România, Județul Mureș, Tîrgu Mureș, Str. Horia nr. 21
+4 0769041200
office@neoprivacy.ro

Realizarea cartografierii nu este sarcina exclusivă a DPO-ului

Privacy is a right, NeoPrivacy is a curr€ncy.

Realizarea cartografierii nu este sarcina exclusivă a DPO-ului

Daniela Cireasa a absolvit Facultatea de Drept, Universitatea Nicolae Titulescu, este consilier juridic din anul 2001. In 2018 a absolvit cursurile postuniversitare de protectia datelor „Protectia juridica a datelor personale” si a obtinut titlul de „Cel mai bun DPO din Romania” impreuna cu Echipa Nord Est DPO Romania la Targu Mures in iunie 2019. Ofera consultanta in domeniul implementarii Regulamentului general privind protectia datelor (GDPR) si este responsabil cu protectia datelor (DPO). Cei 17 ani de activitate practica din care 4 ani in functie de conducere, au ajutat la cunoasterea mediului privat de afaceri si respectiv a activitatii departamentelor din cadrul unei societati de productie si comert, precum si schimburi intracomunitare. Este membru al ASCPD – Asociatia Specialistilor in Confidentililitate si Protectia Datelor din 2018 si coautor al volumului “GDPR Aplicat“, publicat la inceputul acestui an. 

Daniela Cireasa a acceptat să ofere un interviu în exclusivitate pentru cititorii dpo-NET.ro, reușind să ne trezească interesul tuturor pentru un subiect atât de important pentru orice companie care își propune să adopte și să implementeze principiile GDPR: Cartografierea in domeniul resurselor umane

Ce ar trebuie sa stie managerul unei campanii care isi doreste sa obtina conformitatea cu GDPR, despre procesul de cartografiere ?

În primul rând ar trebui să știe că trebuie făcută cartografierea, să aibă noțiunile esențiale de protecție a datelor personale, să conștientizeze că organizația pe care o conduce prelucrează date personale, că oricui ar delega sarcina întocmirii cartografierii și, în general, a implementării prevederilor Regulamentului, responsabilitatea din punct de vedere legal aparține operatorului, respectiv conducerii sale.

Consider că fără implicarea managementului superior este imposibilă implementarea regulamentului, și că managerul ar trebui să fie conectat direct la procesul de implementare. Despre procesul de cartografiere, în sine, ar trebui să știe că este un prim pas către obținerea conformității cu GDPR-ul, că este o dovadă a respectării principiilor regulamentului, în mod special al principiului responsabilității.

Cartografierea făcută responsabil va evidenția fluxul de date personale: de unde intră datele, ce se întâmplă cu ele în interiorul organizației (ce departamente le prelucrează, între ce departamente se transfera datele, inclusiv ce colaboratori au acces la ele) și către cine sunt transmise datele în exteriorul organizației.

Rezultatul final va fi reprezentat de o hartă completă a tuturor acestor prelucrări, hartă ce va sta la baza întocmirii evidenței activităților de prelucrare. O cartografiere a prelucrărilor de date personale, corect întocmită, va oferi o imagine de ansamblu a activităților de prelucrare de date efectuate de către operator și le va face ușor de înțeles de către orice persoană interesată (inclusiv de către autoritatea de investigare).

De asemenea, managerul ar trebui să știe că o astfel de evidență va facilita răspunsul la o cerere de acces sau de ștergere a datelor personale.

Răspunsurile la întrebările adresate pe durata activității de cartografiere vor oferi responsabililor de implementarea GDPR-ului inclusiv o evidență a punctelor slabe din cadrul organizației și îi vor ajuta să intervină cu măsuri tehnice și organizatorice pentru îmbunătățirea conformității operatorului.

Totuși, la fel de important precum cunoașterea prevederilor regulamentului este ca managementul superior să conștientizeze că realizarea cartografierii și respectiv responsabilitatea implementării GDPR nu este sarcina unui singur om (de regulă DPO-ul) ci este un efort de echipă iar managerul trebuie să susțină această activitate prin asigurarea constantă că toți membrii echipei sunt implicați și responsabili și că nu lasă munca pe umerii în mod nefericit denumitului responsabil cu protecția datelor. De cele mai multe ori ceilalți angajați consideră că există un Responsabil deci că acesta ar trebui să se ocupe de această activitate în integralitatea ei, așa că managementul aici ar trebui să intervină în mod deosebit.

Pentru realizarea unei cartografieri corecte trebuie colectate informații cât mai complete și mai exacte despre cine este operatorul, cine sunt persoanele vizate,  ce date personale sunt prelucrate, cine are acces la datele personale, la atingerea căror scopuri servesc aceste date, în ce temei legal sunt prelucrate etc. La fel de importantă este identificarea locului / locației / suportului pe care se stochează datele personale, și, de asemenea, cui se transmit aceste date și în ce condiții. În final, dar la fel de important, operatorul trebuie să identifice și / sau să stabilească termenele de stocare a datelor personale și mecanismele cele mai potrivite pentru a garanta prelucrarea acestor date în condiții de siguranță. Așadar cartografierea este un real ajutor pentru aplicarea principiului reducerii la minim a datelor prelucrate, pentru definirea termenelor de stocare și a corectării circuitului unui document.

