Adriana Ceaușescu este Ofiter Securitatea Informatiei si Protectia Datelor pentru companii din domeniul Asigurarilor si Sanatatii și a urmat cursurile IAPP, participând totodată la intocmirea codului de conduita în domeniul asigurarilor, alaturi de cei mai experimentati profesionisti in protectia datelor din asigurari. În domeniul Securitatii Informatiilor este Auditor ISO 27001. Adriana Ceaușescu a făcut parte din echipa care a câștigat titlul de "GDPR Summer Challenge Champion" 2019 în cadrul competiției lansate și organizate de portalul dpo-NET.ro

Poveste-ne un pic despre tine ca persoană, ca experiență, despre proiectele sau realizarile din domeniul protecției datelor. 

AC: Numele meu este Adriana Ceaușescu, lucrez ca Data Protection Officer pentru o clinică, pentru un magazin online foarte cunoscut, o societate de asigurări și am mai multe proiecte de IMM și învățământ. Experiența mea din aceste domenii cumva m-a ajutat să pot să fac fata cerintelor situațiilor din concurs.

Când ai descoperit domeniul protecției datelor și cum?

AC: Lucrând în partea de marketing online și web development, practic m-am ocupat de tot ce ține de dezvoltare și de a avea o prezenta online corespunzătoare, am avut contact la un moment dat cu o companie care a fost sancționată pentru că nu folosea un modul de cookie, asta întâmplându-se înainte de 25 mai 2018, ziua din care GDPR-ul este aplicabil. Am stat și am analizat domeniul, m-am informat, am implementat acel modul, am început să citesc și să înțeleg legislația națională și europeană și de atunci practic pot să spun că am început să pun cărămidă cu cărămidă la specializarea mea în acest domeniu.

Ai avut tendința la început sa obții certificări naționale sau internaționale, ai participat la cursuri ?

AC: Sunt de părere că pentru a începe să lucrezi într-un domeniu atât de nou cum este protecția datelor trebuie să ai niște cursuri, o îndrumare. Într-adevăr am citit foarte multe documente, am studiat legislația, ghiduri, jurisprudența din domeniul protecției datelor, dar am ales să urmez cursurile IAPP, International Association of Privacy Professionals, respectiv certificările CIPP/E si  CIPM. La finalizarea acestor cursuri am dat și un examen care nu era cum am visat eu, din aspecte teoretice. Toata lumea știe cum se desfășoară cursurile din România, se predau la curs aspecte teoretice și când ajungi să implementezi, cand te lovesti de practică, ai o problemă. La fel au fost și cu examenele, pe care le-am picat și m-am hotărât să obțin această certificare după ce consider ca am acumulat destul de multă experiență încât să nu mai am emoții.

A fost demotivant momentul în care ai picat acel examen?

AC: Nu, pentru mine a fost un moment în care mi-am dat seama că degeaba știi teorie dacă nu cunoști practica și cred că tocmai asta ne separa pe noi, Responsabilii în protecția datelor de un avocat. Un DPO lucrează zi de zi, se lovește de situații, de moduri în care trebuie să implementeze cerințele Regulamentului, în timp ce un teoretician va ști mereu ce trebuie făcut doar la nivel de teorie.

Știu ca ești și membru al Asociației Specialiștilor în Confidențialitate și Protecția Datelor. Cum ai făcut acest pas? De ce ai luat decizia sa te înscrii în o asociație?

AC: Sunt membră pentru că îmi doream sa aparțin unei comunități de specialiști care pot să mă ajute atunci când am situații la care nu sunt sigură ce trebuie să fac și vreau să vă spun că avem grupuri pe rețele de socializare unde ne ajutam. Am o problemă și obțin imediat mai multe sfaturi de la colegi. De asemenea vreau să vă spun că în proiectele derulate de Asociație nu am avut mare implicare dar eu mă mândresc, promovez asociația ori de câte ori pot, la diferitele emisiuni radio sau TV la care am participat și în cadrul întâlnirilor cu alți DPO la care am participat, tot timpul dau exemplul Asociației „Veniți,  înscrieți-vă aici că veți obține sfaturi, informații și recomandări de la specialiști din domeniu, specialiști poate cu mult mai multă experiență decât aveți voi sau din industrii pe care voi nu le cunoști, specialiști cărora poți să le ceri sfaturi și care îți vor oferi soluții. 

