Ovidiu Ionescu a absolvit Facultatea de Administrație Publică, din cadrul SNSPA, în anul 2013 și Facultatea de Drept, Universitatea Titu Maiorescu, în anul 2017. A urmat 7 ani de formare juridică  dobândită  în domeniul notarial. Începând cu 1 mai 2018 și-a început activitatea în domeniul protecției datelor cu caracter personal. Timp de șapte luni a oferit consultanță pentru companii private, iar din februarie 2019 şi-a început activitatea ca Responsabil pentru Protecția Datelor în cadrul KRUK Romania. În vara anului 2019 a obținut acreditarea ANC în cadrul Institutului Bancar Român, susținând lucrarea „Protecția datelor cu caracter personal în domeniul investigaților private”. Ovidiu îşi continuă pregătirea profesinală  și anul acesta prin parcurgerea cursului PECB inc., în vederea acreditării internaționale.

În rețeaua profesională, Ovidiu spune despre el că, în calitate de jurist, cultivă verticalitatea, iar în activitatea pe care o desfășoară asigură protecția dreptului persoanei la viață privată. Valori precum dreptatea, corectitudinea și respectul față de om sunt esențiale și le va cultiva întotdeauna.

Ovidiu Ionescu e unul din lectorii Workshop-ulului dpo.Tools organizat de Portalul dpo-NET.ro - Data Protection Officers Network, în data de 12 Mai 2020 (10:00 - 12:00), în parteneriat cu SYPHER, Wolters Kluwer România, NeoPrivacy România, Kruk Romania si NetSpace - GDPR Division, abordand o tema de mare interes, "Provocarile procesului de CARTOGRAFIERE". Evenimentul isi propune sa analizeze, intr-un mod pragmatic, etapele procesului de cartografiere, dificultatile intalnite precum si solutiile care pot ajuta DPO-ul sa indeplineasca si sa gestioneze cu succes aceasta sarcina.

PARTICIPAREA ESTE GRATUITA. Webinarul are loc in limba romana pe Microsoft Teams si se va adresa comunitatii specialistilor in confidentialitate si securitatea datelor din Romania, fiind un eveniment cu acces GRATUIT. Locurile sunt limitate, numarul maxim fiind de 250 de persoane. Evenimentul va fi inregistrat si ulterior postat in spatiul public pentru a asigura accesul la informatii cator mai multe persoane si dupa acest eveniment. Inscrierile se pot face prin intermediul acestei pagini dedicate evenimentului. 

Ovidiu Ionescu a acceptat să ofere un interviu în exclusivitate pentru cititorii dpo-NET.ro, reușind să ne trezească interesul tuturor pentru un subiect atât de important pentru orice companie care își propune să adopte și să implementeze principiile GDPR: "Cartografierea in contextul GDPR. Indicator al responsabilității prelucrării."

Cât de importantă este cartografierea datelor pentru un DPO? Dar pentru operator?

Cartografierea datelor este „actul”, tabel și diagramă sau sistem informatic, care oferă, atât DPO-ului, cât și operatorului, o imagine de ansamblu asupra activităților de prelucrare a datelor. Aceasta oferă trasabilitate în cadrul procesului de prelucrare a datelor, însă chiar și trasabilitatea, specifică unei hărți, este doar o parte din beneficiile aduse de procesul de cartografiere a datelor.

Cartografierea datelor îți oferă, într-un cadru centralizat, informații despre tipurile de date prelucrate, motivele prelucrării, sursa acestora, temeiurile juridice, perioadele specifice de stocare, locurile în care acestea sunt stocate și măsurile tehnice și organizatorice aplicate fiecărei activităţi de prelucrare în parte. Mai mult decât atât, în privința fluxului de date, cartografierea include destinatarii datelor, calitatea părților (ex. persoană împuternicită de operator, operator asociat, separat, instituție publică.) și măsurile care sunt luate în cazul transferurilor de date către acești destinatari.

Pentru DPO, cartografierea datelor reprezintă imaginea de ansamblu relevantă a activităților de prelucrare din cadrul unei companii. Este mijlocul prin care acesta își poate îndeplini sarcinile atribuite, cum ar fi monitorizarea respectării regulamentului, oferirea unei consilieri concludente operatorului și angajaților acestuia sau soluționarea cererilor de acces venite din partea persoanelor vizate.

De asemenea, supervizarea unui proces de cartografiere a datelor de către DPO este cel mai bun mijloc prin care acesta poate să cunoască efectiv activitățile de prelucrare din cadrul companiei. Din punctul meu de vedere, acest proces stă la baza oricărui plan de implementare a Regulamentului General privind Protecția Datelor și este esențial să fie elaborat în prima fază a implementării.

