Gordon Wade este avocat specializat în confidentíalitatea și protecția datelor la PwC Legal Middle East, cu sediul în Dubai, și a acceptat cu entuziasm să ofere un interviu exclusiv pentru DPO-NET. Gordon si-a efectuat studiile la University College Dublin, Trinity College Dublin și Societatea de Drept din Irlanda și este recunoscut ca avocat în Irlanda, Anglia și Țara Galilor, precum și ca avocat în New York. De asemenea, Gordon deține certificări de protecție a datelor de la IAPP și OneTrust. Gordon are o gamă largă de experiențe în consilierea clienților cu privire la toate aspectele legate de legile privind confidențialitatea și protecția datelor, inclusiv GDPR, cât și legile privind protecția datelor din Bahrain și Qatar. Avocatura lui Gordon pune un accent deosebit pe asistarea clienților în implementarea GDPR și a programelor de conformitate. Ca parte a expertizei sale din domeniul protecției datelor, Gordon a oferit consultanță organizațiilor naționale și internaționale importante cu privire la aspectele legate de confidențialitatea și protecția datelor sensibile, inclusiv contractarea terților; servicii de cloud; politici de confidențialitate și protecție a datelor; profilarea și microtargetarea persoanelor vizate; transferurile internaționale de date și stocarea lor. Gordon colaboreaza periodic cu reviste juridice de top pe teme precum confidențialitatea și protecția datelor, dreptul corporatist și comercial și este co-autor al viitoarei lucrări, Ghid practic privind confidențialitatea și protecția datelor (2019, Chartered Accountants Ireland).

A trecut un an de la intrarea în vigoare a GDPR. În opinia dvs., ce s-a schimbat în cursul acestui an? Care au fost cele mai bune politici GDPR pe care le-ați văzut în acest an?

GW: Cu siguranță au fost foarte interesante cele 13 luni și ceva de la intrarea în vigoare a GDPR. M-am mutat în Orientul Mijlociu la cinci luni după "Ziua GDPR" și pot confirma faptul că GDPR are efecte de undă importante și în afara granițelor UE. În ultimul an, evoluția sferei de reglementare (spun evoluție deoarece nu se poate spune că GDPR a revoluționat legea privind protecția datelor, mai degrabă a modernizat legea pentru epoca digitală) ne-a arătat că obținerea dreptului la confidențialitatea datelor este important pentru organizații. Cu toate acestea, ne-a și demonstrat că traseul spre conformare nu este ușor, în special pentru IMM-uri. Concepte precum baza legală, prelucrare ulterioară, proiectarea sistemului asigurând implicit confidențialitatea (privacy by desing and by default), precum și măsuri tehnice și organizatorice - toate necesită timp de înțelegere și, după cum știm toți, nu există un model organizatoric de conformitate rapid sau unic.

Cred că ceea ce s-a schimbat este că există o mai mare sensibilizare a opiniei publice privind această lege, în special referitor la drepturile individuale, la valoarea datelor cu caracter personal și asupra rolului jucat de autoritățile de reglementare. Într-adevăr, nu cred că amenzile propuse și anunțate recent de ICO din Marea Britanie (în valoare totală de aproximativ 282 milioane de lire sterline) au trecut neobservate în toată Europa sau chiar și în plan internațional. În ceea ce privește autoritățile de reglementare în comparație cu anii precedenți, majoritatea autorităților raportează creșteri ale solicitărilor și plângerilor, ceea ce, în sine, arată că a crescut gradul de conștientizare cu privire la drepturile de protecție a datelor.

Politica de confidențialitate a unui site web, teoretic, este un document relativ simplu, care impune companiilor să clarifice "de ce, unde, cine, când și cât de mult” își desfășoară activitățile de prelucrare a datelor cu caracter personal. Cu toate acestea, multe companii se străduiesc să o obțină (transparența) corectă. La capătul spectrului, am văzut o companie de vânzări de bilete care utilizează foarte inteligent actualizările politicii de confidențialitate ca instrument de marketing. Ei folosesc un film video de impact, cu un e-mail în care limbajul este personal, transparent și onest și care pune clienții în controlul datelor lor și îi încurajează să pună întrebări și să afle mai multe detalii. Minunat. Dar, la celălalt capăt, am revizuit o politică care era foarte lungă și detaliată legat de drepturile clienților, dar notele de subsol (fine print) conțineau o declarație de declinare a responsabilității și care stipula că politica de confidențialitate nu este obligatorie sau aplicabilă din punct de vedere juridic – acest aspect chiar impune întrebarea dacă un autor/agent de reglementare într-adevăr ar considera acest document ca fiind o politică de confidențialitate.

Scopul GDPR nu este de a impune amenzi, ci de a proteja indivizii. Cu toate acestea, la trei ani de la intrarea în vigoare a regulamentului, doar 67% dintre europeni au auzit de GDPR, în timp ce doar 36% au afirmat că știu ce este acest regulament (datele prezentate de Comisia Europeană în cadrul sondajului Eurobarometru). Credeți că aceste cifre sunt rezultatul lipsei interesului oamenilor de a-și proteja datele?

GW: Deși cifrele pot părea scăzute, cred cu tărie că ultimele 12 luni au cunoscut o creștere uriașă în conștientizarea publicului referitor la GDPR și protecția datelor în comparație cu lumea pre-GDPR. Nu cred că există o lipsă de interes pentru protejarea datelor cu caracter personal, dimpotrivă, cred că persoanele vizate sunt mult mai pretențioși în ceea ce privește protecția datelor lor cu caracter personal, mai mult decât oricând. Poate că are legătură cu faptul că GDPR, la fel ca multe alte legi, este un document lung, complex, care nu invită consumatorul obișnuit să-l parcurgă într-o duminică după-amiază. De asemenea, GDPR este un subiect dificil de înțeles pentru multe companii, astfel încât persoanele vizate pot fi iertate pentru că nu înțeleg pe deplin ce reprezintă acesta.