A trecut mai mult de 1 an de zile de când se aplică acest Regulament European. Care crezi că a fost cea mai mare provocare în aceasta perioada ?

AC: În primul rând instruirea și conștientizarea angajatorilor la nivelul implementării cerințelor GDPR într-o companie. Am apoi am avut situații în care conștientizarea managementului cu privire la faptul că trebuie să aibă în vedere și să respecte cerințele Regulamentului lăsa de dorit. Nu poți aborda protecția datelor spunând „ asta vreau, asta nu vreau, respectarea GDPR-ului nu poate fi negociată. Apoi cred că modul de lucru în anumite compani mari, care au structuri greoaie, departamente care nu comunica, care practic sunt stat în stat. În altă ordine de idei în România observ că alegerea unui DPO este tratată superficial de manageri. Să luam o instituție publica ca exemplu, pentru ca aici am întâlnit cele mai multe situații de genul acesta, îi este mult mai ușor să numească un DPO formal, adică secretara, pe care o trimit la un curs și se așteaptă ca acea secretară să facă față tuturor situațiilor complicate. Luăm exemplul școlilor, în general secretara este DPO. Secretara nu știe ce să facă și nu mai afișează anumite informații pe care trebuia sa le afișeze la avizier, deși poți să ai soluții. Un DPO ar trebui sa vină cu soluții ca să poți să afișezi. Nu există conștientizare la nivel de top management, conștientizarea angajaților lipsește deseori și de foarte multe ori este dificil sa impui o cultura organizationala în ceea ce privește protecția datelor. Oamenii nu vor să mai facă și altceva pentru ca este un efort. Respectarea Regulamentului este un efort din partea angajatului în plus față de ce are de făcut și sunt cumva reticenți. Sper ca în următorul an sa găsim măsuri prin care să putem sa ameliorăm aceste discrepanțe.

Asta era următoarea întrebare, ce vezi util a se intampla în următorul an?

AC: Cred ca după un an, fiecare companie ar trebui să tragă linie și să vadă cum stă. Pur și simplu să-și facă un audit intern, o verificare. „Hai sa vedem cum stăm noi din punct de vedere al respectării Regulamentului. Suntem conformi,  unde avem probleme?”. Mă aștept ca aceasta analiză să fie făcută până la sfârșitul lui decembrie 2019, astfel incat la începutul lui 2020, începaâd din ianuarie, să repare acele probleme legate de implementare, pentru că sunt sigură ca nu exista companii 100% conforme din punct de vedere al GDPR-ului. La asta mă aștept. Să instruiască mai mult și să conștientizeze mai mult angajații, să facă simulări din punct de vedere al incidentelor de securitate și să le explice de ce este important să raporteze. Foarte mulți dintre angajați, nu știu dacă cum să recunoască și să raporteze un incident de securitate. Nu identifica faptul că, de exemplu, pierderea unui document, pe strada, fie ca este vorba de document fizic sau nu, este breșă și trebuie să o raporteze superiorilor. Nu le taie nimeni capul dar incidentul trebuie raportat, trebuie analizat, ca să împiedici riscul de a fi amendat și riscurile de a încălca drepturile unei persoane vizate.

Cum ai descoperit acest concurs care s-a desfășurat în august, organizat de dpo-net?

