Curtea de Justiție a UE nu a utilizat niciodată expresia de „operatori independenți” în sensul practicii din România

Editorial

Vizualizari: 2793

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Repere privind dobândirea calității de „operator”, „împuternicit al operatorului”, „operatori asociați” și atribuirea vreunei alte calități a unei entități care prelucrează date cu caracter personal

Sumar: Prezentul articol își propune să evidențieze aspecte practice și teoretice legate de atribuirea vreunei calificări a entității care prelucrează date cu caracter personal, atribuire din perspectiva domeniului protecției datelor cu caracter personal. Atribuirea unei calități din această perspectivă joacă un rol important pentru alocarea responsabilităților respectivelor entități, pentru asigurarea unui nivel adecvat de garantare a drepturilor persoanelor fizice vizate și, nu în ultimul rând, pentru atingerea obiectivelor Regulamentului General privind protecția datelor.

Cuvinte cheie: Operator; Împuternicit al Operatorului; Operatori asociați; operatori independenți; GDPR

 

  1. Importanța tematicii. Aplicarea RGPD după data de 25 mai 2018 a condus la o serie de „inovații” în ceea ce privește măsurile de garantare a drepturilor persoanelor vizate, a alocării de responsabilități între entitățile angajate în relații contractuale având premisa prelucrării de date cu caracter personal, precum și a calificării conceptuale a asemenea entități din perspectiva protecției datelor cu caracter personal.

1.1. Se poate constata că în aplicarea RGPD entitățile care prelucrează date cu caracter personal au o viziune necoerentă asupra următoarelor aspecte:

  1. Conceptele de „operator de date”, „persoană împuternicită a operatorului”; „operatori asociați” utilizate și definite de RGPD, exclud sau nu utilizarea în cadrul înțelegerilor contractuale a unor termeni precum „operatori independenți”, „operatori separați”, „operatori distincți” sau „operatori paraleli”, acestea din urmă fiind expresii întâlnite în practica încheierii unor acorduri/acte adiționale/clauze/anexe de protecție a datelor, dar nefiind menționate ca atare în RGPD
  2. Este sau nu necesară stabilirea unor clauze distincte cu privire la protecția datelor indiferent de contextul și natura înțelegerilor contractuale intervenite între entitățile contractante
  3. Este sau nu posibilă stabilirea unor relații contractuale între entități, implicând prelucrări de date cu caracter personal, fără a se stabili între acestea o alocare de responsabilități ci, pur și simplu, evitându-se orice fel de asumare a răspunderilor pentru activitățile de prelucrare realizate de către celălalt contractant, în pofida faptului că relația contractuală presupune transmiterea de date de la unul către celălalt în mod inerent; o asemenea asumare a poziției contractuale conduce la concluzia că cei doi contractanți sunt „operatori independenți”?
  4. Este sau nu necesară revizuirea Avizului nr.1/2010 a GL 29 cu privire la conceptele de „operator” și „împuternicit al operatorului”, datorită apariției unor noi tipologii de business și prelucrare a datelor inclusiv a adoptării RGPD?
  5. Cum funcționează mecanismul contractual între entități prin raportare la calitatea specifică din domeniul protecției datelor cu caracter personal

