Cine nu si-a desemnat inca responsabil cu protectia datelor mai are doar patru zile la dispozitie. Pe 25 mai intra in vigoare GDPR

Iata cum si-i recurteaza cativa dintre marii operatori de date din Romania si cu ce se vor ocupa ei.

Potrivit cerintelor GDPR, aproape toate institutiile statului, cu exceptia instantelor de judecata, vor avea nevoie de DPO. Vorbim aici despre inspectoratele judetene de politie din intreaga tara, despre administratiile fiscale, primariile, oficiile de registru al comertului, spitalele de stat si alte asemenea institutii.

In aceeasi situatie sunt si marii operatori privati de date cu caracter personal, printre care se numara: bancile, societatile de asigurari, furnizorii de servicii de telecomunicatii, dar si societatile de IT, mai ales daca administreaza aplicatii care colecteaza si folosesc informatii cu caracter personal ale utilizatorilor.

Marii operatori de date au neaparata nevoie de DPO pentru ca, potrivit prevederilor GDPR, acesta este cel care vegheaza la respectarea procedurilor de prelucrare a datelor cu caracter personal din institutie sau companie.

Cu alte cuvinte, un DPO trebuie sa stie nu doar ce este GDPR, ci si cum sa-l implementeze. In functie de situatie, un bun DPO ar putea avea nevoie de cunostinte juridice, de IT, dar si de administrare a unei societati sau institutii.

Practic, DPO poate fi un specialist extern – avocat, PFA sau societate – contractat anume pentru a rezolva problema respectarii GDPR sau poate fi un salariat aflat deja pe statele de plata ale institutiei sau companiei.

In acest al doilea caz, insa, angajatorul va trebui sa ii interzica salariatului pe care l-a desemnat DPO sa ocupe, concomitent, o serie de functii de conducere.

Ce functii mai poate ocupa un salariat care a fost desemnat DPO

Potrivit unui raspuns formulat de Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP) la solicitarea Ziare.com, un salariat desemnat DPO mai poate avea si alte responsabilitati intr-o institutie sau intr-o companie.

Cu toate astea, nu va putea ocupa o serie de functii care l-ar impiedica sa isi indeplineasca eficient si obiectiv sarcinile privind protectia prelucrarii datelor cu caracter personal.

„Responsabilului cu protectia datelor (…) ii pot fi incredintate si alte sarcini si atributii, cu conditia ca acestea sa nu dea nastere unor conflicte de interese (de ex: nu poate fi director executiv, director operational, director financiar, seful serviciului medical, seful departamentului de marketing, seful departamentului de resurse umane sau seful departamentului IT) „, se arata in raspunsul ANSPDCP.

Orice alta functie in afara celor mentionate este compatibila cu indeplinirea concomitenta a responsabilitatilot de GDPR, potrivit ANSPDCP. Indiferent ce altceva ar mai face, insa, DPO trebuie sa isi poata pastra independenta si sa nu raspunda direct pentru deciziile sale in ceea ce priveste prelucrarea de date personale decat celor mai inalte foruri de conducere din companie sau din institutie.

Marile companii evita sa externalizeze serviciile de protectia datelor

Multi dintre marii operatori de date nu agreeaza ideea de a contracta un DPO extern. In schimb, prefera sa isi instruiasca unul sau mai multi angajati pentru a prelua responsabilitatea protectiei datelor sau, la nevoie, sa angajeze unii noi.

Tendinta e firesca, din doua motive. Primul este ca in Romania exista inca destul de putini specialisti independenti calificati sa ocupe posturile de DPO, iar serviciile acestora sunt, deocamdata, scumpe.

Apoi, desemnarea unui salariat pe care il cunosc le ofera operatorilor de date un sentiment de siguranta in ceea ce priveste respectare GDPR si a confidentialitatii asupra activitatilor interne, in general.

Asociatia Romana a Bancilor (ARB), spre exemplu, a precizat, intr-un raspuns formulat la solicitarea Ziare.com, ca preferabila ar fi evitarea externalizarii serviciului. Motivul: aceasta ar putea cauza scurgeri de informatii, adica ar produce tocmai efectul pe care implementarea GDPR incearca sa il evite.

„Fiecare institutie poate realiza un studiu de fezabilitate care sa cuprinda avantajele si dezavantajele fiecarei optiuni.

Cel mai indicat ar fi sa fie asignat un DPO angajat al institutiei, responsabil caruia sa i se garanteze deplina independenta, securitate si autoritate.

Externalizarea activitatii ar putea duce la scurgeri de informatii, chiar in situatia in care exista multiple garantii de a respecta secretul si confidentialitatea in ceea ce priveste indeplinirea sarcinilor sale”, informeaza ARB.

In mod similar privesc problema si multi dintre operatorii de date din industria IT. Tot la solicitarea Ziare.com, Asociatia Patronala a Industriei de Software si Servicii (ANIS) informeaza ca, mai ales in conditiile in care volumul datelor personale prelucrate e mare, e nevoie de cel putin un DPO angajat in companiei.

