Confidenţialitate

Nu oricine poate prelua funcția de DPO, atrag atenția specialiștii

Din 25 mai, cadrul legal al prelucrărilor de date personale va fi stabilit direct prin intrarea în vigoare a Regulamentului General privind Protecția Datelor Personale (GDPR), fără să fie necesară intervenția autorităților naționale.

Potrivit sondajelor din luna martie, 27% dintre firmele românești nu au auzit de GDPR și 10% consideră că nu li se aplică. În acest context, tot mai mulți specialiști atrag atenția că atât firmele cât și autoritățile publice ar trebui să ia în serios GDPR dar și noua funcție de DPO pe care ar trebui să o integreze în organigramă.

Organizațiile riscă, în funcţie de obligaţiile din legislaţia GDPR încălcate şi de gravitatea situaţiei, amenzi administrative de până la 20 de milioane euro sau de până la 4% din cifra de afaceri globală anuală.

În conferința Ready, steady, GDPR!, organizată de BusinessMark la finalul lunii martie, specialiștii din domeniul juridic au pus accentul pe importanța alegerii unui DPO (DPO – Data Protection Officer, tradus în română ca Responsabilul cu Protecția Datelor).

Mai multe firme de consultanță realizează cursuri de inițiere și perfecționare pentru asigurarea implementării legislației privind protecția datelor cu caracter personal (GDPR) și pentru specialiștii DPO.

Înainte de a accesa un asemenea curs, participanții ar trebui să consulte cu atenție legile pentru a vedea dacă se află sau nu într-o incompatibilitate cu funcția.

În Regulamentului General privind Protecția Datelor Personale (GDPR) se definește rolul unei persoane numită DPO (Data Protection Officer). Această persoană trebuie să aibă cunoștințe de specialitate pe zona de protecție de date (art.37-5). Poate fi un membru al echipei sau poate să-și desfășoare activitatea în baza unui contract de prestări servicii (art.37-6), însă trebuie implicat ”în mod corespunzător și în timp util” în toate aspectele legate de protecția datelor (art.38-1) și nu poate fi demis sau sancționat de către operator pentru îndeplinirea sarcinilor sale (art.38-3).

Pe scurt, DPO (Data Protection Officer) ar trebui să fie un expert în securitate informatică, cu abiități foarte bune în relațiile cu clienții, pregătit să facă training și coaching intern, audit și evaluare de risc,în același timp să fie și purtător de cuvânt în relația cu autoritatea de supraveghere.

”Înaintea numirii unui DPO care ar putea ridica suspiciunea unui conflict de interese, este recomandabil să se solicite o opinie prealabilă Autorității privind protecția datelor.

Un instrument foarte util în elaborarea job description-ului pentru DPO este standardul ocupațional pentru Responsabilul cu protecția datelor cu caracter personal (COR 242231), aprobat de Autoritatea Națională pentru Calificări recent, prin decizia nr. 74 din 19 martie 2018. Acesta stabilește explicit care sunt competențele și deprinderile necesare pentru DPO”, a precizat Nicoleta Ionescu, Legal Manager ORANGE MONEY.

În cadrul conferinței BusinessMark a fost dat exemplul unui manager IT care a fost numit DPO în Germania și care a fost găsit în instanță în stare de incompatibilitate pentru că în calitate de DPO ar fi trebuit să supravegheze ceea ce făcea ca manager IT.

GDPR (General Data Protection Regulation) se va aplica din 25 mai 2018 pentru toate firmele care prelucrează datele personale ale românilor dar și pentru instituțiile statului