CÂT SUNTEM DE MULȚUMIȚI DE FUNCȚIA DE DPO?

Știm cu toții că funcția de responsabil cu protecția datelor personale ridică o serie de probleme, atât prin importanța rolului jucat în orice organizație, dar și prin caracterul său de noutate. Cum alegem un DPO, care este fișa postului, care sunt criteriile recomandate pentru selecția candidaților, ce condiții de muncă îi oferim, ce îi punem la dispoziție, cât de mult ne bazăm pe recomandările sale? Iată o serie de întrebări simple, dar esențiale pentru buna activitate, formarea profesională și demonstrarea eficienței activității de data protection officer.

Ce au făcut francezii?

Plecând de la aceste premise și de la faptul că autoritatea de supraveghere din Franța a înregistrat deja peste 18000 de DPO, Délégation Générale à l’Emploi et à la Formation Professionnelle (DGEFP) a demarat împreună cu Agenția pentru Formare Profesională a Adulților (l’Agence pour la Formation Professionnelle des Adultes – AFPA) un studiu care vizează o mai bună înțelegere a problemelor legate de ocuparea forței de muncă și competențele legate de punerea în aplicare a GDPR. Studiul acoperă condițiile reale de exercitare a acestei noi meserii, ținând cont de particularitățile specific formei de activitate: DPO intern, DPO intern mutualizat, DPO extern sau Profesionist responsabil cu protecția datelor. Chestionarele au fost la dispoziția celor interesați până la data de 15 aprilie 2019. Această inițiativă s-a bucurat de susținerea autorității reglementare a datelor din Franța și a CNIL (Comisia Națională pentru Informatică și Libertăți) și asociația franceză corespunzătoare protecției datelor (AFCDP).

Primele rezultate ale acestui studiu puse la dispoziție de CNIL oferă deja câteva răspunsuri foarte interesante:

  • La întrebarea “Credeți că recomandările dvs. sunt ascultate și sunt urmărite în mod regulat de managerul (managerii) dvs.?” 13% din specialiștii DPO interni au răspuns în mod surprinzător “Niciodată sau niciodată”, în comparație cu numai 8% dintre profesioniștii DPO externi care au dat același răspuns.
  • La întrebarea “În contextul misiunii unui DPO, credeți că ați luat în considerare cu succes respectarea GDPR de către managerii dvs.?” 18% dintre responsabilii DPO interni recunosc faptul că încă nu au reușit, în comparație cu doar 6% dintre cei care acționează ca DPO externi.
  • La întrebarea “Sunteți mulțumit de postul dvs. de specialist în protecția datelor?” 37% dintre cei care activează ca DPO interni și 45% dintre respondenții cu rol DPO extern apreciază că sunt “destul de mulțumiți”.

Ca o primă concluzie ce reiese din studiul întreprins de autoritățile franceze este faptul că un DPO extern are mult mai multă șanse să se impună într-o organizație și să poată influența evoluția acesteia către un stadiu ideal de conformitate.

A doua concluzie este, și nu ne miră deloc asta, că cel mai important factor de rezistență în transformarea unei organizații este chiar nivelul de management. Am zis că nu mă miră, pentru că exact aceasta este și una dintre concluziile personale în urma proiectelor de implementare și ale interacțiunilor cu cei pe care i-am instruit. Citiți articolul: ”10 SFATURI PENTRU MANAGERI, NU LĂSȚI PE MÂINE…”

Ce putem face ca să creștem procentajele eficienței activității de DPO într-o organizație?

În primul rând totul depinde de cel care asigură această funcție, fie că este angajat ”cu fișa postului”, supervizer GDPR pentru mai multe organizații, consultant DPO extern sau simplu responsabil cu adopția GDPR într-o companie. Un DPO trebuie să ia foarte în serios misiunea sa și să-și asigure în primul rând sprijinul din partea structurii de conducere. Orice efort de implementare GDPR este în primul rând un proiect, iar orice proiect trebuie să aibă un manager de proiect și un sponsor. Ori dacă tocmai sponsorul nu înțelege importanța alinierii la GDPR și nu susține echipa menită sa asigure acest lucru, atunci nici proiectul nu are șanse prea mari de reușită.

De aceea, crearea unei culturi GDPR într-o organizație trebuie să aibă în vedere, pe lângă asigurarea liantului în triada: legislație-organizare-tehnologie (L-O-T), sensibilizarea structurilor manageriale în susținerea eforturilor întregii organizații. Căci un proiect GDPR este bazat pe OAMENI – PROCESE – TEHNOLOGIE.

Ce vă propunem pentru a realiza o radiografie a nivelului de eficiență DPO în România?

Toți cei care activează ca DPO (intern, extern sau doar cu rolul de responsabil GDPR) sunt rugați să contribuie la realizarea unei EVALUĂRI A GRADULUI DE SATIFACȚIE DPO ÎN ROMÂNIA.

Pentru a participa la această EVALUARE sunteți rugați să completați Formularele de mai jos, menționând:

I. Cele mai importante 5 motive de satisfacție în activitatea GDPR în care sunteți implicați

II. Cele mai importante 5 motive de insatisfacție (la nivel de organizație)

III. Care sunt cele mai importante lucruri (intern și extern) de care aveți nevoie pentru eficientizarea activității dvs? (minim 2 recomandări)

Rezultatele acestei EVALUĂRI vor fi prezentate în cadrul Conferinței GDPR Talks din data de 21 Mai care are ca temă analiza fenomenului GDPR în România la un an de la intrarea în vigoare a GDPR. Toți cei care completează formularul vor primi Rezultatele acestei Evaluări.

Pentru Agenda și înscriere la conferință

APĂSAȚI AICI

Nu uitați să completați Formularul! Răspunsurile dvs. vor fi anonimizate. Adresa de e-mail este necesară doar în scopuri de comunicare.

 

Nota Confidentialitate: Datele Dvs. personale incluse in acest formular vor fi prelucrate doar in scopul pentru care au fost solicitate. Analiza răspunsurilor dvs. pentru Evaluare se face prin anonimizare. Citiți Politica de Confidentialitate.

Advertisements

5 SFATURI PENTRU MANAGERI LA NUMIREA UNUI DPO

Ofițerul responsabil cu protecția datelor personale este un personaj al cărui profil ideal este încă destul de controversat. Deși condițiile numirii unui DPO, sarcinile și competențele acestuia sunt stipulate destul de clar în Articolele 37 – 39 din Regulament, importanța strategică a acestei poziții face ca subiectul să fie în centrul atenției în toate discuțiile și recomandările legate de GDPR.

Dincolo de toate necunoscutele care nu apar în ghiduri și clarificări și speculațiile venite dinspre piață, după un an de la intrarea în vigoare a GDPR putem veni cu niște certitudini. Avem destulă informație ca să putem trage niște concluzii.

În primul rând un DPO joacă un rol fundamental în asigurarea respectului pentru cerințele legislației de protecție a datelor personale. DPO este special angajat de organizația pe care o reprezintă pentru consiliere la aplicarea regulilor, dar are în celași timp și rolul de a coordona obținerea conformității pe plan intern.

