Comitetul European pentru Protecția Datelor („EDPB”) a anunțat în data de 4 septembrie 2020, că a format un grup de lucru pentru analiza reclamațiilor depuse în urma hotărârii Curții Justiției Uniunii Europene („CJUE”) în  „Cazul Schrems II”, precum și un grup de lucru suplimentar care să ofere recomandări cu privire la măsurile necesare, atât pentru operatori cât și pentru destinarari, pentru a asigura o protecție adecvată a transferurilor de date extracomunitare. Mai mult, EDPB a adoptat un Ghid privind relația dintre operator și împuternicit în temeiul Regulamentului General privind Protecția Datelor („GDPR”) și un Ghid privind targetarea utilizatorilor de social media.

Grupul de lucru pentru reclamații Schrems II

NOYB a declarat că o analiză a codului sursă HTML al principalelor pagini web ale UE și a arătat că, multe companii continuă să utilizeze Google Analytics sau Facebook Connect, chiar dacă ambele companii intră sub incidența legilor de supraveghere din SUA. Mai mult, NOYB a subliniat că nici Facebook, nici Google nu par să aibă o bază legală pentru aceste transferuri de date, subliniind că Google susține în continuare că se bazează pe Scutul de confidențialitate UE-SUA (Privacy Shield) care a fost invalidat de hotărârea CJUE și că Facebook continuă să utilizeze Caluze Contractuale  Standard („CSC”), în ciuda faptului că CJUE a constatat că legile de supraveghere ale SUA încalcă esența drepturilor fundamentale ale UE.

În urma depunerii de către Centrul European pentru Drepturi Digitale („NOYB”) a 101 plângeri împotriva companiilor din UE care continuă să trimită date despre vizitatorii site-urilor web către Google LLC și Facebook, Inc. chiar și după invalidarea Privacy Shield, EDPB a decis înființarea grupului său de lucru pentru examinarea plângerilor depuse care va asigura și cooperare strânsă cu autoritățile de supraveghere ale statelor membre. Pe această listă se regăsesc și doi operatori din România (HotNews și Ringier Sportal S.R.L - gsp.ro)

Grupul de lucru de orientare Schrems II

În plus, pentru a putea oferi recomandări suplimentare care să ajute operatorii și imăuterniciții acestora să își asume obligația de a identifica și implementa măsuri suplimentare adecvate pentru a asigura o protecție adecvată a transferurilor către țări terțe, EDPB a creat un grup de lucru separat. Andrea Jelinek, președintele EDPB, a menționat: „EDPB este foarte conștient de faptul că hotărârea Schrems II conferă operatorilor și împuterniciților acestora o nouă responsabilitate importantă cu privire la obligația lor de a identifica și implementa măsuri suplimentare adecvate de natură juridică, tehnică și organizatorică pentru a îndeplini standardul esențial de echivalență atunci când transferă date cu caracter personal către țări terțe. Cu toate acestea, implicațiile hotărârii sunt complexe având în vedere și diversitatea acestor tipologii de transferuri. Prin urmare, nu poate exista o soluție rapidă, unică pentru fiecare caz. Fiecare organizație va trebui să își evalueze propriile transferuri de date și să ia măsurile adecvate."

Ghidul privind relația operator-împuternicit (proiect aflat în procedură de consultare publică)

EDPB a mai menționat că „de la data intrării în vigoare a GDPR, au apărut mai multe întrebări, în special în ceea ce privește conceptul de operator asociați (așa cum este prevăzut la articolul 26 din GDPR și în mai multe hotărâri ale CJUE), precum și obligațiile pentru împuterniciți (în special articolul 28 din GDPR) prevăzute în capitolul IV din GDPR.

EDPB a lansat în data de 7 septembrie 2020, o consultare publică cu privire la Ghidul privind relația operator-împuternicit care  urmărește să ofere îndrumări cu privire la aceste conceptele  pe baza articolului 4 din GDPR și a obligațiilor din capitolul IV, precum și să clarifice semnificația conceptelor, clarificând rolurile și distribuirea responsabilităților între acești actori. În plus, ghidul privind relația operator-împuternicit subliniază faptul că Grupul de Lucru pentru Articolul 29 a emis orientări cu privire la conceptele de operator și împuternicit, oferind clarificări și exemple concrete în ceea ce privește operatorii asociați, dar că aplicarea concretă a conceptelor necesită clarificări suplimentare, astfel că EDPB consideră că este necesar să fie oferite orientări mai dezvoltate și specifice pentru a asigura o abordare consecventă și armonizată în întreaga UE și în SEE. Mai mult, Ghidul privind relația operator-împuternicit subliniază că acestea va înlocui avizul WP29 cu privire la aceste concepte.