1.2. Lămurirea acestor aspecte este necesară din mai multe considerente, atât economice cât și de legalitate.

  1. RGPD nu a fost adoptat pentru a încetini economia sau a înfrâna circulația datelor cu caracter personal, ci în primul rând din considerente etice care au în centrul atenției persoana fizică vizată. Cu toate acestea efectul adesea întâlnit a RGPD în ceea ce privește atribuirea calităților O, ÎO sau OA în relațiile contractuale ale entităților a fost acela a unui blocaj sau uneori a ruperii relațiilor contractuale datorită refuzului uneia dintre părți de a-și asuma calitatea potrivit responsabilităților care îi revin cu privire la prelucrarea datelor cu caracter personal. Ca urmare, o astfel de situație trebuie remediată prin măsuri proactive care să permită celeritatea desfășurării relațiilor cu caracter economic.
  2. De asemenea, calificarea greșită într-un contract, expressis verbis a calității de operator sau împuternicit ori a unei alte calități, generează o incertitudine juridică pentru părțile contractuale cu influențe asupra elementului animus contrahendi, deoarece părțile intră într-o confuzie în ceea ce privește, pe de o parte, calitățile lor contractuale(spre exemplu, beneficiar și prestator de servicii vs. Operator și împuternicit) și, pe de altă parte, deoarece acestea nu cunosc sau se vor confrunta cu problematica prevalenței contractuale a „termenilor definiți de părți” în raport cu primordialitatea „calității” atribuite de RGPD prin prisma scopului și mijloacelor pe care acestea le stabilesc în vederea și cu prilejul prelucrării datelor cu caracter personal. Ca urmare, o astfel de situație trebuie lămurită pentru a se evita dolul în înțelegerile contractuale.
  3. În al treilea rând, necesitatea lămuririi aspectelor menționate rezidă în aceea că posibila realizare a unui control asupra activităților de prelucrare a unei entități trebuie să aibă în vedere modul în care acesta și-a implementat măsuri organizatorice și tehnice și a generat garanții pentru prelucrarea conformă a datelor cu caracter personal, chestiune care inter alia presupune cunoașterea partenerului contractual și stabilirea împreună sau față de acesta a garanțiilor și măsurilor adecvate și suficiente în domeniul protecției datelor cu caracter personal. Or, cum s-ar putea întâmpla să stabilim măsuri adecvate dacă nu cunoaștem activitățile de prelucrare ale partenerului contractual? La modul practic, partenerii trebuie să-și facă anumite confidențe legate de fluxurile de prelucrare a datelor cu caracter personal necesare pentru executarea viitorului contract. Însă acest aspect va fi verificat de autoritatea de supraveghere pentru a cunoaște nivelul de responsabilitate a entității atunci când se ivește o posibilă încălcare a RGPD. Ca urmare, o asemenea situație trebuie lămurită pentru a se evita sancționarea entității pentru neconformitate datorată absenței măsurilor juridice de alocare a responsabilităților de prelucrare a datelor și de protecție a persoanelor vizate, chestiune care definește în fapt și drept calitatea entității.

1.3. Unele argumente în favoarea ideii potrivit căreia RGPD nu limitează într-o relație contractuală sau de alt gen(spre exemplu, o relație stabilită în virtutea legii dintre o autoritate publică și o altă entitate, publică sau privată), utilizarea unor concepte de genul „operatori independenți” au fost aduse de practicieni, precum cele ce urmează.

  1. Sunt contracte care nu presupun utilizarea datelor personale ca obiect al contractului sau în ceea ce privește prestațiile principale dintre părți, cum ar fi un contract de furnizare de produse sanitare; în acest caz, puținele date personale privesc semnatarii, eventual reprezentanții persoanelor juridice și poate datele persoanelor care facturează. În acest caz, contractanții ar fi operatori independenți, având scopuri diferite și mijloace diferite, nefiind cazul vreunei asumări de calități și răspunderi.
  2. Atunci când între doi posibili parteneri contractuali există o disproporție vădită de capacitate de business și financiară, iar cel puternic furnizează un acord nenegociabil în ceea ce privește asumarea responsabilităților, mai mult sau mai puțin contrar tipologiei concrete de prelucrare a datelor personale aferentă viitorului contract și calificând după bunul plac relația operator – împuternicit - operator asociat, singura opțiune a partenerului mai slab este să semneze acordul pentru a reuși încheierea contractului de bază
  3. În numeroase contracte este dificil de apreciat cine stabilește scopul prelucrării ori cine stabilește mijloacele de prelucrare, astfel că o soluție ideală ar fi ca părțile la acordul de protecție a datelor să se califice drept operatori „adjectivali”, alții decât cei desemnați de RGPD, evitând astfel confuzii.
  4. Unii parteneri contractuali nu au acces la vreun fel de date cu caracter personal, cu toate că prin intermediul lor se realizează servicii care prelucrează date cu caracter personal, situație în care nu este nicio posibilitate de a fi încadrat drept operator, asociat sau împuternicit al operatorului de date, în sensul RGPD și trebuie să se găsească o soluție. Un astfel de exemplu ar fi furnizorul unor servicii de cloud.
  5. Repere din raționamentele CJUE în domeniul aplicării Directivei 95/46 și a RGPD
  6. Rezultă din economia raționamentelor CJUE în cauza TK împotriva Asociației de Proprietari bloc M5A‑Scara A,(11 decembrie 2018, C‑708/18) că Asociația de proprietari este Operator de date, fără a se ține cont cine a furnizat sistemul de supraveghere sau în ce măsură oferă alte servicii de tipul control fizic, mentenanță etc. Important pentru calificarea drept operator a fost că Asociația a decis scopul prelucrării prin mijloace video(prevenirea furturilor etc) și mijloacele prelucrării(supraveghere video), chiar dacă aceste mecanisme de punere în practică a mijloacelor erau oferite de alte entități.