AC: Pai, în primul rând că sunt foarte activă și citesc toate informațiile care îmi vin prin social media și online. Sinceră să fiu chiar îmi doream de mult un asemenea exercițiu, să pot să testez și eu cum aș face într-o anumită situație, cum as reacționa în altă situație. Așa am descoperit, prin intermediul internetului. Concursul în sine dar și organizarea lui pot să  spun că merită toate laudele. Ideea a fost fantastică și vă mai spun ceva, am avut o situație în concurs cu privire la acordarea unor informații către poliție. Ei bine, vreau să vă spun că aceeași situație s-a întâmplat în practica, pentru mine la câteva zile distanță. Am avut o asemenea solicitare adresată unei companii unde activez ca Data Protection Officer și cumva m-a bufnit râsul pentru că deja știam ce să fac, cum sa fac, totul a decurs fără nici o problemă. M-am bucurat, zic ”uite, am o practică, am o experienta, știu cum să aplic, nota 10”.

Cum a fost experinta concursului? A fost dificil? Cat timp ti-a luat? Cum a fost să-ți cunoști echipa?

AC: Cu ocazia participarii la concurs m-am hotarat sa îmi iau concediu, mai mult decat ar fi trebuit. Era și perioada vacanței prelungite, când toată lumea stătea la mare sau se plimba, iar eu mă trezeam de dimineață și vroiam să văd ce provocări am primit ca să pot să reacționez, să pregătesc împreuna cu echipa documentele pe care trebuia sa le avem pentru a lua măsurile ce se impuneau. N-a fost ușor, deci n-a fost ușor deloc, dar uite că împreună cu colegii mei am reușit să facem cât mai bine cu putință față unor situații legate de GDPR. 

Care a fost cea mai mare lecție pe care ai primit-o în relația cu colegii tai?

AC: În primul rând, să lucrez în echipă. Eforturile din punct de vedere al GDPR-ului sunt eforturi de echipa, un DPO trebuie sa învețe să lucreze împreună cu juridicul, împreună cu IT-ul, împreună cu managerul de resurse umane, cu top managementul, trebuie să știe să-și formeze o echipa și atunci pentru mine a însemnat foarte mult. În unele situații nu eram de acord cu colegii mei dar văzându-le elanul am zis ok, e de preferat să fim o echipa și fiecare ne împarțeam task-urile, am lucrat foarte bine cu ei. Culmea, nu știam cine sunt, de unde sunt și am aflat ulterior concursului  că unul dintre coechipieri merge la aceeași sală de fitness cu mine și mai mult decât atât locuiește în orașul în care locuiesc eu.

Trebuie să menționâm că  echipele au fost alese aleatoriu și nu se cunoșteau înainte și nici jurații nu au jurizat în cunostinta componenței echipelor.  Ce înseamnă pentru tine titlul de GDPR Summer Challenge Champion?

AC: Vă spun sincer că nu m-am așteptat. Am făcut greșeli în timpul concursului, mi-am și dat seama apoi, deci au fost și din partea noastră niște scăpări. E normal, nu suntem perfecți, suntem perfectibili. Pentru mine, concursul aceasta înseamnă multă experiență acumulată, înseamnă a învăța cum să lucrezi cu o echipă, a învăța să delegi task-uri și mai mult decât atât, am învățat că este importantă practica. Este importantă experiența pe care o câștigi, mai mult decât teoria. Degeaba mergi la un curs dacă nu practici ceea ce înveți la curs. Teoria trebuie aplicată iar aplicabilitatea ei este mai dificilă.

Mai ții legătura cu colegii tai de echipa?

AC: Da, clar! Vă spuneam că unul dintre colegii de echipa este coleg cu mine la sală, ne-am și întâlnit la sală și am hotărât să ieșim, împreună cu alți specialiști din domeniu, să discutăm despre proiecte, despre situația GDPR din țară și din domeniile în care activăm. Cu celelalte colege avem un grup pe Facebook, ne mai trimitem situații mai cerem păreri „uite am situația asta, ce trebuie să fac?” și fiecare vine cu recomandări. Da, ținem legătura, de asemenea și pe platforma pe care concursul s-a desfășurat sunt discuții, avem informații, mai vin și studii de caz. Ținem legătura și m-ar bucura să rămână comunitatea stransa și în jurul  platformei online construite.