Care credeți ca vor fi consecințele pe termen lung cu privire la această lipsă de conștientizare a importanței datelor?

GW: Lipsa de conștientizare a societății referitor la oricare dintre legile care vizează consolidarea drepturilor individuale, va avea întotdeauna unele consecințe negative, indiferent de subiectul în cauză. Lipsa conștientizării de către persoanele vizate a consimțământului, de exemplu, (care, probabil, este cel mai bun exemplu la care putem face acum referire, având în vedere că, multe companii nu-l apreciază pe deplin), poate lăsa persoanele vizate vulnerabile pe termen lung în fața interfețelor manipulative și de limbaj și care le determină să facă alegeri nepotrivite privind prelucrarea datelor lor personale, fără a înțelege pe deplin consecințele. De asemenea, neînțelegerea pe deplin a numeroaselor baze legale disponibile companiilor, din cadrul GDPR, înseamnă că persoanele vizate ar putea fi rugate să accepte procesarea în circumstanțe complet inadecvate în cadrul GDPR. În plus, nivelurile scăzute de conștientizare pot pune persoanele vizate într-un dezavantaj deosebit atunci când fac plângeri împotriva organizațiilor, deoarece este puțin probabil ca acestea să fie conștiente de anvergura drepturilor legale care le sunt acordate sub GDPR.

Având în vedere atacurile cibernetice asupra sistemului de sănătate din România din ultimele săptămâni, ce pot face unitățile medicale pentru a se proteja împotriva atacurilor cibernetice?

GW: Din nefericire, recent a existat o tendință crescătoare de comitere a acestor atacuri cibernetice asupra instituțiilor medicale. Având în vedere câștigul potențial mare sub forma informațiilor pacientului sau a situațiilor financiare, instituțiile medicale sunt o țintă pentru hackeri. Instituțiile medicale care doresc să-și îmbunătățească securitatea și să se ferească de amenințări pot lua în considerare următoarele recomandări:

Identificați și evaluați vulnerabilitățile sistemului

Vulnerabilitățile se găsesc acolo unde hackerii pot obține acces in sistem și când pot introducere viruși pentru a vă încetini rețeaua, pentru a accesa informațiile critice de sănătate sau de a vă elimina softul de apărare, pentru a vă face sistemul mai accesibil în viitor. Această evaluare va oferi echipei dumneavoastră de Securitate toate informațiile necesare să analizeze și să prioritizeze riscurile.

Aflați mai multe despre ransomware (tip de software rău intenționat conceput să blocheze accesul la un sistem informatic până la plata unei sume de bani) și creați o politică de apărare

Atacurile ransomware amenință să blocheze un computer sau o întreagă rețea dacă nu este plătită o anumită sumă de bani. Când se întâmplă un astfel de incident, aplicarea unor politici și proceduri corespunzătoare poate fi foarte valoroasă. Angajații trebuie să știe ce trebuie să facă (adică să nu încerce să rezolve singuri problema) și pe cine să contacteze (de exemplu, departamentul IT); acest lucru ar trebui să facă parte din instruirea lor în materie de securitate și de conștientizarea generală asupra securității.

 Protejați datele de sănătate pe dispozitivele inteligente

Unitățile medicale dețin echipamente electronice foarte mult conectate, cum ar fi pompele de perfuzie sau de monitorizare insulină, care sincronizează de la distanță informațiile pacientului direct la tableta medicului sau la stația de lucru a unei asistente medicale. Toate aceste dispozitive ar putea fi atacate, perturbate sau dezactivate cibernetic, ceea ce ar putea afecta dramatic îngrijirea pacientului. Dispozitivele medicale conectate, în mod special, ar trebui monitorizate și să dețină protecție anti-virus, firewall-uri sau sisteme de apărare similare.

Luați în considerare migrația cloud

Clud-ul poate oferi o soluție sigură și flexibilă de stocare și salvare a datelor de asistență medicală. Soluțiile de salvare de rezervă și recuperare în caz de dezastre asigură ca înregistrările pacienților să rămână disponibile chiar și în cazul unei breșe sau a unei perioade de nefuncționare. Combinat cu opțiunea de control a accesului la date, astfel de soluții pot oferi securitatea atât de necesară.

Asigurați-vă că furnizorii sunt conformi

Unitățile de asistență medicală ar trebui să solicite furnizorilor să ia măsuri pentru a monitoriza și detecta amenințările și să limiteze accesul la sistemele lor. În calitate de operatori de date, instituțiile de asistență medicală trebuie să se asigure că societățile lor de asigurări, furnizorii de infrastructură și orice alți parteneri de afaceri din domeniul sănătății au sisteme de securitate impecabile pentru a putea proteja informațiile medicale.

Este esențial ca persoanele să identifice prelucrarea ilegală a datelor pentru a-și putea exercita drepturile. Cât de important este să-ți cunoști drepturile, atât timp cât nu poți identifica procesarea ilegală? Care ar trebui să fie focusul campaniilor de informare pentru oameni?

GW: Dreptul la protecția datelor este un drept fundamental al omului, consacrat în mai multe cărți privind drepturile omului. Spiritul GDPR este de a proteja persoana vizată și de a-i acorda un control mai mare asupra datelor sale personale. Drepturile individuale nu sunt concepute pentru a reacționa la prelucrarea ilegală a datelor - există o serie de drepturi gazdă care permit diferite tipuri de lucruri, de la solicitarea corectării informațiilor la ștergerea datelor. Fără o conștientizare a diferitelor tipuri de drepturi acordate de GDPR, acestea pot pierde o mare parte din obiectivul propus. Prin urmare, pentru societate în ansamblu, autoritățile pentru protecția datelor ar trebui să se concentreze asupra promovării gradului de conștientizare a drepturilor individuale de a proteja informațiile cu caracter personal și asupra a ceea ce pot face dacă consideră că acest aspect nu este întrunit. În contextul ocupării forței de muncă, angajatorii pot utiliza cursurile de e-learning ca o soluție eficientă din punct de vedere al costurilor și de economisire a timpului pentru a crește gradul de conștientizare și de a educa angajații a căror slujbă implică prelucrarea și stocarea datelor cu caracter personal.

