Revista si suplimente
MarketWatch
Inapoi Inainte

Data Protection Officer (DPO) – Pe înțelesul tuturor

27 Septembrie 2017



În decembrie 2016, după 4 ani de la propunerea inițială, Parlamentul și Consiliul UE au convenit în cele din urmă asupra Regulamentului privind Protecția Generală a Datelor (GDPR), ce urmează să intre în vigoare la 25 mai 2018, și astfel a început cea mai mare schimbare a regimului european de protecție a datelor din ultimii 20 de ani. GDPR oferă un nou cadru general complex pentru protecția datelor, cu obligații sporite pentru orice organizație, iar amploarea, complexitatea și impactul operațional este fără precedent. GDPR se aplică oricărei organizații - indiferent unde își are sediul - care gestionează datele cu caracter personal ale cetățenilor Uniunii Europene.

Voi începe ca de fiecare dată în articolele despre GDPR prin a reaminti ultimul și cel mai dureros aspect al acestui regulament: Consecințe pentru nerespectarea GDPR: proceduri administrative complexe și amenzi mari. Mai mult decât orice drept de fond nou sau procedură complexă, noua măsură GDPR care va atrage atenția C-Level-ului din orice organizație este dispoziția privind sancțiunile și amenzile. Într-o abatere strictă față de legislația anterioară privind confidențialitatea în Europa sau în altă parte, GDPR permite și încurajează autoritățile de reglementare să perceapă amenzi remarcabil de mari. Aceste amenzi pot să depășească 20 de milioane de Euro sau 4% din cifra de afaceri globală anuală, oricare este mai mare.
Personal consider în continuare că încă suntem abia la primul pas – nivelul de conștientizare – și nu reusim să avansăm nici măcar cu pași miciGDPR - Data

Protection Officer (DPO) – Ce înseamnă de fapt?
Regulamentul general privind protecția datelor (GDPR) impune multor organizații ca unul din primii pași în aliniere este să numească un responsabil pentru protecția datelor (DPO – Data Protection Officer). IAPP (The International Association of Privacy Professionals) estimează că vor fi necesari mai mult de 75.000 de noi angajați certificați la nivelul UE pentru a îndeplini cerințele de conformitate cu GDPR.

Sunt companiile din UE pregătite? Dar cele din România?
Mulți ne întrebăm cine și când va reuși să pregătească și să certifice un volum atât de mare de specialiști de tipul Responsabil pentru Protecția Datelor cu Caracter Personal (RPD), astfel încât peste 8 luni să putem respecta Regulamentul pentru Protecția Datelor.
Secțiunea 4 din GDPR introduce o poziție legală a Responsabilului pentru Protecția Datelor cu Caracter Personal (RPD), care va avea un rol-cheie în asigurarea conformității cu GDPR. Dar cine va avea nevoie de un DPO și care este rolul său? Grupul de lucru al UE pentru protecția datelor în temeiul articolului 29 a clarificat acest lucru în orientările sale recent publicate (Ghidul A29) și în întrebările frecvente. Din punct de vedere tehnic, aceste documente au fost deja finalizate la sfârșitul lunii ianuarie 2017.
Cum am specificat de fiecare dată, complexitatea acestui normativ este imensă, iar corelările cu legislația națională din fiecare țară în toate domeniile congruente sunt nelimitate. Voi încerca să limitez și să sumarizez foarte succint cam care ar fi responsabilitățile unui DPO sau RPD:

Sarcinile DPO/ RPD
În conformitate cu articolul 37 alineatul (5), RPD, care poate fi membru al personalului (angajat) sau contractant extern (resursă internalizată), este desemnat pe baza calităților profesionale și, în special, a cunoștințelor experților privind legislația și practicile privind protecția datelor și capacitatea de a îndeplini sarcinile menționate la articolul 39.
Succint, responsabilitățile unui RPD sunt:
♦ Să informeze și să sfătuiască controlorul sau procesatorul și angajații care sunt implicați în prelucrarea datelor cu caracter personal a obligațiilor care le revin în temeiul prezentului regulament;
♦ Să monitorizeze respectarea prezentului regulament, inclusiv atribuirea responsabilităților, sensibilizarea și formarea personalului implicat în operațiunile de prelucrare și auditurile aferente;
♦ Să ofere consiliere în cazul în care este solicitat pentru evaluarea impactului privind protecția datelor și să monitorizeze performanța acestuia în conformitate cu articolul 35;
♦ Să coopereze cu autoritatea de supraveghere (în Romania Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal)
♦ Să acționeze ca punct de contact al autorității de supraveghere în chestiuni legate de prelucrarea datelor cu caracter personal.

GDPR - Data Protection Officer (DPO) – Unde găsim o astfel de resursă sau cum o certificăm?
Voi reveni la Pasul 2 din Recomandările din articolele următoare, care explicau care sunt simplificat cei 4 Pași simpli de urmat în vederea alinierii la GDPR:
Pasul 2 – Angajarea sau numirea unui Responsabil pentru Protecția Datelor cu Caracter Personal (RPD). Aici avem 2 soluții: externalizarea către o firma specializată, la pachet cu riscurile și obligațiile, respectând cerințele GDPR; sau crearea unei noi poziții interne în cadrul companiei, care să aibă neutralitatea și expertiza necesară; în acest moment există o certificare globală pe care o puteți obține de la IAPP (The International Association of Privacy Professionals) și care poate fi ușor accesată: DPO Certification Bundle. Evident, există și companii de training din România care deja oferă certificări adaptate standardului și companii de audit IT care deja își certifică oamenii pentru a fi contractați în regim externalizat.
Cu siguranță, în funcție de abordarea fiecărei companii, externalizarea sau angajarea va fi prima decizie, iar apoi în ambele cazuri certificarea resursei angajate sau validarea resursei externalizate va fi partea secundară.
Cu siguranță în următoarele luni vor apărea și mai multe Asociații de profil care vor certifica astfel de resurse sau Companii de Training care vor introduce în programa lor cursuri pe tema GDPR.

GDPR - Data Protection Officer (DPO) – Concluzii
Concluzia este simplă: după primul Pas, care implică mai mult Informare și Conștientizare la nivel de Management, Pasul 2 este natural, angajăm sau subcontractăm urgent o resursă care să poată prelua rapid si eficient problema GDPR. În primul an estimez că această resursă va fi de fapt un Project Manager(PM) al alinierii la standard, urmând ca ușor-ușor, în paralel, sarcinile de PM să scadă și să crească cele standard de RPD - prezentate mai sus, anume: controlling, raportare, formare și consiliere privind obligațiile GDPR.
Deci nu ezitați și nu mai așteptați, deoarece nu există varianta ideală încă, nici resurse certificate pentru a fi angajate și nici foarte multe resurse externalizate, tocmai de aceea luați o decizie extrem de rapid, numiți o persoană din intern (din departamente de Q&A, Compliance, Project Management, etc.) pe care să o certificați și specializați ulterior. Sau externalizați, pentru că și aici resursele sunt limitate și prețurile vor crește exponențial, din cauza penuriei de resurse specializate, iar în final cererea va fi oricum extrem de mare față de ofertă.
Cel mai important lucru: această poziție de RPD trebuie privită ca un controller, un auditor sau la extremă și foarte simplist ceva similar cu un inspector în protecția muncii. Dar NU confundați și nu plasați aceasta responsabilitate către IT (CIO) sau Security (CSO). Aceste departamente informatice vor fi oricum cele mai lovite de alinierea la GDPR, ei vor avea de furcă cel mai mult cu implementarea soluțiilor informatice suport pentru GDPR.



Tags: securitate, GDPR

Parerea ta conteaza:

(0/5, 0 voturi)

Lasa un comentariu



trimite