Concluzionând, ce sfat ai avea pentru o persoana vizată și ce sfat ai avea pentru un reprezentant al unui operator, unul din top management?

AC: În primul rand, persoanele vizate ar trebui să înțeleaga ca datele lor cu caracter personal înseamnă bani, sunt o valută, au o valoare toate datele și atunci, de fiecare dată când li se solicită aceste date cu caracter personal, să se întrebe de ce. „De ce aveți nevoie de copie după cartea mea de identitate?”. Este acea teorie a celor 5 „De ce” ca să ajungi la adevăratul scop.

O teorie pe care copii mici o știu foarte bine.. 

Da, și pe care noi adulții o uităm. Deci, în primul rând să fie conștienți că datele lor reprezinta o valoare și să își cunoască drepturile. Au drepturi prin GDPR  și știu că foarte mulți români sunt supărați pe bănci, poate nu ar trebui sa spun, dar când te duci ți se face o copie după cartea de identitate care, în unele situații înseamnă prelucrare abuzivă. Dacă schimbă mai puțin de 3000 de euro nu se încadrează la a fi frauda. Nu ne vom putea opune, dar ar trebui să întrebăm de ce.

Pentru operatori, să înteleagă că nu este la latitudinea lor, ca vor sau nu vor. Respectarea cerințelor Regulamentului este o obligativitate, ai obligația aceasta și nu poți să o faci formal. Niște hârtii nu-ți rezolva partea de respectare a datelor cu caracter personal ci trebuie să se implice și dacă nu exista implicarea top managementului atunci proiectul acesta nu va avea succes de la început. Top managementul trebuie conștientizat. Trebuie să înțeleagă importanța respectării drepturilor persoanelor vizate și protejarea datelor cu caracter personal. 

Ce sfaturi ai pentru specialiști și viitorii specialiști în protecția datelor ?

AC: Niciodată să nu te oprești din învățat, niciodată să nu te oprești din citit, din documentat, niciodată să nu te oprești din a înțelege industriile în care activezi, sa le înțelegi specificul, să le înțelegi legislația și să te întâlnești cu specialiștii din domeniul respectiv. Adică dacă lucrezi în domeniul medical, discută cu medicii, vezi care sunt problemele pe care le au ei, explică-le și tu. Eu chiar fac pentru medicii cu care colaborăm pastile video de 5 minute, odată pe săptămână am o pastila video care se pune în sala de mese. 5 minute le ia, cât mănâncă se pot uita. Adică pe deoparte să conștientizeze iar pe de alta parte să nu înceteze niciodată să se documenteze, să învețe tot timpul pentru că este un domeniu în care dacă nu ții pasul nu poți să faci față. Lucrurile se schimbă foarte, foarte rapid.

Mai  este un mesaj la care eu țin foarte mult, ținând cont că a început școala, m-aș bucura ca toți copii, cadre didactice, părinți, să înțeleagă că și minorii au drepturi, să înțeleagă că pozele pe care noi le punem pe Facebook cu copii noștri ar trebui limitate. Ar trebui sa nu mai partajăm atât  de multe informații despre ei. Au drepturi și trebuie sa le respectăm datele lor cu caracter personal. 

Aștept următoarea ediție, GDPR Winter Challenge din ianuarie 2020, să vedem cat de solicitantă va fi!