Cine considerați că ar trebui să se implice mai mult în diseminarea importanței datelor personale? Instituțiile publice, autoritățile naționale de supraveghere sau ONG-urile pentru protecția datelor?

GW: Cred că toate părțile interesate joacă un rol în răspândirea mesajului de protecție a datelor cu caracter personal - de la instituțiile și organizațiile care procesează cantități mari de date cu caracter personal până la autoritățile naționale de reglementare în materie de protecție a datelor, care sunt însărcinate cu responsabilitatea pentru protejarea drepturilor de protecție a datelor. Cu toate acestea, importanța campaniilor active de sensibilizare a opiniei publice din partea autorităților de reglementare nu poate fi subestimată, deoarece aceste organisme promovează respectarea prin orientare, supraveghere și executare a GDPR.

Care sunt cele mai bune exemple de campanii de sensibilizare cu privire la importanța datelor personale pe care le-ați văzut recent?

GW: Campania "Datele dvs. contează" organizată de către ICO - biroul comisarului britanic pentru informații ", consider că a fost un proiect deosebit de eficient pentru a ajuta oamenii să înțeleagă modul în care își pot exercita drepturile referitor la datelor lor, utilizând materialele de publicitate. Ceea ce îmi place este că ICO folosește mai multe canale și aplicații media sociale pentru a comunica GIF, mini-filme și linkuri către resurse utile și sfaturi privind protecția datelor. Filmele lor o includ adesea pe doamna comisar - Elizabeth Denham, fapt care consider că este o modalitate foarte eficientă de personalizare a autorității de reglementare.

Credeți că amenzile au un rol important în aplicarea GDPR? Din experiența dvs. practică, cei mai mulți operatori respectă GDPR din răspundere sau de teama de amenzi?

GW: Aceasta este o întrebare tipică acum, mai ales în lumina anunțurilor de intenție ale ICO de a amenda British Airways și Marriot Hotels în cuantum de aproximativ 300mil.£. Sancțiunile financiare vor avea întotdeauna un rol de jucat în conformitate cu orice lege, în special în cazul în care legea GDPR în cauză și-a arătat colții pe care i-am văzut că îi are. Cred că conformitatea este determinată de mai mulți factori dintre care doar unul are potențial pentru sancțiuni financiare. Companiile care demonstrează că respectă și protejează datele personale ale clienților lor pot obține un avantaj competitiv pe piață. Trebuie reamintit faptul că mai multe dintre cele mai importante autorități ale UE pentru protecția datelor, inclusiv Comisia irlandeză pentru protecția datelor, au afirmat că abordarea lor privind supravegherea respectării legii este una de colaborare, consultare și educație, mai degrabă decât pur punitivă.

Ce inseamna aceasta prima amenda GDPR în Romania (articolul 25, 130.000 de euro)? Ce sfat acordați operatorilor pentru a evita investigarea și eventual amendarea de către autoritate?

GW: Recenta amendă UniCredit a fost una interesantă. Amenda subliniază principiul GDPR de confidențialitate by design și arată modul în care autoritatea de reglementare din România îmbrățișează noile tehnologii și obligațiile de conformitate. Din punct de vedere practic, cred că această amendă ar putea fi începutul unei abordări mai agresive a autorităților de reglementare din România în ceea ce privește respectarea normelor GDPR. Într-adevăr, cea de-a doua amendă de 15.000 EUR este recent emisă către World Trade Center București. Aceste două amenzi pot însemna pregătirea autorității de reglementare de a trece de la clemență la o aplicare activă.

Credeți că instituțiile publice ar trebui să fie un exemplu pentru restul operatorilor? Punem această întrebare deoarece în România avem un tratament preferențial pentru instituțiile publice, amenda maximă pentru nerespectarea GDPR este de 200.000 de lei (aproximativ 42.000 de euro), mult mai mică decât ceea ce riscă operatorii privați. Este o practică generală la nivel european?

GW: Alte autorități de reglementare din UE au adoptat o abordare similară prin care autoritățile publice sunt supuse unor amenzi maxime mai mici decât cele din sectorul privat. De exemplu, în Irlanda, Legea privind protecția datelor 2018 plasează orice amendă împotriva unui organism public la 1 milion de euro, cu mult mai mare decât ceea ce reprezintă în prezent legea din România. Ceea ce este interesant este că guvernul irlandez a încercat inițial să scutească organele din sectorul public în întregime de amenzi, dar a respins următoarele preocupări exprimate de comisarul pentru protecția datelor. Cu toate acestea, din motive de obiectivitate și echitate, această limită nu se aplică organismelor publice care concurează pe piața bunurilor și serviciilor. Ideea este că, în ceea ce privește protejarea drepturilor fundamentale, în mod cert, sunt solicitate standard înalte de către organismele publice care ar trebui să acționeze ca un exemplu pentru toate organizațiile.

Cum credeți că ar trebui să se comporte un utilizator de internet dacă este conștient de riscurile pe care le ascunde Internetul?

GW: Personal, nu simt că utilizarea internetului meu s-a schimbat atât de mult de la intrarea în vigoare a GDPR, de exemplu, dar poate sătul puțin de bannere despre cookie-uri pe fiecare site. Elementele de bază se aplică în continuare la fel de mult ca și până acum- dacă pare suspect, șansele sunt să fie. Sfaturile mele sunt: ​​asigurați-vă că utilizați o conexiune securizată de internet (VPN); limitați cantitatea de date cu caracter personal pe care le transmiteți site-urilor web, în ​​special în cazul în care vi se solicită informații pentru care site-ul nu deține un motiv real pentru a le colecta; folosiți parole puternice; cumpărați doar articole online de pe site-uri sigure; păstrați software-ul anti-virus și fiți atenți la ceea ce descărcați.

