Adriana Ceaușescu este Ofiter Securitatea Informatiei si Protectia Datelor pentru companii din domeniul Asigurarilor si Sanatatii și a urmat cursurile IAPP, participând totodată la intocmirea codului de conduita în domeniul asigurarilor, alaturi de cei mai experimentati profesionisti in protectia datelor din asigurari. În domeniul Securitatii Informatiilor este Auditor ISO 27001. Adriana Ceaușescu a făcut parte din echipa care a câștigat titlul de "GDPR Summer Challenge Champion" 2019 în cadrul competiției lansate și organizate de portalul dpo-NET.ro

Poveste-ne un pic despre tine ca persoană, ca experiență, despre proiectele sau realizarile din domeniul protecției datelor. 

AC: Numele meu este Adriana Ceaușescu, lucrez ca Data Protection Officer pentru o clinică, pentru un magazin online foarte cunoscut, o societate de asigurări și am mai multe proiecte de IMM și învățământ. Experiența mea din aceste domenii cumva m-a ajutat să pot să fac fata cerintelor situațiilor din concurs.

Când ai descoperit domeniul protecției datelor și cum?

AC: Lucrând în partea de marketing online și web development, practic m-am ocupat de tot ce ține de dezvoltare și de a avea o prezenta online corespunzătoare, am avut contact la un moment dat cu o companie care a fost sancționată pentru că nu folosea un modul de cookie, asta întâmplându-se înainte de 25 mai 2018, ziua din care GDPR-ul este aplicabil. Am stat și am analizat domeniul, m-am informat, am implementat acel modul, am început să citesc și să înțeleg legislația națională și europeană și de atunci practic pot să spun că am început să pun cărămidă cu cărămidă la specializarea mea în acest domeniu.

Ai avut tendința la început sa obții certificări naționale sau internaționale, ai participat la cursuri ?

AC: Sunt de părere că pentru a începe să lucrezi într-un domeniu atât de nou cum este protecția datelor trebuie să ai niște cursuri, o îndrumare. Într-adevăr am citit foarte multe documente, am studiat legislația, ghiduri, jurisprudența din domeniul protecției datelor, dar am ales să urmez cursurile IAPP, International Association of Privacy Professionals, respectiv certificările CIPP/E si  CIPM. La finalizarea acestor cursuri am dat și un examen care nu era cum am visat eu, din aspecte teoretice. Toata lumea știe cum se desfășoară cursurile din România, se predau la curs aspecte teoretice și când ajungi să implementezi, cand te lovesti de practică, ai o problemă. La fel au fost și cu examenele, pe care le-am picat și m-am hotărât să obțin această certificare după ce consider ca am acumulat destul de multă experiență încât să nu mai am emoții.

A fost demotivant momentul în care ai picat acel examen?

AC: Nu, pentru mine a fost un moment în care mi-am dat seama că degeaba știi teorie dacă nu cunoști practica și cred că tocmai asta ne separa pe noi, Responsabilii în protecția datelor de un avocat. Un DPO lucrează zi de zi, se lovește de situații, de moduri în care trebuie să implementeze cerințele Regulamentului, în timp ce un teoretician va ști mereu ce trebuie făcut doar la nivel de teorie.

Știu ca ești și membru al Asociației Specialiștilor în Confidențialitate și Protecția Datelor. Cum ai făcut acest pas? De ce ai luat decizia sa te înscrii în o asociație?

AC: Sunt membră pentru că îmi doream sa aparțin unei comunități de specialiști care pot să mă ajute atunci când am situații la care nu sunt sigură ce trebuie să fac și vreau să vă spun că avem grupuri pe rețele de socializare unde ne ajutam. Am o problemă și obțin imediat mai multe sfaturi de la colegi. De asemenea vreau să vă spun că în proiectele derulate de Asociație nu am avut mare implicare dar eu mă mândresc, promovez asociația ori de câte ori pot, la diferitele emisiuni radio sau TV la care am participat și în cadrul întâlnirilor cu alți DPO la care am participat, tot timpul dau exemplul Asociației „Veniți,  înscrieți-vă aici că veți obține sfaturi, informații și recomandări de la specialiști din domeniu, specialiști poate cu mult mai multă experiență decât aveți voi sau din industrii pe care voi nu le cunoști, specialiști cărora poți să le ceri sfaturi și care îți vor oferi soluții. 

A trecut mai mult de 1 an de zile de când se aplică acest Regulament European. Care crezi că a fost cea mai mare provocare în aceasta perioada ?