1. AVEM NEVOIE SAU NU DE DPO ?

Aici lucrurile s-au mai clarificat, se discută mult despre asta, există recomandări, s-au scris o sumedenie de articole, în fine, există algoritme, GDPR ne spune clar care sunt condițiile obligatorii, dar cu toate astea mulți decidenți nu sunt siguri încă dacă DA sau NU…

Cum facem totuși să fim siguri? E foarte simplu: există 4 situații obligatorii și una facultativă, în care se recomandă numirea unui DPO:

  • dacă prelucrarea este desfășurată de o autoritate publică sau de un organism public (GDPR, Art. 37, 1, a)
  • dacă activitățile principale ale operatorului sau procesatorului constau în prelucrări care prevăd monitorizarea regulată și sistematică pe scară largă (GDPR, Art. 37, 1, b)
  • dacă activitățile principale ale operatorului sau procesatorului constau în prelucrare pe scară largă a unor categorii speciale de date (GDPR, Art. 37, 1, c)
  • orice organizație care prelucrează un număr de identificare național (inclusiv prin colectarea sau dezvăluirea documentelor ce îl conţin) și are ca singur temei legal legitimul interes, trebuie să ofere o serie de garanții, printre care și numirea unui DPO (Legea 190/ 2018, Art.4, 2, b).
  • orice organizație care apreciază că prin natura activității sale execute o prelucrare sistematică a unor volume mari de date sau datele prelucrate au un grad ridicat de senzitivitate poate decide să își numească un DPO (Recomandare WP29, Ghid DPO)

Nu mai insist aici asupra ambiguității unor termini precum ”pe scară largă”, ”volume mari de date”  sau ”monitorizare regulată și sistematică. Am comentat în articolele anterioare. Din experiența practică, cuantificarea acestor termini trebuie făcută ”la bun simț”, în funcție de propriile criterii privitoare la numărul de persoane afectate de prelucrare, volumul de date, tipurile de date, durata, sau extinderea geografică a activităților de prelucrare.

2. CÂND NUMIM UN DPO?

Practicile GDPR vin cu o sumedenie de recomandări, în funcție de sferele de influență ale diferitelor Autorități de supraveghere. Există ghiduri care ne îndeamnă ca numirea DPO să fie făcută încă de la începutul coagulării unui plan de proiect pentru implementare, în timp ce alții ne sfătuiesc să stabilim mai întâi echipa de proiect și să ne apucăm de treaba, în timp ce numirea DPO – dacă este cazul – să fie făcută pe parcurs în funcție de abilitățile manageriale ale celor participanți la proiect.

Personal, înclin pentru a doua alternativă, bazându-mă pe următoarele considerente:

  • numirea unui DPO poate fi un proces anevoios, de durată și nu ne permitem să pierdem timp și să stăm cu mâinile la piept, în așteptarea unui super-erou…
  • cu și fără DPO, esențial este rolul echipei de proiect care trebuie să includă reprezentanți ai tuturor departamentelor implicate în prelucrarea de date personale
  • oricare dintre membrii acestei echipe poate fi numit DPO după demararea proiectului și acumularea de expertiză, cu condiția să nu existe o situație clară de conflict de interese
  • toți membrii acestei echipe trebuie să fie conștienți de importanța participării lor și trebuie să își însușească cunoștințele de bază ale unui DPO, fie prin participarea la un instructaj de 2-3 zile din puzderia de oferte de pe piață, fie prin instruirea ”in situ”, împreună cu ceilalți colegi
  • odată stabilit rolul de DPO, acesta trebuie să preia tot ce s-a făcut până la numirea sa și trebuie să parcurgă la rândul sau un curs de instruire
  • durata și nivelul de dificultate al acestui curs depind de interesele și posibilitățile operatorului, care trebuie să înțeleagă ca la numirea unui DPO nu este obligatorie prezența unei diplome de certificare, ci a unui CV din care să reiasă o experiență practică de sute de ore de proiect…

3. ÎN LIPSA CERTIFICĂRII, CE CRITERII FOLOSIM LA ALEGEREA DPO?

GDPR ne spune că Responsabilul cu protecția datelor trebuie să aibă calitățile tehnice și cunoștințele profesionale adecvate recunoscute de legislația privind protecția datelor. Cum spuneam, în prezent, nu există o cerință expresă de certificare. Cu toate acestea, deținerea unor certificări tehnice sau specializări care să faciliteze asigurarea cerințelor de conformitate cu GDPR pot constitui criterii de eficiență la stabilirea DPO.

Sfatul meu: să nu uităm că o diplomă este cu adevărat utilă doar atunci când specializarea academică sau profesională e însoțită de o expertiză pratică pe măsură în proiecte concrete, controlabile prin referințe.

4. CE CALITĂȚI PROFESIONALE TREBUIE SĂ AIBĂ UN DPO?

Potrivit Art. 37, responsabilul cu protecția datelor este desemnat pe baza calităților profesionale și, în special, a cunoștințelor privind legislația și practicile privind protecția datelor și capacitatea de a îndeplini sarcinile menționate la Art. 39.

Cu alte cuvinte, un specialist în legislație cu experiență practică în protecția datelor și capacitatea de a îndeplini un set de sarcini cu care foarte puțini au fost familiarizați până acum… Câte personaje care pot corespunde acestui profil există în realitate și, mai ales, sunt dispuse să îți asume sarcina de DPO?

Ceea ce nu reiese cu claritate din GDPR și toate ghidurile aferente, dar este un factor determinant în alegerea DPO  este importanța experienței operaționale. Un DPO este în primul rând un manager de proiect, un specialist care are abilitatea de a manevra pârghiile manageriale, de a cunoaște procesele de business ale organizației și de a identifica cât mai corect circuitul fluxului de date și de a analiza integritatea acestora în fiecare dintre nodurile unui astfel de flux…

5. CE ABILITĂȚI PERSONALE TREBUIE SĂ DOVEDEASCĂ UN DPO?

Prin definiție un DPO este o personalitate enciclopedică, polivalentă. Trebuie să cunoască legislație, economie, să aibă business-ul în sânge, să știe să lucreze cu oamenii, să știe regulamente și politici, să nu se lase intimidat și să aibă putere de influență asupra managementului, să știe să discute cu partenerii și mai ales să identifice vulnerabilitățile din sistem care pot atrage riscuri majore pentru prelucrarea datelor personale.

Să analizăm pe scurt care sunt calitățile pe care trebuie să le dovedească un DPO în funcție de sarcinile minime stabilite prin Art. 39:

  • informarea și consilierea organizației și angajaților cu privire la obligațiile de a respecta GDPR și alte legi privind protecția datelor: pentru asta DPO trebuie să știe legislație și să aiba abilități de comunicare și consultanță
  • monitorizarea respectării GDPR și a altor legi privind protecția datelor, inclusiv gestionarea activităților interne de protecție a datelor: cunoștințe legislație și protecția datelor, abilități de control, monitorizare, procedurare, audit, raportare
  • consilierea activităților organizației ce au legătură cu evaluările de impact privind protecția datelor: cunoștințe project management, analiza riscurilor, analiza de impact, abilități manageriale, surse de risc, identificare, analiză și elaborare a planului de risc
  • instruirea periodică a personalului și efectuarea de audituri interne: experiență trainer și auditor, abilități de analiză, sinteză, dicție, aplicare procedure, concluzii și rapoarte
  • primul punct de contact pentru autoritățile de supraveghere și pentru persoanele fizice ale căror date sunt prelucrate (angajați, clienți etc.când este cazul): experiență de comunicare, abilități dialog, reprezentare.

