Home » Media / Tech » Citesti:

GDPR – cum numim un DPO sau Responsabilul cu Protecția Datelor

Radu Fenyo noiembrie 10, 2017 Media / Tech
3 comentarii 1,185 Vizualizari

GDPR este prescurtarea regulamentului UE nr.679/2016 aplicabil din 25 mai 2018 la nivelul întregii uniuni europene precum și în orice alt stat din lume unde se folosesc date personale ale cetățeniilor UE. Interesul acestui subiect a devenit de actualitate deoarece amenzile de care sunt pasibile cei care nu îl vor respecta sunt de până la 20 milioane EURO sau 4% din cifra de afaceri înregistrată în anul precedent. Obiectivul regulamentului GDPR este protejarea cu strictețe a modului în care sunt culese, folosite, transmise și arhivate datele personale care ajung la operatorii economici.

În regulamentul 679 se definește clar rolul unei persoane numită DPO (Data Protection Officer) sau tradus Responsabilul cu Protecția Datelor, și pare a fi mai degrabă un fel de avocatul clientului decât o simplă persoană de contact folosită în prezent de cei care sunt deja autorizați ca operatori de date. Această persoană trebuie să aibă cunoștințe de specialitate pe zona de protecție de date (art.37-5). Poate fi un membru al echipei sau poate să-și desfășoare activitatea în baza unui contract de prestări servicii (art.37-6), însă trebuie implicat în mod corespunzător și în timp util în toate aspectele legate de protecția datelor (art.38-1) și nu poate fi demis sau sancționat de către operator pentru îndeplinirea sarcinilor sale (art.38-3).

Pe scurt ar trebui să fie un expert în securitate informatică, cu zece pe linie la relații cu clienții, training și coaching intern, audit și evaluare de risc,în același timp să fie și purtător de cuvânt în relația cu autoritatea de supraveghere, și plătit de o societate comercială care are ca scop realizarea de profit. Ca să fac o analogie, un fel de căpitan de aeronavă care să știe să conducă basculante și să facă curse București-Mizil la un tarif de 15 RON, certificarea în vigoare pe ultimul tip de Boeing și examen medical de clasa 2 constituie un avantaj.

Norocul este că nu există în acest moment o certificare formală pentru acest DPO și va fi relativ greu de dovedit că o persoană care are titlul postului cerut de lege nu e potrivită pe acel rol. Vestea cea rea esta că cele mai multe dintre firmele vizate de aceste noi cerințe nu sunt pregătite ca și organizații pentru tot ce trebuie implementat până pe 25 mai 2018 și e mai puțin important dacă șoferul nu are viza medicală pe carnet dacă mașina nu are roți și motor. Este mult mai important în momentul de față ca persoana numită să poată pregăti și schimba organizația decât să aibe toate certificările personale.

Așadar ce este de făcut? Cred că depinde de tipul de organizație din care faceți parte:

Firmă mare – dacă firma din care faceți parte pare să meargă întotdeauna după un plan, merită să căutați o persoană cu certificări ISO27001, ISO37001, CISM, CRISC, CISA, CGEIT etc. sau să găsiți o persoană – candidat intern care să fie pasionată de subiectul securității informatice și protecției datelor și să fie certificată până anul viitor. Dacă sunteți o firmă mare care merge pas cu pas, căutați un cadru de conducere care să aibe un rol cu nume pompos și inspiră încredere pentru schimbările care trebuie să le facă organizația.

Firmă medie – într-o organizație medie este posibil ca cea mai potrivită persoană să fie cea care aprobă tot ce ține de tehnologie, uneori i se spune manager IT, sau în alte părți este aceiași persoană cu directorul operațional sau chiar financiar. Această persoană se poate ocupa direct dacă are afinitate spre aceste zone sau să-și numească sau angajeze un adjunct care să se ocupe de subiect.

Firmă mică – Aici variantele sunt simple, fie se implică șeful, fie este o șansă bună ca asistenta șefului de care ascultă toată firma să înceapă să învețe, și să promoveze. Șansele de dezvoltare pot fi foarte motivante și se pot obține rezultate surprinzătoare. În paralel cu schimbările din firmă se pot obține și cunoștințele sau certificările necesare.

Dacă doriți să pasați problema colegilor care se ocupă de personal, este probabil important pentru ei să le pregătiți o fișă a postului pe care ei să o poată folosi în căutarea candidatului perfect. Puteți folosi ca și punct de plecare conținutul secțiunii 4 (art.37-art.39) din regulamentul ce se găsește aici.

