sâmbătă, ianuarie 28, 2023

GDPR – cum numim un DPO sau Responsabilul cu Protecția Datelor

GDPR este prescurtarea regulamentului UE nr.679/2016 aplicabil din 25 mai 2018 la nivelul întregii uniuni europene precum și în orice alt stat din lume unde se folosesc date personale ale cetățeniilor UE. Interesul acestui subiect a devenit de actualitate deoarece amenzile de care sunt pasibile cei care nu îl vor respecta sunt de până la 20 milioane EURO sau 4% din cifra de afaceri înregistrată în anul precedent. Obiectivul regulamentului GDPR este protejarea cu strictețe a modului în care sunt culese, folosite, transmise și arhivate datele personale care ajung la operatorii economici.

În regulamentul 679 se definește clar rolul unei persoane numită DPO (Data Protection Officer) sau tradus Responsabilul cu Protecția Datelor, și pare a fi mai degrabă un fel de avocatul clientului decât o simplă persoană de contact folosită în prezent de cei care sunt deja autorizați ca operatori de date. Această persoană trebuie să aibă cunoștințe de specialitate pe zona de protecție de date (art.37-5). Poate fi un membru al echipei sau poate să-și desfășoare activitatea în baza unui contract de prestări servicii (art.37-6), însă trebuie implicat în mod corespunzător și în timp util în toate aspectele legate de protecția datelor (art.38-1) și nu poate fi demis sau sancționat de către operator pentru îndeplinirea sarcinilor sale (art.38-3).

Pe scurt ar trebui să fie un expert în securitate informatică, cu zece pe linie la relații cu clienții, training și coaching intern, audit și evaluare de risc,în același timp să fie și purtător de cuvânt în relația cu autoritatea de supraveghere, și plătit de o societate comercială care are ca scop realizarea de profit. Ca să fac o analogie, un fel de căpitan de aeronavă care să știe să conducă basculante și să facă curse București-Mizil la un tarif de 15 RON, certificarea în vigoare pe ultimul tip de Boeing și examen medical de clasa 2 constituie un avantaj.

Norocul este că nu există în acest moment o certificare formală pentru acest DPO și va fi relativ greu de dovedit că o persoană care are titlul postului cerut de lege nu e potrivită pe acel rol. Vestea cea rea esta că cele mai multe dintre firmele vizate de aceste noi cerințe nu sunt pregătite ca și organizații pentru tot ce trebuie implementat până pe 25 mai 2018 și e mai puțin important dacă șoferul nu are viza medicală pe carnet dacă mașina nu are roți și motor. Este mult mai important în momentul de față ca persoana numită să poată pregăti și schimba organizația decât să aibe toate certificările personale.

Așadar ce este de făcut? Cred că depinde de tipul de organizație din care faceți parte:

Firmă mare – dacă firma din care faceți parte pare să meargă întotdeauna după un plan, merită să căutați o persoană cu certificări ISO27001, ISO37001, CISM, CRISC, CISA, CGEIT etc. sau să găsiți o persoană – candidat intern care să fie pasionată de subiectul securității informatice și protecției datelor și să fie certificată până anul viitor. Dacă sunteți o firmă mare care merge pas cu pas, căutați un cadru de conducere care să aibe un rol cu nume pompos și inspiră încredere pentru schimbările care trebuie să le facă organizația.

Firmă medie – într-o organizație medie este posibil ca cea mai potrivită persoană să fie cea care aprobă tot ce ține de tehnologie, uneori i se spune manager IT, sau în alte părți este aceiași persoană cu directorul operațional sau chiar financiar. Această persoană se poate ocupa direct dacă are afinitate spre aceste zone sau să-și numească sau angajeze un adjunct care să se ocupe de subiect.

Firmă mică – Aici variantele sunt simple, fie se implică șeful, fie este o șansă bună ca asistenta șefului de care ascultă toată firma să înceapă să învețe, și să promoveze. Șansele de dezvoltare pot fi foarte motivante și se pot obține rezultate surprinzătoare. În paralel cu schimbările din firmă se pot obține și cunoștințele sau certificările necesare.

Dacă doriți să pasați problema colegilor care se ocupă de personal, este probabil important pentru ei să le pregătiți o fișă a postului pe care ei să o poată folosi în căutarea candidatului perfect. Puteți folosi ca și punct de plecare conținutul secțiunii 4 (art.37-art.39) din regulamentul ce se găsește aici.

Orice varianta veți alege, asigurați-vă că citiți forma regulamentului, aflați ce date personale folosiți în firmă și faceți un plan de schimbări ce trebuiesc să fie implementate pînă pe 25 mai 2018. Un plan în 4 pași găsiți aici.