Accesul copiilor la Internet este deja normal. Ar trebui să ne îngrijoreze asta? Credeți că educația privind accesul copiilor la Internet ar trebui să fie o sarcină pentru părinți sau ar trebui sistemul educațional să își asume acest rol?

GW: Cred că amândoi au un rol în acest sens. Am primit prima mea "cărămidă" de telefon mobil Nokia când aveam 13 ani, cu care puteam să trimit mesaje text, să fac apeluri și să mă joc Snake - asta a fost tot. Derulați rapid înainte 20 de ani și găsiți copii cu mult mai mici de 13 ani, care au telefoane inteligente cu care pot face tot felul de lucruri și pot accesa toate tipurile de informații. Părinții cumpără telefoane atât de natural copiilor, încât trebuie să-și asume un grad de responsabilitate pentru educarea acestora în privința utilizării în siguranță a internetului. În același timp, școlile încorporează din ce în ce mai mult sistemul informatic în sistemul de învățământ, astfel încât și ei trebuie să se angajeze să răspândească mesajul despre utilizarea în siguranță a internetului. Consider că internetul este un lucru și  bun și rău pentru copii; pe de o parte, abilitatea copilului de a învăța este practic nelimitată, prin accesul la internet, iar cercetările arată că cei cu acces la internet învață să citească mai devreme și mai bine, să-și câștige încrederea în sine și să rețină mai bine informațiile decât prin învățarea tradițională. Pe de altă parte, fără supraveghere, internetul poate fi un loc periculos și subversiv. Totul se învârte în jurul unei utilizări sigure.

Care sunt sfaturile pe care le puteți oferi unei persoane vizate și unui operator?

GW: Pentru organizații, accentul trebuie acum pus pe conformarea continuă:

1. Întoarceți-vă și examinați-vă notificările privind confidențialitatea - amenda Google din Franța s-a bazat în mare măsură pe faptul că autoritatea de reglementare a constatat că politicile Google privind persoanele vizate sunt opace, nu sunt ușor de evaluat și se răspândesc în prea multe locații.
2. Unele autorități de reglementare (de exemplu ICO din Marea Britanie) elimină cerințele locale de înregistrare și plată a taxei anuale. Urmăriți acest lucru
3.  Viitorul unor mecanisme de transfer în țări terțe (clauze contractuale standard și "Shield Privacy") este în prezent îndoielnic. Începeți să evaluați alternative viabile, cum ar fi BCR etc.
4. Autoritățile de reglementare iau foarte serios nerespectarea drepturilor persoanelor vizate. Politicile și procedurile DSAR trebuie să fie în actualizate - încercați să le și perfecționați frecvent.
5. De mai mult de un an de la intrarea în vigoare a GDPR, s-ar putea să fie timpul să oferim angajaților un curs de perfecționare, în special în lumina extinderii activității recente de reglementare.
6. Nu lăsați GDPR să înăbușe oportunitățile de inovare, dar întotdeauna să aveți în vedere protecția datelor atunci când elaborați sau implementați un nou proces. Este mai ușor să încorporați confidențialitatea într-o arhitectură de sisteme de la început decât să încercați să modernizați mai târziu.

 Pentru persoanele vizate:

1. GDPR vă recomandă să aveți un control asupra informațiilor dumneavoastră cu caracter personal și vă oferă o serie de drepturi puternice care vă permit să faceți acest lucru. Nicio companie nu este proprietară a datelor dvs., trebui să știți întotdeauna ce se întâmplă cu ele.
2. Respectarea și protecția datelor dvs. personale este un drept fundamental al omului și un drept care va fi impus organizațiilor de către o autoritate de reglementare independentă.
3. Aveți întotdeauna dreptul de a depune o plângere la autoritatea locală pentru protecția datelor cu privire la ceea ce face o organizație cu datele dumneavoastră.

Daniela Simionovici a absolvit cursurile Universității Ștefan cel Mare din Suceava, specializarea Asistență socială și un master în consiliere și administrare resurse umane la aceeași universitate. A absolvit cursul postuniversitar de “Protecția datelor cu caracter personal” organizat de Facultatea de Drept și Științe Administrative ale aceleiași universități sucevene. Este membru ASCPD și a obținut titlul de „Cel mai bun DPO din România” împreună cu Echipa Nord Est DPO România la Târgu Mureș în iunie 2019. În calitate de Senior Partner la NeoPrivacy România, oferă consultanță în domeniul implementării Regulamentului general privind protecția datelor (GDPR) și oferă și servicii de Responsabil cu protecția datelor personale în regim externalizat (DPO). Participă constant la seminare, dezbateri și conferințe dedicate protecției datelor personale și împărtășește din experiența sa scriind articole și cărți dedicate domeniului protecției datelor din perspectiva practicianului. La sfârșitul lunii Septembrie 2020 a moderat Webinarul LIVE dpo.TALKS unde alături de Mihai Ghiță, Cofondator Sypher Solutions, a analizat provocările profesionale ale DPO-ului în contextul actual.  

Daniela a acceptat să ofere un interviu în exclusivitate pentru cititorii dpo-NET.ro, reușind să ne trezească interesul tuturor pentru un subiect atât de important pentru orice companie care își propune să adopte și să implementeze principiile GDPR: “Amenzile GDPR”. 

Dacă ar fi să facem o radiografie succintă a amenzilor GDPR la nivel european, cum ar arăta?

D.S.: Respectarea dreptului persoanelor vizate la protecția datelor este un drept fundamental, chiar dacă nu este absolut, iar acest lucru presupune că operatorii de date personale trebuie să-și îndeplinească obligațiile care le revin conform prevederilor GDPR.

Indiferent de domeniul specific de activitate al operatorilor sau al PI, indiferent dacă sunt sau nu obligați să numească un DPO sau să întocmească evidențele prevăzute de art. 30, toți operatorii de date personale sunt obligați să respecte principiile GDPR și vom face trimitere explicită la respectarea principiului responsabilității, adică la faptul că toți operatorii și PI trebuie să facă dovada că respectă și implementează corect prevederile GDPR, lucru care, dacă se întâmplă, reduce semnificativ riscul amenzilor GDPR.