Pentru operator, cartografierea datelor ajută în contextul aplicării principiului responsabilității prevăzut de articolul 5, alineatul 2 din Regulament, căci, astfel, operatorul poate dovedi fără echivoc întocmirea evidenței activităților de prelucrare. Dar aceasta este doar un beneficiu al cartografierii. Pot fi operatori care nu au  obligația întocmirii unei evidențe a activităților de prelucrare, iar aceste categorii de operatorii ar putea fi tentați cu ușurință, să nu vadă acest beneficiu.

Cu toate acestea, cartografierea datelor ajută, pe de o parte, la stabilirea bazei legale pentru fiecare activitate de prelucrare în parte, iar, pe de altă parte, la elaborarea unor note de informare corespunzătoare, precum și a unor politici și registre specifice, cum ar fi managementul accesului utilizatorilor, registrul operatorilor, registrul persoanelor împuternicite, politici de reținere a datelor, politici privind documentele fizice, norme pentru utilizarea echipamentelor digitale, contribuind chiar și la elaborarea politici de securitate a informației. Cu alte cuvinte, trecând prin procesul de cartografiere a datelor, operatorul poate lua măsuri care să asigure principiul legalității, transparenței și echității, poate minimiza datele, acolo unde identifică că sunt excesive, poate limita scopul, acolo unde este irelevant sau ilegal, poate stabili termenele de reținere specifice și, mai ales, poate stabili măsurile tehnice și organizatorice corespunzătoare, asigurând integritatea și confidențialitatea.

Altfel spus, având în vederea că dovedirea aplicării și respectării regulamentului este principiul de bază, cartografierea completă este o probă care stă la baza construiri altor probe concludente ori în limbaj juridic a „unui început de probă”.

Evaluarea Impactului asupra Protecției Datelor este un alt proces care poate fi ușurat cu ajutorul unei cartografieri corespunzătoare a datelor, întrucât poate contribui foarte bine la descrierea fluxului datelor, a nivelului de confidențialitate al acestora și a riscurilor asociate prelucrării.

Care sunt principalele provocări în cadrul procesului de cartografiere?

Personal, cred că cea mai mare provocare a acestui proces este identificarea datelor. În mod simetric, beneficiul ideal rezultat din cartografierea datelor și din toate acțiunile ulterioare, este curățenia și ordinea în activitățile de prelucrare și efectiv în cadrul întregii activități a companiei. Responsabilitatea față de prelucrare este o cultură, din punctul meu de vedere, și o carte de vizită foarte prețioasă în relațiile de afaceri, atât cu partenerii cât și cu clienții.

Revenind la provocări și la identificarea datelor, într-adevăr, identificarea se poate arăta dificilă uneori, întrucât, în lipsa unui cadru normativ general, imperativ și coercitiv, până în anul 2018 nu toți operatorii au cultivat protecția datelor la un standard ridicat. Astfel, în lipsa unor reguli interne de gestionare și păstrare a datelor cu caracter personal, datele nu au fost întotdeauna prelucrate și stocate în mod controlat.

Din punctul meu de vedere, având în vedere cultura pe care Regulamentul o propune și esența acestuia, precum și principii de bază, cum ar fi respectul față de celălalt, consider demn de apreciat orice operator care este pregătit să o ia de la zero, elaborând o cartografiere completă a datelor, culegând și păstrând doar acele date care sunt absolut esențiale afacerii și curățând întreaga infrastructură fizică și digitală. În felul acesta, se pot evita riscurile generate de activitățile din trecut și se poate porni  cu pași siguri către o construcție sănătoasă în materie de protecție a datelor cu caracter personal. Desigur, pe cât de necesar este, pe atât de ideal poate părea. Complexitatea, amploarea și vechimea unor afaceri, pot să facă dificil de aplicat, dintr-o dată, un astfel de proiect de „punct zero”. În cazul acestor afaceri, curățenia, cartografierea și construirea noilor mecanisme se face treptat, concomitent.

O altă provocare este identificarea măsurilor tehnice și organizatorice corespunzătoare pentru asigurarea protecției datelor și a controlului asupra acestora. Necesitatea acestor măsuri apare odată cu cartografierea datelor.

Regulamentul, atunci când se referă la securitatea prelucrării, face referire la nivelul actual al dezvoltării, termen care, fiind tradus din „state of the art” în limba engleză, se definește ca cel mai înalt nivel de dezvoltare generală privind un dispozitiv, o tehnică sau un domeniu științific, la un moment dat. Astfel, aplicarea măsurilor tehnice atât de importante pentru integritatea și confidențialitatea datelor, poate presupune un consum economic ridicat pentru anumiți operatori, având în vedere specificul activității fiecăruia. Astfel, pot exista companii mici, care, prin prisma activității pe care o desfășoară sunt nevoite să aplice un nivel de securitate ridicat și măsuri organizaționale complexe. Primul exemplu care îmi vine minte, este o firmă de recrutare, dar la fel de bine pot exista companii mici care desfășoară activități cu date sensibile, cum ar fi cele în domeniul medical.

