Responsabilul cu protecția datelor personale la un an și jumatate de aplicare a GDPR
La un an și jumatate de la punerea în aplicare a GDPR se ridică întrebarea cum a evoluat funcția Responsabilului cu protecția datelor personale în toată această perioadă.
Dacă în prima jumatate a anului 2018 a fost o vervă deosebită în organizarea de cursuri de pregătire pentru funcția de DPO (de la cursuri de o zi până la cursuri de câteva luni), ulterior situația s-a liniștit considerabil. Astăzi cursurile organizate pe tematica GDPR sunt mult mai țintite pe anumite prevederi ale Regulamentului precum și pe aplicarea în practică a acestuia.
Participanții la cursurile inițiale au fost fie angajați trimiși la formare pentru a ocupa postul de DPO intern, fie persoane interesate de a deveni DPO extern.
Desigur, niciun curs nu oferă participanților experiența necesară derulării activității de DPO astfel încât, majoritatea responsabililor s-au văzut puși în situația de a demara implementarea fără uneltele necesare, fără informații exacte cu privire la „de unde încep și unde trebuie să ajung” cu implementarea în cadrul operatorului, fie el public sau privat.
Ce a făcut Responsabilul pe durata acestui an și jumătate de aplicare a GDPR? Participări la cursuri orientate pe ramuri de activitate, prezența la conferințe, informare permanentă, studierea sancțiunilor aplicate în România și în statele membre, urmărirea activității autorităților de supraveghere relevante și orice altă activitate care să clarifice domeniul protecției datelor personale, un domeniu vast, o caracatiță ale cărei tentacule se extind în toate departamentele unui operator. Este de ajuns? Cu siguranță, nu! Fiecare zi aduce elemente de noutate în activitatea Responsabilului iar tehnologia pare mereu cu cel puțin un pas înaintea sa.
În cazul unui DPO extern activitatea este cu atât mai complicată cu cât operatorii cărora le asigură acest serviciu sunt din domenii diferite.
În ceea ce privește pregătirea de bază a unui Responsabil, pregătirea juridică este cu siguranță un atu însă fără un IT-ist în echipa acestuia lucrurile devin complicate. Orice pregătire de bază ar avea DPO-ul, este un lucru cert că trebuie să fie o persoană care să înțeleagă activitatea operatorului, structura și fluxul de documente și informații între departamente, să aibă putere de persuasiune și să fie orientată către studiu continuu. Un alt atu sunt calitățile de formator ale DPO-ului care trebuie să folosească toate cunoștințele sale în instruirea angajaților operatorului astfel încât aceștia să înțeleagă importanța și implicațiile respectării și protejării datelor personale.
Din păcate există rezistență și lipsă de transparență din partea operatorilor sau a angajaților acestora, de multe ori Responsabilul fiind privit ca un intrus impus de teama amenzilor care pune întrebări incomode. Recomand responsabililor să le spună acestora că niciun răspuns nu e greșit și că, dacă sunt chestiuni de îndreptat, o pot face împreună cu Responsabilul, nu ascunzându-i acestuia informații.
Mulți operatori consideră că dacă au desemnat un Responsabil, au delegat acestuia responsabilitățile prevăzute de Regulament și că sunt protejați în cazul unor incidente sau a unor controale. Probabil că și traducerea Data Protection Officer în Responsabil cu protecția datelor contribuie la această confuzie. În astfel de cazuri, presiunea impusă unui DPO este imensă, acesta lovindu-se constant de limitări impuse de buget și de lipsa de cooperare din partea celorlalte departamente. Consider că o soluție poate fi sprijinul de la început și constant al managementului superior, modalitatea cum e transmisă poziția din organigramă a DPO-ului celorlalte departamente precum și atitudinea DPO-ului în relația atât cu conducerea operatorului cât și cu angajații săi.
O altă idee eronată a operatorilor este aceea că DPO-ul trebuie să întocmească toată documentația și, în general, că dacă au „Dosarul GDPR” sunt conformi, ignorând de multe ori implementarea măsurilor tehnice și organizatorice. DPO-ul aude destul de des termenul de buget și lipsa de resurse prevăzute pentru implementare.
Este mai ușoară viața unui DPO intern față de cea a unui DPO extern? Are acesta mai multe pârghii de conștientizare în fața managementului superior și a departamentelor implicate în aplicarea GDPR? E preferabil un DPO intern aflat în situația de a se audita singur decât un DPO extern căruia trebuie să i se dezvăluie secretele organizației? Ce grad de reușită în convingerea managementului de mijloc și superior poate avea un DPO desemnat din eșalonul 3-4 al organizației? Este o soluție desemnarea ca DPO a IT-istului? Este recompensat cumulul de funcții în cazul unui DPO intern care are și o altă încadrare astfel încât se implice activ în implementare? Sunt oferite DPO-ului posibilități continue de formare profesională? Aceste întrebări nu au încă un răspuns general valabil iar gradul de succes depinde foarte mult de managementul superior, lucru valabil în cazul ambelor categorii de DPO. Pe de altă parte, un DPO extern este presat de activitatea operatorilor cărora le prestează servicii să se informeze și să fie într-o continuă formare profesională însă recompensele nu sunt, de multe ori, pe măsura implicării acestuia în conformitatea operatorului.
Cu siguranță poziția DPO-ului în organizație nu este una comodă iar acesta trebuie să găsească pârghiile necesare pentru ca recomandările sale să fie ascultate și aplicate în activitatea operatorului. Un sprijin real pentru DPO vor fi codurile de conduită și un standard ocupațional aprobat de toate instituțiile implicate. De asemenea, publicarea de către ANSPDCP a sancțiunilor aplicate a ridicat gradul de conștientizare în rândul operatorilor, fiind însă departe de o situație ideală. Poate dacă operatorii ar deveni conștienți că scopul final al DPO-ului este de a proteja datele personale ale persoanelor vizate și totodată protejarea intereselor operatorului prin asigurarea conformității și că nu există poziții opuse în această implementare, ba dimpotrivă, conformarea îi asigură operatorului pe termen mediu și lung o mai bună credibilitate și protecție în cazul unor incidente, ambele părți ar funcționa mai bine împreună, propunându-și scopuri comune.