AC: În primul rând instruirea și conștientizarea angajatorilor la nivelul implementării cerințelor GDPR într-o companie. Am apoi am avut situații în care conștientizarea managementului cu privire la faptul că trebuie să aibă în vedere și să respecte cerințele Regulamentului lăsa de dorit. Nu poți aborda protecția datelor spunând „ asta vreau, asta nu vreau, respectarea GDPR-ului nu poate fi negociată. Apoi cred că modul de lucru în anumite compani mari, care au structuri greoaie, departamente care nu comunica, care practic sunt stat în stat. În altă ordine de idei în România observ că alegerea unui DPO este tratată superficial de manageri. Să luam o instituție publica ca exemplu, pentru ca aici am întâlnit cele mai multe situații de genul acesta, îi este mult mai ușor să numească un DPO formal, adică secretara, pe care o trimit la un curs și se așteaptă ca acea secretară să facă față tuturor situațiilor complicate. Luăm exemplul școlilor, în general secretara este DPO. Secretara nu știe ce să facă și nu mai afișează anumite informații pe care trebuia sa le afișeze la avizier, deși poți să ai soluții. Un DPO ar trebui sa vină cu soluții ca să poți să afișezi. Nu există conștientizare la nivel de top management, conștientizarea angajaților lipsește deseori și de foarte multe ori este dificil sa impui o cultura organizationala în ceea ce privește protecția datelor. Oamenii nu vor să mai facă și altceva pentru ca este un efort. Respectarea Regulamentului este un efort din partea angajatului în plus față de ce are de făcut și sunt cumva reticenți. Sper ca în următorul an sa găsim măsuri prin care să putem sa ameliorăm aceste discrepanțe.

Asta era următoarea întrebare, ce vezi util a se intampla în următorul an?

AC: Cred ca după un an, fiecare companie ar trebui să tragă linie și să vadă cum stă. Pur și simplu să-și facă un audit intern, o verificare. „Hai sa vedem cum stăm noi din punct de vedere al respectării Regulamentului. Suntem conformi,  unde avem probleme?”. Mă aștept ca aceasta analiză să fie făcută până la sfârșitul lui decembrie 2019, astfel incat la începutul lui 2020, începaâd din ianuarie, să repare acele probleme legate de implementare, pentru că sunt sigură ca nu exista companii 100% conforme din punct de vedere al GDPR-ului. La asta mă aștept. Să instruiască mai mult și să conștientizeze mai mult angajații, să facă simulări din punct de vedere al incidentelor de securitate și să le explice de ce este important să raporteze. Foarte mulți dintre angajați, nu știu dacă cum să recunoască și să raporteze un incident de securitate. Nu identifica faptul că, de exemplu, pierderea unui document, pe strada, fie ca este vorba de document fizic sau nu, este breșă și trebuie să o raporteze superiorilor. Nu le taie nimeni capul dar incidentul trebuie raportat, trebuie analizat, ca să împiedici riscul de a fi amendat și riscurile de a încălca drepturile unei persoane vizate.

Cum ai descoperit acest concurs care s-a desfășurat în august, organizat de dpo-net?

AC: Pai, în primul rând că sunt foarte activă și citesc toate informațiile care îmi vin prin social media și online. Sinceră să fiu chiar îmi doream de mult un asemenea exercițiu, să pot să testez și eu cum aș face într-o anumită situație, cum as reacționa în altă situație. Așa am descoperit, prin intermediul internetului. Concursul în sine dar și organizarea lui pot să  spun că merită toate laudele. Ideea a fost fantastică și vă mai spun ceva, am avut o situație în concurs cu privire la acordarea unor informații către poliție. Ei bine, vreau să vă spun că aceeași situație s-a întâmplat în practica, pentru mine la câteva zile distanță. Am avut o asemenea solicitare adresată unei companii unde activez ca Data Protection Officer și cumva m-a bufnit râsul pentru că deja știam ce să fac, cum sa fac, totul a decurs fără nici o problemă. M-am bucurat, zic ”uite, am o practică, am o experienta, știu cum să aplic, nota 10”.

Cum a fost experinta concursului? A fost dificil? Cat timp ti-a luat? Cum a fost să-ți cunoști echipa?

AC: Cu ocazia participarii la concurs m-am hotarat sa îmi iau concediu, mai mult decat ar fi trebuit. Era și perioada vacanței prelungite, când toată lumea stătea la mare sau se plimba, iar eu mă trezeam de dimineață și vroiam să văd ce provocări am primit ca să pot să reacționez, să pregătesc împreuna cu echipa documentele pe care trebuia sa le avem pentru a lua măsurile ce se impuneau. N-a fost ușor, deci n-a fost ușor deloc, dar uite că împreună cu colegii mei am reușit să facem cât mai bine cu putință față unor situații legate de GDPR. 

Care a fost cea mai mare lecție pe care ai primit-o în relația cu colegii tai?