Stefan Gabriel Iancu are o experiență de peste 21 ani în calitate de consilier juridic, DPO / Consultant Protectia Datelor, fiind fondatorul companiei iPrivacy. El si-a dezvoltat expertiza prin experienta profesionala in calitate de Legal Advisor, Regulatory Specialist, Business Ethics & Compliance Officer pentru BRD - Groupe Societe Generale, Vodafone, Cosmote, Siemens, OMV Petrom. Este unul din moderatorii Workshop-ulului dpo.Tools  organizat de Portalul dpo-NET.ro - Data Protection Officers Network, în data de 15 Ianuarie 2020, în parteneriat cu Wolters Kluwer România, NeoPrivacy România, SAMSUNG, Decalex, Inperspective și iPrivacy și care abordează o tema de mare interes, "Incompatibilitatea și conflictul de interese în desfășurarea activității DPO”, analizând situațiile în care Responsabilul cu protecția datelor nu iși poate îndeplini atribuțiile și obligațiile în concordanță cu Regulmentul 2016/679.  Stefan Gabriel Iancu a acceptat să ofere un interviu în exclusivitate pentru cititorii și abonații dpo-net.ro, reușind să analizeze motivele pentru care au fost aplicate sanctiuni GDPR in Romania intr-un an și jumătate de când se aplică Regulamentul 2016/679.  

Stiu ca urmariti cu atentie sanctiunile care se aplica in Romania in domeniul protectiei datelor. Ce ati constatat pana acum? Pentru ce au fost acordate aceste sanctiuni?

S.G.I: Anul 2018 a fost anul fara amenzi GDPR in Romania, realitate care a alimentat parerile cum ca termenul de gratie din 2016 pana in 2018 va fi prelungit sine die, ca GDPR-ul e doar un hype. In schimb, anul 2019 a pozitionat Romania pe locul 3 (dupa Regatul Unit si Germania) ca numar de amenzi (17) si pe locul 10 ca valoare a amenzilor (454,500 EURO).

Putem deja discuta despre primele date statistice privind Regulamentul 2016/679 privind protectia datelor cu caracter personaL, avand in vedere ca in Romania in 2019 s-au aplicat 17 amenzi:

• 10 amenzi pentru neasigurarea securitatii prelucrarii datelor (art. 32) ;
• 3 amenzi pentru insuficienta cooperare (art.58);
• 2 amenzi pentru nerespectarea drepturilor persoanelor vizate, in speta dreptul de acces acces prevazut de art. 15, respectiv obligatia de transparenta prevazuta de art. 12;
• 1 amenda pentru nerespectarea principiului minimizarii (art. 5 (1) c);
• 1 amenda pentru nerespectarea cerintelor privind consimtamantul art. 5 (1) a) si 6 (1) a);

Puteau fi evitate aceste sanctiuni de catre operatorii romani ?

S.G.I: Raspunsul difera de la amenda la amenda.  Cel mai usor puteau fi evitate amenzile aplicate pentru insuficienta cooperare. In aceste situatii ar fi fost de dorit un efort minim de comunicare. Desigur, aceasta presupunea o constientizare prealabila a necesitatii si utilitatii acestei cooperari, iar aceasta constientizare era de datoria persoanei responsabile de protectia datelor.

Merita de reamintit poate, cu aceasta ocazie, ca desi nu toti operatorii de date cu caracter personal sunt obligati sa desemneze o persoana responsabila cu protectia datelor, toti operatorii sunt obligati sa respecte Regulamentul 679/2016.

In cazul incalcarii art. 32, raspunsul este mai putin simplu pentru ca respectarea acestei cerinte presupune pasi anteriori efectuati deja in organizatie, diferentele fiind semnificative de la operator la operator.

Raspunsul devine si mai putin simplu cand ne referim doar la cele mai mari 3 amenzi aplicate in Romania in 2019 (in suma de 360.000 EURO din care 150.000 EURO pentru Raiffeisen Bank SA, 130.000 EURO pentru UNICREDIT BANK SA , respectiv 80.000 Euro pentru ING Bank N.V.) desi prin raportare la numarul de persoane vizate afectate, sau la cifra de afaceri, acestea au fost mai degraba simbolice.