Distribuie acest articol

8 COMENTARII

  1. Sa nu exageram. O firma mica si chair una medie are cateva lucruri simple de facut mai intai:
    a) back-up
    b) cascatul ochilor la email-uri de la necunoscuti sau cu attachement-uri bizarre
    c) retinerea de a posta tot felul de informatii, chiar nevinovate oe retele de socializare sau pe forumuri sau chiar transmiterea de emailuri cu date sensibile,
    d) mentinerea la zi a unui antivirus, activarea unui firewall.
    Puteti sa ma credeti sau nu, dar dupa umila si neinformata mea parere, formata doar din discutii tangentiale, nu cred ca 10% din firme indeplinesc simultan aceste conditii absolut banale.

    Dar toate astea sunt de bun simt, nu-ti trebuie calificari sofhisticate. Daca mergem pe idea cate unui rsponsabil calificat pe fiecare zona de interes ajungem curand ca in firma sa lucreze un singur on, iar restul de 100 sa fie responsabili cu diverse :-).

  2. @Dedalus: Regulamentul se ocupă cu protecția datelor personale, nu cu protecția datelor în general. Faptul că respecți cele 4 puncte din lista de mai sus nu înseamnă nimic dacă prelucrezi date personale și încalci regulamentul (nu ai temei pentru prelucrarea respectivă, le prelucrezi excesiv, nu le limitezi în timp, nu ai consimțământul persoanei pentru acele prelucrări care au nevoie de consimțământ etc. etc. etc.).

  3. *
    In primul rand DPO-ul trebuie sa fie o functie independenta, subordonata conducerii institutiei sau Consiliului de administratie DPO nu trebuie să fie în conflict prin faptul că are un rol dublu în gestionarea protecției datelor, definind totodată modul în care sunt gestionate datele. Din aceasta cauza functiile de manager IT, sau in general orice functie din IT-ul operational sunt in conflict de interese cu functia de DPO. La fel functiile de Ofiter de securitate, CTO, marketing manager etc, director executiv, director operational, sef serviciu medical, sef resurse umane etc.

  4. Regulamentul se ocupa cu protectia persoanelor nu a datelor. Asta cu datele e indirect.
    Iar DPO nu trebuie sa fie musai expert in securitate. Daca nu se solicita asta in regulament de ce ar trebui sa fim noi mai cu mot? Plus ca nu toate prelucrarile de date personale sunt automate.
    Trebuie sa inteleaga GDPR-ul si sa il aplice.

  5. ”Dacă sunteți o firmă mare care merge pas cu pas, căutați un cadru de conducere care să aibe un rol cu nume pompos și inspiră încredere pentru schimbările care trebuie să le facă organizația. (…) Firmă medie – într-o organizație medie este posibil ca cea mai potrivită persoană să fie cea care aprobă tot ce ține de tehnologie, uneori i se spune manager IT, sau în alte părți este aceiași persoană cu directorul operațional sau chiar financiar. Această persoană se poate ocupa direct dacă are afinitate spre aceste zone sau să-și numească sau angajeze un adjunct care să se ocupe de subiect.”

    Sunt niște erori fundamentale în articol. DPO-ul nu trebuie să se afle într-un conflict de interese. Este exclus să fie numit un cadru din conducerea / manager IT sau ceva de acest gen. DPO-ul nu poate ocupa, în același timp, și o funcție de decizie, ajungându-se în situația în care acesta își evaluează propria activitate privind prelucrarea datelor personale. Conflictul de interese apare în orice situație în care DPO-ul ar fi chemat să analizeze o chestiune în care el a decis sau pe care el a implementat-o în cadrul altei funcții. Sau în care chiar DPO-ul stabilește scopul și mijloacele prelucrării de date, În plus DPO-ul trebuie să aibă neapărat cunoștințe juridice legate de prelucrarea datelor cu caracter personal și mai puține cunoștințe despre securitatea cibernetică… pentru că într-adevăr este vorba de persoane, nu doar de date..

    https://www.avocatnet.ro/articol_46879/DPO-ul-poate-ocupa-concomitent-și-altă-funcție-la-firmă-dar-trebuie-evitate-conflictele-de-interese.html

  6. in DPO numit intern , la in spital de stat , avand deja o functie in acea institutie , se plateste separat pentru activitatea de DPO ?! Si daca da , in baza a ce ?!

    • GABI, depinde ce functie.
      Daca functia presupune procesare de date personale (prin procesare se intelege si simpla vizualizare), nu poate ocupa functia de DPO simultan aflandu-se in conflict de interese, lucru specificat in regulament.
      Daca nu exista procesare de date, nu ar trebui sa fie nici o problema, sa ocupe cele 2 functii simultan.