Nici institutiile statului nu se vor baza pe DPO externi

Agentia Nationala de Administrare Fiscala (ANAF) a explicat pentru Ziare.com ca va avea nevoie nu doar de un DPO intern, ci de un intreg birou de astfel de responsabili cu protectia datelor.

In plus, fiecare directie regionala va avea un compartiment insarcinat cu protectia datelor.

„Avand in vedere noile obligatii introduse prin adoptarea Regulamentului general privind protectia datelor, precum si dimensiunea Agentiei Nationale de Administrare Fiscala – ANAF (o institutie publica cu un numar de 27.949 posturi, din care peste 24.000 ocupate) si complexitatea si unicitatea activitatii sale, atat la nivel central, cat si la nivel teritorial, care presupune prelucrarea unui volum important de date cu caracter personal, aplicarea noilor prevederi implica cu siguranta un efort administrativ suplimentar considerabil.

La nivelul agentiei a fost identificata inca de la nivelul anului 2017 necesitatea de constituire a unei structuri responsabile cu gestionarea acestei activitati, organizate la nivel de birou, respectiv Biroul pentru protectia datelor cu caracter personal, care sa functioneze in directa subordine a presedintelui ANAF.

La nivelul aparatului teritorial al ANAF, respectiv directiile generale regionale ale finantelor publice si Directia generala de administrare a marilor contribuabili, se are in vedere constituirea unui compartiment pentru protectia datelor cu caracter personal, care va functiona in subordinea conducatorului institutiei (directorul general al unitatii teritoriale) „, a transmis ANAF, la solicitarea Ziare.com.

Spitalele sunt si ele mari operatori de date, asa ca vor avea nevoie de DPO.

Institutul National de Boli Infectioase Prof. Dr. Matei Bals (NBIMB), spre exemplu, a transmis la solicitarea Ziare.com ca n-a lasat implementarea GDPR pe ultima suta de metri si ca deja si-a instruit salariati pentru a prelua responsabilitatile privind alinierea la noile norme europene.

„NBIMB asigura implementarea regulamentului prin resurse umane proprii, salariatii sunt si vor fi instruiti cu privire la cerintele noului regulament”, a transmis NBIMB pentru Ziare.com.

Incompetenta statului le-a ingaduit operatorilor de date mai mult timp de implementare a regulamentului

GDPR intra in vigoare incepand cu data de 25 mai, in toate cele 28 de state membre, printre care si Romania. Nu mai e nevoie ca tara nostra sa publice textul regulamentului in Monitorul Oficial sau sa ii recunoasca valabilitatea intr-un alt mod. Simpla apartenenta la UE ne obliga sa respectam regulamentul si sa-i sanctionam aspru pe cei care, din varii motive, nu o fac.

In teorie, deci, operatorii de date, de stat sau privati, care pe 26 mai nu vor avea DPO desemnat – desi ar fi trebuit sa-l aiba potrivit GDPR – ar putea fi amendati.

In realitate, insa, posibilitatea ca acest lucru sa se si intample, in Romania, este destul de mica.

Mai intai, din cauza ca s-ar putea sa nu aiba cine da amenzile, peste numai patru zile. Legea care abiliteaza ANSPDCP sa aplice sanctiuni este, inca, in faza de avizare la Senat. Dupa ce se va incheia aceasta faza, ea va trebui adoptata si, ulterior, promulgata de presedintele Romaniei. Abia daca nimeni nu o va contesta si presedintele va accepta sa o promulge, va ajunge legea sa fie publicata in Monitorul Oficial si va incepe sa produca efecte. Iar sansele ca toate etapele sa fie parcurse in urmatoarele patru zile sunt aproape nule.

In plus, o alte lege, care prevede cuantumurile sanctiunilor ce pot fi aplicate institutiilor de stat pentru nerespectarea GDPR, este si ea tot la Senat si tot in faza de avizare. Iar ca sa produca efecte, va trebui sa parcurga acelasi drum ca si legea de abilitare a ANSPDCP.

Pentru operatorii de date, acest lucru inseamna, de fapt, ca mai au cateva zile pretioase la dispozitie pentru a-si pune la punct procedura interna de prelucrare a datelor personale si inclusiv pentru a-si desemna sau contracta un DPO.

Daca vor curge sau nu amenzile pentru neconfomare la GDPR, atunci cand legea va permite acest lucru, ramane de vazut. Oricum, scopul primar al operatorului de date n-ar trebui sa fie doar evitarea amenzilor, ci mai degraba garantarea sigurantei si confidentialitatii celor carora le prelucreaza informatiile personale.

Citeste si:

Urmareste Ziare.com si pe Facebook! Comenteaza si vezi in fluxul tau de noutati de pe Facebook cele mai noi si interesante articole de pe Ziare.com.