De asemenea, tinand cont de volumele, categoriile si tipurile de date prelucrate (cumulat, aproximativ 95 milioane clienti) de catre cei 3 operatori, numarul de angajati, de ordinal zecilor de mii, nivelul de cultura privind protectia datelor personale din statele unde isi au sediul firmele mama precum si raportat la nivelul profiturilor, cu siguranta nu au exstat dubii privind necestatea desemnarii responsabilului cu protectia datelor, astfel incat aceste persoane au fost cel mai probabil desemnate din timp. Prin aceasta putem intelege cel mai tarziu in anul 2016, 2017 sau, in cel mai rau scenariu posbil, 2018.

Pentru respectivii operatori, existau toate premisele, know-how, resurse umane, buget, sa se poata conforma, in timp util si sa demonstreze conformarea, la cerintele GDPR.

Ce ar trebui sa faca operatorii pentru a putea demonstra cerintele art. 32 din Regulamentul 2016/679 ?

S.G.I: In 2019, nu a fost posibila demonstrarea, de catre respectivii operatori, a respectarii cerintelor prevazute in art. 32 din Regulamentul 2016/679 ceea ce inseamna ca probabilele explicatii se regasesc in nerespectarea cerintelor din Regulament, Sectiunea 4: art. 37, 38 , 39 de unde decurg urmatoarele intrebari:

• A fost/este responsabilul cu protecţia datelor desemnat pe baza calităţilor profesionale şi, în special, a cunoştinţelor de specialitate în dreptul şi practicile din domeniul protecţiei datelor, precum şi pe baza capacităţii de a îndeplini sarcinile?
• A fost / este responsabilul cu protecţia datelor implicat în mod corespunzător şi în timp util în toate aspectele legate de protecţia datelor cu caracter personal?
• A sprijinit operatorul şi persoana împuternicită de operator pe responsabilul cu protecţia datelor în îndeplinirea sarcinilor menţionate la articolul 39, asigurându-i resursele necesare pentru executarea acestor sarcini, precum şi accesarea datelor cu caracter personal şi a operaţiunilor de prelucrare, şi pentru menţinerea cunoştinţelor sale de specialitate?
• S-a asigurat operatorul şi persoana împuternicită de operator că responsabilul cu protecţia datelor nu primeşte niciun fel de instrucţiuni în ceea ce priveşte îndeplinirea acestor sarcini ?
• Acesta nu este demis sau sancţionat de către operator sau de persoana împuternicită de operator pentru îndeplinirea sarcinilor sale. Responsabilul cu protecţia datelor răspunde direct în faţa celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator?
• Puteau persoanele vizate contacta responsabilul cu protecţia datelor cu privire la toate chestiunile legate de prelucrarea datelor lor şi la exercitarea drepturilor lor ?
• S-a asigurat operatorul sau persoana împuternicită de operator că niciuna dintre aceste sarcini şi atribuţii ale responsabilului cu protectia datelor nu generează un conflict de interese?
• A informat şi consiliat responsabilul pe operator sau persoana împuternicita de operator, precum şi pe angajaţii care se ocupă de prelucrare cu privire la obligaţiile care le revin în temeiul regulamentului şi al altor dispoziţii de drept al Uniunii sau drept intern referitoare la protecţia datelor?
• A monitorizat responsabilul cu protectia datelor respectarea regulamentului, a altor dispoziţii de drept al Uniunii sau de drept intern referitoare la protecţia datelor şi a politicilor peratorului sau ale persoanei împuternicite de operator în ceea ce priveşte protecţia datelor cu caracter personal, inclusiv alocarea responsabilităţilor şi acţiunile de sensibilizare şi de formare a  personalului implicat în operaţiunile de prelucrare, precum şi auditurile aferente?
• A furnizat consiliere la cerere în ceea ce priveşte evaluarea impactului asupra protecţiei datelor şi monitorizarea funcţionării acesteia, în conformitate cu articolul 35?
• A cooperat eficient cu autoritatea de supraveghere?
• Si-a asumat eficient rolul de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare, inclusiv consultarea prealabilă menţionată la articolul 36 si consultarea cu privire la orice altă chestiune?
• A tinut seama responsabilul cu protecţia datelor de riscul asociat operaţiunilor de prelucrare, luând în considerare natura, domeniul de aplicare, contextul şi scopurile prelucrării?

