Data de 25 mai 2020 a marcat 2 ani de la implementarea regulamentului GDPR in Uniunea Europeana. Au fost doi ani plini de schimbari, atat pentru utilizatori, cat si pentru companii, dar, mai ales, pentru specialistii in protectia datelor. Cu această ocazie, colegii noștri de la SYPHER au realizat acest articol colaj in patru parti, care prezinta 2 ani de GDPR din perspectiva mai multor profesionisti in domeniul protectiei datelor.

Cei doi ani de la implementarea GDPR au fost o perioada cu numeroase provocari, atat pentru companii, dar si pentru specialisti, in procesul de obtinere si mentinere a conformitatii GDPR. Am intrebat sase specialisti care a fost cea mai mare provocare cu care s-au confruntat profesionistii care activeaza in domeniul protectiei datelor.

Bogdan Manolea, legal expert, puncteaza trei provocari majore; pe scurt: “Sa existe. Sa invete. Sa aplice.”

Specialistul detaliaza apoi: “Cea mai mare provocare pentru societate a fost sa existe, pentru ca, inainte de 2018 erau destul de putini specialisti care sa poate sa se laude ca lucreaza efectiv pe domeniul protectiei datelor. A doua mare provocare a specialistilor a fost, pe de o parte sa primeasca o instruire adecvata, in conditiile primului punct, dar si sa gaseasca materiale educative sau de informare dincolo de cursul initial. Iar a treia a fost sa vada cum pot sa aplice ceea ce stiu in zona in care lucreaza. Si sa convinga managementul ca este nevoie de unele schimbari.”

Pentru Serban Popa, consultant GDPR la Unity Solutions, cea mai mare provocare a constituit-o “Constientizarea necesitatii adaptarii si conformarii proceselor si activitatiilor la noile cerinte, alaturi de faptul ca efortul se va regasi in increderea crescuta a clientilor si a partenerilor de afaceri.”

La capitolul provocari, Raluca Puscas, avocat asociat la Filip & Company, mentioneaza ca: “Integrarea cerintelor legate de protectia datelor in activitatea zilnica a companiilor a fost si ramane o provocare in sine, in sensul de constientizare in cadrul organizatiei si in privinta crearii unei <<obisnuinte”>> de a integra regulile GDPR in toate liniile de activitate si noile produse dezvoltate de operatorul economic”.

Raluca Puscas remarca faptul ca: “Dincolo de actiunile de implementare specifice, de multe ori specialistii in protectia datelor s-au confruntat cu provocarea de a-si defini rolul in cadrul organizatiei si de a convinge ca regulile stabilite de GDPR nu reprezinta o piedica in dezvoltarea afacerii, in implementarea de noi tehnologii sau lansarea de noi produse, ci pot fi identificate solutii adecvate, in conditiile unei prelucrari responsabile a datelor. Nu mai putin, adaptarea la mediul de afaceri in continua schimbare si raspunsul rapid in situatii de criza (cum este actuala situatie generata de COVID-19 sau, mai general, situatiile cand companiile se confrunta cu o incalcare a securitatii datelor) necesita reactii si raspunsuri prompte, inclusiv in zona de protectie a datelor, iar acest lucru necesita de asemenea o atentie continua si o buna pregatire de specialitate”, a mai adaugat specialistul.

Pentru Stefan Iancu, consultant GDPR in cadrul companiei iPrivacy, cele mai mari provocari au fost reprezentate de: “Comunicarea clara si asigurarea acceptarii de catre senior management a obiectivelor de conformare la Regulament, asigurarea alocarii resurselor necesare si a comunicarii in organizatie, la toate nivelele, pe de o parte si extinderea expertizei proprii, in aria de IT, Legal, Management al riscului, Audit, Training, pe de alta parte”.