De aici reiese faptul că pentru calificarea drept operator de date a unei entități nu are importanță principiul disponibilității fizice asupra mijloacelor de către operator ci cel al disponibilității de decizie. Este important de observat că mijloacele sunt strict și neîntrerupt legate de scopul inițial al prelucrării.

  1. Rezultă din economia raționamentelor CJUE în cauza Fashion ID GmbH & Co. KG împotriva Verbraucherzentrale NRW eV(29 iulie 2019, C‑40/17), că definirea calității de operator de date a unei entități, ia în considerare „printr‑o definiție largă a noțiunii de „operator”, a unei protecții eficiente și complete a persoanelor în cauză”. Ca urmare, orice calificare nu se poate împotrivi acestui obiectiv, independent că o entitate acționează ca împuternicit sau nu a operatorului „principal” de date.
  1. O persoană fizică sau juridică ce influențează, în scopuri proprii, prelucrarea datelor cu caracter personal și participă, ca urmare a acestui fapt, la stabilirea scopurilor și a mijloacelor prelucrării respective poate fi considerată operator, iar responsabilitatea comună a mai multor actori pentru aceeași prelucrare nu presupune ca fiecare dintre aceștia să aibă acces la datele cu caracter personal vizate. Ca urmare, noțiunea de „operator” este atribuită în virtutea responsabilității asumate la momentul stabilirii scopurilor și mijloacelor prelucrării, independent de nivelele sau absența accesului la datele cu caracter personal.
  2. Responsabilitatea pentru prelucrările de date se alocă pentru fiecare dintre acestea sau pentru o serie de operațiuni care o reprezintă, iar CJUE nu a cercetat nici un moment dacă părțile la un contract și-au stabilit sau nu ferm relația dintre acestea, ca operator-împuternicit etc., ci a analizat tipologia prelucrării, fluxul acesteia și scopul sau mijloacele prin prisma capacității de a le desemna. Ca urmare, pare să nu reprezinte o bună practică încheierea de acorduri cu desemnarea ab initio a calității aferente contractului in integrum, ci mai degrabă descrierea operațiunilor și ulterior atașarea unei calități corespondente.
  3. Repere legate de aplicarea unor sancțiuni de către autoritățile de supraveghere

Practica autorităților naționale de supraveghere este relevantă în ceea ce privește calificarea relației operator-împuternicit al operatorului de date, cu toate consecințele ce decurg de aici.

La data de 18.10.2018 autoritatea din Polonia a aplicat o amendă de 9400 EUR primarului unei localități din Polonia pe motiv că nu a încheiat nici un acord de protecție a datelor cu o companie care deținea pe serverele proprii monitoarele oficiale de informare ale primăriei.  Temeiul juridic este articolul 28 din RGPD care face referire la persoana împuternicită de operator. Din studiul cauzei se poate observa că relația se întemeiază pe o prelucrare de date constând doar în stocarea datelor respective de către un împuternicit, fără a exista un alt scop al prelucrării în afara celui stabilit de operator. De asemenea, stabilind scopurile și mijloacele, cele mai probabil scopul fiind retenția datelor iar mijloacele fiind depozitarea în sistem informatic, cel care a decis, anume primarul localității se califică drept operator de date cu caracter personal.

O altă amendă a fost impusă de autoritatea de protecție a datelor din Hamburg companiei Kolibri Image Regina und Dirk Maass GbR, în cuantum de 5000 EUR la data de 17.12.2018 pentru încălcarea articolului 28 alin.(3) din RGPD. Amenda a fost aplicată într-un context ilustrativ pentru acest articol. Contravenienta Kolibri Image a solicitat autorității de supraveghere să îi comunice cum anume să procedeze cu un furnizor de servicii care nu era de acord să semneze un acord de prelucrare a datelor. Autoritatea a aplicat acestei companii o amendă pentru motivul că nu a avut încheiat un acord de protecție a datelor cu furnizorul de servicii care era un împuternicit al acesteia. Amenda este contestată în instanță cu motivarea principală că acel furnizor de servicii nu a acționat în calitate de împuternicit. Ceea ce considerăm important de reținut din cauză este că stabilirea unei relații evidente de împuternicire necesită încheierea unui acord a cărui nerealizare se consideră o neconformitate cu RGPD.

