Context – de la vorbă

Una din situațiile des întâlnite în rândul operatorilor care au obligația de numire a unui Responsabil Protecția Datelor / DPO este următoarea:

Printr-o decizie internă am numit înainte de 25.05.2018 un Responsabil cu Protecția Datelor. Punct. Sunt conform cu GDPR-ul.

Să fie oare așa?

Pe de altă parte ni se promite poate o creștere salarială sau alte beneficii, ni se spune că vom avea o mulțime de posibilități ulterior, doar să ocupăm această funcție, să facem câteva documente și asta este.

Mai sunt uneori cazuri în care totuși DPO-ul a fost trimis la un curs de perfecționare de 2-3-4 zile și cu asta basta. Reușește oare acesta să fie implicat în timp util (pentru că adesea face un cumul de sarcini) și în mod corespunzător (adică să aibă pregătirea necesară, resursele necesare, să nu fie în situație de incompatibilitate etc) în îndeplinirea sarcinii sale? Ne întrebăm acest lucru pentru că dacă răspunsul este NU, numirea acestui DPO nu numai că nu diminuează riscurile, dimpotrivă, nici măcar ea nu s-a făcut în conformitate cu GDPR-ul și astfel operatorul este cu totul descoperit.

Ba mai mult, odată numit ca Responsabil Protecția Datelor te poți simți cu totul depășit de multitudinea de acțiuni și de amploarea lucrurilor și a felului în care trebuie să fie implicat.

Scop

Ținând cont de cele menționate mai sus, căutăm ca prin acest articol să punem în lumină care ar fi principalele aspecte de avut în vedere atunci când Responsabilul cu Protecția Datelor a preluat această funcție. Deci, pe scurt, să știe ce trebuie să facă. Principalele puncte de interes referitoare la  funcția DPO  și particularitățile pe care le-am întâlnit în România sunt dezbătute in articolul: Funcția de DPO și protecția datelor cu caracter personal.

Astfel, pentru o mai ușoară lecturare am propus mai mulți pași însă în realitate lucrurile pot fi mult mai complicate.

Primul pas: numirea ta ca Responsabil Protecția Datelor.

Primul lucru care ne întrebăm este dacă această numire s-a făcut într-un mod ok sau nu. Există o decizie de numire în spate sau s-a făcut verbal? Ești cumva într-o situație de incompatibilitate – ex. ocupi în același timp și poziția de șef de departament IT, sau Juridic sau Resurse Umane? Dacă răspunsul este da, nu mai continua lecturarea acestui articol pentru că imediat trebuie să sesizezi lucrul acesta conducerii pentru a numi o nouă persoană.

Dacă nu te afli în incompatibilitate, au fost introduse sarcinile în fișa postului? În cazul în care nu, să te asiguri că informezi Resursele Umane pentru a face modificările necesare.

Pasul 2: nu ești singur – responsabilitatea este ÎNTOTDEAUNA a operatorului

Ai fost numit și ești responsabil cu protecția datelor la o instituție cu 200-300 angajați, sau poate la o companie cu 500 de angajați însă.. ești tu singurul responsabil de toate prelucrările de date și tot ce se întâmplă cu ele? Întrebarea această comportă o anumită particularitate și anume că managementul unei companii sau a unei instituții poate considera că prin numirea unei persoane va transfera și responsabilitatea a tot ce se întâmplă în acest domeniu către acea persoană. Ei bine dacă aceasta este așteptarea, este una falsă întrucât responsabilitatea este ÎNTOTDEAUNA a operatorului!  Iar pentru acest motiv și datorită nivelului mare de acțiuni ce trebuie luate de către operator, Responsabilul cu Protecția Datelor cel mai adesea nu va reuși acest lucru singur. Are nevoie de o echipă sau o comisie, depinde cum doriți să o numiți, o echipă/comisie de implementare a standardului privind protecția datelor formată din alte persoane din diverse departamente în care au loc prelucrări de date. Această comisie va avea rol deliberativ asupra a ce politici, proceduri sunt adoptate, va trata diverse aspecte care necesită atenție sporită etc. În această comisie este recomandat ca Responsabilul cu Protecția Datelor să aibă rol consultativ / informativ și nu deliberativ! Adică nu este factor de decizie chiar dacă poate prezida comisia/echipa în întâlnirile ei.

Pasul 3: planul de acțiune.

Pentru că tu, Responsabilul cu Protecția Datelor se presupune că ai cele mai multe cunoștințe în domeniu, că deja poate ai făcut și un curs de pregătire, se așteaptă și este o bună practică să faci un plan de acțiune. Astfel că pasul al treilea ar fi elaborarea unui plan de acțiune pe întreg anul în curs prin care se stabilesc obiectivele care vor fi urmărite. Acest plan va fi prezentat comisiei care îl va aproba și va fi asumat de factorii de management.