In opinia Roxanei Mitroi, avocat in cadrul bpv GRIGORESCU STEFANICA, “Una dintre provocarile cu care cu siguranta multi specialisti ai domeniului s-au intalnit este legata de cartografierea in mod complet a datelor personale prelucrate, precum si a activitatilor de prelucrare, avand in vedere faptul ca fiecare activitate de prelucrare trebuie identificata, stabilindu-se atat elementele de legitimitate ale acesteia, cat si identificarea scopurilor prelucrarii, a temeiurilor juridice, perioadelor de retentie adecvate, a tuturor entitatilor implicate in proces”.

Roxana Mitroi mentioneaza ca „Alte provocari in domeniu au fost date chiar de aspectele sensibile pentru care au fost solicitate opiniile juristilor. Astfel, anumite zone precum marketingul, profilarea, monitorizarea comportamentului prin noile tehnologii sunt unele dintre putine cazuri cand spiritul de inovatie, dar si pragmatismul juridic au iesit la iveala. In acest context, un aspect important este identificarea echilibrului intre nevoile business-ului de a-si continua activitatea si gradul de conformare cu prevederile GDPR. Mai mult, o alta provocare aparuta in decursul acestor ani a plecat de la lipsa unor proceduri minime de protectie a datelor si de asigurare a securitatii acestora, precum si de la lipsa de pregatire a personalului intern al organizatiilor privind modul in care datele personale sunt prelucrate.  In acest sens, avocatii firmei noastre au inceput proiectele de conformitate cu prevederile GDPR prin niste sesiuni de training organizate la nivelul organizatiilor pe care le asistam, pentru ca angajatii acestora sa cunoasca prevederile si procedurile ce vor dicta modul in care trebuie sa actioneze in legatura cu activitatile de prelucrare a datelor pe care le desfasoara”.

Pentru Marius Dumitrescu, specialist GDPR, „Persoana fizica in sine a ramas cea mai mare provocare pentru intreg domeniul protectiei datelor din Romania, deoarece, prin lipsa de cultura, intreg corpul profesional se confrunta cu solicitari nejustificate si insuficient documentate privind stergeri selective sau rectificari neintemeiate a informatiilor inregistrate in documente. Cu siguranta, aceste solicitari nu vor fi solutionate in favoarea persoanei vizate, existand mai multe reglementari specifice in ceea ce priveste termenul de retentie si posibilitatile de acces restrictionat si conditionat”.

Totodata, in opinia specialistului, “Gardianul modului in care se respecta confidentialitatea si mecanismele de protectie a datelor cu caracter personal ramane in continuare Responsabilul cu protectia datelor cu caracter personal (DPO), aceasta meserie nou aparuta, care se confrunta probabil cu cele mai mari provocari profesionale datorita caracterului general al Regulamentului (UE) 2016/679 si lipsei unor repere unitare privind interpretarea si implementarea lui. Poate si denumirea postului, care induce ideea responsabilitatii concentrate pe umerii unei singure persoane, a ingreunat ascensiunea si recunoasterea profesionala, multi DPO facand educatie managementului in momentul semnarii contractelor de consultanta”.

Vă invităm marți, 12 Aprilie 2022, de la ora 17, să participați ONLINE la lansarea cărții "SECURITATEA REȚELELOR ȘI A SISTEMELOR INFORMATICE. IMPLEMENTAREA DIRECTIVEI NIS ÎN ROMÂNIA" a autorilor Marius Dumitrescu și Daniela Simionovici.

Acest proiect editorial apărut în colecția Științe Juridice la Editura Universitară, unic pe piața din România, se adresează operatorilor de servicii esenţiale, furnizorilor de servicii digitale şi responsabililor cu implementarea NIS la nivelul entităţilor vizate de prevederile Directivei NIS (energie, transport, sectorul bancar, domeniul medical, infrastructuri ale pieței financiare, infrastructură digitală, furnizarea și distribuirea de apă potabilă, piețe online, motoare de căutare online și servicii de cloud computing).

Scopul acestei cărți este de a-i ajuta pe cei vizaţi nu doar să implementeze prevederile Directivei, ci să înţeleagă importanţa acesteia şi, mai ales, faptul că serviciile esenţiale pe care le furnizează au nevoie de o protecţie deosebită nu pentru faptul că nerespectarea Directivei ar atrage după sine amenzi, ci pentru faptul că orice perturbare în furnizarea serviciilor esenţiale se poate traduce în disfuncţionalităţi grave la nivel comunitar şi chiar societal.