Mai mult, Ghidul privind relația operator-împuternicit subliniază faptul că, în absența rolului operatorului care rezultă din clar dispozițiile legale, identificarea acestui rol trebuie să fie stabilită pe baza unei evaluări a circumstanțelor de fapt din jurul prelucrării și că toate faptele relevante trebuie luate în considerare pentru a ajunge la o concluzie dacă o anumită entitate exercită o influență determinantă cu privire la prelucrarea datelor cu caracter personal în cauză.

Ghidul privind targetarea utilizatorii de social media (proiect aflat în procedură de consultare publică)

Orientările privind targetarea utilizatorilor rețelelor de socializare oferă îndrumări cu privire la responsabilitățile persoanelor vizate și ale furnizorilor de rețele sociale, încercând să clarifice cum ar putea arăta distribuția responsabilităților între destinatari și furnizorii de rețele sociale, pe baza exemple practice. Mai mult, Ghidul subliniază că principalul scop al emiterii este de a clarifica rolurile și responsabilitățile în rândul furnizorului de rețele sociale, de a identifica riscurile potențiale pentru drepturile și libertățile persoanelor, de a identifica principalii actori și rolurile acestora (secțiunea 4) și să abordeze aplicarea cerințelor cheie de protecție a datelor (cum ar fi legalitatea și transparența, DPIA etc.)

Propunerile privind modificarea proiectului de Ghid privind relația operator-împuternicit trebuie trimise către EDPB prin completarea acestui formular online ,  iar comentariile privind Ghidul privind targetarea utilizatorilor de social media trebuie trimise către EDPB prin completarea acestui formular online, până la 19 octombrie 2020.

Asociația Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD) România, în urma unei consultări cu toți membrii, a transmis către Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal, un document conținând 20 de propuneri de modificare a proiectului de  Decizie a ANSPDCP privind Cerințele suplimentare pentru acreditarea organismelor de certificare în temeiul art. 43 din Regulamentul (UE) 2016/679, care au fost elaborate cu consultarea Asociației de Acreditare din România - Renar și care urmează a fi transmise pentru aviz Comitetului European pentru Protecția Datelor, în concordanță cu art. 64 din Regulamentul (UE) 2016/679.

 “Salutăm și apreciem în mod deosebit inițiativa ANSPDCP de a supune acest proiect dezbaterii. Acest proces de certificare, prevăzut de art. 43 din Regulamentul (UE) 2016/679, este extrem de important pentru toți operatorii de date și certificarea GDPR va însemna confirmarea respectării de către o organizație a cerințelor unui standard în materie de protecția datelor. Companiile vor putea apela în mod voluntar la certificarea produselor, serviciilor sau proceselor pentru a demonstra că acestea au fost inspectate, verificate și aprobate de un organism de certificare. Scopul final al certificării este creșterea încrederii printre consumatori, parteneri și alți factori interesați, ceea ce poate deveni un avantaj concurențial major. Certificarea GDPR va reprezenta asumarea responsabilității asupra prelucrărilor de date, oferind un sentiment de siguranță clienților, partenerilor sau angajaților proprii, fapt ce va cimenta relația cu aceștia”, a declarat Marius Dumitrescu, Președintele ASCPD.

Certificarea GDPR va fi un proces similar obținerii certificărilor ISO, astfel ca pentru a dobândi această certificare, operatorii interesați vor trece printr-un proces care va urmări planificarea, controlul, evaluarea și corectarea proceselor organizației, astfel încât acestea să corespunda normelor standardului în materie de protecție a datelor. Articolele 42 și 43 din Regulament prevăd obiectivele, garanțiile și rolurile actorilor, împreună cu principiile generale pentru procesele de certificare și acreditare. Etapele procesului de certificare sunt determinate în GDPR și pot fi completate de etapele identificate în standardul ISO / IEC 17065.

Cu toate acestea, dincolo de prevederile generice, ar trebui să fie examinate certificările existente pentru a identifica cele mai bune practici. Aspecte precum gestionarea soluționării litigiilor, tehnicile de monitorizare a certificărilor acordate și politicile de sancționare sunt esențiale pentru dezvoltarea unor mecanisme de încredere pentru  certificarea în domeniul protecției datelor. Pentru operatori sau împuterniciți acestora, certificarea GDPR reprezinta o forma prin care organizația poate confirma bunele practici implementate în ceea ce privește protecția datelor, un plus de valoare care poate sa-i asigure dezvoltarea portofoliului de clienți.