Dar poate cel mai important aspect al acestor atribuții este legat de faptul că, în îndeplinirea sarcinilor de DPO, trebuie să se ţină seama, în mod corespunzător (zice legea), dar cu maximă responsabilitate (zic cele mai bune practici) de riscul asociat operaţiunilor de prelucrare. Și aici trebuie să avem în vedere atât natura și domeniul de aplicare, cât și contextul şi scopurile prelucrării.

Rezumând, un DPO ar trebui să reunească o lungă listă de abilități personale la care trebuie să adăugăm: integritate, etică, inițiativă, organizare, perseverență, discreție, stapânire de sine, control, autoanaliză, interes, motivare, negociere, convingere, comunicare, sinteză, analiză, raportare, colaborare, control stare conflict, și mai ales abilitatea de a construi relații de muncă pe termen lung… Unde îl găsim pe omul ăsta?

Mai puteți citi pe această temă:

https://gdprreadyinitiative.com/2018/11/08/gdpr-explicitat-11-un-personaj-important-data-protection-officer-dpo/

https://gdprreadyinitiative.com/2018/10/30/cum-pot-obtine-certificarea-dpo-in-romania/

https://gdprreadyinitiative.com/2018/11/08/analiza-gdpr-1-cum-pot-deveni-dpo-in-romania/

https://gdprreadyinitiative.com/2018/10/30/avem-un-dpo-cum-il-certificam/

 

 

ANALIZĂ GDPR (1):  CUM POT DEVENI DPO ÎN ROMANIA

Cum îl numim, cum îl pregătim și ce îl punem să facă pe DPO. Sunt cele mai discutate subiecte din ultimul an. După o primă serie de 15 articole GDPR Explicitat care au acoperit cele mai importante aspecte ale noului regulament, reluăm Inițiativa GDPR Ready cu un nou proiect public: ANALIZA GDPR, în care aducem sub lupă tematici esențiale dintr-o perspectivă mai aprofundată. Și ce subiect de analiză mai potrivit puteam alege pentru primul articol din noua serie? Controversata poziție de DPO.  

Unul dintre cele mai discutate subiecte legate de protecția datelor personale, încă de acum doi ani când s-a anunțat aprobarea finală a Parlamentului European, a fost cel legat de un personaj cheie, despre care nu se mai discutase până atunci: Ofițerul de protecția datelor personale sau așa cum îl știe toată lumea: DPO. A fost și este încă un subiect controversat și de aceea e bine să venim cu o serie de lămuriri.

ASPECTE NECLARE ASOCIATE POZIȚIEI DE DPO

Orice operator de date personale cu peste 250 de angajați este obligat să numească/ angajeze un DPO – o informație falsă care a circulat multă vreme în virtutea faptului că într-una dintre versiunile intermediare ale Regulamentului UE 679/2016 era prevăzută acest diferențiator, asociat cu granița dintre companiile de mărime medie și cele mari.

Deși obligativitatea numirii unui DPO este acum foarte clară prin conținutul Art.37, Alin.1, se mențin încă neclarități generate de ambiguitatea definirii unor termeni precum ”monitorizare sistematică” sau ”scară largă”, care apare menționat aici de două ori.

Articolul 37, Aliniat 1 din GDPR, zice că trebuie desemnat un ofițer de protecție a datelor (DPO) pentru:

  • o autoritate publică (cu excepția instanțelor care acționează în calitatea lor judiciară);
  • organizații care fac o monitorizare sistematică, la scară largă, a persoanelor;
  • organizații care fac o prelucrare la scară largă a unor categorii speciale de date.

GDPR nu definește ce înseamnă „autoritate publică sau organism public”. Grupul de Lucru Articolul 29 – pe care îl vom numi în continuare WP29 –  consideră că o asemenea noțiune trebuie stabilită în conformitate cu dreptul intern. În consecință, autoritățile și organismele publice includ autoritățile naționale, regionale și locale, dar conceptul, în conformitate cu legislația națională aplicabilă, include, de asemenea, o serie de alte organisme guvernate de legislația în domeniul public. În astfel de cazuri, desemnarea unui DPO este obligatorie.

”Monitorizarea periodică și sistematică” – Noțiunea de monitorizare periodică și sistematică a persoanelor vizate nu este definită în GDPR, dar conceptul de „monitorizare a comportamentului persoanelor vizate” este menționat în Considerentul 24 și include toate formele de urmărire și profilarea pe Internet, inclusiv în scop de publicitate comportamentală. Cu toate acestea, noțiunea de monitorizare nu este restricționată în mediul online, iar urmărirea online ar trebui să fie considerată doar ca un exemplu de monitorizare a comportamentului persoanelor vizate.

WP29 interpretează „periodic” ca însemnând una sau mai multe din următoarele:

  • în curs de desfășurare sau care apare la anumite intervale într-o anumită perioadă
  • recurente sau repetate la perioade fixe
  • constante sau care au loc periodic WP29 interpretează „sistematic” ca însemnând una sau mai multe din următoarele:
  • apărut conform sistemului pre-aranjat, organizat sau metodic
  • luând loc ca parte a unui plan general de colectare a datelor
  • efectuat ca parte a unei strategii

Exemple de activități care pot constitui o monitorizare periodică și sistematică a persoanelor vizate: operarea unei rețele de telecomunicații; furnizarea de servicii de telecomunicații; e-mail de direcționare repetată; activități de marketing bazate pe date; profilare și scoring în scopul evaluării riscurilor (de exemplu, în scopul de credit scoring, stabilirea primelor de asigurare, de prevenire a fraudelor, detectarea spălării banilor); urmărirea locației, spre exemplu, prin aplicații mobile; programe de loialitate; publicitate comportamentală; monitorizarea wellness, fitness și a datelor de sănătate prin intermediul dispozitivelor portabile; televiziune cu circuit închis; dispozitive conectate spre exemplu, contoare inteligente, mașini inteligente, automatizare acasă, etc.