De ce departamentul de Resurse Umane este atat de impactat de obligatia intocmirii registrului de prelucrare a datelor ?

Deoarece departamentul de resurse umane lucrează cu date personale într-o majoritate covârșitoare a activității sale. Practic nu există activitate în cadrul departamentului care să nu presupună prelucrarea de date personale, inclusiv date speciale precum cele medicale, de apartenență la un sindicat sau apartenență religioasă. De aceea personalul din cadrul acestui departament trebuie instruit temeinic referitor la protecția datelor personale și, de asemenea, este personalul, alături de cel din departamentul IT, vânzări, contabilitate care trebuie să încheie un angajament de confidențialitate.

Dacă, spre exemplu, departamentul de vânzări, are acces la date limitate ale clienților persoane fizice, personalul din departamentul de resurse umane are acces atât la datele de identitate cât și la date financiare, de stare civilă, medicale și chiar de comportament profesional despre toți angajații societății. Acest departament prelucrează date ale candidaților la angajare, ale angajaților, ale membrilor familiilor angajaților, ale foștilor angajați, ale voluntarilor, ale elevilor/studenților practicanți, zilierilor astfel încât în cadrul acestui departament se strâng cantități impresionante de date.

Care sunt principalele provocari privind respectarea GDPR in cadrul activitatilor din Departamentul Resurse Umane ?

Printre provocări aș enumera instruirea personalului din cadrul departamentului, corecta cartografiere a datelor personale prelucrate în cadrul departamentului, identificarea tuturor documentelor și echipamentelor electronice care conțin date, stabilirea unui flux de circulație a datelor, identificarea termenelor legale de stocare a fiecarui document în parte, precum și a temeiurilor de prelucrare a datelor. O provocare deosebită este cea a respectării principiului minimizării datelor prelucrate, mai ales într-un departament atât de birocratic precum cel de resurse umane.

Ce este diferit cand vorbim de procesul de recrutare ?

În procesul de recrutare vorbim despre o multitudine de potențiale surse de intrare a datelor personale, fiecare sursă având provocări și dificultăți de protejare a datelor personale. Dacă în cazul funcționarilor publici datele solicitate în dosarul de candidat la o funcție public sunt stabilite prin legislație, în cazul sectorului privat lucrurile sunt lasate “la liber”, dând ocazia de prelucrare a multor date inutile și irelevante pentru procesul de recrutare, făcând destul de problematică în practică respectarea principiului minimizării.

Stabilirea perioadelor de păstrare a datelor candidatului este o altă provocare a procesului de prelucrare a datelor candidaților.

De asemenea, numărul persoanelor care au acces la dosarul de recrutare și selecție trebuie  limitat la membrii comisiei de recrutare si selectie iar ulterior incheierii procesului de selectie, dosarul trebuie păstrat conform procedurilor interne și nomenclatorului arhivistic în cadrul departamentului de resurse umane (doar pentru cei care s-au angajat sau pentru cei care au fost de acord să rămână în baza de date pentru campanii de recrutare ulterioare).

Pe întreaga durată a  procesului de recrutare și selecție și ulterior, pe durata păstrării dosarului, datele trebuie protejate și trebuie asigurată confidențialitatea acestora prin măsuri tehnice și organizatorice (proceduri, securizare fizică și electronică, limitare acces, utilizarea în scopul declarat etc.).

Care sunt concluziile Dumneavoastra dupa doi ani de aplicare a principiilor si obligatiilor GDPR in Romania ?

Am constatat pe perioada stării de urgență că autoritățile publice au încă dificultăți în a asigura protecția datelor personale atât în domeniul învățământului online unde am văzut cantități impresionante de date ale elevilor în mediul online, neprotejate, unități de învățământ fără DPO sau cu un DPO depășit de situație, primării care și-au instalat camere cu termodetecție și alarmare în cazul persoanelor cu temperatură fără a face evaluări de impact, fără informarea persoanelor vizate, organe de control care au făcut fotografii ale declarațiilor și cărților de identitate cu telefoane personale și multe altele.

În sectorul privat am observant o conformitate formală la principiile GDPR, o aparentă preocupare pentru respectarea protecției datelor personale însă sunt puțini operatori care au făcut o implementare reală a prevederilor regulamentului.

Deși autoritatea a sancționat operatori din toate domeniile, pentru abateri diverse de la respectarea regulamentului iar sancțiunile au avut notorietate, operatorii nu se grăbesc să se conformeze.

Comparând, totuși, momentul mai 2018 cu mai 2020, apreciez că un număr din ce în ce mai mare de operatori au luat cunoștință cu prevederile regulamentului și, daca cum 2 ani atenția era concentrată exclusiv pe cuantumul amenzilor, între timp operatorii s-au familiarizat și cu alte dispoziții ale GDPR.

Apreciez că este încă necesară “traducerea” pe înțelesul tuturor a prevederilor regulamentului, acesta rămânând în mare parte o necunoscută pentru publicul larg, și în mod special de pentru persoanele vizate.

WhatsApp chat