Această certificare va fi voluntară, ceea ce înseamană că pe o piață puternic concurențială, aceasta poate reprezenta o forma de departajare față de competitori. Spre exemplu, un operator care dorește să externalizeze a anumită activitate ce include prelucrarea de date personale, va înclina spre contractarea unui împuternicit care deține o certificare GDPR, aceasta reprezentând o garanție suplimentară a responsabilității împuternicitului în ceea ce privește protecția datelor personale.

Nu în ultimul rând, certificarea GDPR va demonstra existența unor garanții adecvate oferite de operatorii sau de persoanele împuternicite de operatori, care nu fac obiectul Regulamentului GDPR, în cadrul transferurilor de date cu caracter personal către țări terțe sau organizații internaționale.

Despre Asociația Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD) România

Asociația Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD) este creată cu scopul de a informa și de a reuni profesioniștii care doresc să gestioneze cu succes punerea în aplicare a Regulamentului General privind Protecția Datelor 2016/679 și a legislației aferente, funcționând ca un organism consultativ profesionist pentru persoane și organizații. ASPDC este o organizație non-guvernamentală, autonomă, apolitică și non-profit care ajută la definirea, susținerea și îmbunătățirea profesiei de Responsabil în protecția datelor și a altor specialiști în domeniu și își desfășoară activitatea în conformitate cu prevederile OG nr. 26/2000.

ASCPD ghidează persoanele responsabile în protecția datelor și alți specialiști în domeniul confidențialității datelor în rezolvarea numeroaselor probleme juridice, tehnice și organizatorice pentru a obține un echilibru adecvat între interesele persoanelor vizate, care necesită protecție, și cele ale operatorilor.

Obiectivul ASCPD este de a oferi soluții concrete la problemele cu care se confruntă specialiștii în confidențialitate și protecția datelor, de a crește gradul de conștientizare a legislației și de a oferi membrilor săi un forum în care aceste subiecte să poată fi dezbătute, precum și un loc de pregătire profesională continuă. ASCPD militează pentru îmbunătățirea gradului de conștientizare cu privire la tehnologiile și legile care pun în pericol viață privată, pentru a se asigura că publicul este informat și implicat.

După o perioadă de 12 luni de monitorizare a activității ASCPD în România, membrii Confederației Organizațiilor Europene pentru Protecția Datelor (CEDPO) au avizat favorabil, în aprilie 2020, adeziunea organizației românești, devenind astfel cel de-al zecelea membru cu drepturi depline.

Confederația Organizațiilor Europene pentru Protecția Datelor (CEDPO) este o “organizație umbrelă” care reunește cele mai reprezentative asociații naționale de protecție a datelor din Uniunea Europeană. CEDPO a fost fondată în septembrie 2011 de Association Française des Correspondants à la Protection des Données à Caractère Personnel (AFCDP, Franța), Asociación Profesional Española de Privacidad (APEP, Spania), Gesellschaft fur Datenschutz und Datensicherheit eV (GDD, Germania) și Nederlands Genootschap van Functionarissen voor de Gegevensbescherming (NGFG, Olanda). Din momentul fondarii în 2011 și pană în momentul aderării Asociaţiei Specialiştilor în Confidenţialitate şi Protecţia Datelor (ASCPD), doar cinci organizații au mai fost invitate să se alăture Confederației: ADPO din Irlanda, ARGE Daten din Austria, ASSO DPO din Italia, SABI din Polonia si AEPT din Portugalia

Scopul acestei Confederații este de a promova rolul Responsabilului cu protecția datelor (DPO) și de a milita pentru un sistem de protecție a datelor echilibrat, bazat pe experiență practică și eficiență. În plus, CEDPO contribuie activ la o mai bună armonizare a legislației și a practicilor privind protecția datelor în Uniunea Europeană (UE) și în Spațiul Economic European (SEE), unind toate organizațiile membre într-o singură voce și valorificând astfel experiența bogată și diversă ale asociațiilor membre ale CEDPO, care dețin cunoștințe practice despre problemele care înconjoară rolul și poziția DPO, precum și provocările zilnice cu care se confruntă.

CEDPO este și un interlocutor activ pentru factorii de decizie europeni și autoritățile pentru protecția datelor în contextul adoptării și implementării Regulamentului general privind protecția datelor (GDPR),  propunerile sale jucând un rol important în definirea legislației actuale, în special în ceea ce privește reglementarea poziției și a rolului responsabilului cu protecția datelor (DPO). De asemenea, CEDPO a participat la modernizarea Convenției 108 a Consiliului Europei („Convenția pentru protecția persoanelor cu privire la prelucrarea automată a datelor cu caracter personal”), susținând o mai bună recunoaștere a rolului crucial pe care DPO îl joacă în protecția datelor în zilele noastre. Mai multe detalii despre proiectele asociației găsiți pe www.ascpd.ro

ANSPDCP a publicat proiectul privind Cerințele suplimentare pentru acreditarea organismelor de certificare în temeiul art. 43 din Regulamentul (UE) 2016/679 care este supus dezbaterii publice, fiind accesibil aici. Propunerile, sugestiile și opiniile persoanelor interesate pot fi transmise pe adresa de e-mail anspdcp@dataprotection.ro, până pe 20.09.2020.