  7. Buna ziua. Am vazut niste raspunsuri pertinente pe subiectul GDPR si indraznesc sa adaug si eu o intrebare cu rugamintea unor raspunsuri motivate.
    STUDIU DE CAZ
    Avem o firma de productie sa zicem mobila care distrubuie doar catre persona juridice, dar care are 249 de angajati. Asta pentru ca am vazut acea bariera de 250 de angajati de la care devine obligatoriu DPO si nu stiu de unde e scoasa cifra. Banuiesc ca din 667/2001.
    Practic firma este procesator de date cu caracter personal pentru angajati cu temei legal.
    Are sau nu nevoie de DPO?
    Regulamentul zice „Daca activitățile principale ale operatorului[3] sau ale persoanei împuternicite[4] constau in operațiuni de prelucrare care necesita o monitorizare periodica si sistematica a persoanelor vizate pe scara larga”
    Ce inseamna monitorizare periodica? Ce inseamna scara larga?
    Angajatilor li se prelucreaza date periodic in temeiul contractului de munca (vin, pleaca, concedii – cu alt set de date personale, date de sanatate – categorie de obligativitate, nu mai zic de date card bancar, etc). Daca firma are cctv, sau gps pe masini sau alte bazaconii IT (in teorie si telefonul de la firma e cu semn de intrebare) devine clar. Inclin sa cred ca faptul ca existenta angajatilori inseamna obligativitate DPO, prin caracterul permanent.
    Acum ce inseamna scara larga?
    Treaba cu activitatile principale e atat de vaga si nu prevede macar aceasta exceptie a angajatilor, care e destul de constanta in orice firma.
    Are sau nu firma din exemplu nevoie de DPO?

LĂSAȚI UN MESAJ

Please enter your comment!
Please enter your name here

Prin adaugarea unui comentariu sunteti de acord cu Termenii si Conditiile site-ului Contributors.ro

Autor

Radu Fenyo
Radu Fenyo este expert IT cu peste 25 ani experienta in a ajuta organizatiile sa obtina beneficii folosind tehnologiile noi sau cele existente. Pregatirea profesionala si-a format-o lucrand pentru firme de calculatoare ca DEC, Compaq, FSC, si urmand cursurile facultatii de Informatica Manageriala ale Universitatii Romano Americane. Experienta capatata in pozitiile din firmele in care a lucrat ca producator, furnizor, dezvoltator, utilizator si auditor, precum si multitudinea de proiecte in practic toate industriile tehnologizate i-au permis sa aibe o viziune de 360 grade asupra fenomenului tehnologiei informatiei.

Carti noi

 

Institutul de Istorie a Religiilor al Academiei Române și Muzeul Național al Literaturii Române vă invită la expoziția „Manuscrisele inedite ale lui Mircea Eliade din patrimoniul Institutului de Istorie a Religiilor al Academiei Române”, care va putea fi vizitată între 26 ianuarie și 13 martie 2023 la sediul Muzeului Național al Literaturii Române din strada Nicolae Crețulescu nr. 8. Află mai multe

Carti noi

Revoluția Greacă de la 1821 pe teritoriul Moldovei și Țării Românești

 

Carti noi

„Jurnalul de doliu scris de Ioan Stanomir impresionează prin intensitatea pe care o imprimă literei, o intensitate care consumă și îl consumă, într-un intangibil orizont al unei nostalgii dizolvante. Biografia mamei, autobiografia autorului, atât de strâns legate, alcătuiesc textul unei declarații de dragoste d’outre-tombe, punctând, în marginea unor momente care au devenit inefabile, notele simfoniei unei iremediabile tristeți… vezi amanunte despre carte
 „Serhii Plokhy este unul dintre cei mai însemnați experți contemporani în istoria Rusiei și a Războiului Rece.” – Anne Applebaum
În toamna anului 1961, asasinul KGB-ist Bogdan Stașinski dezerta în Germania de Vest. După ce a dezvăluit agenților CIA secretele pe care le deținea, Stașinski a fost judecat în ceea ce avea să fie cel mai mediatizat caz de asasinat din întregul Război Rece. Publicitatea iscată în jurul cazului Stașinski a determinat KGB-ul să își schimbe modul de operare în străinătate și a contribuit la sfârșitul carierei lui Aleksandr Șelepin, unul dintre cei mai ambițioși și periculoși conducători sovietici. Mai multe…
„Chiar dacă războiul va mai dura, soarta lui este decisă. E greu de imaginat vreun scenariu plauzibil în care Rusia iese învingătoare. Sunt tot mai multe semne că sfârşitul regimului Putin se apropie. Am putea asista însă la un proces îndelungat, cu convulsii majore, care să modifice radical evoluţiile istorice în spaţiul eurasiatic. În centrul acestor evoluţii, rămâne Rusia, o ţară uriaşă, cu un regim hibrid, între autoritarism electoral şi dictatură autentică. În ultimele luni, în Rusia a avut loc o pierdere uriaşă de capital uman. 
Cumpara cartea

 

 

Esential HotNews

Top articole

contributors.ro

Contributors.ro este intr-o permanenta cautare de autori care pot da valoare adaugata dezbaterii publice. Semnaturile noi sunt binevenite cata vreme respecta regulile de baza ale site-ului. Incurajam dezbaterea relaxata, bazata pe forta argumentelor.
Contact: editor[at]contributors.ro