Participanții la evenimentul de lansare vor primi un discount de 10% pentru achiziția cărții. Preț întreg: 150lei / Preț special de lansare: 135lei  Transportul prin curier se calculează suplimentar.

Puteți plasa chiar acum o precomandă și veți primi cartea imediat după lansare. 

RĂSFOIEȘTE CUPRINSUL CĂRȚII | DESPRE AUTORI | CUVÂNT ÎNAINTE | INTRODUCERE

Titlu: Securitatea reţelelor şi a sistemelor informatice. Implementarea directivei NIS în România

• ISBN: 978-606-28-1430-4
• Format: Tipărit  
• Pagini: 452
• Autori: Marius DUMITRESCU, Daniela SIMIONOVICI
• Publicat de: Editura Universitară, Colecţia Ştiinte juridice
• Data aparitiei: 2022

TRANSMISIUNE LIVE - LANSARE

Lansarea acestui proiect editorial se va face online, marți 12 aprilie 2022 începând cu ora 17:00, printr-o transmisiune LIVE pe Facebook, Linkedin, Youtube, Conferinte.ro si dpo-net.ro  la care vor lua parte mai mulți invitați speciali.

DESPRE ACEST PROIECT EDITORIAL

Daniela Cireasa a absolvit Facultatea de Drept, Universitatea Nicolae Titulescu, este consilier juridic din anul 2001 și Senior Partner în cadrul NeoPrivacy Romania. In 2018 a absolvit cursurile postuniversitare de protectia datelor „Protectia juridica a datelor personale” si a obtinut în iunie 2019 titlul de „Cel mai bun DPO din Romania” împreuna cu Echipa Nord Est DPO Romania la Targu Mures. Ofera consultanță în domeniul implementării Regulamentului General privind Protecția Datelor (GDPR) și este Responsabil cu protectia datelor (DPO). Cei 17 ani de activitate practica din care 4 ani in functie de conducere, au ajutat la cunoasterea mediului privat de afaceri si respectiv a activitatii departamentelor din cadrul unei societati de productie si comert, precum si schimburi intracomunitare. Este Vicepreședinte al ASCPD - Asociatia Specialistilor in Confidentililitate si Protectia Datelor și coautor al volumului "GDPR Aplicat", publicat la începutul acestui an. 

Daniela Cireasa a acceptat să ofere un interviu în exclusivitate pentru cititorii dpo-NET.ro, reușind să realizeze o radiografie fidelă a tuturor provocărilor profesionale, și nu numai, din acest an, pentru Responsabilul cu Protecția Datelor din România. 

Prin acest interviu i-am adresat doar două întrebări: cum a arătat agenda DPO-ului Daniela Cireașă și care au fost cele mai mari provocări cu care s-a confruntat în anul 2020?

D.C.: Deși a început în condiții de normalitate, anul 2020 avea să fie unul dintre cei mai plini de provocări ani, atât pentru DPO, cât și, în general, pentru întreaga omenire.

Dacă în 2019 ne-am concentrat pe problematici precum incompatibilitățile, poziția DPO-ului în cadrul organizației și metodele de a-și câștiga și consolida rolul stabilit de Regulament, cine este cu adevărat responsabil pentru implementarea GDPR și cine întocmește celebrul “dosar GDPR”, ce înseamnă cu adevărat măsuri tehnice și organizatorice "suficiente", anul 2020 se anunța destul de liniștit, fără mari provocări pentru DPO, concentrarea sa îndreptându-se către formarea profesională continuă în domeniu. Așa a debutat și anul meu, cu participarea în luna ianuarie la CPDP 2020 la Bruxelles (https://www.cpdpconferences.org/news/cpdp2020-full-program-available ).

