Search
Miercuri 21 Noiembrie 2018
  • :
  • :

Avocat Marta Popa: Timpul mediu de atingere a unui grad mare de conformare este 9 luni

Interviu cu doamna Marta Popa, Senior Partner, Voicu & Filipescu

Care sunt principalele noutăți aduse de GDPR (Regulamentul general privind protecția datelor)? 

Guvernanța datelor cu caracter personal nu este o reglementare nouă, existând și înainte de apariția Regulamentului 679/2016 (“GDPR” sau “regulamentul”). Obligativitatea aplicării, începând cu 25 mai 2018, a prevederilor GDPR trebuie să însemne pentru organizații o transformare a modului în care derulează colectarea și prelucrarea datelor personale ale cetățenilor UE. Dintre principiile și obligațiile noi pe care le aduce noul regulament menționez doar câteva: ·        Domeniu de aplicare sporit din punct de vedere teritorial·        Reguli mai stricte de obținere a consimțământului. Astfel, trebuie acordată o atenție sporită consimțământului ca temei al prelucrării datelor cu caracter personal. Spre deosebire de situația anterioară GDPR, prelucrarea de date cu caracter personal ale angajaților pe baza consimțământului nu va mai constitui un temei universal și nediscutabil de prelucrare după 25 mai 2018, câtă vreme angajatul se afla într-o relație de subordonare față de angajator și nu sunt respectate și celelalte principii, precum limitarea scopului sau minimizarea datelor.

  • Obligații stricte privind înștiințarea de apariție a unei încălcări ce generează risc de securitate a datelor
  • Drepturi extinse ale persoanelor vizate, ce includ “dreptul de a fi uitat” precum și portabilitatea datelor
  • Obligativitatea numirii, în unele cazuri, a unui responsabil cu protecția datelor.

Cât de pregătite sunt persoanele fizice, companiile și instituțiile românești pentru aplicarea GDPR? 

În România, cu puțin timp înainte de intrarea în vigoare și la aproape 2 ani de la punerea în aplicare a directivei, peste 40% din organizații încă nu știu care dintre operațiunile actuale pe care le desfășoară sunt conforme cu legea și care nu, implicând o lipsă și mai mare a cunoașterii măsurilor de conformitate pe care ar trebui să le ia. Practica proiectelor de pregătire a conformării la cerințele GDPR pentru clienții noștri ne arată că timpul mediu de atingere a unui grad mare de conformare este 9 luni. Chiar dacă este așa, companiile trebuie să înțeleagă că nu este prea târziu să demareze conformare la GDPR chiar și după 25 mai. 

Ce soluții tehnologice intenționează să adopte clienții dumneavoastră pentru obținerea conformității GDPR? Care este nivelul de implicare managerială în acest proces? 

Într-adevăr, proiectele de conformare la GDPR nu trebuie privite exclusiv din perspectivă juridică. În opinia mea, un proiect “end to end” de conformare presupune conlucrarea a trei tipuri de specialiști: avocați, ingineri de securitate IT și specialiști în managementul de procese, acesta fiind modul în care lucrăm în astfel de proiecte. Nu furnizăm clientului un set de documente de pus pe raft la care va apela dacă este întrebat de autoritatea de control sau de persoana vizată. Atât în faza de analiză cât și în cea de implementare, lucrăm cu un set de aplicații (tools) care ne ajută foarte mult în strângerea datelor de proiect și organizarea proceselor.

Managementul companiilor pare să fi înțeles că regulamentul GDPR nu impune organizațiilor o anumită investiție minimă, ci trebuie ca fiecare organizație să răspundă funcție de evaluarea de risc efectuată în ce privește operațiunile și procesele identificate în procesul de analiză și cartografiere a datelor cu caracter pesonal.