  1. Câteva concluzii

4.1. Instanțele europene insistă în special asupra responsabilităților pe care le are un operator de date atunci când se califică în această calitate datorită circumstanțelor factuale ale cauzei, responsabilități care trebuie să transpară în primul rând față de persoana vizată. În această relație diferitele relaționări contractuale afirmate de genul operator – împuternicit sau operatori independenți ori alte formule își pierd din importanță, deoarece consecințele principale sunt responsabilitatea informării persoanei vizate și o posibilă solicitare a consimțământului pentru scopurile și mijloacele proprii pe care și le stabilește oricare dintre contractanți, în funcție de caz.

4.2. Operatorii de date sunt văzuți ca asociați atunci când au stabilit în comun scopurile și mijloacele de prelucrare a datelor, chiar dacă fiecare dintre aceștia este calificat distinct drept operator de date.

4.3. Curtea de Justiție a UE nu a utilizat niciodată expresia de „operatori independenți” în sensul practicii din România.

4.4. Dacă există o relație de tip operator – împuternicit într-o situație de prelucrare a datelor cu caracter personal, atunci este necesară încheierea unui acord de protecție a datelor, în caz contrar existând posibilitatea de sancționare a operatorului pentru lipsa de conformitate cu RGPD.

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Minutul de năduf al unui DPO

Editorial

Vizualizari: 2312

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Data Protection Officer (DPO) la nivel european ajunge să fie un Responsabil cu Protecția Datelor în România. Mi se întâmplă adesea să mă surprind antamată cu gândul în această idee când, în mod inevitabil, ajung să mă întreb obsesiv de ce, de unde această asimilare la noi a unui ofițer cu un responsabil. Cu siguranță și alți colegi DPO s-au confruntat cu asta.

Desigur, consider că încă de la început se exclude dificultatea unei traduceri conceptuale a acestui rol, mai ales datorită asemănării izbitoare dintre englezescul OFFICER și românescul OFIȚER. Așa că mă duc mai departe, la sensul semantic al cuvintelor intrate în analiză OFFICER/ OFIȚER versus RESPONSABIL. Și zic, că cel mai bine, hai să mă uit în DEX și, printre toate sensurile identificate, iată ce găsesc:

  • ofițer = angajat însărcinat, în anumite ocazii, cu paza și ordinea interioară
  • responsabil = persoană care poartă răspunderea unui lucru, a unui fapt; răspunzător / persoană care are o funcție de conducere sau o sarcină de răspundere, căreia i s-a încredințat o răspundere.

Cunoscând descrierea DPO, cuprinsă în GDPR la articolele dedicate acestuia (art. 37 – 39), respectiv faptul că acesta nu este subordonat nimănui și că se adresează managementului de vârf (cel mai înalt) al organizației, că nu poate fi sancționat și nici disponibilizat pentru modul și gradul de realizare a activității sale, găsesc a fi o discrepanță majoră între rolul DPO și denumirea de responsabil cu protecția datelor. Mai mult, prin prisma experienței acumulate în interacțiunea cu operatorii de date cu care lucrez, constat că această discrepanță generează, cu titlul de constantă,  o confuzie  importantă în percepția acestora, când vine vorba de poziționarea corectă în relație cu DPO.

Dacă e să perpetuăm denumirea de responsabil cu protecția datelor, conceptual, operatorul abordează o atitudine relaxată, fiind ferm convins că DPO este responsabil pentru implementarea GDPR în organizație și el deci nu prea-și mai asumă riscuri, un lucru de bun simț în lumina definiției responsabilului prezentată mai sus. Din perspectiva realității curente, însă, operatorul de date este singurul care este responsabil de implementarea cerințelor GDPR (art. 24 GDPR) și nicidecum DPO contractat intern sau extern - investit (conform COR242231) cu rolul de responsabil cu protecția datelor.