Acești operatori optează deseori pentru resurse modeste de implementare a măsurilor tehnice și organizatorice de protecție a datelor și optează pentru o implementare progresivă a măsurilor. Din acest punct de vedere, identificarea măsurilor de bază pentru a asigura o protecție responsabilă în faza inițială de implementare poate deveni, uneori, o provocare.

Un aspect important care cred că trebuie cultivat este apetitul pentru schimbare. Așa cum nici cartografierea nu este o activitate statică, care se face odată și gata, nici implementarea nu este o activitatea dintr-o dată, ci o activitate continuă, care trebuie monitorizată și controlată constant și revizuită periodic. La fel, activitatea DPO-ului este o activitate în continuă desfășurare.

Ce sfaturi ai pentru cartografierea datelor?

Sfatul meu principal pentru operatori este de a efectua cartografierea datelor într-o manieră cât mai exactă și mai elaborată, astfel încât să asigure controlul asupra datelor. E un mijloc care, cum spuneam anterior, nu ușurează doar munca DPO-ului, ci ajută compania în ansamblul ei și care poate, astfel, reglementa, dezvolta și proba o practică coerentă în interiorul companiei, cu partenerii de afaceri, autoritățile sau clienții.

De asemenea, este foarte important să implice toate departamentele în acest proces și, înainte de asta, să arate importanța și beneficiile asigurării protecției datelor, astfel încât să se asigure că toți colegii din subordine tratează acest subiect în mod constructiv și cu deschidere. Este foarte importantă transparența, pentru a asigura ulterior transparență, astfel că aceasta trebuie să pornească de la conducere, să meargă către colegii din subordine, să revină înapoi la conducere, ca în final să ajungă la clienți, la toți angajații, la partenerii de afaceri și la alte persoane vizate cu care compania interacționează.

Un sfat personal într-un cadru ceva mai general, este să ia în considerare faptul că activitatea de conformare, deși nu este aducătoare de profit, este menită să scadă anumite riscuri, să formeze o cultură a responsabilității față de persoanele vizate și reprezintă, cum spuneam mai sus, o carte de vizită foarte prețioasă.

Nu există un singur mijloc de cartografiere a datelor, sunt varii opțiuni prin care acest proces poate fi îndeplinit, pornind de la documente, tabele sau hărți (ori toate la un loc), până la software-uri specifice, mai tehnice sau mai prietenoase cu utilizatorul, și chiar până la soluții CRM. Ce este relevant, este ca acest mijloc să arate în mod concludent întregul ansamblu al activităților de prelucrare a datelor și să fie documentat corespunzător.

Astăzi, 25 mai 2020, se împlinesc doi ani de la aplicarea Regulamentului general privind protecția datelor personale (GDPR), moment prielnic pentru noi toți de a realiza o scurtă retrospectivă și de a trage câteva concluzii esențiale. Au fost multe provocări, atât pentru DPO cât și pentru operatorii de date care și-au propus să obțină și să mențină conformitatea GDPR. Cel mai important  lucru este să folosim pe viitor lecțiile deja învățate și tocmai despre aceste lecții vorbește Marius Dumitrescu, specialist în domeniul protecției datelor, în următorul interviu. 

Cum ai caracteriza, pe scurt, cei doi ani care au trecut de la implementarea GDPR în Uniunea Europeana?

"GDPR-ul nu este o revoluție, este o evoluție!", așa îmi încep majoritatea cursurilor încercând să explic că acest pachet de reglementări legislative există încă din 1995 și a evoluat într-un regulament european unic, influențat mai ales de dezvoltarea tehnologică fără precedent. Mai mult, putem spune că și în acest moment legislația aleargă după tehnologie, dacă ne gândim doar la inteligența artificială și la tehnologia 5G.