AC: În primul rând, să lucrez în echipă. Eforturile din punct de vedere al GDPR-ului sunt eforturi de echipa, un DPO trebuie sa învețe să lucreze împreună cu juridicul, împreună cu IT-ul, împreună cu managerul de resurse umane, cu top managementul, trebuie să știe să-și formeze o echipa și atunci pentru mine a însemnat foarte mult. În unele situații nu eram de acord cu colegii mei dar văzându-le elanul am zis ok, e de preferat să fim o echipa și fiecare ne împarțeam task-urile, am lucrat foarte bine cu ei. Culmea, nu știam cine sunt, de unde sunt și am aflat ulterior concursului  că unul dintre coechipieri merge la aceeași sală de fitness cu mine și mai mult decât atât locuiește în orașul în care locuiesc eu.

Trebuie să menționâm că  echipele au fost alese aleatoriu și nu se cunoșteau înainte și nici jurații nu au jurizat în cunostinta componenței echipelor.  Ce înseamnă pentru tine titlul de GDPR Summer Challenge Champion?

AC: Vă spun sincer că nu m-am așteptat. Am făcut greșeli în timpul concursului, mi-am și dat seama apoi, deci au fost și din partea noastră niște scăpări. E normal, nu suntem perfecți, suntem perfectibili. Pentru mine, concursul aceasta înseamnă multă experiență acumulată, înseamnă a învăța cum să lucrezi cu o echipă, a învăța să delegi task-uri și mai mult decât atât, am învățat că este importantă practica. Este importantă experiența pe care o câștigi, mai mult decât teoria. Degeaba mergi la un curs dacă nu practici ceea ce înveți la curs. Teoria trebuie aplicată iar aplicabilitatea ei este mai dificilă.

Mai ții legătura cu colegii tai de echipa?

AC: Da, clar! Vă spuneam că unul dintre colegii de echipa este coleg cu mine la sală, ne-am și întâlnit la sală și am hotărât să ieșim, împreună cu alți specialiști din domeniu, să discutăm despre proiecte, despre situația GDPR din țară și din domeniile în care activăm. Cu celelalte colege avem un grup pe Facebook, ne mai trimitem situații mai cerem păreri „uite am situația asta, ce trebuie să fac?” și fiecare vine cu recomandări. Da, ținem legătura, de asemenea și pe platforma pe care concursul s-a desfășurat sunt discuții, avem informații, mai vin și studii de caz. Ținem legătura și m-ar bucura să rămână comunitatea stransa și în jurul  platformei online construite.

Concluzionând, ce sfat ai avea pentru o persoana vizată și ce sfat ai avea pentru un reprezentant al unui operator, unul din top management?

AC: În primul rand, persoanele vizate ar trebui să înțeleaga ca datele lor cu caracter personal înseamnă bani, sunt o valută, au o valoare toate datele și atunci, de fiecare dată când li se solicită aceste date cu caracter personal, să se întrebe de ce. „De ce aveți nevoie de copie după cartea mea de identitate?”. Este acea teorie a celor 5 „De ce” ca să ajungi la adevăratul scop.

O teorie pe care copii mici o știu foarte bine.. 

Da, și pe care noi adulții o uităm. Deci, în primul rând să fie conștienți că datele lor reprezinta o valoare și să își cunoască drepturile. Au drepturi prin GDPR  și știu că foarte mulți români sunt supărați pe bănci, poate nu ar trebui sa spun, dar când te duci ți se face o copie după cartea de identitate care, în unele situații înseamnă prelucrare abuzivă. Dacă schimbă mai puțin de 3000 de euro nu se încadrează la a fi frauda. Nu ne vom putea opune, dar ar trebui să întrebăm de ce.

Pentru operatori, să înteleagă că nu este la latitudinea lor, ca vor sau nu vor. Respectarea cerințelor Regulamentului este o obligativitate, ai obligația aceasta și nu poți să o faci formal. Niște hârtii nu-ți rezolva partea de respectare a datelor cu caracter personal ci trebuie să se implice și dacă nu exista implicarea top managementului atunci proiectul acesta nu va avea succes de la început. Top managementul trebuie conștientizat. Trebuie să înțeleagă importanța respectării drepturilor persoanelor vizate și protejarea datelor cu caracter personal. 

Ce sfaturi ai pentru specialiști și viitorii specialiști în protecția datelor ?

AC: Niciodată să nu te oprești din învățat, niciodată să nu te oprești din citit, din documentat, niciodată să nu te oprești din a înțelege industriile în care activezi, sa le înțelegi specificul, să le înțelegi legislația și să te întâlnești cu specialiștii din domeniul respectiv. Adică dacă lucrezi în domeniul medical, discută cu medicii, vezi care sunt problemele pe care le au ei, explică-le și tu. Eu chiar fac pentru medicii cu care colaborăm pastile video de 5 minute, odată pe săptămână am o pastila video care se pune în sala de mese. 5 minute le ia, cât mănâncă se pot uita. Adică pe deoparte să conștientizeze iar pe de alta parte să nu înceteze niciodată să se documenteze, să învețe tot timpul pentru că este un domeniu în care dacă nu ții pasul nu poți să faci față. Lucrurile se schimbă foarte, foarte rapid.