”Pe scară largă”: Potrivit Considerentului 91, ar putea fi incluse aici „operațiunile de prelucrare pe scară largă care au drept obiectiv prelucrarea unui volum considerabil de date cu caracter personal la nivel regional, național sau supranațional și care ar putea afecta un număr mare de persoane vizate și care sunt susceptibile de a genera un risc ridicat”. Pe de altă parte, considerentul prevede în mod expres că „prelucrarea datelor cu caracter personal nu ar trebui considerată a fi la scară largă în cazul în care prelucrarea se referă la date cu caracter personal de la pacienți sau clienți ai unui anumit medic sau un alt profesionist în domeniul sănătății sau un avocat”. Este important să se ia în considerare faptul că, în timp ce considerentul oferă exemple aflate la extremele scalei (prelucrare efectuată de un medic în comparație cu prelucrarea datelor dintr-o țară întreagă sau din Europa), există o zonă mare gri între aceste extreme. În plus, trebuie amintit faptul că acest considerent se referă la evaluările impactului asupra protecției datelor. Acest lucru implică faptul că unele elemente pot fi specifice în acest context și nu se aplică neapărat la desemnarea DPO în același mod.

În orice caz, WP29 recomandă ca următorii factori să fie luați în considerare atunci când se stabilește dacă prelucrarea este efectuată pe o scară largă:

  • numărul persoanelor vizate – ori un număr exact ori un procent din populația relevantă
  • volumul datelor și/sau gama de elemente diferite de date în curs de prelucrare
  • durata sau permanența activității de prelucrare a datelor
  • aria geografică acoperită de activitatea de prelucrare

Aprobarea și publicarea Legii 190/ 2018 în luna iunie a indus un nou val de confuzii prin Articolul 4 care se ocupă de prelucrarea unui număr de identificare național și care vine cu obligativitatea angajării unui DPO pentru toți operatorii care au ca principal temei legal Legitimul Interes. Confuziile sunt evident generate de faptul că dintre toate cele 6 temeiuri legale enunțate prin Articolul 6 – Legalitatea prelucrării, Legitimul Interes este cel mai dificil de stabilit prin prisma echilibrului ce trebuie menținut cu interesele private ale persoanei vizate și a unor seturi de analize menite să probeze valabilitatea ca temei legal într-o sumedenie de situații particulare. Mai multe pe această temă într-un articol Analiza GDPR dedicat Legitimului Interes.

Legea 190/ 2018 prin Art.4 stipulează ca orice Operator de date personale care prelucrează date cu caracter special precum numerele de identificare națională (serie Card Identitate, CNP, serie Pașaport, serie Permis Conducere, serie Card Sănătate) și are ca temei legal Legitimul interes e obligat să numească un DPO, pe lângă alte condiții speciale.

Art. 4: Prelucrarea unui număr de identificare național

(1)Prelucrarea unui număr de identificare naţional, inclusiv prin colectarea sau dezvăluirea documentelor ce îl conţin, se poate efectua în situaţiile prevăzute de art. 6 alin. (1) din Regulamentul general privind protecţia datelor.

(2)Prelucrarea unui număr de identificare naţional, inclusiv prin colectarea sau dezvăluirea documentelor ce îl conţin, în scopul prevăzut la art. 6 alin. (1) lit.f) din Regulamentul general privind protecţia datelor, respectiv al realizării intereselor legitime urmărite de operator sau de o parte terţă, se efectuează

cu instituirea de către operator a următoarelor garanţii:

a)punerea în aplicare de măsuri tehnice şi organizatorice adecvate pentru respectarea, în special, a principiului reducerii la minimum a datelor, precum şi pentru asigurarea securităţii şi confidenţialităţii prelucrărilor de date cu caracter personal, conform dispoziţiilor art. 32 din Regulamentul general privind protecţia datelor;

b)numirea unui responsabil pentru protecţia datelor, în conformitate cu prevederile art. 10 din prezenta lege;

c)stabilirea de termene de stocare în funcţie de natura datelor şi scopul prelucrării, precum şi de termene specifice în care datele cu caracter personal trebuie şterse sau revizuite în vederea ştergerii;

d)instruirea periodică cu privire la obligaţiile ce le revin a persoanelor care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, prelucrează date cu caracter personal.

Multe discuții și nelămuriri au avut ca temă autonomia DPO în problemele de siguranță a datelor, mai ales aspectele ce țin de poziționarea acestei funcții în relațiile cu structurile de management și celelalte linii de business. Așa cum zice Articolul 38, Alineatul 3: ”Operatorul şi persoana împuternicită de operator se asigură că responsabilul cu protecţia datelor nu primeşte niciun fel de instrucţiuni în ceea ce priveşte îndeplinirea acestor sarcini.” Mai mult de atât, operatorii au datoria de a acorda DPO tot sprijinul pentru îndeplinirea sarcinilor menţionate la Articolul 39, asigurându-i toate resursele necesare pentru buna executare a acestor sarcini. Printre aceste resurse se numără accesul la datele cu caracter personal şi la operaţiunile de prelucrare a acestora, cât și facilitarea accesului la resursele de instruire, pentru menţinerea cunoştinţelor sale de specialitate.

În fine, alte discuții controversate se referă la pregătirea optimă a unui DPO și din ce departament ar trebui recrutat: HR, legal, operațional sau IT? Aici există o multitudine de recomandări ce oferă o plajă largă de soluții, precum constituirea unui grup de acțiune cu reprezentanți ai tuturor departamentelor implicate care să susțină în permanență – și la o adică să poată să suplinească, rolul unui DPO. La limita extremă este apelarea la serviciile unui DPO super-specializat, care eventual poate consilia mai multe organizații, la limita conflictului de interese. Și aici fiecare poate să aleagă soluția cea mai convenabilă.

Destul de neclare sunt și situațiile în care numirea unui DPO intern ar putea genera un conflict de interese. Potrivit Alineatului 6 din Articolul 38: ”Responsabilul cu protecţia datelor poate îndeplini şi alte sarcini şi atribuţii. Operatorul sau persoana împuternicită de operator se asigură că niciuna dintre aceste sarcini şi atribuţii nu generează un conflict de interese.”

Ca recomandare practică, este de dorit ca un DPO să nu îndeplinească în același timp și orice altă funcție implică accesul și prelucrarea de date personale. Adică nu putem avea un DPO care este în același timp șef de resurse umane, financiar-contabilitate, vânzări sau servicii IT. Asta nu înseamnă că nu putem aloca responsabilități DPO oricărui angajat din aceste departamente care este degrevat de vechea funcție și urmează să activeze în condiții de deplină neutralitate, conform fișei postului.

CARE SUNT AȘTEPTĂRILE DE LA UN DPO

Prin natura funcției și a împuternicirilor de care dispune, un DPO deține o poziție centrală, cu rol strategic, într-o organizație.

Potrivit Articolului 38: Funcţia responsabilului cu protecţia datelor, operatorii trebuie să se asigure că responsabilul cu protecţia datelor ”este implicat în mod corespunzător şi în timp util în toate aspectele legate de protecţia datelor cu caracter personal”.

Regulamentul prevede că un DPO nu poate fi demis sau sancţionat de către operator pentru îndeplinirea sarcinilor sale. Responsabilul cu protecţia datelor răspunde direct în faţa celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator.

Un alt rol critic al DPO este acela de a prelua comunicarea cu persoanele vizate, în cazul în care acestea se prevalează de exercitarea drepturilor lor, în temeiul prezentului regulament.