Regulamentul UE 679/2016 cunoscut drept GDPR a intrat în vigoare în 2016, acum patru ani de zile, dar se aplică doar din 25 mai 2018, după o perioadă de grație de doi ani, pe care majoritatea statelor europene, inclusiv România, nu au folosit-o pentru a lansa campanii de educare a persoanelor vizate și a operatorilor. Astfel, startul a fost dat în luna mai 2018, la momentul respectiv existând o estimare că doar 20% dintre operatorii europeni au început demersurile pentru a obține conformitatea. Aceste procent a crescut semnificativ valoric, fiind estimat astăzi ca fiind peste 60%, dar am rețineri privind calitatea conformităților obținute la nivel european. Conform studiilor, în 2019 s-a ajuns deja la crearea primelor 500.000 de roluri de DPO, fără a modifica fundamental organigramele și fără a asigura toate resursele necesare pentru a îndeplini cu succes acest rol. Operatorii de date trebuie să renunțe la a mai căuta soluții formale și să înțeleagă faptul că această mult dorită complianță GDPR nu se obține apăsând butonul "Print" și că orice operator care alege această cale rămâne la fel de expus riscurilor.

În România, GDPR-ul a intrat brusc în viețile noastre, acum doi ani de zile, printr-un bombardament al consimțămintelor, lansat de operatori din dorința de a intra rapid în legalitate. Din păcate și astăzi mai există operatori care folosesc consimțământul ca temei legal pentru prelucrarea datelor privind sănătatea persoanelor vizate și deduc, astfel, că DPO-ul nu și-a câștigat încă locul pe care îl merită în organizație și recomandările lui încă nu sunt ascultate.

În ultimii doi ani, strategia de vânzări a multor firme de consultanță s-a bazat pe “crearea panicii”, folosind marketingul înșelător care accentua, în primul rând, dimensiunea astronomică a amenzilor în loc să promoveze nevoia de instruire a personalului. Plătim și astăzi campaniile de marketing de acum doi ani care vindeau complianță formală fără a include serviciile de specialitate ale unui DPO.

Astazi, mai mult ca oricând, trebuie să ne reamintim că în tot acest GDPR este vorba despre oameni, sau mai bine spus despre NOI! Nu este vorba despre creșterea birocrației și despre proceduri sufocante. Este vorba despre respectul pe care trebuie să îl acordăm și să îl obținem unii de la ceilalți, respect de care am uitat datorită banilor obținuți prin tranzacționarea datelor personale și a informațiilor confidențiale, ca efect direct al evoluției exponențiale a tehnologiei. Să nu uităm că toți suntem persoane vizate. Dacă la birou nu simt acest lucru pentru că sunt patron și influențez și decid direct în ce direcție îmi conduc firma, atunci când navighez pe internet sau pur și simplu merg pe stradă, intru într-un supermarket sau într-un hotel, sunt doar o persoană fizică și mă aștept să pot să decid cine, de ce și ce date personale prelucrează despre mine. Cu toții trebuie să punem umărul și să vorbim cu prietenii, rudele, vecinii despre erorile pe care le facem atunci când vânăm gratuități pe internet. Trebuie să încetăm să mai credem că ceva este gratuit și să înțelegem că, de fapt, plătim scump cu datele noastre personale care au devenit o valoroasă monedă de schimb.

Și mai trebuie să învățăm o lecție : „Când ești cunoscut, oamenilor le place să vorbească despre tine. Totuși, nu tot ce se vorbește, este și adevărat!”. Încă trebuie să învățăm ce înseamnă Fakenews, să recunoaștem acest fenomen, să ne protejăm, să nu mai alimentăm cererea și să sancționăm atunci când această practică ne influențează deciziile.

Care consideri că a fost cea mai mare provocare pentru specialiștii în protecția datelor personale?

Persoana fizică în sine a rămas cea mai mare provocare pentru întreg domeniul protecției datelor din România, deoarece, prin lipsa de cultură, întreg corpul profesional se confruntă cu solicitări nejustificate și insuficient documentate privind ștergeri selective sau rectificări neîntemeiate a informațiilor înregistrate în documente. Cu siguranță aceste solicitări nu vor fi soluționate în favoarea persoanei vizate, existând mai multe reglementări specifice în ceea ce privește termenul de retenție și posibilitățile de acces restricționat și condiționat. Gardianul modului în care se respectă confidențialitatea și mecanismele de protecție a datelor cu caracter personal rămâne în continuare Responsabilul cu protecția datelor cu caracter personal (DPO), această meserie nou apărută, care se confruntă probabil cu cele mai mari provocări profesionale datorită caracterului general al Regulamentului (UE) 2016/679 și lipsei unor repere unitare privind interpretarea și implementarea lui.

Poate și denumirea postului, care induce ideea responsabilității concentrate pe umerii unei singure persoane, a îngreunat ascensiunea și recunoașterea profesională, mulți DPO făcând educație managementului în momentul semnării contractelor de consultanță.

Care a fost cea mai mare provocare a companiilor în procesul de obținere și menținere a conformității GDPR?