Motivele pentru care s-au aplicat cele mai multe amenzi GDPR în acest an au fost stabilirea incorectă sau insuficientă a temeiului legal de prelucrare a datelor și corelarea acestuia cu scopurile prelucrării și insuficiența măsurilor tehnice și organizatorice de securitate a datelor implementate de operatori se află în topul european, dar și în cel românesc în ce privește numărul și cuantumul amenzilor GDPR aplicate de autoritățile de supraveghere și nerespectarea principiilor GDPR de prelucrare a datelor. 

Care este mesajul, legat de aceste amenzi GDPR, pe care un operator de date ar trebui să îl rețină?

D.S.: Se vorbește foarte mult despre amenzile GDPR, despre cuantumul acestora, despre caracterul disuasiv, sau nu al acestora, dar se pierde din vedere faptul că măsurile corective sunt mult mai importante și cu consecințe mai grave decât amenda, per se, în sensul în care, spre exemplu, unui operator căruia i se stabilește măsura corectivă a suspendării chiar și temporare a prelucrării datelor personale, până la corectarea deficiențelor constatate de autoritatea de supraveghere, înseamnă că, nemaiputând să prelucreze date personale, operatorul își suspendă, de fapt, activitatea până când autoritatea ridică măsura suspendării prelucrării datelor.

Am dori să atragem atenția asupra prevederilor art. 29, alin. (2) din Procedura ANSPDCP de efectuare a investigațiilor unde se precizează: „(2) Introducerea contestației [Împotriva procesului-verbal de constatare/sancționare și/sau a deciziei de aplicare a măsurilor corective – n.a.] suspendă NUMAI plata amenzii, până la pronunțarea unei hotărâri judecătorești definitive.”

Operatorii ar trebui să fie conștienți de faptul că, și dacă remediază imediat deficiențele constatate de autoritate și pentru care s-a aplicat măsura corectivă a suspendării prelucrării datelor personale, acest lucru nu înseamnă că autoritatea de supraveghere se mișcă la fel de repede. Prin urmare, riscă să se confrunte cu o perioadă destul de lungă în care nu își pot desfășura activitatea! Ca atare, o amendă, deși nu e de neglijat, mai ales dacă suma este foarte mare, nu înseamnă decât bani, totuși, pe când suspendarea activității pe perioade oricât de scurte ar putea însemna pierderi financiare mult mai mari.

Ați moderat Webinarul dpo.Talks de la sfarsitul lunii septembrie. Care este cea mai surprinzătoare concluzie la care ați ajuns? 

D.S.: Constat ca există o preocupare reală în rândul DPO din toate entitățile legate de numirea forțată a acestora pe postul de DPO, de multe ori în situații evidente de incompatibilitate. Numirea / desemnarea forțată și de formă, pe hârtie, a unui DPO este o realitate care poate avea și chiar are consecințe negative sub aspectul amenzilor GDPR. O soluție pentru evitarea amenzilor GDPR în acest caz, dar și pentru păstrarea unui mediu de lucru armonios într-o entitate ar fi ca operatorii să convingă și să motiveze, nu să oblige un angajat să devină DPO, să-i liniștească temerile și să-l facă să accepte cu ușurința aceste noi sarcini, mai ales dacă acest salariat vede că operatorul se implică, îi alocă resurse de toate tipurile, dacă operatorul conștientizează faptul că trebuie să cheltuie suplimentar pentru instruirea DPO-ului și pentru formarea continuă a acestuia etc. Relația între DPO și operator nu trebuie să se desfășoare de pe poziții de forță, ci pe un nivel de cooperare și colaborare responsabilă. Evitarea situațiilor de incompatibilitate se poate face aplicând un filtru relativ simplu: DPO-ul nu poate desfășura alte activități care l-ar pune în situația de a se audita/monitoriza singur, iar în Ghidul privind responsabilul pentru protecția datelor (DPO), raportat la art. 37-39 din RGDP se găsesc toate îndrumările de care un operator ar avea nevoie pentru a desemna un DPO în mod corect. Numirea unui DPO incompatibil este purtătoare de sancțiuni, iar soluția evitării amenzilor GDPR în acest caz este exact opusul acestei realități, adică numirea corectă a unui DPO evitându-se situațiile de conflict de interese și de incompatibilitate.

Are DPO-ul român resursele necesare pentru a-și desfășura activitatea ?

D.S.: Foarte mulți DPO sesizează și reclamă faptul că nu au resursele necesare pentru a-și desfășura activitatea. Asigurarea resurselor pentru această activitate este obligația operatorului, iar în Regulament sunt menționate explicit și resursele care trebuie alocate, inclusiv pentru instruirea DPO-ului, nu doar cele care vin imediat în mintea unui operator, cum ar fi birotică, papetărie și cam atât. În acest sens, art. 38, alin. 2 este cât se poate de explicit: “(2) Operatorul și persoana împuternicită de operator sprijină responsabilul cu protecția datelor în îndeplinirea sarcinilor menționate la articolul 39, asigurându-i resursele necesare pentru executarea acestor sarcini, precum și accesarea datelor cu caracter personal și a operațiunilor de prelucrare, și pentru menținerea cunoștințelor sale de specialitate.” DPO-ul, în funcție de mărimea organizației, ar putea avea nevoie și de o echipă pluridisciplinară, care să includă cel puțin un jurist și / sau un IT-ist, de un birou propriu, securizat corespunzător, de o colecție, dacă nu de o bibliotecă proprie de materiale bibliografice de specialitate etc. În cazul producerii unei breșe de securitate urmată de o amendă, argumente de tipul “Nu am știut!” sau “Nu avem fonduri suficiente să alocăm și pentru DPO pentru că suntem în criză economică!” sunt irelevante și, chiar dacă nu vor fi interpretate de autoritatea de supraveghere ca circumstanțe agravante, nici nu vor fi luate în considerare ca argumente pentru clemență dusă până la iertarea “păcătosului”. Dacă lipsa de resurse poate fi purtătoare de sancțiuni GDPR, soluția evitării acestora sau a reducerii riscului amenzilor GDPR este bugetarea corespunzătoare a activității DPO-ului. Operatorii ar trebui să includă în bugetul anual de cheltuieli și resursele necesare pentru implementarea GDPR, dar și pentru menținerea conformității, pentru că procesul de conformare GDPR a entității este continuu și este egal cu durata de viață a entității.