Mai  este un mesaj la care eu țin foarte mult, ținând cont că a început școala, m-aș bucura ca toți copii, cadre didactice, părinți, să înțeleagă că și minorii au drepturi, să înțeleagă că pozele pe care noi le punem pe Facebook cu copii noștri ar trebui limitate. Ar trebui sa nu mai partajăm atât  de multe informații despre ei. Au drepturi și trebuie sa le respectăm datele lor cu caracter personal. 

Aștept următoarea ediție, GDPR Winter Challenge din ianuarie 2020, să vedem cat de solicitantă va fi!

Data de 25 mai 2020 a marcat 2 ani de la implementarea regulamentului GDPR in Uniunea Europeana. Au fost doi ani plini de schimbari, atat pentru utilizatori, cat si pentru companii, dar, mai ales, pentru specialistii in protectia datelor. Cu această ocazie, colegii noștri de la SYPHER au realizat acest articol colaj in patru parti, care prezinta 2 ani de GDPR din perspectiva mai multor profesionisti in domeniul protectiei datelor.

Cum ati caracteriza, pe scurt, cei doi ani care au trecut de la implementarea GDPR in Uniunea Europeana?

Pentru Bogdan Manolea, au fost “doi ani destul de complicati. Pe de o parte, cei care au crezut ca dupa 25 mai 2018 se va sfarsi lumea si va incepe o noua era in protectia datelor personale, pot fi dezamagiti de un sistem greoi, unde de la teorie la practica e cale lunga, iar partea de aplicare arata limitele autoritilor (umane, financiare, de cunostiinte tehnice), dar si al neplanificarii (aplicarea pare mai degraba haotica si selectiva, decat un proces riguros si logic). Pe cealalta parte, cei care au crezut ca dupa 25 mai 2018 nu se va intampla absolut nimic, pot sa se simta si ei dezamagiti.  Amenzi se dau, ba chiar si la cei mici si chiar la persoane fizice. Autoritatile par a fi mai decise sa aplice textele legislative decat inainte, iar subiectul protectiei datelor personale este mult mai vizibil.”

Din punctul sau de vedere, cel mai important castig al industriei a fost ca “Toata lumea din zona de business digital stie de GDPR”.

In opinia lui Serban Popa, consultant GDPR la Unity Solutions, “Principalele caracterisitici dupa intrarea in vigoare a noului regulament au fost lipsa de intelegere, mai ales de partea responsabililor din entitatile ce opereaza cu date cu caracter personal, varietatea si ambiguitatea diverselor solutii de conformare la noul regulament puse la dispozitie de o multime de specialisti, mare majoritate fara expertiza si experienta. Au urmat luni de evenimente ce au produs mici miscari de trupe in anumite domenii; au inceput mai ales in firmele serioase si mari sa se desfasoare procese de analiza complexe”.

Totodata, Serban Popa mentioneaza ca, dupa mai bine de un an, cand au inceput si avertismentele si amenzile din partea autoritatii, “lumea/operatorii au inceput sa inteleaga ca avem o noua entitate de reglementare similara cu cea din domeniul concurentei. Au aparut o serie importanta de clarificari la nivel de EDPB si, mai ales, din partea DPA-urilor vestice cu traditie”.

Pentru Raluca Puscas, avocat asociat la Filip & Company,“Cel mai vizibil efect este cresterea gradului de constientizare, atat la nivelul organizatiilor, dar si la nivelul cetatenilor, asupra aspectelor legate de protectia datelor. GDPR apare in discutie din ce in ce mai des atunci cand sunt abordate subiecte din diverse zone, incepand cu securitatea datelor pe internet, mesaje si campanii de marketing, comert online si, mai recent, in context de telemunca sau al masurilor luate in cadrul starii de urgenta / alerta”.

Ea puncteaza un un alt aspect extrem de important si anume, faptul ca, este vorba despre un proces continu. Raluca Puscas remarca, de asemenea, “ca a crescut preocuparea pentru asigurarea securitatii datelor, prevenirea pierderii datelor si incorporarea cerintelor de privacy in ariile de activitate sau a produsele noi pe care companiile doresc sa le dezvolte”.