Un alt punct important, în special în situația în care DPO își exercită activitățile ca extern, pentru una sau mai multe companii, este obligaţia de a respecta secretul și confidenţialitatea în ceea ce priveşte îndeplinirea sarcinilor sale, ceea ce trebuie reglementat printr-o secțiune specială a contractului individual de muncă sau a contractului de prestări de servicii.

Astfel de reglementări trebuie să menționeze explicit care sunt categoriile de informații la care DPO are dreptul de acces, care este rolul său în prelucrarea efectivă a datelor și cum poate gira acesta condițiile asumate de organizație prin limitarea volumului de date procesate, siguranța comunicării sau a stocării.

Este important ca DPO sau echipa sa, să fie implicat, cât mai devreme posibil, în toate aspectele legate de protecția datelor. DPO trebuie privit ca un partener de discuție în cadrul organizației și trebuie inclus în grupurile de lucru relevante care se ocupă cu activități de prelucrare a datelor din cadrul organizației. În consecință, organizația ar trebui să se asigure că:

  • DPO este invitat să participe în mod regulat la ședințele conducerii la nivel înalt și la nivel mediu.
  • Prezența DPO este recomandată în cazul în care se iau decizii cu implicații asupra protecției datelor. Toate informațiile relevante trebuie să fie transmise DPO în timp util pentru a permite ca acesta să ofere o consiliere corespunzătoare.
  • Avizului DPO trebuie să i se acorde întotdeauna o importanță deosebită. În caz de dezacord, WP29 recomandă, ca bună practică, documentarea motivelor pentru care nu a fost urmat avizul DPO.
  • DPO trebuie să fie consultat cu promptitudine imediat ce a avut loc o încălcare a securității datelor sau un alt incident. Atunci când este cazul, operatorul sau persoana împuternicită de operator ar putea elabora ghiduri privind protecția datelor sau proceduri care stabilesc situații când DPO trebuie să fie consultat.

CE EXPERIENȚĂ TREBUIE SĂ AIBĂ UN DPO

Responsabilul cu protecția datelor trebuie să aibă calitățile profesionale și cunoștințele profesionale adecvate recunoscute de legislația privind protecția datelor. În prezent, nu există o cerință expresă de a deține o anumită calificare sau certificare. Cu toate acestea, deținerea unei certificări  în conformitate cu GDPR este o modalitate eficientă de a demonstra cunoștințele experților.

În Articolul 39, Alineatul 1 din GDPR ni se spune care sunt sarcinile care îi revin unui DPO. Să vedem cam ce experiență necesită fiecare:

  • informarea şi consilierea companiei şi personalului care se ocupă de prelucrare cu privire la obligaţiile GDPR, dar și altor dispoziţii de drept al Uniunii sau drept intern referitoare la protecţia datelor – impune aptitudini clare pe parte legislativă și procedurală;
  • monitorizarea respectării GDPR, a altor dispoziţii de drept referitoare la protecţia datelor şi a politicilor de protecţie a datelor cu caracter personal, inclusiv alocarea responsabilităţilor şi acţiunile de sensibilizare şi de formare a personalului implicat în operaţiunile de prelucrare, precum şi auditurile aferente – în plus față de abiltățile legislative se recomandă aptitudini manageriale de alocare a responsabilităților, sensibilizare și de formare a personalului, precum și experiență de auditare;
  • furnizarea de consiliere la cerere în ceea ce priveşte evaluarea impactului asupra protecţiei datelor şi monitorizarea funcţionării acesteia, în conformitate cu articolul 35 – aici e clar că e nevoie de cineva familiarizat cu evaluarea riscurilor și a impactului asupra protecției datelor;
  • cooperarea cu autoritatea de supraveghere; – aici practic e doar o chestiune de reprezentare, DPO acționând ca persoana de contact;
  • punct de contact pentru autoritatea de supraveghere – la fel ca mai sus.

Din ce avem până acum, reiese că un DPO trebuie să aibă cunoștințe temeinice de legislație internă și europeană, să aibă un bun spirit managerial, să fie capabil să facă o analiză de risc și să fie un bun comunicator.

Un DPO trebuie să fie independent. Acest lucru nu înseamnă neapărat că, în calitate de operator sau procesator, trebuie să numiți o persoană externă; rolul DPO poate fi îndeplinit de un angajat. Postul poate fi un rol cu ​​jumătate de normă sau combinat cu alte sarcini, însă, în îndeplinirea rolului, DPO trebuie să aibă o linie independentă de raportare și să fie împuternicit să raporteze direct comitetului fără intervenție. Ceea ce este important este faptul ca, pentru a-și îndeplini sarcinile, persoana desemnată trebuie să fie un profesionist în domeniul protecției datelor cu “cunoștințe de specialitate privind legislația și practicile privind protecția datelor“.

Dacă ne uităm însă la recomandările unor organisme de certificare cu recunoaștere internațională precum IAPP sau PECB, vom vedea că pentru acordarea unei diplome de Certified Data Protection Officer este nevoie de o experiență de minim 2-3 ani în protecția datelor personale. De aici reiese că un candidat serios la poziția de DPO trebuie să fi avut un rol cu certe competențe tehnologice și operaționale, oameni cu experiență în project management, data quality, baze de date, managementul riscurilor, securitatea sau protecția datelor. Diferitele statistici arată că în prezent e nevoie de cel puțin 25-30 de ore de instruire doar pentru a obține o înțelegere coerentă a problematicii GDPR, și de ceva mai mult timp pentru pregătirea poziției de DPO.

RECOMANDĂRILE WP29

”Ghidul privind Responsabilul cu protecția datelor (‘DPO’) publicat de grupul de lucru Articolul 29  în decembrie 2016 și revizuit în aprilie 2017, oferă operatorilor informațiile cele mai pertinente privind necesitatea numirii unui responsabil cu protecția datelor, precum și principalele atribuții ale acestora. Anterior adoptării GDPR, WP29 a susținut că DPO reprezintă un punct important al responsabilității și că numirea unui DPO poate facilita respectarea și, în plus, poate reprezenta un avantaj competitiv pentru companii.

DPO trebuie desemnat pe baza calităților profesionale și, în special a cunoștințelor de specialitate în dreptul și practicile în domeniul protecției datelor, precum și pe baza capacității de a-și îndeplini sarcinile. Nivelul de expertiză necesar ar trebui determinat pe baza operațiunilor de prelucrare efectuate și a protecției necesare pentru datele cu caracter personal prelucrate. De exemplu, în situația în care o operațiune de prelucrare a datelor este deosebit de complexă sau în cazul în care este implicat un volum mare de date speciale, DPO poate necesita un nivel mai ridicat de expertiză și suport.

Aptitudinile și expertiza relevante includ:

  • experiență în legislația și practicile de protecție a datelor la nivel național și european, precum și o înțelegere complexă a RGPD
  • înțelegerea operațiunilor de prelucrare efectuate
  • înțelegerea tehnologiilor de informații și de securitate a datelor
  • cunoașterea sectorului de afaceri și a organizației · abilitatea de a promova protecția datelor în cadrul organizației

Pe lângă facilitarea respectării prin punerea în aplicare a instrumentelor de responsabilitate (cum ar fi facilitarea evaluărilor impactului asupra protecției datelor și efectuarea sau facilitarea auditurilor), DPO acționează ca intermediar între părțile interesate relevante (de exemplu autoritățile de supraveghere, persoanele vizate și liniile de business din cadrul unei organizații).