Este DPO-ul român investit cu autoritatea necesară pentru a-și putea desfășura activitatea în mod corespunzător ? 

D.S.: DPO-ul nu este învestit de operator cu autoritatea necesară pentru a-și putea desfășura activitatea în mod corespunzător și, mai rău, este chiar ignorat de conducere. Această autoritate absolut necesară DPO-ului nu înseamnă că acesta devine un fel de șef peste ceilalți colegi, pe care-i poate sancționa, ci că este ascultat atunci când trasează sarcini și responsabilități pe linie de GDPR și că beneficiază, pe de o parte, de sprijinul conducerii, pe de altă parte, obține cooperarea și colaborarea responsabilă și implicată a tuturor salariaților care prelucrează date personale. NU DPO-ul este cel care stabilește sancțiunile într-o entitate, ci conducerea acesteia, iar DPO-ul NU face parte din conducere! DPO-ul nu trebuie văzut ca un mic despot în entitate, ci ca pe un garant pentru persoanele vizate că prelucrarea datelor personale se face respectând principiile GDPR, iar operatorul trebuie să-l vadă ca pe o resursă reală pe care, dacă o folosește corespunzător, chiar îndepărtează de entitatea sa riscul contactului cu autoritatea de supraveghere și, implicit, reduce riscul amenzilor. Dacă autoritatea DPO-ului se limitează la transformarea acestuia într-un producător și arhivar de hârtii, de proceduri, politici și chestionare de audit, ușa spre amenzile GDPR este larg deschisă, iar operatorii n-ar trebui să fie nici surprinși, nici nemulțumiți că sunt sancționați. Prin urmare, soluția pentru reducerea riscului amenzilor GDPR în această situație presupune ca DPO-ul să primească autoritate din partea operatorului, iar acesta din urmă să se asigure că toți ceilalți salariați o respectă. Învestirea cu autoritate a DPO-ului nu se limitează la o simplă decizie internă și la semnarea unui proces verbal de luare la cunoștință din partea salariaților, ea trebuie să producă efecte reale.

În ce privește implicarea la timp a DPO-ului în activitățile de protecție a datelor personale vom atrage atenția operatorilor asupra faptului că lipsa încrederii în salariatul desemnat ca DPO nu este o justificare per se, ba, mai mult, în cazul producerii unei breșe de securitate poate fi un indicator clar al unor disfuncționalități grave și a unei stări de dezorganizare la nivelul entității și care nu pot fi estompate de existența unei documentații de conformitate GDPR, oricât de bine și de frumos ar fi întocmită. Cu alte cuvinte, operatorul nu are nicio scuză în fața autorității de supraveghere pentru că a numit un DPO în care nu are încredere și, pe aceasta bază, operatorul nu-și respectă obligația prevăzută de art. 38, alin. 1 din Regulament: “(1) Operatorul și persoana împuternicită de operator se asigură că responsabilul cu protecția datelor este implicat în mod corespunzător și în timp util în toate aspectele legate de protecția datelor cu caracter personal.”

Mai mult decât această implicare, operatorul trebuie să asigure independența DPO-ului, în sensul art. 38, alin. 3 din Regulament: “(3) Operatorul și persoana împuternicită de operator se asigură că responsabilul cu protecția datelor nu primește niciun fel de instrucțiuni în ceea ce privește îndeplinirea acestor sarcini. Acesta nu este demis sau sancționat de către operator sau de persoana împuternicită de operator pentru îndeplinirea sarcinilor sale. Responsabilul cu protecția datelor răspunde direct în fața celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator.” Independența DPO-ului este o altă piedică majoră în entitățile în care acesta este numit de formă și se poate trezi că fiecare șef ierarhic superior pe linia activităților de bază îi spune DPO-ului ce și cum să facă și pe linie de GDPR.

Toate aceste trei situații în care probabilitatea primirii unei amenzi este foarte mare, pot fi evitate, sau măcar redus riscul unei amenzi GDPR prin implicarea operatorului. De acesta depinde, aproape în exclusivitate, ca aceste sancțiuni să nu apară.

Există o preocupare reală legată de răspunderea DPO-ului? În ce măsură DPO-ul poate fi tras la răspundere și poate suporta consecințe negative în cazul implementării necorespunzătoare a GDPR-ului în entitate, mai ales în cazul amenzilor?

D.S.: Se cuvine să punctăm întâi faptul că această temere provine din traducerea nepotrivită a termenului DPO în limba română. În limba engleză, ca, de astfel și în celelalte limbi în care a fost tradus Regulamentul 679/2016, înseamnă Ofițer cu Protecția Datelor - Data Protection Officer și nu RESPONSABIL cu protecția datelor cu caracter personal, inducând, astfel, ideea că persoana care ocupă aceasta funcție este responsabilă de implementarea GDPR. Implementarea GDPR este obligația și implicit responsabilitatea operatorului (a angajatorului) și nu a salariatului numit pe postul de DPO.

În al doilea rând, DPO-ul răspunde legal dacă a produs prejudicii operatorului încălcând alte prevederi legale. Spre exemplu, DPO-ul nu poate fi concediat pentru îndeplinirea funcțiilor și sarcinilor sale specifice, adică nu poate fi concediat pentru că insistă pe lângă operator să-i asigure resurse, sau dă un aviz nefavorabil pentru o anumită activitate de prelucrare de date pe care o consideră riscantă dacă nu se iau măsuri de remediere a deficiențelor, dacă, însă, fură din bunurile angajatorului, provoacă distrugeri, îi perturbă activitatea, consuma alcool în timpul programului, se implică / se lasă implicat în altercații / agresiuni / violențe etc., este pasibil de sancțiuni disciplinare, administrative, penale etc.