Stefan Iancu, consultant GDPR in cadrul companiei iPrivacy, afirma ca legislatia referitoare la GDPR “a determinat acordarea unei atentii sporite protectiei datelor cu caracter personal atat in Europa, cat si in afara ei. Tot mai multe state sunt interesate in implementarea de legislatii similare. Desi majoritatea operatorilor nu au fost atat de pregatiti pe cat era de asteptat, aspect demonstrat si de amenzile aplicate in Europa (peste 270), majoritatea operatorilor continua in mod proactiv eforturile de conformare”.

Din punctul sau de vedere, “Numarul de amenzi aplicate este relativ mic prin comparatie cu numarul sesizarilor, iar cuantumul acestora tinde sa fie mai aproape de minimul prevazut de Regulament, daca le raportam la cifra de afaceri. De exemplu, chiar si cea mai mare amenda, ca valoare nominala, aplicata British Airways, 204,600,000 EUR, reprezinta 1,5%din cifra de afaceri a operatorului”.

Roxana Mitroi, avocat in cadrul bpv GRIGORESCU STEFANICA, observa “o tendinta tot mai mare de constientizare a protectiei ce trebuie oferita datelor cu caracter personal. Acest aspect se remarca la nivelul tuturor organizatiilor, avand in vedere ca prevederile regulamentului se aplica tuturor companiilor, fie ca vorbim de organizatii internationale, fie ca vorbim de organizatii autohtone. Este adevarat, ca in mod cert, unele industrii sunt mai expuse decat altele, in special prin prisma volumului mare de date personale ce sunt prelucrate sau chiar al complexitatii operatiunilor de prelucrare efectuate”.

Un alt aspect important semnalat de Roxana Mitroi  este ca, „principalii jucatori au inteles ca prevederile GDPR nu pot fi ocolite prin formule contractuale care sa aloce raspunderea catre terti, catre persoanele vizate sau chiar sa le inlature raspunderea. Astfel, pentru ca s-au lovit de o constientizare rapida a impactului puternic pe care il poate avea pierderea, stergerea, sustragerea sau chiar un incident de securitate asupra datelor cu caracter personal, pentru unii operatori de date, calatoria spre conformarea cu prevederile GDPR a inceput din timp, dinainte de implementarea prevederilor GDPR la nivelul legislatiilor nationale. De asemenea, dupa doi ani de la aplicabilitatea prevederilor GDPR la nivel national, in acest domeniu se observa un ritm de munca sustinut. Acest ritm de munca continuu vizeaza inclusiv momente ulterioare finalizarii implementarii, datorita fluxurilor si proceselor de prelucrari ce pot suferi diferite modificari in timp.  De asemenea, pot interveni si procese noi de prelucrari a datelor, fapt ce poate duce la noi provocari cu privire la analizarea gradului de conformare cu prevederile GDPR”.

In opinia lui Marius Dumitrescu, specialist GDPR, “GDPR-ul nu este o revolutie, este o evolutie!”. El remarca faptul ca, “In Romania, GDPR-ul a intrat brusc in vietile noastre, acum doi ani de zile, printr-un bombardament al consimtamintelor, lansat de operatori din dorinta de a intra rapid in legalitate. Din pacate, si astazi mai exista operatori care folosesc consimtamantul ca temei legal pentru prelucrarea datelor privind sanatatea persoanelor vizate si deduc, astfel, ca DPO-ul nu si-a castigat inca locul pe care il merita in organizatie si recomandarile lui inca nu sunt ascultate”.

El mai semnaleaza faptul ca “In ultimii doi ani, strategia de vanzari a multor firme de consultanta s-a bazat pe crearea panicii, folosind marketingul inselator care accentua, in primul rand, dimensiunea astronomica a amenzilor, in loc sa promoveze nevoia de instruire a personalului. Platim si astazi campaniile de marketing de acum doi ani care vindeau complianta formala fara a include serviciile de specialitate ale unui DPO”.

Marta Popa, Senior Partner la Voicu si Filipescu SCA, mentioneaza ca: “Regulamentul GDPR a fost <<problema anului 2000>> in domeniul protectiei datelor, nu doar in Europa, ci in intreaga lume. Organizatiile s-au straduit sa se conformeze, de teama consecintelor. Dar limbajul GDPR este foarte sofisticat, uneori vag, astfel incat, procesul de conformitate a fost marcat de incertitudini pentru multe organizatii, publice sau private. Ne asteptam sa apara si alte reglementari in domeniul protectiei datelor, inclusiv in zona de E-Privacy si vom vedea o crestere a impactului si a aplicarii legislatiei, inclusiv in ceea ce  priveste amenzile. Ne putem astepta ca si Brexit-ul sa impacteze unele companii din punct de vedere GDPR. Alte motive de ingrijorare se refera la recomandari in procesarea datelor legate de sanatate in contextul pandemiei de COVID-19 sau inteligenta artificiala (AI).