Perspectiva mea profesională, din care scriu aceste rânduri, este una diversă, ca DPO extern, consultant în protecția datelor personale, co-autor al cărții “GDPR Aplicat”, dar și vicepreședinte al Asociației Specialiștilor în Confidențialitate și Protecția Datelor (https://ascpd.ro/). Fiecare dintre aceste roluri a presupus în 2020 foarte multă muncă de voluntariat și orientare către aducere de plus valoare prin articole, ghiduri, proceduri, webinare gratuite și conferințe online prin intermediul cărora am încercat să dau o mână de ajutor operatorilor si profesioniștilor în domeniu, dar, mai ales responsabililor cu protecția datelor personale, care au fost copleșiți în aceasta perioadă de noianul de schimbări și situații cu care nu s-au mai confruntat vreodată. În ianuarie 2020 am lansat, împreună cu Daniela Simionovici, Cătălina Lungu și Marius Florian Dan, volumul “GDPR Aplicat. Instrument de lucru pentru implementarea Regulamentului 679/2016”, carte care se adresează responsabililor cu protecția datelor personale dar și operatorilor sau persoanelor împuternicite.

Cea mai mare provocare, pentru noi toți, a venit în luna martie, o dată cu starea de urgență, când mulți dintre noi, DPO externi, am fost puși în situația de a suspenda contractele de servicii.

Odată cu starea de urgență a apărut provocarea educației online, procedurile privind școala online făcându-se anevoios, în totală nesiguranță din punct de vedere cibernetic. Am publicat împreună cu ceilalți co-autori ai “GDPR Aplicat” un set de recomandări pentru școala online (https://dpo-net.ro/specialistii-in-protectia-datelor-personale-sar-in-ajutorul-cadrelor-didactice-implicate-in-invatamantul-on-line/?cat=106), punând accentul pe securitatea prelucrărilor de date online, în mod special ținându-se seama că majoritatea persoanelor vizate erau minori. Demersul nostru a fost ulterior susținut și de către ASCPD prin “Scrisoarea deschisă adresată ministerului educației și cercetării privind limitarea accesului la educație al elevilor din Romania” atunci când s-a solicitat consimțământul părinților și declarații pe propria răspundere ale elevilor, atât la evaluarea națională cât și la bacalaureat (https://ascpd.ro/2020/06/17/ascpd-transmite-o-scrisoare-deschisa-adresata-ministerului-educatiei-si-cercetarii-privind-limitarea-accesului-la-educatie-al-elevilor-din-romania/), dar și prin reacția la cuvântul “bazaconie” folosit de fostul prim ministru atunci când a răspuns afirmației că profesorii invocă GDPR-ulca să evite lecțiile online. În reacția menționată am prezentat 10 situații în care procesul de teleeducație din România încalcă Regulamentul UE 2016/679, generând riscuri considerabile la adresa drepturilor și libertăților fundamentale ale tuturor actorilor implicați în învățământul online. Apreciez, din experiența proprie cu școala online, că lucrurile s-au mai îmbunătățit odată cu începerea anului școlar în septembrie, dar nu radical și încă se mai produc incidente. Amintesc cu acest prilej că a fost publicată o metodologie privind învățământul online, însă aceasta transferă întreaga responsabilitate a securizării cursurilor către unitățile de învățământ și profesori, iar mai nou, prin celebra declarație solicitată părinților și copiilor privind înregistrarea orelor online, răspunderea se transferă parțial și către părinți. La nivelul unităților de învățământ este o adevărată provocare pentru responsabilul cu protecția datelor deoarece nu se pun la dispoziție resurse materiale suficiente pentru măsurile pe care acesta le-ar recomanda. Aș adăuga aici și faptul că mulți dintre DPO de școală sunt profesori, neavând pregătirea necesară și nici suportul pentru îndeplinirea acestui rol.