În altă ordine de idei, DPO-ul - fie el intern sau extern - e angajat într-o continuă pledoarie cu scopul de a-l face pe operatorul de date să conștientizeze că responsabilitatea prelucrărilor de date cu caracter personal îi aparține întru totul. Lucru destul de dificil, când practic îl inviți pe acesta să sfideze logica simplă și să-nțeleagă că:

Responsabilul (cu protecția datelor) nu este responsabil și că, mai mult, nu poate fi tras la răspundere pentru neconformitățile sau breșele de securitate a datelor cu caracter personal, din perspectiva GDPR.
DPO este acel gardian ce monitorizează, atenționează și consiliază operatorul pentru respectarea condițiilor de prelucrare impuse de Regulament, e puntea de legătură în cadrul acestui triunghi format de Operator - Persoana vizată - Autoritate. Nu DPO implementează efectiv GDPR, operatorul face asta.

M-am întrebat, și nu o dată, de ce DPO are acest statut și, profesând, iată că mi-a și venit răspunsul:

Operatorul de date este singurul în măsură să pună la dispoziție resursele umane și materiale necesare punerii în  aplicare a măsurilor tehnice și organizatorice identificate a fi necesare (desigur, în mod proporționat), în mediul intern și în relațiile cu terții având autoritatea/ calitatea organizațională de care e nevoie. Pentru că a asigura securitatea și conformitatea  prelucrării datelor cu caracter personal implică, fără excepție, investiție de bani și timp, resurse alocate de operator întotdeauna.

Ce ar fi de făcut? Păi bine, găsesc că avem 2 variante:

  1. Să corectăm traducerea nefericită din Responsabil cu protectia datelor în Ofițer cu protecția datelor, atât în traducerea Regulamentului 679/2016, dar și în Standardul ocupațional ce documentează această ocupație. Veți spune, probabil: bine, bine, dar ofițerul te duce cu gândul la un cadru militar. Adevărat, aș spune, în primă fază, dar mai apoi v-aș aminti că în România există și alt fel de ofițeri, cum este, spre exemplu, un ofițer de stare civilă. Cum putem face această schimbare? Desigur, prin conlucrarea concertată a tuturor factorilor implicați - Autoritate, legislativ, servicii suport, organizații non-guvernamentale care și-au asumat un rol în domeniul protecției datelor cu caracter personal, etc. Și, dacă tot reparăm titulatura DPO, să reparăm și codificarea dată Standardului, codificare ce atestă tot subordonare contradictorie prevederilor din GDPR.
  2. Cea de a doua variantă, cea mai comodă și cea mai accesibilă, dat fiind că este, în sine, non-acțiune, ar fi să trecem cu vederea și să continuăm așa cum s-a și început cu utilizarea titulaturii eronate de responsabil cu protecția datelor. Tentantă perspectivă, însă la fel de păguboasă, astfel încât ani buni de acum înainte DPO va duce o luptă suplimentară de căpătare a unei autorități pe care o are în mod implicit, dar care nu poate produce efectele menite din lipsa cooperării congruente și, mai mult, implicării operatorului în a consuma pași clari în direcția conformității GDPR și în a trata cu respect și asumare recomandările DPO.

De ce acum acest articol?

Pentru că tocmai ce am participat la treia ediție a DPO.Tools organizată de portalul dpo-net.ro și partenerii acestuia, ocazie cu care s-a afirmat că DPO este o prelungire a Autorității și, prin extrapolare, nu mi-aș putea imagina cum Autoritatea și-ar putea îndeplini rolul asumat subordonat fiind operatorului pe care îl investighează. Realizez, pe zi ce trece, tot mai mult că este crucială perceperea corectă a DPO-ului de către operator, mai ales, pentru a permite o conformare obiectivă a prelucrărilor de date cu caracter personal efectuate de operator, în contextul existent.

O alocare a titulaturii corecte de DPO acestei ocupații, congruentă cu rolul îndeplinit de DPO, consider că este una dintre măsurile de luat prioritar în călătoria pe care GDPR a început-o din 25.mai.2018 în România, facilitând obținerea de claritate în spiritul performanței în implementarea Regulamentului în România.

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Despre AUDIT în contextul GDPR

Editorial

Vizualizari: 3601

Facebooktwittergoogle_plusredditpinterestlinkedinmail

O scurtă definiție

AUDIT - Examinare profesională a unor informații cu scopul de a exprima o opinie responsabilă și independentă în raport cu un anumit standard.