Marta Popa concluzioneaza: “Cei doi ani de GDPR au adus, cu siguranta, multe beneficii companiilor. In primul rand, GDPR a dus la o mai buna gestionare a datelor si a managementului datelor. In al doilea rand, protectia datelor a fost adusa in atentia managementului superior, ceea ce este o consecinta pozitiva. Si, in al treilea rand, companiile care au investit in conformitate beneficiaza de o crestere a gradului de incredere din partea clientilor si a partenerilor de afaceri”.

Astăzi, 25 mai 2020, se împlinesc doi ani de la aplicarea Regulamentului general privind protecția datelor personale (GDPR), moment prielnic pentru noi toți de a realiza o scurtă retrospectivă și de a trage câteva concluzii esențiale. Au fost multe provocări, atât pentru DPO cât și pentru operatorii de date care și-au propus să obțină și să mențină conformitatea GDPR. Cel mai important  lucru este să folosim pe viitor lecțiile deja învățate și tocmai despre aceste lecții vorbește Marius Dumitrescu, specialist în domeniul protecției datelor, în următorul interviu. 

Cum ai caracteriza, pe scurt, cei doi ani care au trecut de la implementarea GDPR în Uniunea Europeana?

"GDPR-ul nu este o revoluție, este o evoluție!", așa îmi încep majoritatea cursurilor încercând să explic că acest pachet de reglementări legislative există încă din 1995 și a evoluat într-un regulament european unic, influențat mai ales de dezvoltarea tehnologică fără precedent. Mai mult, putem spune că și în acest moment legislația aleargă după tehnologie, dacă ne gândim doar la inteligența artificială și la tehnologia 5G.

Regulamentul UE 679/2016 cunoscut drept GDPR a intrat în vigoare în 2016, acum patru ani de zile, dar se aplică doar din 25 mai 2018, după o perioadă de grație de doi ani, pe care majoritatea statelor europene, inclusiv România, nu au folosit-o pentru a lansa campanii de educare a persoanelor vizate și a operatorilor. Astfel, startul a fost dat în luna mai 2018, la momentul respectiv existând o estimare că doar 20% dintre operatorii europeni au început demersurile pentru a obține conformitatea. Aceste procent a crescut semnificativ valoric, fiind estimat astăzi ca fiind peste 60%, dar am rețineri privind calitatea conformităților obținute la nivel european. Conform studiilor, în 2019 s-a ajuns deja la crearea primelor 500.000 de roluri de DPO, fără a modifica fundamental organigramele și fără a asigura toate resursele necesare pentru a îndeplini cu succes acest rol. Operatorii de date trebuie să renunțe la a mai căuta soluții formale și să înțeleagă faptul că această mult dorită complianță GDPR nu se obține apăsând butonul "Print" și că orice operator care alege această cale rămâne la fel de expus riscurilor.

În România, GDPR-ul a intrat brusc în viețile noastre, acum doi ani de zile, printr-un bombardament al consimțămintelor, lansat de operatori din dorința de a intra rapid în legalitate. Din păcate și astăzi mai există operatori care folosesc consimțământul ca temei legal pentru prelucrarea datelor privind sănătatea persoanelor vizate și deduc, astfel, că DPO-ul nu și-a câștigat încă locul pe care îl merită în organizație și recomandările lui încă nu sunt ascultate.

În ultimii doi ani, strategia de vânzări a multor firme de consultanță s-a bazat pe “crearea panicii”, folosind marketingul înșelător care accentua, în primul rând, dimensiunea astronomică a amenzilor în loc să promoveze nevoia de instruire a personalului. Plătim și astăzi campaniile de marketing de acum doi ani care vindeau complianță formală fără a include serviciile de specialitate ale unui DPO.

Astazi, mai mult ca oricând, trebuie să ne reamintim că în tot acest GDPR este vorba despre oameni, sau mai bine spus despre NOI! Nu este vorba despre creșterea birocrației și despre proceduri sufocante. Este vorba despre respectul pe care trebuie să îl acordăm și să îl obținem unii de la ceilalți, respect de care am uitat datorită banilor obținuți prin tranzacționarea datelor personale și a informațiilor confidențiale, ca efect direct al evoluției exponențiale a tehnologiei. Să nu uităm că toți suntem persoane vizate. Dacă la birou nu simt acest lucru pentru că sunt patron și influențez și decid direct în ce direcție îmi conduc firma, atunci când navighez pe internet sau pur și simplu merg pe stradă, intru într-un supermarket sau într-un hotel, sunt doar o persoană fizică și mă aștept să pot să decid cine, de ce și ce date personale prelucrează despre mine. Cu toții trebuie să punem umărul și să vorbim cu prietenii, rudele, vecinii despre erorile pe care le facem atunci când vânăm gratuități pe internet. Trebuie să încetăm să mai credem că ceva este gratuit și să înțelegem că, de fapt, plătim scump cu datele noastre personale care au devenit o valoroasă monedă de schimb.