Toate aceste intrebari sunt pe agenda de lucru a workshop-ului din 15 Ianuarie 2020, care abordează  tema, "Incompatibilitatea și conflictul de interese în desfășurarea activității DPO”, analizând situațiile în care Responsabilul cu protecția datelor nu iși poate îndeplini atribuțiile și obligațiile în concordanță cu Regulmentul 2016/679.

Alexandru Gheorghe are o experiență de peste 12 ani în calitate de consilier juridic, DPO / Consultant Protectia Datelor, fiind fondatorul companiei Iperspective. El a format și condus departamentul juridic al Fashion Days pentru mai bine de 6 ani, având colaborări cu Miniprix, Best Value și Crew Shop, BusinessMark, Ollie Gang Shop, Modarena, Northfinder și Nooh Media, precum și cu un startup din Irlanda denumit PowerTiz. Este certificat ca și Data Protection Officer (Responsabil cu Protecția Datelor) de PECB Europe și este certificat ca și Formator de adulți (Trainer). Este unul din moderatorii Workshop-ulului dpo.Tools  organizat de Portalul dpo-NET.ro - Data Protection Officers Network, în data de 15 Ianuarie 2020, în parteneriat cu Wolters Kluwer România, NeoPrivacy România, SAMSUNG, Decalex, Inperspective și iPrivacy și care abordează o tema de mare interes, "Incompatibilitatea și conflictul de interese în desfășurarea activității DPO”, analizând situațiile în care Responsabilul cu protecția datelor nu iși poate îndeplini atribuțiile și obligațiile în concordanță cu Regulmentul 2016/679.  Alexandru Gheorghe a acceptat să ofere un interviu în exclusivitate pentru cititorii și abonații dpo-net.ro, reușind să surprindă realitatea cu care se confruntă operatorii după un an și jumătate de când se aplică Regulamentul 2016/679.  

Cum este desemnat DPO-ul în organizațiile din România?

A.G.: Din poziția de consultant extern în probleme de GDPR, am asistat la trei premise greșite care au ca rezultat desemnarea DPO-ului în organizațiile (din mediul public și privat) din România. Prima situație este aceea în care funcția sau rolul de DPO-ului, este atribuit(ă) unei persoane propuse într-un grup din care viitorul DPO nu face parte, sau cu alte cuvinte habar n-are că pe lângă funcția actuală și responsabilitățile îndeplinite în cadrul organizației, managementul sau (șeful) a hotărât că va îndeplini și rolul de DPO. Așadar, părerea angajatului care urmează să exercite funcția nu este (neapărat) luată în considerare și nici potențialul conflict de interese al funcției deja exercitate cu funcția de DPO nu este luat în considerare la nivel organizațional, fapt care încalcă în mod direct prevederile GDPR.

A doua situație, este aceea în care unui angajat, de obicei din departamentul Juridic, Contabilitate, Conformitate (Compliance) sau Calitate, i se propune acest rol și i se creează o pseudo-suită de resurse menite să-l ajute: este trimis la cursuri de DPO (de obicei sunt alese cursuri ieftine și/sau scurte ca și perioadă de formare, iar angajatul se întoarce de cele mai multe ori nelămurit), rareori primește o mărire salarială pentru stimularea asumării noului rol, despre oameni de suport nici nu poate fi vorba, iar funcția sa inițială este oricum mult mai importantă decât rolul de DPO proaspăt atribuit, astfel că cele două funcții trebuie să fie desfășurate în paralel....

A treia situație este aceea în care DPO-ul este selectat în urma unui proces de recrutare standard, fără a urmări un anume profil bine definit al persoanei care ar trebui să ocupe o astfel de funcție, ceea ce înseamnă că nici organizația nu înțelege in extenso ce presupune rolul de DPO. Prima greșeală pe care o face organizația care angajează un DPO este aceea de a-l încadra din punct de vedere ierarhic în mod greșit.