În aprilie, datorită intensificării activității ONG-urilor de strângere de fonduri pentru acordarea de ajutor pe timpul pandemiei celor care aveau nevoie, am elaborat, împreună cu colegii din ASCPD, un Ghid destinat ONG-urilor (https://ascpd.ro/2020/04/27/ascpd-a-publicat-un-ghid-destinat-ong-urilor-implicate-in-campanii-de-strangere-de-fonduri-in-perioada-pandemiei-covid-19/). Scopul Ghidului a fost și este acela de a oferi celor implicați în activitatea de strângere de fonduri, un instrument cu ajutorul căruia să se asigure că respectă dreptul fundamental al persoanelor vizate la protecția datelor cu caracter personal, cu precizarea că respectarea prevederilor Regulamentului 679/2016 nu se suspendă în nicio situație, nici pe timp de pandemie, contrar celor auzite de multe ori anul acesta.

Începând cu luna mai a demarat organizarea de webinare și conferințe online, primele la care am participat fiind “Provocările procesului de cartografiere” (https://dpo-net.ro/participa-la-webinarul-dpo-tools-12-mai-2020-provocarile-procesului-de-cartografiere/?cat=67), prezentarea mea fiind axată pe cartografierea datelor personale în domeniul resurselor umane, iar următorul eveniment a avut un subiect îndelung comentat anul acesta: “Termoscanarea și implicațiile asupra relațiilor de muncă” (https://dpo-net.ro/dpo-talks-21052020-webinar-termoscanarea-implicatiile-asupra-relatiilor-de-munca/?cat=67).  Tot în cursul lunii mai 2020 am elaborat și publicat gratuit o procedură privind termoscanarea (https://dpo-net.ro/document-gratuit-procedura-controlul-temperaturii-angajatilor/?cat=58), în contextul în care apărea legislație nouă aproape zilnic, cea mai mare provocare pentru operatori dar și pentru DPO fiind aceea că termoscanarea nu trebuie să se facă cu prelucrare de date personale, lucru aproape imposibil în practică, deoarece majoritatea locurilor în care se face/făcea termoscanarea sunt amplasate la intrarea în unitate, deci supravegheate video și, dacă erau depistați angajați cu temperatura peste 37,3 grade, aceștia erau direcționați către medicul de familie, înregistrându-se în evidențele angajatorului motivul absenței acestora. De asemenea, DSP-urile județene, cu ocazia verificării îndeplinirii acestei obligații, solicitau dovada măsurării temperaturii, dovadă care implica, de cele mai multe ori, prelucrarea de date personale. Așadar, rolul DPO-ului în cazul termoscanării a fost unul deosebit de dificil, cadrul legal în permanentă modificare, presiunea persoanelor vizate (să ne amintim de CIP-puri, sârmele din măști, 5G și alte fakenews din perioada aceea), managementul superior care încerca să-și protejeze business-ul, toate acestea făcând misiunea DPO-ului foarte grea. Am recomandat la momentul respectiv formarea unei comisii din care să facă parte atât managementul cât și responsabilul cu sănătatea și securitatea în muncă, medicul de medicina muncii, juristul și DPO-ul, comisie care să gestioneze situația în cele mai bune condiții posibil.

În luna iunie, pe fondul solicitării consimțământului în procesul de educație dar și în procesul termoscanarii, am scris, împreună cu Marius Dumitrescu, articolul “De unde provine falsa supremație a consimțământului ca temei legal”, manifestându-ne îngrijorarea că, după 2 ani de la punerea în aplicare a GDPR, încă se mai discută întâi de consimțământ și abia apoi se verifică existența unui alt posibil temei de prelucrare a datelor personale. Concluzia a fost că această confuzie provine din vechea ierarhie din Legea 677/2001, lege în care consimțământul era considerat principalul temei al prelucrării, operatorii scăpând din vedere că situația s-a schimbat o dată cu apariția Regulamentului și a ghidului privind consimțământul.