Și mai trebuie să învățăm o lecție : „Când ești cunoscut, oamenilor le place să vorbească despre tine. Totuși, nu tot ce se vorbește, este și adevărat!”. Încă trebuie să învățăm ce înseamnă Fakenews, să recunoaștem acest fenomen, să ne protejăm, să nu mai alimentăm cererea și să sancționăm atunci când această practică ne influențează deciziile.

Care consideri că a fost cea mai mare provocare pentru specialiștii în protecția datelor personale?

Persoana fizică în sine a rămas cea mai mare provocare pentru întreg domeniul protecției datelor din România, deoarece, prin lipsa de cultură, întreg corpul profesional se confruntă cu solicitări nejustificate și insuficient documentate privind ștergeri selective sau rectificări neîntemeiate a informațiilor înregistrate în documente. Cu siguranță aceste solicitări nu vor fi soluționate în favoarea persoanei vizate, existând mai multe reglementări specifice în ceea ce privește termenul de retenție și posibilitățile de acces restricționat și condiționat. Gardianul modului în care se respectă confidențialitatea și mecanismele de protecție a datelor cu caracter personal rămâne în continuare Responsabilul cu protecția datelor cu caracter personal (DPO), această meserie nou apărută, care se confruntă probabil cu cele mai mari provocări profesionale datorită caracterului general al Regulamentului (UE) 2016/679 și lipsei unor repere unitare privind interpretarea și implementarea lui.

Poate și denumirea postului, care induce ideea responsabilității concentrate pe umerii unei singure persoane, a îngreunat ascensiunea și recunoașterea profesională, mulți DPO făcând educație managementului în momentul semnării contractelor de consultanță.

Care a fost cea mai mare provocare a companiilor în procesul de obținere și menținere a conformității GDPR?

Angajații reprezintă unul dintre cele mai mari riscuri în ceea ce privește securitatea unei organizații. Și nu spun eu asta, mergând pe principiul 80/20 al lui Pareto, transpus în business (80% din probleme sunt cauzate de 20% dintre angajați), ci studiul State of Cybersecurity 2019 realizat de ISACA.

Din punctul meu de vedere, cea mai mare provocare a companiilor în procesul de obținere și menținere a conformității GDPR este carența unei culturi a responsabilității, în rândul angajaților, privind protecția datelor personale. Acesta carență poate fi diminuată substanțial în urma instituirii unor programe de instruire cu privire la importanța protecției datelor în concordanță cu practicile generale și politicile specifice activității companiei. Responsabilizarea angajaților din perspectiva protecției datelor personale va aduce un plus de valoare companiei. Un angajat conștient și informat este un angajat vigilent și care acționează cu responsabilitate, riscurile unei erori umane scăzând, în același timp în care randamentul muncii crește. Mai mult, identificarea rapidă a eventualelor breșe de securitate și respectarea protocolului de răspuns la incidente va minimiza pierderile companiei.

Rămân un visător și sper ca în următoarea perioadă să vedem campanii de educare a persoanelor vizate din România, și de ce nu, campanii de educație în scoli.

Care a fost cea mai importantă lecție pe care companiile, dar și specialiștii în protecția datelor personale au învățat-o în această perioadă?

Constat că în ultimele două luni, de când a fost recunoscută oficial pandemia Covid -19, s-a vorbit despre GDPR mai mult decât în toată perioada de când a intrat în vigoare Regulamentul UE 679/2016 și este trist că a fost nevoie de acest coronavirus ca să-i acordăm atenția pe care o merită.

Societatea în care trăim s-a schimbat, fiind supusă la unul din cele mai dificile teste de stres. Frica este cea care a obligat societatea noastră să se adapteze și să se maturizeze forțat, făcând, în primul rând, un salt mare către digitalizare. Vorbim astăzi mai mult ca niciodată despre tele-muncă, tele-medicină, tele-educație și mai ales despre știrile false.

Fiind un act de responsabilitate să stăm acasă în aceste condiții, utilizăm din ce în ce mai mult tehnologia, din dorința de a comunica cu cei dragi și cu colegii de serviciu. Am auzit că s-au organizat zile de naștere online, că oamenii au continuat să se întâlnească și să bea o cafea cu prietenii, printr-o conexiune video și că se pot vizita muzee sau chiar să participi la concerte din confortul fotoliului de acasă. Citim cărți pentru care până acum nu găseam timpul necesar. Pentru o parte din oameni, autoizolarea este un test greu de trecut și de suportat și nimeni nu conștientizează, încă, faptul că procesul de autoizolare socială este un fenomen apărut o dată cu rețele de socializare. Se vorbește de ani de zile de această tendință de a petrece mai mult timp în casă, conectat cu mii de prieteni online, cu care poate nu te-ai întâlnit niciodată față în față. Astăzi, mai mult ca niciodată, prețuim interacțiunea fizică și testăm efectul nociv și pervers al dezinformărilor care abundă pe rețelele de socializare. Este o lecție pe care am învățat-o în timpul acestei pandemii și cred că societatea noastră nu va mai fi niciodată la fel ca înainte.