Angajații reprezintă unul dintre cele mai mari riscuri în ceea ce privește securitatea unei organizații. Și nu spun eu asta, mergând pe principiul 80/20 al lui Pareto, transpus în business (80% din probleme sunt cauzate de 20% dintre angajați), ci studiul State of Cybersecurity 2019 realizat de ISACA.

Din punctul meu de vedere, cea mai mare provocare a companiilor în procesul de obținere și menținere a conformității GDPR este carența unei culturi a responsabilității, în rândul angajaților, privind protecția datelor personale. Acesta carență poate fi diminuată substanțial în urma instituirii unor programe de instruire cu privire la importanța protecției datelor în concordanță cu practicile generale și politicile specifice activității companiei. Responsabilizarea angajaților din perspectiva protecției datelor personale va aduce un plus de valoare companiei. Un angajat conștient și informat este un angajat vigilent și care acționează cu responsabilitate, riscurile unei erori umane scăzând, în același timp în care randamentul muncii crește. Mai mult, identificarea rapidă a eventualelor breșe de securitate și respectarea protocolului de răspuns la incidente va minimiza pierderile companiei.

Rămân un visător și sper ca în următoarea perioadă să vedem campanii de educare a persoanelor vizate din România, și de ce nu, campanii de educație în scoli.

Care a fost cea mai importantă lecție pe care companiile, dar și specialiștii în protecția datelor personale au învățat-o în această perioadă?

Constat că în ultimele două luni, de când a fost recunoscută oficial pandemia Covid -19, s-a vorbit despre GDPR mai mult decât în toată perioada de când a intrat în vigoare Regulamentul UE 679/2016 și este trist că a fost nevoie de acest coronavirus ca să-i acordăm atenția pe care o merită.

Societatea în care trăim s-a schimbat, fiind supusă la unul din cele mai dificile teste de stres. Frica este cea care a obligat societatea noastră să se adapteze și să se maturizeze forțat, făcând, în primul rând, un salt mare către digitalizare. Vorbim astăzi mai mult ca niciodată despre tele-muncă, tele-medicină, tele-educație și mai ales despre știrile false.

Fiind un act de responsabilitate să stăm acasă în aceste condiții, utilizăm din ce în ce mai mult tehnologia, din dorința de a comunica cu cei dragi și cu colegii de serviciu. Am auzit că s-au organizat zile de naștere online, că oamenii au continuat să se întâlnească și să bea o cafea cu prietenii, printr-o conexiune video și că se pot vizita muzee sau chiar să participi la concerte din confortul fotoliului de acasă. Citim cărți pentru care până acum nu găseam timpul necesar. Pentru o parte din oameni, autoizolarea este un test greu de trecut și de suportat și nimeni nu conștientizează, încă, faptul că procesul de autoizolare socială este un fenomen apărut o dată cu rețele de socializare. Se vorbește de ani de zile de această tendință de a petrece mai mult timp în casă, conectat cu mii de prieteni online, cu care poate nu te-ai întâlnit niciodată față în față. Astăzi, mai mult ca niciodată, prețuim interacțiunea fizică și testăm efectul nociv și pervers al dezinformărilor care abundă pe rețelele de socializare. Este o lecție pe care am învățat-o în timpul acestei pandemii și cred că societatea noastră nu va mai fi niciodată la fel ca înainte.

Trebuie să realizăm și că toată această digitalizare, pe repede înainte, vine la pachet cu asumarea unor riscuri de care mi-aș dori să fim conștienți încă de la început.

Nu cred că suntem pregătiți încă să îmbrățișăm digitalizarea și să ne folosim la maxim de beneficiile acesteia. În urma recomandărilor autorităților din România, mai multe companii au decis să accepte, de pe o zi pe alta, ca angajații să lucreze de acasă. Din punct de vedere legal eram pregătiți, legislația română avea prevederi clare privind tele-munca și cele mai multe firme au semnat acum cu fiecare angajat doar un act adițional la contractul de muncă, pentru a îndeplini această formalitate birocratică. Foarte puține firme au investit în securizarea echipamentelor și a căilor de comunicare, alegând deseori soluțiile cele mai rapide și ieftine, utilizând de cele mai multe ori echipamentele proprii ale angajaților.

În ultimele zile chiar am urmărit cum a crescut numărul incidentelor de securitate, prin campanii de phishing, infectând mii de computere, bazându-se pe naivitatea utilizatorilor care acum citesc orice email legat de acest Coronavirus. Din păcate, foarte multe afaceri au de suferit și, mai mult decât efectele acestei pandemii, mă sperie valul de recesiune care ne va lovi peste câteva luni.

Mi-aș fi dorit să vorbim de digitalizarea mediului de business românesc, precum și a administrației publice, în alte condiții decât cele de astăzi.