Este dorit rolul de DPO de oamenii care ocupă aceasta funcție?

A.G.: Este o întrebare foarte bună. De cele mai multe ori nu! Un rol este dorit de o persoană care își dorește activitatea, care își dorește să joace în piesa respectivă și consideră că este capabilă să ducă la îndeplinire sarcinile presupuse de o astfel de funcție. De asemenea, infrastructura de resursă pusă la dispoziția DPO-ului de către organizație, contribuie la potențialul de reușită (și de satisfacție) profesională a acestuia. În mod evident, atâta timp cât angajatul, de cele mai multe ori primește vestea că este (și) DPO, motivul desemnării sale nu este înțeles (cei mai mulți se întreabă „de ce eu?!”), atribuțiile funcției nu sunt înțelese, funcția este privită cu teamă iar demersurile de conformare cu GDPR nu demarează.

Vorbeai despre o greșită încadrare a DPO-ului în organizație, ne poți oferi mai multe detalii?

A.G.: Bineînțeles. Din experiența mea, DPO-ul este asimilat în organizație responsabilului cu protecția muncii (SSM și PSI) din punct de vedere al obligativității desemnării funcției sale în organigramă. DPO-ul este privit ca fiind omul introdus cu forța în activitatea de zi cu zi a organizației, iar prin natura sarcinilor acestuia încetinește activitatea, o modifică, o blochează sau chiar o întrerupe. Astfel se explică rezistența reprezentanților departamentelor organizației, chemate să implementeze prevederile GDPR, în raport cu DPO-ul. Pentru că trebuie să-l controlăm ierarhic și nu putem accepta la nivel organizațional că DPO-ul vine cu autoritatea managementului superior și acționează pe aceeași linie cu reprezentanții acestui palier și astfel, îl subordonăm, spre exemplu, sub managerul departamentului juridic sau de conformitate ori se insistă pe alte asemenea ierarhizări. Vom dezvolta în cadrul workshop-ului din 15 ianuarie 2020, de ce considerăm că această premisă este greșită și conduce de cele mai multe ori, la eșecul organizației de a se conforma cu prevederile GDPR și de a trata cu seriozitate scopul Regulamentului.

GDPR ne spune că managementul răspunde și nu DPO-ul. Ce înseamnă această răspundere a managementului?

A.G.: În opinia mea, răspunderea managementului (bineînțeles pe diferite straturi de decizie și control) începe de la modalitatea în care înțelege să desemneze DPO-ul și atenția acordată profilului persoanei care urmează să îndeplinească acest rol. Organizațiile din România trebuie să înțeleagă că aceasta funcție trebuie luată în serios, iar amenzile introduse în cadrul GDPR reprezintă o responsabilizare forțată a managementului care răspunde personal pentru modul în care se implică în susținerea DPO-ului pentru îndeplinirea sarcinilor. Atribuțiile DPO-ului, sunt de fapt atribuțiile managementului fiecărui departament sau serviciu (compartiment) al instituției respective. Așa cum vad lucrurile, implementarea prevederilor GDPR este sarcina departamentelor, iar DPO-ul servește ca un ghid de orientare al organizației în privința prelucrării eficiente a datelor cu caracter personal.

Dar știți ce mă tot întreb, iar asta vom discuta în cadrul workshop-ului din data de 15.01.2020, oare nu ar trebui să ne punem problema sancționării organizațiilor pentru desemnarea persoanelor nepotrivite în rolul de DPO? Mai mult, oare nu ar trebui să structurăm un profil orientativ al profilului persoanei potrivite pentru a ocupa funcția de DPO, așa cum avem spre exemplu, un profil orientativ al persoanelor care ocupă funcții de auditori sau alte asemenea funcții care presupun identificarea unor riscuri organizaționale și asigurarea protecției activelor organizației?