Trebuie să realizăm și că toată această digitalizare, pe repede înainte, vine la pachet cu asumarea unor riscuri de care mi-aș dori să fim conștienți încă de la început.

Nu cred că suntem pregătiți încă să îmbrățișăm digitalizarea și să ne folosim la maxim de beneficiile acesteia. În urma recomandărilor autorităților din România, mai multe companii au decis să accepte, de pe o zi pe alta, ca angajații să lucreze de acasă. Din punct de vedere legal eram pregătiți, legislația română avea prevederi clare privind tele-munca și cele mai multe firme au semnat acum cu fiecare angajat doar un act adițional la contractul de muncă, pentru a îndeplini această formalitate birocratică. Foarte puține firme au investit în securizarea echipamentelor și a căilor de comunicare, alegând deseori soluțiile cele mai rapide și ieftine, utilizând de cele mai multe ori echipamentele proprii ale angajaților.

În ultimele zile chiar am urmărit cum a crescut numărul incidentelor de securitate, prin campanii de phishing, infectând mii de computere, bazându-se pe naivitatea utilizatorilor care acum citesc orice email legat de acest Coronavirus. Din păcate, foarte multe afaceri au de suferit și, mai mult decât efectele acestei pandemii, mă sperie valul de recesiune care ne va lovi peste câteva luni.

Mi-aș fi dorit să vorbim de digitalizarea mediului de business românesc, precum și a administrației publice, în alte condiții decât cele de astăzi.

Revenind la domeniul protecției datelor, chiar dacă DPO-ul este captiv între obligațiile legale impuse de legile organice, care pot limita drepturile persoanelor, și principiile și obligațiile GDPR, există, în opinia mea, o rețetă pentru a asigura un echilibru între toate aceste reglementări:

1. Implicarea DPO-ului. El este specialistul care astăzi poate să consilieze și să ghideze organizația în respectarea GDPR și păstrarea acestui echilibru cu obligațiile legale și interesele comerciale.
2. Respectarea celor șapte principii fundamentale ale GDPR. Aceste principii trebuie să devină o realitate, trebuie să fie implementate în orice fel de procedură, ca niște filtre care trebuie aplicate înainte de a lansa orice tip de document, orice fel de procedură.
3. Informarea persoanelor vizate. Este foarte ușor să investim în această informare prealabilă și să obținem, practic, o implicare și motivarea acestor persoane, pentru că, în fond, toate aceste proceduri restrictive sunt în interesul lor, al protecției datelor lor cu caracter personal.
4. Instruirea persoanelor și obținerea de garanții adecvate. Trebuie să fim foarte atenți atunci când datele angajaților noștri, sau datele clienților noștri, datele vizitatorilor noștri sunt prelucrate de către împuterniciții noștri ca operatori și să ne asigurăm că sunt implementate măsuri tehnice și organizatorice de protecție și securitate a acestor date personale pe tot procesul de prelucrare.
5. Evaluarea nivelului de prelucrare a datelor (de exemplu, dacă este excesiv) și identificarea unor metode mai puțin intruzive de prelucrare a datelor personale, fără a creste birocrația. Să nu uităm că DPO-ul este cel care poate evalua dacă discutăm de un nivel excesiv de prelucrare a datelor, trebuie să încercăm să limităm înscrisurile, astfel încât să nu creștem birocrația doar de dragul de a ne acoperi cu documente justificative privind respectarea acestei legi. Respectarea tuturor celorlalte principii GDPR s-ar face mult mai ușor dacă principiul minimizării ar fi respectat întocmai și pun accent mai ales pe acest lucru, deoarece noi, românii, companiile românești, instituțiile statului am ridicat birocrația aproape la nivel de tradiție. Nu tot ce e mult e și bun, un singur document bine întocmit și cu responsabilitate mă protejează la fel de bine ca zece documente pline de date personale nefolositoare, dar colectate pe sistemul „să fie”.

Concluzionez că această rețeta nu se aplică exclusiv în această perioadă de pandemie, cele cinci recomandări fiind aplicabile oricărei organizații care își propune în următorul an să își adapteze cultura organizațională și să îmbrățișeze principiile GDPR.