Luna iulie a adus două noi evenimente online în cadrul cărora am prezentat prelucrarea datelor personale în cazul sănătății și securității în muncă (https://www.youtube.com/watch?v=6FpbUTqkmkE), dar și a medicinei muncii (https://www.youtube.com/watch?v=6XdDWfsenjM&t=16727s), prezentări care s-au concretizat într-un articol apărut în numărul trei al Revistei pentru protecția și securitatea datelor cu caracter personal. De ce SSM și MM? Deoarece am întâlnit cazuri în care încă nu se înțelege calitatea de persoana împuternicită sau operator asociat a responsabilului extern cu SSM și a medicului de medicina muncii, încă nu se înțelege că volumul de date prelucrat de către aceștia este unul impresionant, iar incidentele de securitate sunt destul de frecvente. De asemenea, am ales acești doi actori deoarece sunt deosebit de importanți în perioada pandemiei pentru activitatea oricărui operator de date personale. Una dintre ultimele provocări în calitate de DPO a fost aceea a unui operator care a declarat că responsabilul extern de SSM este operator independent și că nu au niciun fel de relație conform GDPR.

Tot luna iulie a adus, de data aceasta pentru toți operatorii de date, una dintre cele mai mari provocări din istoria protecției datelor personale: invalidarea Privacy Shield cu Statele Unite.

16 iulie 2020. O dată de la care aproape toți operatorii de date personale din România ar fi trebuit să-și reconsidere soluțiile de tip website, găzduire e-mail, servicii de newsletter, cloud, conturi pe rețele de socializare, cookie-ului de analiză, remarketing, aplicații, găzduire de baze de date și altele. Invalidarea Scutului de confidențialitate a avut ecou în rândul specialiștilor în protecția datelor din întreaga lume, însă, cei afectați direct, respectiv operatorii de date personale și persoanele vizate, nu par a  fi la curent cu această decizie sau, în orice caz, nupar a conștientiza efectele ei.

Operatorii ar putea spune că ei nu fac niciun transfer de astfel de date către SUA, uitând să analizeze furnizorii de servicii de tip newsletter, spre exemplu, sau categoriile de cookie instalate pe website-ul companiei. Transferurile de acest tip sunt frecvente și mulți dintre operatori le-au făcut și încă le fac inconștient. Menționez aici lipsa acordurilor încheiate cu persoanele împuternicite chiar și anterior Deciziei de invalidare a scutului de confidențialitate sau utilizarea încă frecventă a adreselor de e-mail de tip yahoo sau gmail în scop profesional. Revenind la problematica ridicată de către Decizie, apreciez că efectele acesteia nu sunt cunoscute încă nici de către marea masă a operatorilor și nici de către persoanele vizate. Mai multe detalii despre această decizie puteți citi în articolul “Impactul invalidării Privacy Shield și posibile soluții pentru operatorii de date personale” (https://dpo-net.ro/impactul-invalidarii-privacy-shield-si-posibile-solutii-pentru-operatorii-de-date-personale/?cat=36).

Deși am recomandat operatorilor din Romania să apeleze la specialiști în domeniul protecției datelor personale, nici pentru aceștia misiunea de a convinge operatorii să renunțe la soluții din SUA în favoarea altora din UE, nu a fost deloc ușoară. Anul acesta am avut ocazia să moderez evenimentul “Schrems II- Avem soluții?” (https://dpo-net.ro/webinar-dpo-talks-schrems-ii-avem-solutii-02-11-2020/) în cadrul căruia am identificat soluții românești atât pentru newsletter, platforme online, plata online, cloud, găzduire și multe altele, așadar am încercat să facem misiunea DPO-ului mai ușoară, oferindu-i instrumente alternative celor din Statele Unite.

În luna septembrie am prezentat, în cadrul Conferinței “Protecția datelor personale. Impactul noilor tehnologii și dreptul” desfășurată în cadrul «International Summer School 2020» ediția a XIII-a , desfășurată la Târgu Mureș, lucrarea privind invalidarea Privacy Shield, lucrare ce a devenit ulterior subiectul unui articol publicat.

Luna octombrie a adus două declarații nefericite pentru protecția datelor personale și, pe cale de consecință, pentru poziția DPO-ului în organizații, dar și în mentalul celor din jur: termenul de “bazaconie” folosit de către fostul premier (https://ascpd.ro/2020/10/03/ascpd-isi-manifesta-ingrijorarea-fata-de-utilizarea-termenului-bazaconie-in-declaratiile-publice-ale-premierului/), și cel de “eșafodaj complicat”, folosit de către un europarlamentar român la adresa Regulamentului privind protecția datelor personale. Astfel de declarații nu fac deloc mai ușoară munca DPO-ului, ba dimpotrivă.