Revenind la domeniul protecției datelor, chiar dacă DPO-ul este captiv între obligațiile legale impuse de legile organice, care pot limita drepturile persoanelor, și principiile și obligațiile GDPR, există, în opinia mea, o rețetă pentru a asigura un echilibru între toate aceste reglementări:

1. Implicarea DPO-ului. El este specialistul care astăzi poate să consilieze și să ghideze organizația în respectarea GDPR și păstrarea acestui echilibru cu obligațiile legale și interesele comerciale.
2. Respectarea celor șapte principii fundamentale ale GDPR. Aceste principii trebuie să devină o realitate, trebuie să fie implementate în orice fel de procedură, ca niște filtre care trebuie aplicate înainte de a lansa orice tip de document, orice fel de procedură.
3. Informarea persoanelor vizate. Este foarte ușor să investim în această informare prealabilă și să obținem, practic, o implicare și motivarea acestor persoane, pentru că, în fond, toate aceste proceduri restrictive sunt în interesul lor, al protecției datelor lor cu caracter personal.
4. Instruirea persoanelor și obținerea de garanții adecvate. Trebuie să fim foarte atenți atunci când datele angajaților noștri, sau datele clienților noștri, datele vizitatorilor noștri sunt prelucrate de către împuterniciții noștri ca operatori și să ne asigurăm că sunt implementate măsuri tehnice și organizatorice de protecție și securitate a acestor date personale pe tot procesul de prelucrare.
5. Evaluarea nivelului de prelucrare a datelor (de exemplu, dacă este excesiv) și identificarea unor metode mai puțin intruzive de prelucrare a datelor personale, fără a creste birocrația. Să nu uităm că DPO-ul este cel care poate evalua dacă discutăm de un nivel excesiv de prelucrare a datelor, trebuie să încercăm să limităm înscrisurile, astfel încât să nu creștem birocrația doar de dragul de a ne acoperi cu documente justificative privind respectarea acestei legi. Respectarea tuturor celorlalte principii GDPR s-ar face mult mai ușor dacă principiul minimizării ar fi respectat întocmai și pun accent mai ales pe acest lucru, deoarece noi, românii, companiile românești, instituțiile statului am ridicat birocrația aproape la nivel de tradiție. Nu tot ce e mult e și bun, un singur document bine întocmit și cu responsabilitate mă protejează la fel de bine ca zece documente pline de date personale nefolositoare, dar colectate pe sistemul „să fie”.

Concluzionez că această rețeta nu se aplică exclusiv în această perioadă de pandemie, cele cinci recomandări fiind aplicabile oricărei organizații care își propune în următorul an să își adapteze cultura organizațională și să îmbrățișeze principiile GDPR.

Daniela Cireasa a absolvit Facultatea de Drept, Universitatea Nicolae Titulescu, este consilier juridic din anul 2001. In 2018 a absolvit cursurile postuniversitare de protectia datelor „Protectia juridica a datelor personale” si a obtinut titlul de „Cel mai bun DPO din Romania” impreuna cu Echipa Nord Est DPO Romania la Targu Mures in iunie 2019. Ofera consultanta in domeniul implementarii Regulamentului general privind protectia datelor (GDPR) si este responsabil cu protectia datelor (DPO). Cei 17 ani de activitate practica din care 4 ani in functie de conducere, au ajutat la cunoasterea mediului privat de afaceri si respectiv a activitatii departamentelor din cadrul unei societati de productie si comert, precum si schimburi intracomunitare. Este membru al ASCPD - Asociatia Specialistilor in Confidentililitate si Protectia Datelor din 2018 si coautor al volumului "GDPR Aplicat", publicat la inceputul acestui an. 

Participa activ la dezbateri si conferinte dedicate dreptului la viata privata si protectiei datelor si este unul din lectorii Workshop-ulului dpo.Tools organizat de Portalul dpo-NET.ro - Data Protection Officers Network, în data de 12 Mai 2020 (10:00 - 12:00), în parteneriat cu SYPHER, Wolters Kluwer România, NeoPrivacy România, Kruk Romania si NetSpace - GDPR Division, abordand o tema de mare interes, "Provocarile procesului de CARTOGRAFIERE". Evenimentul isi propune sa analizeze, intr-un mod pragmatic, etapele procesului de cartografiere, dificultatile intalnite precum si solutiile care pot ajuta DPO-ul sa indeplineasca si sa gestioneze cu succes aceasta sarcina.