Este important de știut că DPO nu este personal responsabil în caz de nerespectare a GDPR. Regulamentul spune clar că responsabil este operatorul sau persoana împuternicită de operator care trebuie să se asigure și să fie în măsură să demonstreze că prelucrarea este efectuată în conformitate cu dispozițiile sale (Articolul 24, Alineat 1).

Respectarea normelor de protecție a datelor reprezintă responsabilitatea operatorului sau a persoanei împuternicite de operator. Operatorul sau persoana împuternicită de operator are de asemenea un rol crucial în a permite îndeplinirea eficientă a atribuțiilor DPO. Numirea unui DPO reprezintă un prim pas, dar trebuie să se asigure că DPO are autonomie și resurse suficiente pentru îndeplinirea sarcinilor într-un mod eficient.

 

CUM ȘI UNDE NE PREGĂTIM DPO ÎN ROMÂNIA

Am scris mult pe această temă în ultimul an. O simplă cercetare de piață pe ofertele actuale de cursuri DPO relevă o mare varietate de opțiuni care merg de la simple cursuri de formare profesională cu durata de o zi, până la cursuri de certificare DPO acreditate internațional cu durata de 5 zile.

De la bun început am discutat în toate articolele mele despre lipsa unor reglementări care să certifice competențele celor care susțin cursurile de instruire și nivelul profesional de certificare garantat de diploma obținută. În lipsa unor standarde de certificare se merge pe principiul că piața aduce experiența, care ajută la formarea experților. În țările cu tradiție, un rol important îl au asociațiile profesionale și mediile academice.

O încercare de reglementare la nivel național s-a realizat în martie 2018, când la inițiativa unei echipe de specialiști de la PWC Audit srl și D&B David și Baiaș s-a depus la ANC (Autoritatea Națională de Certificări) o propunere de Standard ocupațional pentru educație și formare profesională pe baza Codului COR 242231.  ANC a aprobat acest standard ocupațional prin decizia  nr.74 din 19 martie 2018 dar la vremea respectivă s-a discutat că propunerea de standard ocupațional nu a primit și aprobarea de la ministerele muncii și educației. Codul COR 242231 privitor la meseria de ”Responsabil cu protecția datelor personale cu caracter personal” fusese acceptat de către Ministerul Muncii și Justiției Sociale și Institutul Național de Statistică încă de anul trecut prin Ordinul 1786/2017, pe o listă de 26 de noi ocupații, printre care cele de bonă, preot, catehet, prezentator TV, diacon, depanator telefoane mobile inteligente, inspector patriarhal sau paracliser…

În fine din septembrie 2018 o serie de companii care susțin cursuri au anunțat începerea unor programe de instruire bazate pe COR 242231 care sunt acreditate de cele două ministere și au ca finalitate o diplomă ce poartă girul ANC. Nici un anunț oficial legat de la cele 2 ministere, ANC sau ANSPDCP nu a apărut încă în mod public. Conform Standardului ocupațional enunțat, stadiul de pregătire pentru un DPO este de 180 de ore, dintre care 60 de ore de teorie și 120 de ore de practică realizate sub autoritatea unui Formator autorizat ANC. Interesant este faptul că Formatorul trebuie să aibă o experiență minima de 3 ani în domeniul protecției datelor cu caracter personal, iar Evaluatorul din comisia de examinare o experiență similară de minimum 5 ani…

Concluzionând, la ora actuală există 4 categorii de cursuri DPO oferite pe piața din România, diferențiate prin durată, nivel și diplomă de certificare și, evident, prin preț:

  • cursuri de formare profesională de 1-3 zile, cu diploma de participare
  • cursuri online, cu acces la material filmat de cca. 4-6 ore, examen online
  • cursuri de specializare cu acreditarea unor organizații internaționale și certificare DPO, durata 4-5 zile
  • cursuri de specializare bundle cu examen IAPP, cu un pachet de beneficii si diplome CIPP-E și CIPM acreditate de IAPP, durata 4-5 zile
  • cursuri acreditate ANC, cu durata de 180 de ore.

Care dintre aceste forme de curs este cea mai potrivită pentru companiile interesate să își formeze un DPO? Asta depinde de fiecare. Oferta de cursuri a apărut și s-a diversificat pe baza cererii. Important este să rețineți că GDPR nu condiționează în niciun fel numirea unui DPO de existența unei diplome, ci doar de experiența pe care o deține.

Puteți începe demersurile de aliniere la GDPR și fără DPO. Este suficient să fiți conștienți de responsabilitatea dvs. ca operatori sau procesatori de date personale și să demarați câțiva pași simpli, precum analiza fluxurilor de date, redactarea și gestionarea registrelor de evidență obligatorii, stabilirea politicilor interne, inventarierea contratelor cu partenerii și clienții, actualizarea politicilor publice și notificărilor către persoanele vizate, precum și instruirea tuturor angajaților implicați în procesele de prelucrare a datelor personale.

Oricare dintre membri echipei de coordonare poate fi numit DPO, în oricare dintre aceste faze. În plus, oricând puteți apela la un DPO extern. Important este să începeți.

Important este să înțelegeți că este responsabilitatea voastră a tuturor și că se poate. Trebuie să înțelegeți. Sigur că se poate.

GDPR Explicitat (11) : Un personaj important – Data Protection Officer (DPO)

Articol publicat pe siteul cloud☁mania în data de  23 Octombrie  2017. Autor: Radu Crahmaliuc

Una dintre noutățile cu care a venit GDPR este obligativitatea numirii unui ofițer responsabil cu protecția datelor (DPO – Data Protection Offcier) al cărui rol principal este coordonare și supraveghere a implementării condițiilor de conformitate GDPR, precum și ca persoană de legătură între organizație și autoritatea de supraveghere.

Deși condițiile numirii unui DPO, sarcinile și competențele acestuia sunt stipulate destul de clar în Articolele 37 – 39 din noul Regulament, importanța strategică a acestei poziții face ca subiectul să fie în centrul atenției în toate discuțiile și recomandările legate de GDPR. În acest articol vom prezenta elementele esențiale legate de numirea DPO și vom încerca să lămurim câteva dintre aspectele cele mai controversate.

Când suntem obligați să numim un ofițer de protecție a datelor?

Potrivit GDPR, este obligatoriu ca anumiți operatori și persoane împuternicite de operatori să desemneze un ofițer de protecție a datelor (DPO). În această situație se află toate autoritățile și organismele publice, indiferent de tipul datelor prelucrate, precum și  celelalte organizații care monitorizează în mod sistematic și pe scară largă persoanele fizice sau prelucrează categorii speciale de date cu caracter personal pe scară largă. Chiar și în situația în care GDPR nu impune în mod expres numirea unui DPO, organizațiile pot găsi ca fiind utilă desemnarea unui DPO în mod voluntar. Grupul de Lucru Articolul 29 („WP29”) încurajează aceste eforturi voluntare.