Lunile octombrie și noiembrie s-au concentrat, în ceea ce mă privește, pe telemuncă, provocările aduse de aceasta și recomandările pentru operatori, angajați și DPO, concretizând aceasta activitate atât prin participarea la evenimente online cu acest subiect (https://neoprivacy.ro/webinar-digitalizarea-beneficii-provocari-legate-de-telemunca-30-10-2020/), cât și prin scrierea de articole (https://dpo-net.ro/telemunca-si-protectia-datelor-personale-in-contextul-digitalizarii/?cat=106) și publicarea, împreună cu colegii din Neoprivacy, a unei Proceduri gratuite privind munca în afara sediului angajatorului (https://neoprivacy.ro/procedura-privind-munca-in-afara-sediului-angajatorului-gratuit/).

Reglementată de Legea 81/2018 și impusă în viața noastră mai repede decât ne-am fi așteptat de către pandemia Covid 19, telemunca, dar și munca la domiciliu au devenit o realitate tot mai prezentă. Este evident că viitorul se îndreaptă către digitalizare și activități preponderent online în toate domeniile vieții noastre, inclusiv în ceea ce privește munca de la distanță, în alte locații decât sediul angajatorului dar, o dată cu ea, apar noi provocări, atât pentru angajați, cât și pentru angajatori și, evident, pentru DPO.

Conform articolului 4 alin. 3 din Legea 81/2018, angajatorii pot verifica activitatea angajaților care lucrează prin telemuncă în condițiile și în modalitatea concretă stabilite prin Regulamentul intern, contractul individual sau colectiv de muncă, după caz. Așadar, condițiile și modalitățile efective de monitorizare trebuie stabilite în mod transparent anterior începerii activității de telemuncă.

Recomand ca înainte de a pune în aplicare orice formă de monitorizare a angajaților, angajatorul să efectueze o analiză a gradului de imixtiune în viața privată a angajatului, a riscurilor pentru drepturile și libertățile acestuia șisă-și adapteze politicile și procedurile la legislația internă și la cea a Uniunii Europene, la recomandările privind prelucrarea datelor personale la locul de muncă, la jurisprudența Curții de Justiție a Uniunii Europene în materie dar și la  amenzile aplicate până acum pentru monitorizarea excesivă a angajaților.

Este de menționat și în acest caz rolul Responsabilului cu protecția datelor personale în întocmirea dar și monitorizarea respectării acestei proceduri. Apreciez că riscul apariției unui incident de securitate este cu mult mai ridicat decât în condițiile muncii normale, de la birou, așa că se impun măsuri tehnice și organizatorice mai stricte. Această temă este tratată pe larg într-un articol din numărul patru al Revistei române pentru protecția și securitatea datelor cu caracter personal, scris împreună cu Daniela Simionovici.

În luna noiembrie ne-a pregătit o surpriză și o provocare și mai mare pentru noi, Responsabilii cu protecția datelor personale: proiectul de lege privind profesia de DPO (https://www.juridice.ro/wp-content/uploads/2020/12/20b653FG.pdf). Un proiect de lege complet eronat, căruia i s-au adus critici atât de către ASCPD (https://ascpd.ro/2020/11/12/ascpd-contesta-continutul-si-modul-de-legiferare-ales-pentru-organizarea-profesiei-de-responsabil-cu-protectia-datelor-in-romania/), de către avocați (https://www.juridice.ro/706312/nici-gdpr-nu-e-pentru-oricine-opinie-fata-de-un-proiect-de-lege-si-fata-de-punctul-de-vedere-al-unbr.html ),  dar și de către mediul de business, profesori universitari, și, în general, de majoritatea celor specializați în domeniul protecției datelor. Proiectul de lege amintit nu numai că încalcă legislația internă, dar și Regulamentul UE 679/2016, afectând dramatic rolul Responsabilului cu protecția datelor personale așa cum a fost el stabilit de către GDPR. De asemenea, prin proiectul de lege se stabilesc atribuții noi pentru Autoritatea de supraveghere, care nu a fost consultată anterior depunerii lui.