Un prim aspect pe care îl poate avea în vedere o organizație este reprezentat de invesțiile în modificarea soluțiilor informatice actuale de tip core (ERP, CRM) care să permită organizației să răspundă la toate cele 8 drepturi al persoanelor vizate. Un exemplu tipic este implementarea de log-uri solicitate de regulament, tratamente de tip pseudo-anonimizare și anonimizare. Un al doilea aspect ar fi asigurarea unor soluții aferente securității, respectiv implementarea unor măsuri de encriptare, securizare dispozitive mobile, sisteme de tip DLP software-as-a-service, etc. O expunere clară a măsurilor ce pot fi luate sunt menționate în următorul tabel, comparativ cu articolele din regulament:

Am constatat că există un grad destul de ridicat de înțelegere a faptului că o obligație generată de reglementarile legale poate fi convertită într-o investiție aferentă transformării digitale, cu multiple beneficii precum transparentizarea proceselor organizației,  creșterea nivelului de încredere externă din partea clienților dar și de încredere internă din partea angajaților. Nu în ultimul rând, beneficiile includ îmbunătățirea eficienței operaționale în activitatea IT și limitarea sau eliminarea riscului reputațional prin evitarea întreruperii activității (printre primele măsuri ale reglementatorului) sau chiar evitarea măsurilor pecuniare (amenzile).

Ce ar trebui să facă un DPO (Data Protection Officer)? 

Regulamentul prescrie în mod concret sarcinile responsabilului cu protecția datelor (Data Protection Officer sau DPO), atribuțiile sale incluzând supravegherea conformării companiei la cerințele GDPR dar și responsabilitatea pentru interacțiunea cu autoritatea de supraveghere și cu persoanele vizate de prelucrările efectuate de companie. Rolul include consilierea oferită companiei în materia GDPR.

GDPR stabilește clar faptul că DPO nu primește niciun fel de instrucțiuni în ceea ce privește îndeplinirea sarcinilor sale. Acesta nu este demis sau sancționat de operator sau de către persoana împuternicită de operator pentru îndeplinirea sarcinilor sale. DPO răspunde direct în fața celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator.

Aceste dispoziții, cuprinse în art. 38 al GDPR, au ridicat numeroase întrebări privind statutul special al DPO, de la aparenta imunitate care se stabilește în persoana DPO cu privire la demitere sau sancționare de către operator, până la alegerea optimă între a numi un DPO care are calitatea de membru al personalului operatorului și unul care este contractor independent în baza unui contract de prestări servicii, întrucât GDPR permite ambele variante.

Preocuparea a fost sporită de apariția, înca din decembrie 2016, a ghidului oferit de Grupul de lucru al art. 29 privind independența DPO, conform căruia DPO “nu poate deține o poziție în cadrul organizației care îl instructează în ce privește scopurile și mijloacele de prelucrare”.

Or, tendința firească a companiilor, și în special a celor mici, este să numească în rolul de DPO un angajat propriu care este deja familiarizat, ocupându-se în mod semnificativ de prelucrarea datelor personale în cadrul companiei. Unii profesioniști în protecția datelor consideră însă că acești angajați nu pot să exercite o funcție dublă ca și DPO, pentru că se află într-un evident conflict de interese. Rolul de DPO va face parte din așa-numitul “senior management”. Însă, a cere unui DPO să fie independent (acestea fiind cerințele GDPR) înseamnă că rolul de DPO nu poate fi îndeplinit de membri ai personalului companiei care sunt responsabili și de deciziile de zi cu zi în materia prelucrării datelor cu caracter personal, ca de exemplu persoane care lucrează în domeniul resurse umane, IT sau marketing. Aceasta presupune că se va crea o cerere consistentă de candidați externi pentru acest rol, care să treacă astfel testul “independenței” cerute de GDPR, dar și dificultăți în găsirea acestora.

Este de așteptat ca unele companii să caute în exterior aceste resurse, inclusiv din rândurile avocaților.  Se consideră, în acest moment, că acele companii care vor putea să demonstreze că persoana desemnată pentru rolul de DPO este independentă vor fi avantajate în relația cu autoritatea de supraveghere, care va percepe independența astfel demonstrată în mod pozitiv și le va acorda mai multă încredere.

Prin contrast, companiile care nu vor putea demonstra că DPO-ul numit nu se află în conflict de interese (nu este suficient de independent) vor fi pasibile, desigur în condițiile reglementărilor legale, de amendă, al cărei nivel poate ajunge până la 10 milioane de euro sau 2% din cifra de afaceri a companiei, oricare este mai mare.




Leave a Reply

Your email address will not be published. Required fields are marked *