În conformitate cu Articolul 37, Aliniat 1 din GDPR, trebuie să desemnați un ofițer de protecție a datelor (DPO) dacă:

  • sunteți o autoritate publică (cu excepția instanțelor care acționează în calitatea lor judiciară);
  • efectuați o monitorizare sistematică, la scară largă, a persoanelor (de exemplu, urmărirea comportamentului online);
  • faceți o prelucrare la scară largă a unor categorii speciale de date sau date referitoare la condamnările penale și infracțiunile.

Există însă cazuri în care un grup de organizații, cum ar fi de exemplu partenerii dintr-un lanț de distribuție,  execută în mod frecvent activități comune care implică fluxuri de date ce pot fi controlate și monitorizate centralizat, la nivel de grup sau asociație de parteneri. În asemenea situații, puteți desemna un singur ofițer de protecție a datelor care să acționeze pentru un grup de organizații sau autorități publice, ținând cont de structura și dimensiunea acestora.

Alineatele 2 – 4 din Articolul 37: Desemnarea responsabilului cu protecţia datelor explicitează cele mai importante astfel de cazuri:

”(2) Un grup de organizații poate numi un responsabil cu protecţia datelor unic, cu condiţia ca responsabilul cu protecţia datelor să fie uşor accesibil din fiecare întreprindere.

(3) În cazul în care operatorul sau persoana împuternicită de operator este o autoritate publică sau un organism public, poate fi desemnat un responsabil cu protecţia datelor unic pentru mai multe dintre aceste autorităţi sau organisme, luând în considerare structura organizatorică şi dimensiunea acestora.

(4) În alte cazuri decât cele menţionate la alineatul (1), operatorul sau persoana împuternicită de operator ori asociaţiile şi alte organisme care reprezintă categorii de operatori sau de persoane împuternicite de operatori pot desemna sau, acolo unde dreptul Uniunii sau dreptul intern solicită acest lucru, desemnează un responsabil cu protecţia datelor. Responsabilul cu protecţia datelor poate să acţioneze în favoarea unor astfel de asociaţii şi alte organisme care reprezintă operatori sau persoane împuternicite de operatori.”

Potrivit aceluiași Articol 37, responsabilul cu protecția datelor este desemnat pe baza calităților profesionale și, în special, a cunoștințelor experților privind legislația și practicile privind protecția datelor și capacitatea de a îndeplini sarcinile menționate la Articolul 39. În anumite situații, agentul responsabil cu protecția datelor poate fi membru al personalului operatorului sau prelucrătorului sau poate îndeplini sarcinile pe baza unui contract de servicii externalizate. Controlorul sau procesatorul trebuie să publice datele de contact ale responsabilului cu protecția datelor și să le comunice autorității de supraveghere.

Care este rolul funcției de DPO?

Prin natura funcției și a împuternicirilor de care dispune, un DPO deține o poziție centrală, cu rol strategic, într-o organizație. Particularitățile și noutatea acestei poziții nasc o serie de întrebări care parțial sunt clarificate prin textul GDPR. La altele vom încerca să găsim noi răspunsul.

Potrivit Articolului 38: Funcţia responsabilului cu protecţia datelor, noi ca operatori trebui să ne asigurăm că responsabilul cu protecţia datelor ”este implicat în mod corespunzător şi în timp util în toate aspectele legate de protecţia datelor cu caracter personal”. Mai mult de atât, avem datoria să acordăm DPO tot sprijinul pentru îndeplinirea sarcinilor menţionate la Articolul 39, asigurându-i toate resursele necesare pentru buna executare a acestor sarcini. Printre aceste resurse se numără accesul la datele cu caracter personal şi la operaţiunile de prelucrare a acestora, cât și facilitarea accesului la resursele de instruire, pentru menţinerea cunoştinţelor sale de specialitate.

Un aspect foarte important și deci și foarte comentat legat de poziția DPO în cadrul unei organizații este autonomia acestuia în problemele de siguranța a datelor. Așa cum zice Articolul 38, Alineatul 3: ”Operatorul şi persoana împuternicită de operator se asigură că responsabilul cu protecţia datelor nu primeşte niciun fel de instrucţiuni în ceea ce priveşte îndeplinirea acestor sarcini.” Cum spuneam, această poziție privilegiată a generat numeroase discuții și nelămuriri privitoare la poziționarea acestei funcții în relațiile cu structurile de management și celelalte linii de business.

Nedumeririle sunt și mai mult accentuate de prevederea regulamentului prin care un DPO nu poate fi demis sau sancţionat de către operator pentru îndeplinirea sarcinilor sale. Responsabilul cu protecţia datelor răspunde direct în faţa celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator. Cele mai frcvente întrebări sunt legate de ce se întâmplă în situația în care sfaturile sau recomandările DPO sunt depășite sau eronate, ceea ce atrage vulnerabilități în privința rotecției datelor.  Un alt rol critic al DPO este acela de a prelua comunicarea cu persoanele vizate, în cazul în care acestea se prevalează de exercitarea drepturilor lor, în temeiul prezentului regulament.

Un alt punct important, în special în situația în care DPO își exercită activitățile ca extern, pentru una sau mai multe companii, este obligaţia de a respecta secretul și confidenţialitatea în ceea ce priveşte îndeplinirea sarcinilor sale. E clar că acest lucru trebuie reglementat printr-o secțiune specială a contractului individual de muncă sau a contractului de prestări de servicii. Astfel de reglementări trebuie să menționeze explicit care sunt categoriile de informații la care DPO are dreptul de acces, care este rolul său în prelucrarea efectivă a datelor și cum poate gira acesta condițiile asumate de organizație prin limitarea volumului de date procesate, siguranța comunicării sau a stocării.

Potrivit Alineatului 6 din Articolul 38: ”Responsabilul cu protecţia datelor poate îndeplini şi alte sarcini şi atribuţii. Operatorul sau persoana împuternicită de operator se asigură că niciuna dintre aceste sarcini şi atribuţii nu generează un conflict de interese.” Dar înainte de alte comentarii, haideți să vede care sunt sarcinile de bază ale unui DPO.

Ce atribuții aveți în calitate de DPO?

Condițiile minime pe care trebuie să le asigurați dacă aveți funcția de DPO sunt definite în Articolul 39:

  • Să informați și să consiliați organizația și angajații cu privire la obligațiile de a respecta GDPR și alte legi privind protecția datelor;
  • Să monitorizați respectarea GDPR și a altor legi privind protecția datelor, inclusiv gestionarea activităților interne de protecție a datelor;
  • Să consiliați activitățile organizației ce au legătură cu evaluările de impact privind protecția datelor;
  • Să instruiți personalul și să efectuați audituri interne;
  • Să fiți primul punct de contact pentru autoritățile de supraveghere și pentru persoanele fizice ale căror date sunt prelucrate (angajați, clienți etc.).