Deși speram că luna decembrie va fi, în sfârșit, una liniștită,  se pare că este doar liniștea dinaintea unei noi furtuni, deoarece zilele trecute a fost depus un nou proiect de lege care impactează activitatea Responsabililor cu protecția datelor personale, de data aceasta din domeniul educației: supravegherea audio-video în sălile de clasă (http://www.cdep.ro/proiecte/2020/600/70/8/pl888.pdf). Proiectul este la fel de plin de încălcări ale legislației în vigoare (internă, dar și europeană), neținând cont nici de jurisprudența în materie.

Apreciez că persoanele vizate încep să-și cunoască drepturile, anul acesta am avut mai multe solicitări de ajutor ca niciodată pentru formularea de cereri pe dreptul de acces, numai în ultima lună având 3 (toate pentru primirea de mesaje prin poștă sau sms în cursul campaniei electorale).

Anul acesta a adus cu sine numeroase sancțiuni ale încălcării Regulamentului aplicate atât în Europa cât și în România. Am tratat pe larg aceste sancțiuni împreună cu Marius Dumitrescu și Daniela Simionovici în numerele 2,3 și 4 ale Revistei române pentru protecția și securitatea datelor cu caracter personal. Ceea ce este de subliniat e paleta largă a încălcărilor sancționate de către Autoritatea de supraveghere din România, printre care amintesc lipsa implementării de măsuri tehnice și organizatorice, lipsa de cooperare, lipsa notificării incidentelor de securitate, lipsa de răspuns la cererile persoanelor vizate, lipsa de ducere la îndeplinire a măsurilor corective dar și încălcarea principiilor din GDPR. Este de menționat una dintre cele mai mari amenzi aplicate vreodată de către autoritatea română, cea dată Băncii Transilvania, publicată în cursul lunii decembrie 2020 și care scoate în evidență importanța covârșitoare a instruirii angajaților, dincolo de măsurile tehnice de securitate implementate (https://www.dataprotection.ro/?page=Comunicat_17_12_2020&lang=ro ). Până la urmă, așa cum s-a dovedit în nenumărate rânduri, angajații sunt cea mai mare vulnerabilitate și cred că anul 2021 ar trebui să fie despre conștientizare și instruiri repetate ale personalului.

Apreciez în mod deosebit faptul că Autoritatea de supraveghere a întocmit și publicat Ghidul cu recomandări pentru asociațiile de proprietari (https://www.dataprotection.ro/?page=Prelucrarea_datelor_personale_de_catre_asociatiile_de_proprietari&lang=ro ), acestea fiind printre cei mai sancționați operatori.

Anul 2020 a fost o provocare pentru întreg mediul economic, mulți operatori restrângându-și activitatea și renunțând, printre primele lucruri, la “moftul” numit GDPR, acest fapt afectând activitatea multor DPO externi.

În concluzie, cuvintele cheie pentru activitatea DPO-ului în anul 2020 sunt: provocare continuă, voluntariat, digitalizare, rol cheie în organizație, conștientizarea importanței datelor personale de către operatori și persoanele vizate.

De la anul 2021 cred că Responsabilii cu protecția datelor își doresc recomandările Comitetului European pentru Protecția Datelor Personale în urma invalidării Privacy Shield, ghidul pentru operatorii asociați și persoanele împuternicite dar, în primul rând, întoarcerea la normalitate, deși ea nu va mai fi niciodată la fel, ci vom fi confruntați cu o normalitate redefinită și marcată de cu totul alte repere decât cele cu care am fost obișnuiți.

Din punctul de vedere al activității Asociației Specialiștilor în Confidențialitate și Protecția Datelor, anul 2021 se anunță unul plin, debutând în luna ianuarie cu organizarea Conferinței Naționale de Confidențialitate și protecția datelor PRIVACY ROMANIA 2021 (https://privacyromania.ro/).