În funcție de standard sau domeniul de aplicare se folosesc și alți termeni, cum ar fi: Evaluare, Examinare, Control, Expertiză, Inspecție, Verificare, Testare...

Deci, contrar opiniilor unor "experți", auditul NU este un "checklist" cu întrebări de genul "Nu-i așa că..." care trebuie bifat de către cei auditați.

Auditul este o unealtă indispensabilă unui DPO, pentru a evalua starea de conformare a organizației. Acesta este necesar atât la inceputul unui proces de conformare, periodic pentru a evalua starea de conformare dar și ca instrument pentru testarea eficacității măsurilor implementate, activitate specificată în GDPR, fără de care măsurile luate sunt aproape inutile.

În funcție de scopul, obiectul și standardul de referință al auditului, există mai multe metode de desfășurare a acestei activități. Protecția datelor cu caracter personal fiind un domeniu multidisciplinar, cu multe standarde, metodologii sau legi nationale aplicabile, în afara GDPR (COSO/COBIT, ISO 9001, ISO 27001, ISO 31000, CMMI, 3LoD, GRC, PMP, Legea 190/2018, Legea 333/2003, Legea 506/2004, Ord. 600...) și metodele, tehnicile și mijloacele de audit sunt multiple.

De asemenea, în general nu este eficient ca o singură funcțiune să auditeze toate domeniile și procesele. Pentru aceasta pot fi, de fapt ar trebui să fie, folosite și funcțiunile de control existente, acolo unde ele există și/sau raportările periodice către management.

Metode sau tehnici de audit

  • În mare tehnicile de audit sunt: Prin observație directă, Prin interviuri cu persoanele responsabile/ implicate, Prin analize sociologice ale părerii beneficiarilor, Prin analiza de documente sau livrabile, Prin monitorizarea directă a performanțelor unui proces.

Gradul de precizie al evaluării depinde atât de tehnica utilizată în audit, cât și de experiența auditorului în domeniul auditat, tehnologiile utilizate in prelucrarea datelor... În practică acestea sunt rareori folosite independent, de obicei utilizându-se mai multe tehnici diferite în cadrul aceleeași acțiuni, în vederea crețterii gradului de încredere în rezultatele auditului.

Din punct de vedere al tehnicilor folosite, observația directă și interviurile sunt cele mai dependente de experiența auditorului, analiza documentelor și livrabilelor fiind tehnici cu grad mai mare de încredere, dar dependente de alegerea/ eșantionarea cazurilor ce vor fi analizate, aceste tehnici neputând acoperi toate cazurile.

Monitorizarea directă a preformanțelor unui proces, necesită implementarea prealabilă a unor mecanisme de măsurare, pe cât posibil automatizate, definirea obiectivelor si a indicatorilor de performanță potriviți pentru a măsura eficacitatea și/sau eficiența proceselor monitorizate. De asemenea, este foarte importantă vizibilitatea rezultatelor, prin raportarea acestora în timp real către factorii de decizie.

Acestea sunt întotdeauna urmate de o analiză a informațiilor colectate, având ca rezultat o opinie despre gradul de conformare la standardele de referință, iar în cazul deviațiilor de la acestea, se vor formula recomandări în vederea conformării.

Selectarea tehnicilor de audit cele mai potrivite

În funcție de complexitatea organizației, a proceselor și sistemelor folosite, precum și a cunoștințelor și resurselor necesare se alege cea mai bună variantă posibilă. Important este ca fiecare domeniu, proces să fie auditat, intr-un fel sau altul, periodic.

Evident pe prioritizarea este importantă, domeniile cu risc mare, ca probabilitate de a fi afectate sau ca impact, fiind cele către care ar trebui alocată căt mai multă atenție.

