Externalizare DPO (Responsabil cu Protecția Datelor)
Ce ar trebui să știi atunci când ai luat decizia de externalizare DPO .
Regulamentul Uniunii Europene privind protecţia datelor cu caracter personal ridică căteva ingrijorări în randul operatorilor de date cu caracter personal. Principalele motive de ingrijorare sunt constituite de procedurile ce trebuie derulate pentru conformarea activităţilor companiei cu dispozitiile Regulamentului, angajarea unui responsabil cu protecţia datelor precum şi costurile pe care le implica toate acestea.
Ce este un DPO?
Un DPO (Data Protection Officer) este un expert responsabil cu protecția datelor într-o organizație. Rolul său este esențial pentru monitorizarea conformității cu GDPR-ul. Atribuțiile includ:
- Informarea și sfătuirea companiei privind protecția datelor.
- Efectuarea auditurilor de confidențialitate.
- Oferirea de sfaturi legate de evaluările impactului protecției datelor (DPIA).
- Instruirea angajaților și acționarea ca punct de contact cu persoanele vizate și autoritatea de supraveghere.
Iată câteva recomandări făcute de DPO Consulting pentru îndeplinirea proiectului de externalizare DPO.
Responsabilul cu protecţia datelor trebuie să fie o persoană independentă!
Astfel, în cuprinsul considerentului nr. 97 se prevede că „Acești responsabili cu protecția datelor, indiferent dacă sunt sau nu angajați ai operatorului, ar trebui să fie în măsură să își îndeplinească atribuțiile și sarcinile în mod independent.”
Atenţie la conflictele de interese!!
În ceea ce privește conflictul de interese, articolul nr. 38 alin. (6) precizează că atribuțiile responsabilului cu protecția datelor trebuie să nu genereze un conflict de interese în situația în care acesta îndeplinește și alte sarcini și atribuții în cadrul organizației.
Cum ne putem da seama că responsabilul cu protecția datelor este independent și deci, nu se află în conflict de interese?
Grupul de lucru „Articolul 29” ne oferă unele indicii precizând că nu sunt candidați potriviți pentru poziţia de DPO persoanele cu funcții de conducere superioare, cum ar fi director executiv, director operațional, director financiar, șeful serviciului medical, șeful departamentului de marketing, șef departamentului de resurse umane sau șeful departamentului IT, dar, în același timp, și alte funcții inferioare dacă acestea conduc la posibilitatea de a stabili scopurile și mijloacelor de prelucrare.
Responsabilul cu protecţia datelor este desemnat pe baza calităţilor profesionale şi, în special, a cunoştinţelor de specialitate în dreptul şi practicile din domeniul protecţiei datelor
ATENTIE! In acest moment NU exista cursuri acreditate ANC insa exista un Standard ocupational pentru ocupatia 242231 Responsabil cu protectia datelor cu caracter personal, aprobat de ANC prin decizia 74/19.03.2018. Standardul ocupational prevede 180 de ore de curs din care 60 ore de teorie si 120 ore practica. Comprimarea informatiilor pe care ar trebui sa le detina un Responsabil cu protectia datelor in 8 ore de curs, nu este realista!
Responsabilul cu protecţia datelor, pe langa cunoştinţele în dreptul şi practicile protecţiei datelor ar trebui sa aibă o cât mai bună înţelegere a afacerii, a contextului în care funcţionează și a proceselor sale economice. Aceste cunoştinţe se dobăndesc prin experienţa in managementul proiectelor, managementul riscului, analiză economică.
Cine poate fi DPO (responsabilul cu protecţia datelor)?
Responsabilul cu protecţia datelor are un grad ridicat de răspundere direct în fața top managementului organizației, are un rol cheie, conform prevederilor Regulamentului European nr. 2016/679, fiind un pas necesar în procesul de conformare cu acesta.
Responsabilul cu protecţia datelor este mai degrabă mandatorul clientului decât o simplă persoană de contact folosită în prezent de operatorii de date. Această persoană trebuie să aibă cunoștințe de specialitate pe zona de protecție de date (art.37-5). Poate fi un membru al echipei sau poate să-și desfășoare activitatea în baza unui contract de prestări servicii (art.37-6). Trebuie implicat în mod corespunzător și în timp util în toate aspectele legate de protecția datelor (art.38-1). Nu poate fi demis sau sancționat de către operator pentru îndeplinirea sarcinilor sale (art.38-3).
Când este obligatorie numirea unui DPO?
Organizațiile trebuie să efectueze o analiză internă pentru a stabili dacă este necesară numirea unui DPO. Aceasta este obligatorie pentru:
- Autoritățile și organismele publice.
- Organizațiile care monitorizează sistematic și la scară largă persoane.
- Companiile care prelucrează categorii speciale de date cu caracter personal la scară largă.
Avantaje și dezavantaje ale DPO externalizat
Avantaje:
Costuri reduse: Externalizarea poate fi mai rentabilă decât angajarea unui DPO intern.
Expertiză specializată: Accesezi competențele unui profesionist cu experiență.
Flexibilitate: Poți ajusta serviciile în funcție de nevoile organizației.
Dezavantaje:
Dependenta de terți: Organizația depinde de serviciile externe.
Confidențialitate: Trebuie să asiguri confidențialitatea datelor transmise către DPO-ul extern
Diferența dintre DPO și consultantul pentru protecția datelor
Un DPO are un rol mai amplu, fiind responsabil cu monitorizarea conformității și acționând ca punct de contact oficial. În schimb, un Consultant pentru protecția datelor poate oferi consultanță, dar nu are aceleași atribuții legale ca un DPO.
Cui se aplică Regulamentul (UE_GDPR)
Avantajele externalizării implementării Regulamentului GDPR
Dacă ești o companie care are: angajați, clienți, parteneri , pacienți, cursanți, elevi – înseamnă că prelucrezi date cu caracter personal. Pe lăngă sancțiunile de nerespectare a cerințelor legale privind protecția datelor, riscul cel mai mare este să încalci drepturile persoanelor vizate ( categoriile enumerate mai sus). Iar această încălcare poate atrage nemulțumiri, plăngeri, procese civile.