Cerințele suplimentare pentru acreditarea organismelor de certificare în temeiul art. 43 din Regulamentul (UE) 2016/679 au fost elaborate cu consultarea Asociației de Acreditare din România - Renar și se transmit pentru aviz Comitetului European pentru Protecția Datelor, în concordanță cu art. 64 din Regulamentul (UE) 2016/679.

Ce este această certificare?

Certificarea GDPR va fi un proces similar obținerii certificărilor ISO, astfel ca pentru a dobândi această certificare, operatorii interesați vor trece printr-un proces care va urmări planificarea, controlul, evaluarea și corectarea proceselor organizației, astfel încât acestea să corespunda normelor standardului în materie de protecție a datelor.

Articolele 42 și 43 din Regulament prevăd obiectivele, garanțiile și rolurile actorilor, împreună cu principiile generale pentru procesele de certificare și acreditare.

Etapele procesului de certificare sunt determinate în GDPR și pot fi completate de etapele identificate în standardul ISO / IEC 17065. Cu toate acestea, dincolo de prevederile generice, ar trebui să examinate certificările existente pentru a identifica cele mai bune practici. Aspecte precum gestionarea soluționării litigiilor, tehnicile de monitorizare a certificărilor acordate și politicile de sancționare sunt esențiale pentru dezvoltarea unor mecanisme de certificare a protecției datelor de încredere.

De ce ar fi utilă o asemenea certificare?

Pe scurt, certificarea GDPR ar trebui să însemne confirmarea respectării de către o organizație (certificată) a cerințelor unui standard în materie de protecția datelor sau, în urma unui proces de evaluare periodică a bunelor practici GDPR din organizație, proces realizat de către un auditor extern, independent (organism de certificare).

Companiile vor putea apela în mod voluntar la certificarea produselor, serviciilor sau proceselor pentru a demonstra că acestea au fost inspectate, încercate și aprobate de un organism de certificare. Scopul final al certificării este creșterea încrederii printre consumatori, parteneri și alți factori interesați, ceea ce poate deveni un avantaj concurențial major.

Ce avantaje poate aduce certificarea GDPR?

Pentru operatori sau împuterniciți, certificarea GDPR reprezinta o forma prin care organizația poate confirma bunele practici implementate în ceea ce privește protecția datelor, un plus de valoare care poate sa-i asigure dezvoltarea portofoliului de clienți.

Certificarea GDPR va reprezenta asumarea responsabilității asupra prelucrărilor de date, oferind un sentiment de siguranță clienților, partenerilor sau angajaților proprii, fapt ce va cimenta relația cu aceștia.

Această certificare va fi voluntară, ceea ce înseamană că pe o piață puternic concurențială, aceasta poate reprezenta o forma de departajare față de competitori. Spre exemplu, un operator care dorește să externalizeze a anumită activitate ce include prelucrarea de date personale, va înclina spre contractarea unui împuternicit care deține o certificare GDPR, aceasta reprezentând o garanție suplimentară a responsabilității împuternicitului în ceea ce privește protecția datelor personale.

Nu în ultimul rând, certificarea GDPR va demonstra existența unor garanții adecvate oferite de operatorii sau de persoanele împuternicite de operatori, care nu fac obiectul Regulamentului GDPR, în cadrul transferurilor de date cu caracter personal către țări terțe sau organizații internaționale.

De ce nu există, la nivel național, operatori certificați GDPR?

După cum spuneam mai sus, cerificarea GDPR se poare realiza doar de organisme de certificare acreditate. Condițiile în care organisme de certificare pot fi acreditate sunt prevăzute în Articolul 43 (1) din GDPR:

“43 (1) [...] organisme de certificare sunt acreditate de către una sau amândouă dintre următoarele entități: a) autoritatea de supraveghere care este competentă în temeiul articolului 55 sau 56; b) organismul național de acreditare desemnat în conformitate cu Regulamentul (CE) nr. 765/2008 al Parlamentului European și al Consiliului (1 ) în conformitate cu standardul EN-ISO/IEC 17065/2012 și cu cerințele suplimentare stabilite de autoritatea de supraveghere care este competentă în temeiul articolului 55 sau 56”.