Dar poate cel mai important aspect al acestor atribuții este legat de faptul că, în îndeplinirea sarcinilor dvs. de DPO, trebuie să ţineți seama, în mod corespunzător (zice legea), dar cu maximă responsabilitate (zic cele mai bune practici) de riscul asociat operaţiunilor de prelucrare. Și aici trebuie să țineți seama atât de natura și de domeniul de aplicare, cât și de contextul şi scopurile prelucrării.

De ce calificare am nevoie pentru a deveni ofițer de protecție a datelor?

Responsabilul cu protecția datelor trebuie să aibă calitățile profesionale și cunoștințele profesionale adecvate recunoscute de legislația privind protecția datelor. În prezent, nu există o cerință expresă de a deține o anumită calificare sau certificare. Cu toate acestea, deținerea unei certificări  în conformitate cu GDPR este o modalitate eficientă de a demonstra cunoștințele experților. Conform GDPR, ca DPO trebuie să beneficiați de toate condițiile și tot suportul organizației pentru a avea acces la cele mai performante resurse de instruire.

Un DPO trebuie să fie independent. Acest lucru nu înseamnă neapărat că, în calitate de operator sau procesator, trebuie să numiți o persoană externă; rolul DPO poate fi îndeplinit de un angajat. Postul poate fi un rol cu ​​jumătate de normă sau combinat cu alte sarcini, însă, în îndeplinirea rolului, DPO trebuie să aibă o linie independentă de raportare și să fie împuternicit să raporteze direct comitetului fără intervenție. Ceea ce este important este faptul ca, pentru a-și îndeplini sarcinile, persoana desemnată trebuie să fie un profesionist în domeniul protecției datelor cu “cunoștințe de specialitate privind legislația și practicile privind protecția datelor“.

Recomandările Grupului de lucru Articolul 29

Printre numeroasele informații, ghiduri, texte de lege și documente extrem de utile publicate pe site-ul Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) poate fi găsit și descărcat ”Ghidul privind Responsabilul cu protecția datelor (‘DPO’). Publicat de grupul de lucru Articolul 29  în decembrie 2016 și revizuit în aprilie 2017, acest ghid are menirea de a oferi tuturor operatorilor informațiile cele mai pertinente privind necesitatea numirii unui responsabil cu protecția datelor, precum și principalele atribuții ale acestora.

Cu toate că Directiva 95/46/CE3 (încă aflată în vigoare) nu impune niciunei organizații să numească un DPO, această practică de numire a unui DPO s-a dezvoltat, de-a lungul anilor, în mai multe state membre. Anterior adoptării RGPD, grupul de lucru Articolul 29 a susținut că DPO reprezintă un punct important al responsabilității și că numirea unui DPO poate facilita respectarea și, în plus, poate reprezenta un avantaj competitiv pentru companii.

Pe lângă facilitarea respectării prin punerea în aplicare a instrumentelor de responsabilitate (cum ar fi facilitarea evaluărilor impactului asupra protecției datelor și efectuarea sau facilitarea auditurilor), DPO acționează ca intermediar între părțile interesate relevante (de exemplu autoritățile de supraveghere, persoanele vizate și liniile de business din cadrul unei organizații).

Este important de știut că DPO nu este personal responsabil în caz de nerespectare a RGPD. Regulamentul spune clar că responsabil este operatorul sau persoana împuternicită de operator care trebuie să se asigure și să fie în măsură să demonstreze că prelucrarea este efectuată în conformitate cu dispozițiile sale (Articolul 24, Alineat 1). Respectarea normelor de protecție a datelor reprezintă responsabilitatea operatorului sau a persoanei împuternicite de operator. Operatorul sau persoana împuternicită de operator are de asemenea un rol crucial în a permite îndeplinirea eficientă a atribuțiilor DPO. Numirea unui DPO reprezintă un prim pas, dar trebuie să se asigure că DPO are autonomie și resurse suficiente pentru îndeplinirea sarcinilor într-un mod eficient.

Care sunt situațiile în care poate apărea conflictul de interese?

Iarăși un aspect important și mult discuta și comentat privitor la rolul și atribuțiile DPO în cadrul unei organizații. Iată câteva considerații privitoare la Conflictul de interese extrase din Ghidul menționat mai sus.

Articolul 38, Alineatul 6 din GDPR permite DPO „să îndeplinească și alte sarcini și atribuții”. Cu toate acestea, este nevoie ca organizația să se asigure că „niciuna dintre aceste sarcini și atribuții nu generează un conflict”. Absența conflictului de interese este strâns legată de obligația de a acționa în mod independent. Cu toate că îi este permis să aibă și alte funcții, acestuia îi pot fi încredințate alte sarcini și atribuții cu condiția ca acestea să nu dea naștere unor conflicte de interese.

Acest lucru se referă mai ales la faptul că rolul de DPO nu presupune și libertatea de a stabili scopurile și mijloacele de prelucrare a datelor cu caracter personal. Acest lucru trebuie luat în considerare de la caz la caz, ținându-se cont de structura organizațională specifică fiecărei organizații. Ca regulă generală, funcții din cadrul organizației cu care poate intra în conflict pot include funcții de conducere (cum ar fi director executiv, director operațional, director financiar, șeful serviciului medical, șeful departamentului de marketing, șef departamentului de resurse umane sau șeful departamentului IT), dar, în același timp, și alte funcții inferioare dacă acestea conduc la posibilitatea de a stabili scopurile și mijloacelor de prelucrare.

În plus, un conflict de interese poate apărea, în situația în care un DPO extern este rugat să reprezinte operatorul sau persoana împuternicită de operator în instanță, în cazurile care implică probleme de protecție a datelor. În funcție de activitățile, dimensiunea și structura organizației, o bună practică pentru operatori și persoanele împuternicite de operatori ar putea fi:

  • să identifice funcțiile ce ar fi incompatibile cu funcția de DPO;
  • să elaboreze norme interne pentru a evita conflictele de interese;
  • să includă o explicație mai generală cu privire la conflictele de interese;
  • să declare că DPO nu are niciun conflict de interese în ceea ce privește funcția sa;
  • să includă garanții în normele interne ale organizației și să se asigure că anunțul de post vacant pentru funcția de DPO sau contractul de prestări servicii este suficient de precis și detaliat pentru a evita conflictul de interese.

În acest context, trebuie avut în vedere faptul că respectivele conflicte de interese mai pot lua diverse forme în funcție de faptul dacă DPO este recrutat intern sau extern.

Concluzionând, indiferent de organizație, sunteți liberi să numiți DPO, cu condiția să dispuneți de resurse pentru această poziție, iar persoana desemnată să aibă abilități suficiente pentru a-și îndeplini obligațiile stipulate de GDPR. Deși legea spune clar care sunt cazurile în care trebuie obligatoriu numit un DPO, conform grupului de lucru Articolul 29, în cazul în care considerați necesar, este recomandabil să numiți un DPO, care să corespundă tuturor condițiilor discutate până acum.  Obligațiile GDPR sunt de așa natură încât o consiliere și un sprijin pe care le avem la îndemână, din partea unui specialist în protecția datelor, pot fi un pas esențial pentru gestionare a riscurilor.