PARTICIPAREA ESTE GRATUITA. Dezbaterea va avea loc in limba romana pe Microsoft Teams si se va adresa comunitatii specialistilor in confidentialitate si securitatea datelor din Romania, fiind un eveniment cu acces GRATUIT. Locurile sunt limitate, numarul maxim fiind de 250 de persoane. Evenimentul va fi inregistrat si ulterior postat in spatiul public pentru a asigura accesul la informatii cator mai multe persoane si dupa acest eveniment. Inscrierile se pot face prin intermediul acestei pagini dedicate evenimentului. 

Daniela Cireasa a acceptat să ofere un interviu în exclusivitate pentru cititorii dpo-NET.ro, reușind să ne trezească interesul tuturor pentru un subiect atât de important pentru orice companie care își propune să adopte și să implementeze principiile GDPR: Cartografierea in domeniul resurselor umane

Ce ar trebuie sa stie managerul unei campanii care isi doreste sa obtina conformitatea cu GDPR, despre procesul de cartografiere ?

În primul rând ar trebui să știe că trebuie făcută cartografierea, să aibă noțiunile esențiale de protecție a datelor personale, să conștientizeze că organizația pe care o conduce prelucrează date personale, că oricui ar delega sarcina întocmirii cartografierii și, în general, a implementării prevederilor Regulamentului, responsabilitatea din punct de vedere legal aparține operatorului, respectiv conducerii sale.

Consider că fără implicarea managementului superior este imposibilă implementarea regulamentului, și că managerul ar trebui să fie conectat direct la procesul de implementare. Despre procesul de cartografiere, în sine, ar trebui să știe că este un prim pas către obținerea conformității cu GDPR-ul, că este o dovadă a respectării principiilor regulamentului, în mod special al principiului responsabilității.

Cartografierea făcută responsabil va evidenția fluxul de date personale: de unde intră datele, ce se întâmplă cu ele în interiorul organizației (ce departamente le prelucrează, între ce departamente se transfera datele, inclusiv ce colaboratori au acces la ele) și către cine sunt transmise datele în exteriorul organizației.

Rezultatul final va fi reprezentat de o hartă completă a tuturor acestor prelucrări, hartă ce va sta la baza întocmirii evidenței activităților de prelucrare. O cartografiere a prelucrărilor de date personale, corect întocmită, va oferi o imagine de ansamblu a activităților de prelucrare de date efectuate de către operator și le va face ușor de înțeles de către orice persoană interesată (inclusiv de către autoritatea de investigare).

De asemenea, managerul ar trebui să știe că o astfel de evidență va facilita răspunsul la o cerere de acces sau de ștergere a datelor personale.

Răspunsurile la întrebările adresate pe durata activității de cartografiere vor oferi responsabililor de implementarea GDPR-ului inclusiv o evidență a punctelor slabe din cadrul organizației și îi vor ajuta să intervină cu măsuri tehnice și organizatorice pentru îmbunătățirea conformității operatorului.

Totuși, la fel de important precum cunoașterea prevederilor regulamentului este ca managementul superior să conștientizeze că realizarea cartografierii și respectiv responsabilitatea implementării GDPR nu este sarcina unui singur om (de regulă DPO-ul) ci este un efort de echipă iar managerul trebuie să susțină această activitate prin asigurarea constantă că toți membrii echipei sunt implicați și responsabili și că nu lasă munca pe umerii în mod nefericit denumitului responsabil cu protecția datelor. De cele mai multe ori ceilalți angajați consideră că există un Responsabil deci că acesta ar trebui să se ocupe de această activitate în integralitatea ei, așa că managementul aici ar trebui să intervină în mod deosebit.

Pentru realizarea unei cartografieri corecte trebuie colectate informații cât mai complete și mai exacte despre cine este operatorul, cine sunt persoanele vizate,  ce date personale sunt prelucrate, cine are acces la datele personale, la atingerea căror scopuri servesc aceste date, în ce temei legal sunt prelucrate etc. La fel de importantă este identificarea locului / locației / suportului pe care se stochează datele personale, și, de asemenea, cui se transmit aceste date și în ce condiții. În final, dar la fel de important, operatorul trebuie să identifice și / sau să stabilească termenele de stocare a datelor personale și mecanismele cele mai potrivite pentru a garanta prelucrarea acestor date în condiții de siguranță. Așadar cartografierea este un real ajutor pentru aplicarea principiului reducerii la minim a datelor prelucrate, pentru definirea termenelor de stocare și a corectării circuitului unui document.

De ce departamentul de Resurse Umane este atat de impactat de obligatia intocmirii registrului de prelucrare a datelor ?