Solicitând un punct de vedere al Autorității pe acest subiect, aceasta ne-a comunicat următoarele: “[...] la nivel național, potrivit Regulamentului (CE) nr. 765/2008, RENAR este entitatea care va acredita organismele de certificare, în temeiul articolului 43 din Regulament”.

Plecând de la răspunsul autorității, am solicitat un punct de vedere și celor de la RENAR, pentru a afla cat mai avem de așteptat pana la apariția standardului pentru certificarea GDPR. Aceștia ne-au comunicat că, până la data respectivă (20.05.2019), “Autoritatea Națională de Supraveghere a Prelucrării Datelor nu a prezentat cerințele suplimentare stabilite de autoritatea de supraveghere menționate la pct. Art. 43 (1) b) din Regulamentul (UE) 2016/679, cerințe care sunt necesare pentru dezvoltarea schemei de acreditare pentru domeniul menționat la art. 43”. Aceștia au mai adăugat că “Activitățile de acreditare a organismelor de certificare se vor putea desfășura numai după finalizarea schemei de acreditare și publicarea mapei de documente informative”.

Comisia Europeană a publicat un studiu efectuat în februarie 2019 cu privire la “Mecanisme de certificare a protecției datelor”, o analiză în peste peste 250 de pagini referitoare la cerificarea GDPR, căreia i se adaugă nu mai puțin de 196 de pagini de anexe.

Potrivit acestui studiului, “Conceptul de cerințe suplimentare în art. 43 (1) (b) GDPR” se referă la:

1. Cerințe legate de organismul de certificare și expertiza auditorilor săi în domeniul protecției datelor;
2. Cerințe legate de organismul de certificare și competența auditorilor săi în efectuarea auditului; și
3. Cerințe legate de integritatea auditorilor și a organismului de certificare”.

Prin urmare, în lipsa cerințelor suplimentare stabilite de autoritatea națională de supraveghere, RENAR-ul nu va putea elabora schema de acreditare, organismele de certificare nu vor putea fi acreditate, făcând astfel imposibilă certificarea organizațiilor interesate.

Făcând o paranteză, că tot veni vorba de RENAR, acesta a identificat standardul SR EN ISO/CEI 17065:2013 ca fiind cel la care face referire Regulamentul. Acesta poate fi achiziționat de pe site-ul Asociației de Acreditare din România - ASRO, accesând următorul link.

Să aruncăm un ochi și în curtea vecinilor

La acest moment, la nivelul UE nu știm să existe un mecanism funcțional de certificare în domeniul protecției datelor, dar știm că primii pași în acea direcție au fost deja făcuți.

Comisia Națională pentru Protecția Datelor din Luxemburg (Commission Nationale pour la Protection des Données – CNPD) a fost cea mai harnică autoritate națională din UE în această privință. Declarându-se convinsa de “valoarea pe care o poate oferi certificarea”, CNPD a adoptat o abordare deosebit de proactivă dezvoltând, împreună cu profesioniștii din domeniu, o schemă de certificare. Astfel, schema numită "GDPR-CARPA" a fost prezentată spre consultare publică încă din iunie 2018.

CNPD și-a concentrat activitatea pe două direcții:

1. Criteriile de certificare, pentru Manageri de Proces/Subcontractați, care trebuie îndeplinite de o organizație care dorește să fie certificate anumite procesări de date. Organizațiile interesate să fie certificate sunt încurajate să ia în considerare criteriile prevăzute proiectul ghidului de certificare pentru a-și evalua gradul de conformitate și pentru a adopta o atitudine proactivă de a se pregăti pentru procesul de certificare.
2. Criteriile de acreditare, pentru organismele de certificare, care trebuie îndeplinite de o organizație care dorește să acționeze în calitate de organism de certificare.

Într-un final, pentru a răspunde întrebării din titlul acestui articol, în umbra celor de mai sus, vă mărturisim că nu ne așteptăm ca în viitorul apropiat să avem plăcuta surpriză de a avea posibilitatea să obținem certificarea GDPR. Cu toate acestea, considerăm că obținerea unei certificări GDPR va fi de mare interes atât pentru operatori cât și pentru împuterniciții, ceea ce se va traduce într-o mai mare grija în ceea ce privește protecția datelor, fapt ce nu poate decât să fie benefic pentru toată lumea.

Nu știm cu exactitate când vor începe aceste certificări în România, având totodată încredere ca autoritatea națională a început deja discuțiile cu factorii interesați pentru a debloca demersurile în vederea dezvoltării schemei de acreditare.