Orice varianta veți alege, asigurați-vă că citiți forma regulamentului, aflați ce date personale folosiți în firmă și faceți un plan de schimbări ce trebuiesc să fie implementate pînă pe 25 mai 2018. Un plan în 4 pași găsiți aici.

Ai informatii despre tema de mai sus? Poti contribui la o mai buna intelegere a subiectului? Scrie articolul tau si trimite-l la editor[at]contributors.ro



Currently there are "3 comments" on this Article:

  1. Dedalus spune:

    Sa nu exageram. O firma mica si chair una medie are cateva lucruri simple de facut mai intai:
    a) back-up
    b) cascatul ochilor la email-uri de la necunoscuti sau cu attachement-uri bizarre
    c) retinerea de a posta tot felul de informatii, chiar nevinovate oe retele de socializare sau pe forumuri sau chiar transmiterea de emailuri cu date sensibile,
    d) mentinerea la zi a unui antivirus, activarea unui firewall.
    Puteti sa ma credeti sau nu, dar dupa umila si neinformata mea parere, formata doar din discutii tangentiale, nu cred ca 10% din firme indeplinesc simultan aceste conditii absolut banale.

    Dar toate astea sunt de bun simt, nu-ti trebuie calificari sofhisticate. Daca mergem pe idea cate unui rsponsabil calificat pe fiecare zona de interes ajungem curand ca in firma sa lucreze un singur on, iar restul de 100 sa fie responsabili cu diverse :-) .

  2. Ella spune:

    @Dedalus: Regulamentul se ocupă cu protecția datelor personale, nu cu protecția datelor în general. Faptul că respecți cele 4 puncte din lista de mai sus nu înseamnă nimic dacă prelucrezi date personale și încalci regulamentul (nu ai temei pentru prelucrarea respectivă, le prelucrezi excesiv, nu le limitezi în timp, nu ai consimțământul persoanei pentru acele prelucrări care au nevoie de consimțământ etc. etc. etc.).

  3. Teo spune:

    *
    In primul rand DPO-ul trebuie sa fie o functie independenta, subordonata conducerii institutiei sau Consiliului de administratie DPO nu trebuie să fie în conflict prin faptul că are un rol dublu în gestionarea protecției datelor, definind totodată modul în care sunt gestionate datele. Din aceasta cauza functiile de manager IT, sau in general orice functie din IT-ul operational sunt in conflict de interese cu functia de DPO. La fel functiile de Ofiter de securitate, CTO, marketing manager etc, director executiv, director operational, sef serviciu medical, sef resurse umane etc.



Comenteaza:







Do NOT fill this !

Autor

Radu Fenyo


Radu Fenyo

Radu Fenyo este expert IT cu peste 25 ani experienta in a ajuta organizatiile sa obtina beneficii folosind tehnologiile noi sau cele existente. Pregatirea profesionala si-a format-... Citeste mai departe


E randul tau

...primul e termenul curent, din lat. culus. Cu ani în urmă, cineva i-a pus exact această întreb...

de: Funeriu

la "Întâmplări lingvistice triste, hazlii și puțin indecente. Astăzi despre spelling"

Cauta articole

noiembrie 2017
Lu Ma Mi Jo Vi Du
« Oct    
 12345
6789101112
13141516171819
20212223242526
27282930  

Valentin Naumescu – Marile schimbari. Crize si perspective in politica internationala. Editie bibliofila

contributors.ro

Contributors.ro este intr-o permanenta cautare de autori care pot da valoare adaugata dezbaterii publice. Semnaturile noi sunt binevenite cata vreme respecta regulile de baza ale site-ului. Incurajam dezbaterea relaxata, bazata pe forta argumentelor.
Contact: editor[at]contributors.ro

MIHAI MACI – Cel de-al doilea volum din Colectia Contributors.ro

"Atunci când abdică de la menirea ei, școala nu e o simplă instituție inerțială, ci una deformatoare. Și nu deformează doar spatele copiilor, ci, în primul rând, sufletele lor. Elevul care învață că poate obține note mari cu referate de pe internet e adultul de mâine care va plagia fără remușcări, cel care-și copiază temele în pauză va alege întotdeauna scurtătura, iar cel care promovează cu intervenții va ști că la baza reușitei stă nu cunoașterea, ci cunoștințele. Luate indi­vidual, lucrurile acestea pot părea mărunte, însă cumulate, ele dau măsura deformării lumii în care trăim și aruncă o umbră grea asupra viitorului pe care ni-l dorim altfel." - Mihai Maci

(An essay by Vladimir Tismaneanu and Marius Stan)