Pasul 4: instruirea

Bun, am parcurs deja câțiva pași însă de acum urmează greul: cu ce începem? Din experiența noastră am constatat că este foarte utilă ca încă de la început să existe o instruire generică a factorilor de management cu privire la GDPR, la cerințele acestuia, implicațiile sale și se va prezenta planul de acțiune. În acest fel, ridicând nivelul de conștientizare, vom vedea că angajații companiei / instituției vor problematiza mai mult acest subiect și vom afla de riscuri nebănuite la momentul inițial.

Pasul 5: cartografierea datelor.

Prima întrebare practică pe care ne-o vom pune imediat după este: ce date prelucrăm? Iar dacă suntem operatori cu peste 250 de angajați de exemplu, suntem obligați să ne punem această întrebare întrucât trebuie să realizăm evidența prelucrărilor de date cu caracter personal, altfel spus cartografierea datelor.

În toate cazurile însă este bine să ne creionăm cartografierea pentru a vedea cu ce lucrăm, ce riscuri avem, ce măsuri trebuie să luăm pentru tratarea riscurilor.

Cum însă să realizăm acest lucru dacă avem 20+ departamente, birouri, servicii? Ei bine, răspunsul este din nou asemănător cu cel de la început: nu singur. Împreună cu colegii tăi care au atribuții sau care prelucrează date cu caracter personal. Astfel poți face o instruire generală prin care să prezinți instrumentul de cartografiere pe care îl vei folosi, după care vei face planificarea acesteia. Vei vedea că acest proces este unul de lungă durată, poate dura câteva luni de zile până să ai o variantă finală și să poți realiza politica de prelucrare a datelor și diagrama prelucrărilor de date. Cu toate acestea, este inima tuturor celorlalte măsuri pe care le vei lua.

Pasul 6: analiza temeiurilor legale

Primul aspect strâns legat de cartografiere este analiza temeiurilor legale – ne vom uita dacă avem o obligație legală? Încheierea sau executarea unui contract sau poate trebuie să obținem un consimțământ (ex. pentru activități de marketing)?

Ulterior vom analiza și transferul de date – transferăm date în afara U.E.? Datele noastre poate sunt pe servere din S.U.A.? Dacă este așa, există niște garanții contractuale încheiate între noi și furnizorul de servicii de hosting?

Totodată vom analiza și cine are acces la date, dacă este autorizat, dacă este respectat principiul minimizării datelor (adică să prelucrăm cât mai puține date în raport cu scopul colectării) și nu în ultimul rând: Ce măsuri tehnice și organizatorice am luat pentru protecția datelor cu caracter personal, garantarea securității și confidențialității datelor.

Pasul 7: verificarea clauzelor contractuale

Dacă credem că asta este tot ce putem face, ei bine iată că lucrurile nu se opresc aici întrucât așa cum am menționat anterior de verificarea clauzelor contractuale pentru un contract specific, vom verifica clauzele pentru toți terții cu care lucrăm, cu toți furnizorii de servicii dar și clienții și partenerii noștri. De exemplu: servicii de mentenanță IT, CCTV, pază și protecție, servicii de curățenie etc.

O bună practică este să ne creăm un registru al partenerilor contractuali, al tipurilor de contracte și a prevederilor în domeniul protecției datelor – adică să indicăm dacă există sau nu există astfel de prevederi iar dacă există să notăm articolele din contract.

În acest fel vom avea în minte și obligația de selectare a partenerilor contractuali care garantează măsuri ridicate de protejare a datelor cu caracter personal așa cum ne cere GDPR-ul.

Pasul 8: analiza infrastructurii IT

O parte poate puțin mai dificilă dacă nu ai studii de specialitate (IT) este analiza întregii infrastructuri IT, a platformelor, softurilor folosite și care prelucrează date cu caracter personal dar și a vulnerabilităților. Te vei uita spre parole, stabilirea lor, back-upuri, baze de date, transferul lor și accesul la ele și alte aspecte relevante care pot aduce atingere datelor cu caracter personal.

Te sfătuim însă ca aici să ai în vedere toată această analiză într-o strânsă legătură cu colegii de la IT sau furnizorul de astfel de servicii.

Pasul 9: analiza website-ului

Interfața activității noastre este cel mai adesea reprezentată prin website. Adică acolo ne prezentăm, ne facem reclamă, oferim servicii, vindem bunuri etc. Astfel adesea prin website prelucrăm o mulțime de date cum ar fi nume, prenume, date de contact, date financiare, date privind adresa de IP, comportamentul vizitatorului pe website sau alte asemenea.

În acest sens vom analiza și website-ul și vom căuta să obținem consimțăminte, dacă este cazul, pentru fotografiile, videourile și testimonialele folosite, să îl securizăm, să ne conformăm activitatea de trimitere de newsletter dar și formularele pe care le folosim.

Nu ştiţi dacă site-ul dumneavoastră îndeplineşte normele GDPR? Specialiştii noştri vă stau la dispoziție pentru realizarea unui audit.

Pasul 10: analiza riscurilor referitoare le incidentele de securitate

Un lucru particular îl reprezintă vulnerabilitățile specifice și incidentele de securitate, ne vom documenta asupra istoricului companiei / instituției, a specificului și a zonelor de risc pentru a analiza dacă și ce măsuri trebuie să luăm pentru diminuarea riscurilor. Să nu uităm însă de documentarea măsurilor, adoptarea unui plan de reacție la incidentele de securitate și ținerea registrului privind încălcările de securitate.

