestui curs depind de interesele și posibilitățile operatorului, care trebuie să înțeleagă ca la numirea unui DPO nu este obligatorie prezența unei diplome de certificare, ci a unui CV din care să reiasă o experiență practică de sute de ore de proiect…
3. ÎN LIPSA CERTIFICĂRII, CE CRITERII FOLOSIM LA ALEGEREA DPO?
GDPR ne spune că Responsabilul cu protecția datelor trebuie să aibă calitățile tehnice și cunoștințele profesionale adecvate recunoscute de legislația privind protecția datelor. Cum spuneam, în prezent, nu există o cerință expresă de certificare. Cu toate acestea, deținerea unor certificări tehnice sau specializări care să faciliteze asigurarea cerințelor de conformitate cu GDPR pot constitui criterii de eficiență la stabilirea DPO.
Sfatul meu: să nu uităm că o diplomă este cu adevărat utilă doar atunci când specializarea academică sau profesională e însoțită de o expertiză pratică pe măsură în proiecte concrete, controlabile prin referințe.
4. CE CALITĂȚI PROFESIONALE TREBUIE SĂ AIBĂ UN DPO?
Potrivit Art. 37, responsabilul cu protecția datelor este desemnat pe baza calităților profesionale și, în special, a cunoștințelor privind legislația și practicile privind protecția datelor și capacitatea de a îndeplini sarcinile menționate la Art. 39.
Cu alte cuvinte, un specialist în legislație cu experiență practică în protecția datelor și capacitatea de a îndeplini un set de sarcini cu care foarte puțini au fost familiarizați până acum… Câte personaje care pot corespunde acestui profil există în realitate și, mai ales, sunt dispuse să îți asume sarcina de DPO?
Ceea ce nu reiese cu claritate din GDPR și toate ghidurile aferente, dar este un factor determinant în alegerea DPO este importanța experienței operaționale. Un DPO este în primul rând un manager de proiect, un specialist care are abilitatea de a manevra pârghiile manageriale, de a cunoaște procesele de business ale organizației și de a identifica cât mai corect circuitul fluxului de date și de a analiza integritatea acestora în fiecare dintre nodurile unui astfel de flux…
5. CE ABILITĂȚI PERSONALE TREBUIE SĂ DOVEDEASCĂ UN DPO?
Prin definiție un DPO este o personalitate enciclopedică, polivalentă. Trebuie să cunoască legislație, economie, să aibă business-ul în sânge, să știe să lucreze cu oamenii, să știe regulamente și politici, să nu se lase intimidat și să aibă putere de influență asupra managementului, să știe să discute cu partenerii și mai ales să identifice vulnerabilitățile din sistem care pot atrage riscuri majore pentru prelucrarea datelor personale.
Să analizăm pe scurt care sunt calitățile pe care trebuie să le dovedească un DPO în funcție de sarcinile minime stabilite prin Art. 39:
- informarea și consilierea organizației și angajaților cu privire la obligațiile de a respecta GDPR și alte legi privind protecția datelor: pentru asta DPO trebuie să știe legislație și să aiba abilități de comunicare și consultanță
- monitorizarea respectării GDPR și a altor legi privind protecția datelor, inclusiv gestionarea activităților interne de protecție a datelor: cunoștințe legislație și protecția datelor, abilități de control, monitorizare, procedurare, audit, raportare
- consilierea activităților organizației ce au legătură cu evaluările de impact privind protecția datelor: cunoștințe project management, analiza riscurilor, analiza de impact, abilități manageriale, surse de risc, identificare, analiză și elaborare a planului de risc
- instruirea periodică a personalului și efectuarea de audituri interne: experiență trainer și auditor, abilități de analiză, sinteză, dicție, aplicare procedure, concluzii și rapoarte
- primul punct de contact pentru autoritățile de supraveghere și pentru persoanele fizice ale căror date sunt prelucrate (angajați, clienți etc.când este cazul): experiență de comunicare, abilități dialog, reprezentare.
Dar poate cel mai important aspect al acestor atribuții este legat de faptul că, în îndeplinirea sarcinilor de DPO, trebuie să se ţină seama, în mod corespunzător (zice legea), dar cu maximă responsabilitate (zic cele mai bune practici) de riscul asociat operaţiunilor de prelucrare. Și aici trebuie să avem în vedere atât natura și domeniul de aplicare, cât și contextul şi scopurile prelucrării.
Rezumând, un DPO ar trebui să reunească o lungă listă de abilități personale la care trebuie să adăugăm: integritate, etică, inițiativă, organizare, perseverență, discreție, stapânire de sine, control, autoanaliză, interes, motivare, negociere, convingere, comunicare, sinteză, analiză, raportare, colaborare, control stare conflict, și mai ales abilitatea de a construi relații de muncă pe termen lung… Unde îl găsim pe omul ăsta?
Mai puteți citi pe această temă:
https://gdprreadyinitiative.com/2018/10/30/cum-pot-obtine-certificarea-dpo-in-romania/
https://gdprreadyinitiative.com/2018/11/08/analiza-gdpr-1-cum-pot-deveni-dpo-in-romania/
https://gdprreadyinitiative.com/2018/10/30/avem-un-dpo-cum-il-certificam/
GDPR READY! 