Condițiile inițiale, cultura organizațională

  • Existența documentării structurii organizației, a responsabilităților departamentelor
  • Existența documentării prelucrărilor, a mijloacelor de prelucrare și a datelor prelucrate
  • Existența documentării controalelor existente relevante peentru GDPR
  • Documentarea și comunicarea criteriilor de referință ce vor fi utilizate în audit
  • Defnirea modului de colaborare cu alte funcțiuni implicate in activități de control și monitorizare

Criterii de selecție

  • Importanța procesului auditat (și sau riscul acestuita)
  • Scopul auditului
  • Aria de cuprindere și standardul de referință
  • Cultura organizațională
  • Resursele (umane și tehnologice) existente
  • Experiența auditorului în domeniul analizat
  • Existența unor monitorizări sau audituri specializate

Pași de urmat în cadrul unui audit

1.      Stabilirea scopului, a ariei de acoperire (departamente, procese, controale...)

2.      Stabilirea standardelor de referință și a criteriilor de evaluare a conformității

3.      Selectarea tehnicilor de audit pentru fiecare control

4.      Planificarea auditului

5.      Colectarea informațiilor

6.      Analiza informațiilor și formarea unei opinii profesionale, urmate de recomandări unde este cazul

7.      Validarea opiniei profesionale cu cei implicați

8.      Raportul de audit

9.      Monitorizarea aplicării recomandărilor

Bune practici (din experiența personală)

Primul criteriu al unui audit este asigurarea că există un proces urmat, ceea ce înseamnă un set de reguli generale urmat de toți cei implicați în proces. Faptul că prelucrarea se face diferit de către fiecare executant sau grupe de executanți, în funcție de experiența personală, denotă lipsa unui proces.

Scopul unui audit ar trebui să fie nu doar evaluarea documentării unui proces, ci în special modul efectiv de aplicare al procesului auditat. Modul în care se respectă documentarea sau modul în care se documentează activitatea sunt doar criterii secundare. De (prea) multe ori procesul efectiv de prelucrare este diferit de cel formal (oficial).

De avut în vedere că de obicei un audit este un proces incremental. În funcție de rezultatele obținute în prima rundă planificată este posibil să fie identificate noi nevoi de audit, poate cu noi tehnici, noi mijloace și noi obiective.

Inconsistențele între procesul fomal și prelucrările de fapt sau între rezultatele obținute la interviuri și evidențele , înregistrările sau monitorizările, raportările despre aceste procese sunt un semnal de alarmă și un indicator că auditul trebuie aprofundat.

Un alt aspect de avut în vedere este tratarea excepțiilor. În orice proces definit există excepții ce nu pot fi documentate (sau care nu merită efortul) dar modul de tratare a lor trebuie definit (de obicei acestea fiind în atribuțiile șefului). Merită analizată și frecvența aestor excepții, astfel încât acestea să nu devină reguli.

Un criteriu important în audit, în special pentru GDPR, este existența evidențelor. Lipsa de evidențe (înregistrări ale acțiunilor întreprinse) face imposibilă evaluarea obiectivă a prelucrărilor și demonstrarea acestora, cerință obligatorie conform GDPR. Cauza cea mai des întâlnită este neînregistrarea evenimentelor când au avut loc, cu intenția de a documenta mai tîrziu.... dacă se consideră necesar... și dacă se găsește timp.

În vederea creșterii eficienței și a gradului de încredere este necesară analiza anterioară a monitorizărilor deja existente, a rezultatelor altor forme de audit. Pentru domenii specializate din cadrul unei organizații ( de exemplu IT/ securitate) este o practică întâlnită și recomandabilă de a utiliza rezultatele unor audituri specializate, la care se poate adăuga doar analiza unor cerințe specifice (GDPR) care nu sunt adresate de către auditul specializat. De asemenea efectuarea de audituri împreună cu alte funcții implicate în monitorizarea proceselor aduce o valoare adaugată foarte mare.

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Ce planuri ți-ai făcut pentru 2020 în privința protecției datelor?

La începutul noului an mulți dintre noi ne facem planuri pentru a ne îndepărta de obiceiurile proaste sau pentru a finaliza proiecte începute în anul precedent. Dar câți […]

Anul 2019 văzut prin ochii unui GDPR-ist, 10 momente memorabile

Este sfarsit de an si fiind un moment de bilant nu pot sa nu ma gandesc la cat de multe lucruri am realizat pe plan profesional si mai […]

Conceptul de „operatori independenți” este sinonim cu fuga de responsabilitate

Portalul dpo-NET.ro – Data Protection Officers Network în parteneriat cu Wolters Kluwer România, NeoPrivacy România, Decalex și unCommon Sense Advisory a organizat in data de 11 Decembrie 2019, în Sala de cursuri Wolters Kluwer România din București, a doua ediție […]

A început Războiul de independență al operatorilor de date din România

Nu știu alții cum sunt dar eu când mă gândesc la operatorii de date cu caracter personal care își proclamă independența peste noapte mă apucă panica. Numai în […]

Legea care a permis partidelor să copieze listele suplimentare încalcă GDPR-ul!?

Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 (Regulamentului general privind protecţia datelor), în vigoare de la 31 iulie 2018, „riscă” să fie […]

ORIZONTUL SECURITATII CIBERNETICE

„If you spend more on coffee than on IT security, you will be hacked. What’s more, you deserve to be hacked” (Richard Clarke) Cunoașteți vreo persoană care a […]

5G este o nouă energie electrică și va fi factorul cheie al lumii inteligente

WebSummit este evenimentul în care an de an giganții HiTech îsi prezintă inovațiile, prin care viața noastra ar trebui să devină mai simplă, mai confortabilă, mai sigură. Totodată […]

Operatorul GDPR în Epoca Internetului

Devine accesul liber la internet în era GDPR o problemă pentru operatori? Într-o proporție covârșitoare operatorii au pagini web de prezentare, contact sau  magazine online, pagini de Facebook, […]

Conformitatea GDPR se construiește cărămidă cu cărămidă

Ce presupune această schimbare din 25 mai 2018 și care este rolul ei? O întrebare cu o greutate, cu părere de rău pentru multe persoane este încă o […]

Principiile prelucrării datelor personale și rolul auditului preliminar

Celebrul GDPR este deja în aplicare de mai bine de un an de zile, suficient pentru ca fiecare antreprenor conectat on-line sau la diverse centre de afaceri să […]

15 recomandări GDPR pentru managerul de spital

“Mie nu mie se poate intampla, am băieți tineri și destepti la IT”  este argumentul unui manager de spital pentru a justifica lipsa de interes, resurse și timp […]

Când viața îți oferă lămâii, apelezi la GDPR

Un link postat de Cristiana Deca pe unul dintre conturile ei de social media m-a făcut să mă prăbușesc de râs, dar până să apuc să mă opresc […]

Societatea civila contestă legalitatea implementării tehnologiei de recunoaștere facială

Mai multe organizații nonguvernamentale au transmis autorităților o SCRISOARE DESCHISĂ prin care îți exprimă îngrijorarea cu privire la respectarea principiilor fundamentale ce țin de respectarea vieții private, prin punerea în […]

Cum ajunge o copie de buletin să coste 10.000 €? Încălcând GDPR-ul, desigur!

În data de 19 septembrie 2019, autoritatea de supraveghere belgiană a publicat un comunicat prin care a anunțat o sancțiune de 10.000 de euro pentru nerespectarea minimizării datelor […]

De ce românilor nu le pasă de viața lor privată ?

La începutul săptămânii trecute citeam despre implementarea unui sistem de recunoaștere facială care va folosi camerele de monitorizare video (CCTV), webcam-urile, telefoane mobile, rețele de socializare și camere […]

Românii vor fi monitorizați de un sistem de recunoașterea facială

Camerele de monitorizare video (CCTV), webcam-urile, telefoane mobile, rețele de socializare, camere ATM din România vor fi monitorizate de un sistem de recunoaștere facială. Controversele din jurul acestei tehnologii […]

Facebook riscă și îi fură job-ul lui Cupidon

Proaspătul lansat Facebook Dating ridică mai multe semne de întrebare privind confidențialitatea.  Cupidon a fost scos forțat la pensie când Facebook a anunțat ieri lansarea noului sau serviciu […]

Cine sunt campionii GDPR Summer Challenge 2019 ?

68 de participanți, grupati in 14 echipe, au luat startul in concursul GDPR Summer Challenge 2019 GDPR Summer Challenge este o competitie organizata de Dpo-NET.ro – Data Protection […]

Curtea de Justiție a hotărât: amprentarea angajatilor contravine GDPR-ului

Decizia Curții de Justiție din Amsterdam din 12 august 2019 pune pe jar mulți dintre angajatori. Control accesul angajatilor sau sistemele de autorizare care utilizează cititoare biometrice sunt, în cele mai […]

Giovanni Buttarelli (1957-2019)

Giovanni Buttarelli, liderul Autorității Europene pentru Protecția Datelor (EDPS), a murit înconjurat de familia sa în Italia, la vârsta de 62 de ani. Înmormântarea va avea loc sâmbătă, […]