Pasul 11: elaborarea de politici, proceduri și alte documente specifice.

În sfârșit ajungem la elaborarea de politici, proceduri și alte documente specifice. Uitându-ne la cei 10 pași putem înțelege cu ușurință de ce, mai ales pentru o companie sau instituție mare, nu funcționează cumpărarea unui chit de documente și adoptarea lui fără nici o intervenție suplimentară. Înțelegem cu ușurință că aruncăm niște „bani pe geam” acționând în acest fel, pentru că în fapt trebuie să particularizăm totul în funcție de situația noastră specifică. Astfel că vom avea propria politică de prelucrare a datelor, propria politică de cookie-uri, propria politică de prelucrare a datelor prin CCTV și alte asemenea. Totodată vom avea proceduri specifice: de exercitare a drepturilor spre exemplu.

Un document care nu ar trebui uitat ar fi registrul consimțămintelor pentru diversele situații în care avem exercitate anumite cereri: de opoziție, ștergere etc.

Pasul 12: tratarea solicitărilor

Deşi cronologic nu este spre final ci mai degrabă pe tot parcursul procesului de implementare a standardului GDPR, pe măsură ce se conștientizează fenomenul în cadrul companiei / instituției din care provii, vor exista solicitări de puncte de vedere, analize punctuale, cereri de acces etc. Pentru toate acestea recomandăm tratarea cu cea mai mare responsabilitate întrucât este o linie foarte fină între o nemulțumire legată de un serviciu  și o cerere de drept de acces pe de o parte și o posibilă plângere formulată pe de altă parte. Iar ceea ce urmărim este evitarea sancțiunilor.

Pasul 13: monitorizarea implementării GDPR

Monitorizarea implementării standardului prin evaluări regulate, prin revizuirea cartografierii prin reactualizarea politicilor și procedurilor, a măsurilor tehnice și organizatorice adoptate și a altora asemenea. Viața noastră profesională este foarte dinamică, procesul de implementare și respectare a acestui standard este un mecanism viu în continuă schimbare: ni se schimbă datele cu caracter personal (ne schimbăm de exemplu numele, emailul etc), avem prelucrări noi (ex. digitalizarea ne-a împins spre alte prelucrări, de un alt specific), angajați noi, parteneri noi, formulare noi și chiar și legislația se schimbă. Dacă însă ceea ce am făcut noi nu reprezintă realitatea prezentă (și nu a anului 2019 spre exemplu), în realitate riscăm să primim o sancțiune. Vezi lista actualizată de amenzi GDPR in România.

Pasul 14: instruire continuă

Evident că nu ne vom putea face bine treaba dacă nu ținem pasul cu noutățile legislative, cu bunele practici și recomandări ale autorităților de supraveghere, cu noile ghiduri sau alte aspecte relevante din domeniu. Pentru acest lucru este recomandat ca periodic persoana desemnată ca Responsabil Protecția Datelor (DPO) să participe la cursuri de instruire, fiind și o obligație a operatorului de a îi asigura posibilitatea de participare la acestea.

Pasul 15: raportul anual de activitate

Anual, persoana desemnată ca Responsabil Protecția Datelor va prezenta un raport de activitate atât comisiei de implementare cât și factorilor de management. Acest raport va conține toate măsurile luate și toți pașii făcuți pentru conformarea la cerințele GDPR.

În acest raport de activitate pot fi trecute aspectele sensibile, recomandările ce trebuie avute în vedere în anul care urmează sau alte aspecte relevante pentru operator.

Concluzii – de la vorbă… la faptă

Sperăm că punctând aceste aspecte am reușit să subliniem rolul, importanța și complexitatea activității de Responsabil Protecția Datelor. Sperăm că aceste rânduri v-au oferit o imagine de ansamblu a ce înseamnă și ce presupune această funcție și să știți la ce vă așteptați atunci când acceptați numirea pe o asemenea poziție.

Dacă însă te afli în situația în care nu faci față, poate nu ai cunoștințele sau resursele necesare să te ocupi de toate cele menționate mai sus, sau poate dorești să fii ajutat, noi, GDPR Complet, prin intermediul serviciilor noastre și în mod aparte prin serviciul de DPO externalizat, putem să îți oferim consultanță sau să preluăm acest rol pentru tine. Astfel vom pune la dispoziția operatorului o echipă de 5 profesioniști cu diverse specializări – juridic, IT etc. care să răspundă tuturor cerințelor GDPR pentru compania sau instituția din care provii.

Pentru mai multe detalii te rugăm să ne contactezi la următoarea adresă: contact@gdprcomplet.ro.

Ești instituție publică sau companie privată cu obligația de a avea numit un responsabil cu protecția datelor?
Alege serviciul DPO externalizat, si o echipa de specialiști se va ocupa de la A la Z de tot ce înseamnă GDPR.