Externalizarea serviciului de implementare GDPR este o soluție viabilă și care sunt limitele de responsabilitate ale prestatorilor de servicii în cazul amenzilor GDPR?

D.S.: La această întrebare răspunsul este categoric DA, externalizarea serviciului de protecție a datelor este o soluție foarte bună în multe contexte, dar, operatorii trebuie să ia în calcul câteva aspecte foarte importante:

Operatorii răspund oricum și sunt pasibili de amendă dacă externalizează serviciul către prestatorul nepotrivit, care nu demonstrează că are competențe și experiență adecvată în domeniu și care nu demonstrează că poate securiza datele personale încredințate spre prelucrare în mod corespunzător. Dacă operatorul externalizează serviciul de implementare GDPR către o firmă specializată în vânzarea de legume, dar care pretinde că are codul CAEN potrivit pentru a putea oferi și consultanță GDPR, amenda este ca și scrisă pentru operator. Verificarea sistemului de expertiză și de reputație al prestatorului este obligația operatorului. 

Operatorii răspund oricum și sunt pasibili de amendă dacă nu-și exercită la timp și corect instrumentul controlului asupra prestatorului pentru a se asigura, continuu, că acesta respectă condițiile contractuale în ce privește confidențialitatea și securitatea datelor personale încredințate spre prelucrare. Prestatorul de servicii externalizate ar putea fi sancționat doar dacă operatorul ar putea demonstra fără urmă de dubiu că vina este exclusiv a prestatorului. În teorie, operatorul și prestatorul ar putea răspunde solidar în fața autorității de supraveghere, în practică, însă, se va considera că partea cea mai mare de vină o deține operatorul, deoarece nu și-a exercitat în mod corespunzător instrumentul controlului pe care doar el îl deține. Poate, nu întâmplător, în limba engleză operatorul este numit controller. Ne putem afla, iarăși, în fața unei traduceri neinspirate în limba română a acestui termen, deoarece creează confuzii și poate induce ideea că operatorul prelucrează personal date cu caracter personal, deși este posibil ca cel mai înalt nivel al conducerii să nu se afle în această situație. Cel mai înalt nivel al conducerii entității, însă, are obligația de a folosi acest instrument al controlului pe care doar el îl deține, și asupra angajaților, și asupra împuterniciților săi.

În ce privește externalizarea serviciului de DPO, deși tentant și foarte comod pentru operator, în aparență, în realitate poate avea efecte pervese. Un DPO conectat la entitate va ști mereu, cu o precizie foarte mare, ce se întâmplă în organizație, unde se află documentele, în grija cui se află și cum le securizează, va putea monitoriza în timp real respectarea măsurilor de securitate implementate de entitate etc. și, cel mai important aspect, în cazul investigațiilor efectuate de autoritatea de supraveghere la sediul operatorului, va fi mult mai expeditiv, mai sigur pe sine și mai organizat în îndeplinirea solicitărilor echipei de investigații decât un DPO extern. Modul în care se poate organiza un DPO intern față de un DPO extern poate face diferența între o amendă și un avertisment însoțite, sau nu, de măsuri corective, sau s-ar putea traduce cel puțin în reducerea valorii amenzii. Această diferență nu este dată de incompetența unui DPO extern, ci de organizarea operatorului. Un DPO extern are cu atât mai mult nevoie de cooperarea operatorului, cu cât nu poate fi prezent în entitate așa cum este un DPO intern. Ori, dacă operatorul este dispus să ofere acest sprijin, cea mai bună combinație în opinia noastră și care ar reduce considerabil riscul amenzilor GDPR ar fi DPO intern și consultant extern pentru audituri, monitorizare, DPO coaching și / sau instruire salariați.

Dacă ar fi să sintetizăm într-o singură frază răspunsul la întrebarea “Cum reducem riscul amenzilor GDPR?” care ar fi acesta?

D.S.: “Riscul amenzilor GDPR scade foarte mult prin responsabilizare, cooperare și implicare, adică, în primul rând prin elemente ce țin de natura umană și abia apoi de partea tehnică, adică de instrumente de lucru, aplicații, programe etc.”

Portalul dpo-NET.ro - Data Protection Officers Network reia organizarea evenimentelor dpo.TALKS și organizează împreună cu Sypher Solutions și NeoPrivacy România, în data de 30 Septembrie 2020, în intervalul orar 10.00-11.30, o dezbatere online pe tema "Cum reducem riscul amenzilor GDPR ?", aducând în prim plan problema respectării  principiilor și prevederilor Regulamentului UE 679/2016. 

Vom analiza împreună cu Mihai Ghita, Cofondator Sypher Solutions și Daniela Simionovici, Senior Partner NeoPrivacy Romania, măsurile luate de autorități europene de protecția datelor cu caracter personal  în aceasta perioada. Vom pune accent pe provocarile profesionale cu care se confruntă DPO-ul  în aceasta perioada, si pe importanta implementării unor soluții pentru reducerea riscurilor amenzilor GDPR. 

Mihai Ghita are peste 20 de ani de experiență în industria de asigurări și în dezvoltarea de software de vânzări online pentru brokeri și companii de asigurări și este specializat în optimizarea experienței utilizatorilor de aplicații web, managementul și arhitectura produselor software și lucrează în permanență pentru a îmbunătăți funcționalitatea și platformei Sypher Solutions. Mihai a acceptat să ofere acest interviu în exclusivitate pentru Portalul dpo-NET.ro - Data Protection Officers Network.

