Când am văzut noul standard ocupațional pentru responsabiliul de protecția datelor (DPO) emis de Autoritatea Națională de Calificări în 19 martie 2018, ne-au sărit în ochi din prima câteva puncte ca fiind într-o evidentă contradicție cu prevederile regulamentului oficial GDPR lansat de UE.

Nu știm ca standardul respectiv să fi fost aprobat de Ministerul Muncii. De atunci și până astăzi nu am găsit vreo reacție oficială în media pe această temă.

Singura informație pe care am găsit-o este pe site-ul unei companii pe nume Stabris, care susține că a contactat Ministerul Muncii și Justiției Sociale și că a primit un răspuns oficial din partea MMJS.

Conform acestora, acest standard nu a fost aprobat conform legii iar Ordinul ministrului educaţiei, nr. 3170/2015, în baza căruia a fost elaborat standardul aprobat de ANC, nu respectă dispozițiile art. 77 și art. 78 din Legea nr. 24/2000 privind normele de tehnică legislativă pentru elaborarea actelor normative“.

Presupusul răspuns pe larg primit de Stabris din partea Ministerului Muncii îl găsiți aici.

Între timp, primim adesea întrebări de la companii pe tema acestui standard așa că mi-am propus să scriu acest articol pentru a evidenția acesta contradicții și de a oferi o serie de posibile clarificări.

Care e de fapt problema cu acest standard ocupațional pentru DPO?

Problema cu acest standard ocupațional pleacă de la două dintre prevederile lui de bază.

  1. Deprinderi vs studii superioare

Textul regulamentului oficial menționează la Art. 37(5) al GDPR că DPO ‘este desemnat pe baza calităților profesionale și, în special, a cunoștințelor de specialitate în dreptul și practicile în domeniul protecției datelor, precum și pe baza capacității de a îndeplini sarcinile unui DPO.

Pe de altă parte, standardul ocupațional în secțiunea B alineatul 1.I.4. Cerințe speciale spune că această persoană trebuie să aibă studii superioare.

Clar că unii vor spune că majoritatea populației active din România are studii superioare și că acest lucru n-ar fi de fapt o problemă.

Dar e foarte simplu să ne gândim la profile de organizații în care nu este neapărat cazul – de la instituții publice până la companii mici cu o medie de vârstă mai ridicată a angajaților. Sau la cazuri de persoane competente în domeniu care nu au (încă) studii superioare finalizate.

  1. Curs de specialitate impus într-un format care nu există

Tot standardul ocupațional menționează la același paragraf 1.1.4 de cerințe speciale că este obligatorie absolvirea unui curs de specialitate, urmând ca la punctul 2.1 să impună un format de curs de 180 de ore din care 60 teorie și 120 (de ore) de practică.

Majoritatea cursurilor care se fac acum au o durată de maxim 3-5 zile, 8 ore pe zi cu pauze incluse. Sau cursuri de pregătire online de câteva ore, cum e și cazul cursurilor dezvoltate de noi.

Deci ca s-o spunem pe șleau, nu există un astfel curs. Punct.

Există la ora actuală universități din țară care pregătesc cursuri în programa lor post universitară care să respecte formatul impus de standardul ocupațional și care vor fi cel mai probabil disponibile începând din toamnă.

Doar că GDPR intră în vigoare la 25 mai. Deci oricum am lua-o, șansele de a parcurge un curs conform standardului ocupațional până la intrarea în vigoare a regulamentului sunt cel puțin foarte reduse.

De altfel, primul astfel de curs va începe la Universitatea Petru Maior din Târgu Mureș în cursul acestei luni (aprilie 2018) și este organizat chiar de partenerii noștri de la Centrul pentru protecția datelor, curs la care unul dintre colegii noștri va participa ca lector.

În plus, regulamentul oficial GDPR nu impune nicăieri un anumit tip de formare pentru responsabilii de protecția datelor (DPO). Cel mai important este să existe dovada absolvirii unui curs. Punct.

Fie că este un curs online sau cu prezență fizică. Fie că ține trei ore sau trei zile. Important până la urmă este ca persoana respectivă să aibă parte de pregătire.

De ce ‘personalizăm’ un regulament care trebuie pur și simplu preluat ca atare

De ce să pui condiții suplimentare postului de DPO față de ce spune regulamentul oficial?

Cum poți cere absolvirea obligatorie a unui curs care nu există la momentul intrării în vigoare al GDPR?

Decât dacă nu cumva se urmărește satisfacerea interesului pentru profit al unui grup foarte restrâns de indivizi?

Sau poate pur și simplu statul român vrea să se delimiteze încă odată de UE, și să ignore faptul că regulamentul GDPR se aplică direct – în forma lui inițială – tuturor statelor membre ale Uniunii și că nu poți să-i schimbi prevederile după bunul plac.

Răspunsul nu îl știm.

Dacă cineva îl are îl rog cu toată sinceritatea să ni-l dea. M-aș bucura sincer să primim un răspuns din partea unui reprezentant avizat al statului român pe această temă.

Ce știm totuși este că 25 mai se apropie, sancțiunile pentru neconformare sunt foarte serioase și că acest gen de prevederi din partea conducătorilor noștri nu fac decât să sporească nivelul confuziei operatorilor de date pe tema GDPR, confuzie și așa suficient de mare.

Citește și răspunsul oficial al ANSPDCP la adresa noastră pe această temă.