Deoarece departamentul de resurse umane lucrează cu date personale într-o majoritate covârșitoare a activității sale. Practic nu există activitate în cadrul departamentului care să nu presupună prelucrarea de date personale, inclusiv date speciale precum cele medicale, de apartenență la un sindicat sau apartenență religioasă. De aceea personalul din cadrul acestui departament trebuie instruit temeinic referitor la protecția datelor personale și, de asemenea, este personalul, alături de cel din departamentul IT, vânzări, contabilitate care trebuie să încheie un angajament de confidențialitate.

Dacă, spre exemplu, departamentul de vânzări, are acces la date limitate ale clienților persoane fizice, personalul din departamentul de resurse umane are acces atât la datele de identitate cât și la date financiare, de stare civilă, medicale și chiar de comportament profesional despre toți angajații societății. Acest departament prelucrează date ale candidaților la angajare, ale angajaților, ale membrilor familiilor angajaților, ale foștilor angajați, ale voluntarilor, ale elevilor/studenților practicanți, zilierilor astfel încât în cadrul acestui departament se strâng cantități impresionante de date.

Care sunt principalele provocari privind respectarea GDPR in cadrul activitatilor din Departamentul Resurse Umane ?

Printre provocări aș enumera instruirea personalului din cadrul departamentului, corecta cartografiere a datelor personale prelucrate în cadrul departamentului, identificarea tuturor documentelor și echipamentelor electronice care conțin date, stabilirea unui flux de circulație a datelor, identificarea termenelor legale de stocare a fiecarui document în parte, precum și a temeiurilor de prelucrare a datelor. O provocare deosebită este cea a respectării principiului minimizării datelor prelucrate, mai ales într-un departament atât de birocratic precum cel de resurse umane.

Ce este diferit cand vorbim de procesul de recrutare ?

În procesul de recrutare vorbim despre o multitudine de potențiale surse de intrare a datelor personale, fiecare sursă având provocări și dificultăți de protejare a datelor personale. Dacă în cazul funcționarilor publici datele solicitate în dosarul de candidat la o funcție public sunt stabilite prin legislație, în cazul sectorului privat lucrurile sunt lasate “la liber”, dând ocazia de prelucrare a multor date inutile și irelevante pentru procesul de recrutare, făcând destul de problematică în practică respectarea principiului minimizării.

Stabilirea perioadelor de păstrare a datelor candidatului este o altă provocare a procesului de prelucrare a datelor candidaților.

De asemenea, numărul persoanelor care au acces la dosarul de recrutare și selecție trebuie  limitat la membrii comisiei de recrutare si selectie iar ulterior incheierii procesului de selectie, dosarul trebuie păstrat conform procedurilor interne și nomenclatorului arhivistic în cadrul departamentului de resurse umane (doar pentru cei care s-au angajat sau pentru cei care au fost de acord să rămână în baza de date pentru campanii de recrutare ulterioare).

Pe întreaga durată a  procesului de recrutare și selecție și ulterior, pe durata păstrării dosarului, datele trebuie protejate și trebuie asigurată confidențialitatea acestora prin măsuri tehnice și organizatorice (proceduri, securizare fizică și electronică, limitare acces, utilizarea în scopul declarat etc.).

Care sunt concluziile Dumneavoastra dupa doi ani de aplicare a principiilor si obligatiilor GDPR in Romania ?

Am constatat pe perioada stării de urgență că autoritățile publice au încă dificultăți în a asigura protecția datelor personale atât în domeniul învățământului online unde am văzut cantități impresionante de date ale elevilor în mediul online, neprotejate, unități de învățământ fără DPO sau cu un DPO depășit de situație, primării care și-au instalat camere cu termodetecție și alarmare în cazul persoanelor cu temperatură fără a face evaluări de impact, fără informarea persoanelor vizate, organe de control care au făcut fotografii ale declarațiilor și cărților de identitate cu telefoane personale și multe altele.

În sectorul privat am observant o conformitate formală la principiile GDPR, o aparentă preocupare pentru respectarea protecției datelor personale însă sunt puțini operatori care au făcut o implementare reală a prevederilor regulamentului.

Deși autoritatea a sancționat operatori din toate domeniile, pentru abateri diverse de la respectarea regulamentului iar sancțiunile au avut notorietate, operatorii nu se grăbesc să se conformeze.

Comparând, totuși, momentul mai 2018 cu mai 2020, apreciez că un număr din ce în ce mai mare de operatori au luat cunoștință cu prevederile regulamentului și, daca cum 2 ani atenția era concentrată exclusiv pe cuantumul amenzilor, între timp operatorii s-au familiarizat și cu alte dispoziții ale GDPR.

Apreciez că este încă necesară “traducerea” pe înțelesul tuturor a prevederilor regulamentului, acesta rămânând în mare parte o necunoscută pentru publicul larg, și în mod special de pentru persoanele vizate.