Pandemia COVID-19 a schimbat semnificativ activitatea tuturor profesionistilor si acum s-au remarcat cei care s-au putut adapta mai usor. Cum a fost afectat, in opinia dumneavoastra, domeniul protectiei datelor cu caracter personal?

MG: Pandemia din acest an a actionat ca un accelerator pentru deciziile de adoptare de noi tehnologii pentru ca, in doar cateva luni, a devenit clar ca digitalizarea nu mai este optionala, ci absolut necesara pentru supravietuirea companiilor.

Asta a facut ca proiecte care, in mod uzual ar fi luat chiar si ani de zile pentru analiza si planificare, sa se lanseze in regim de urgenta, fiind practic imposibil sa se ia in considerare toate efectele “secundare”.

Prioritatea a fost, cum este si normal, restabilirea rapida a functionarii companiei, iar in acest context cu siguranta s-au facut compromisuri privind protectia datelor. Compromisuri ce vor trebui insa rezolvate pe masura ce situatia se indreapta treptat spre normalitate.

Digitalizarea "pe repede-inainte" a fost de multe ori solutia pentru continuarea activitatii si astfel astazi vorbim mai mult decat oricand de telemunca sau teleeducatie. Cum se poate desfasura activitatea unui DPO in conditii de telemunca?

MG: Principalele provocari ale unui DPO sunt sa monitorizeze gradul de conformare a companiei cu cerintele GDPR si sa se asigure ca fiecare angajat isi cunoaste si isi indeplineste responsabilitatile privind protectia datelor si comunica cu echipa de conformitate atunci cand este nevoie.

“Telemunca” se impaca bine cu digitalizarea si nu ar trebui sa aiba un impact major pentru DPO daca exista deja o platforma software pentru controlul si supravegherea conformitatii, care poate fi folosita de toti angajatii cu responsabilitati in domeniu.

MG: La polul opus este situatia in care procesul de asigurare a conformitatii este preponderent manual sau alocat disproportionat de mult in sarcina echipei de conformitate.

Nici in acest caz problema principala nu este insa telemunca, ci mai degraba ineficienta implicita a abordarii.

Care sunt riscurile digitalizarii de pe o zi pe alta? Cum credeti ca ar fi trebuit sa fie adoptata aceasta tehnica pentru a asigura continuitatea afacerilor?

MG: Acum un an digitalizarea era o modalitate de a optimiza costurile si procesele. Astazi insa, pentru multe companii, digitalizarea este cea care asigura continuitatea afacerii.

Digitalizarea presupune gasirea de furnizori si solutii tehnice, dezvoltari, implementari, conectari, modificari de procese si proceduri.

Fiecare dintre acestea introduce riscuri noi, care trebuie identificate, evaluate si adresate, iar urgentarea procesului face posibila aparitia de brese procedurale si de securitate.

Urgenta nu inseamna insa renuntarea la precautii si analiza. Chiar si cu timp si resurse limitate se poate actiona asupra reducerii riscului prin identificarea proceselor a caror digitalizare are impact maxim pentru functionarea companiei si alocarea cu prioritate a resurselor de analiza si control al riscului catre acestea.

Capacitatea de a inova va schimba, cu siguranta, topurile economice internationale. Cum a inovat compania Sypher pentru a se adapta "noului model de bussines”?

MG: Sypher a aparut pentru ca digitalizarea procesului de gestionare a conformitatii este singura modalitate realista prin care companiile pot sa respecte cerintele GDPR.

Am pornit insa din primul moment de la principiul ca platforma Sypher trebuie sa fie nu doar un instrument de raportare si control pentru management, ci si sa usureze munca tuturor celor care au responsabilitati legate de GDPR.

Acest principiu ne-a ajutat sa ramanem mereu centrati pe identificarea si rezolvarea problemelor practice ale echipelor de conformitate si sa dezvoltam facilitati care nu se regasesc in alte platforme: harta vizuala dinamica a activitatilor, instrumentele de validare a registrului si a proiectului si, nu in ultimul rand, Asistentul virtual GDPR pentru echipele de conformitate.

Participati in data de 30 Septembrie 2020 ca si key-speaker in cadrului webinarului dpo.TALKS avand ca tema "Cum sa reducem riscul amenzilor GDPR?". Exista o reteta pe care urmeaza sa o prezentati?

MG: Oamenii sunt diferiti. De aceea nu exista o reteta universala de slabit sau pentru o viata sanatoasa. Exista insa principii care te pot ajuta sa ajungi la greutatea dorita sau sa iti mentii sanatatea.

Companiile sunt si ele diferite si cu cerinte diferite cand vine vorba de conformitate.

De aceea nu voi prezenta retete, ci voi discuta despre modul practic in care principiile GDPR te pot ajuta sa documentezi si sa demonstrezi conformitatea cu cerintele privind protectia datelor.

WEBINARUL ESTE TRANSMIS LIVE PE PLATFORMA https://conferinte-live.ro/ si pe pagina de Facebook Dpo-NET.ro - Data Protection Officers Network - https://www.facebook.com/dponet.ro

Evenimentul este inregistrat si este disponibil in spatiul public pentru a asigura accesul la informatii cator mai multe persoane si dupa acest eveniment.

AGENDA - dpo.TALKS - “Cum reducem riscul amenzilor GDPR ?” - 30.09.2020 - 10.00-11.30

• Invitat: Mihai Ghita, Cofondator Sypher Solutions
• Moderator: Daniela Simionovici, Senior Partner NeoPrivacy Romania

09.45 - 10.00 - Inregistrarea participantilor in platforma online

10.00 - 10.30 - Provocarile profesionale ale DPO-ului in contextul actual / Sinteza amenzilor GDPR aplicate la nivel european in 2020

10.30 - 11.00 - Studiu de caz: Asistentul Virtual GDPR Sypher ca solutie pentru reducerea riscurilor amenzilor GDPR si digitalizarea activitatii DPO-ului

11.00 - 11.30 - Sesiune de intrebari si raspunsuri

Inscrierea se face exclusiv prin completarea urmatorului formular.