Ovidiu Ionescu a absolvit Facultatea de Administrație Publică, din cadrul SNSPA, în anul 2013 și Facultatea de Drept, Universitatea Titu Maiorescu, în anul 2017. A urmat 7 ani de formare juridică  dobândită  în domeniul notarial. Începând cu 1 mai 2018 și-a început activitatea în domeniul protecției datelor cu caracter personal. Timp de șapte luni a oferit consultanță pentru companii private, iar din februarie 2019 şi-a început activitatea ca Responsabil pentru Protecția Datelor în cadrul KRUK Romania. În vara anului 2019 a obținut acreditarea ANC în cadrul Institutului Bancar Român, susținând lucrarea „Protecția datelor cu caracter personal în domeniul investigaților private”. Ovidiu îşi continuă pregătirea profesinală  și anul acesta prin parcurgerea cursului PECB inc., în vederea acreditării internaționale.

În rețeaua profesională, Ovidiu spune despre el că, în calitate de jurist, cultivă verticalitatea, iar în activitatea pe care o desfășoară asigură protecția dreptului persoanei la viață privată. Valori precum dreptatea, corectitudinea și respectul față de om sunt esențiale și le va cultiva întotdeauna.

Ovidiu Ionescu e unul din lectorii Workshop-ulului dpo.Tools organizat de Portalul dpo-NET.ro - Data Protection Officers Network, în data de 12 Mai 2020 (10:00 - 12:00), în parteneriat cu SYPHER, Wolters Kluwer România, NeoPrivacy România, Kruk Romania si NetSpace - GDPR Division, abordand o tema de mare interes, "Provocarile procesului de CARTOGRAFIERE". Evenimentul isi propune sa analizeze, intr-un mod pragmatic, etapele procesului de cartografiere, dificultatile intalnite precum si solutiile care pot ajuta DPO-ul sa indeplineasca si sa gestioneze cu succes aceasta sarcina.

PARTICIPAREA ESTE GRATUITA. Webinarul are loc in limba romana pe Microsoft Teams si se va adresa comunitatii specialistilor in confidentialitate si securitatea datelor din Romania, fiind un eveniment cu acces GRATUIT. Locurile sunt limitate, numarul maxim fiind de 250 de persoane. Evenimentul va fi inregistrat si ulterior postat in spatiul public pentru a asigura accesul la informatii cator mai multe persoane si dupa acest eveniment. Inscrierile se pot face prin intermediul acestei pagini dedicate evenimentului. 

Ovidiu Ionescu a acceptat să ofere un interviu în exclusivitate pentru cititorii dpo-NET.ro, reușind să ne trezească interesul tuturor pentru un subiect atât de important pentru orice companie care își propune să adopte și să implementeze principiile GDPR: "Cartografierea in contextul GDPR. Indicator al responsabilității prelucrării."

Cât de importantă este cartografierea datelor pentru un DPO? Dar pentru operator?

Cartografierea datelor este „actul”, tabel și diagramă sau sistem informatic, care oferă, atât DPO-ului, cât și operatorului, o imagine de ansamblu asupra activităților de prelucrare a datelor. Aceasta oferă trasabilitate în cadrul procesului de prelucrare a datelor, însă chiar și trasabilitatea, specifică unei hărți, este doar o parte din beneficiile aduse de procesul de cartografiere a datelor.

Cartografierea datelor îți oferă, într-un cadru centralizat, informații despre tipurile de date prelucrate, motivele prelucrării, sursa acestora, temeiurile juridice, perioadele specifice de stocare, locurile în care acestea sunt stocate și măsurile tehnice și organizatorice aplicate fiecărei activităţi de prelucrare în parte. Mai mult decât atât, în privința fluxului de date, cartografierea include destinatarii datelor, calitatea părților (ex. persoană împuternicită de operator, operator asociat, separat, instituție publică.) și măsurile care sunt luate în cazul transferurilor de date către acești destinatari.

Pentru DPO, cartografierea datelor reprezintă imaginea de ansamblu relevantă a activităților de prelucrare din cadrul unei companii. Este mijlocul prin care acesta își poate îndeplini sarcinile atribuite, cum ar fi monitorizarea respectării regulamentului, oferirea unei consilieri concludente operatorului și angajaților acestuia sau soluționarea cererilor de acces venite din partea persoanelor vizate.

De asemenea, supervizarea unui proces de cartografiere a datelor de către DPO este cel mai bun mijloc prin care acesta poate să cunoască efectiv activitățile de prelucrare din cadrul companiei. Din punctul meu de vedere, acest proces stă la baza oricărui plan de implementare a Regulamentului General privind Protecția Datelor și este esențial să fie elaborat în prima fază a implementării.

Pentru operator, cartografierea datelor ajută în contextul aplicării principiului responsabilității prevăzut de articolul 5, alineatul 2 din Regulament, căci, astfel, operatorul poate dovedi fără echivoc întocmirea evidenței activităților de prelucrare. Dar aceasta este doar un beneficiu al cartografierii. Pot fi operatori care nu au  obligația întocmirii unei evidențe a activităților de prelucrare, iar aceste categorii de operatorii ar putea fi tentați cu ușurință, să nu vadă acest beneficiu.

Cu toate acestea, cartografierea datelor ajută, pe de o parte, la stabilirea bazei legale pentru fiecare activitate de prelucrare în parte, iar, pe de altă parte, la elaborarea unor note de informare corespunzătoare, precum și a unor politici și registre specifice, cum ar fi managementul accesului utilizatorilor, registrul operatorilor, registrul persoanelor împuternicite, politici de reținere a datelor, politici privind documentele fizice, norme pentru utilizarea echipamentelor digitale, contribuind chiar și la elaborarea politici de securitate a informației. Cu alte cuvinte, trecând prin procesul de cartografiere a datelor, operatorul poate lua măsuri care să asigure principiul legalității, transparenței și echității, poate minimiza datele, acolo unde identifică că sunt excesive, poate limita scopul, acolo unde este irelevant sau ilegal, poate stabili termenele de reținere specifice și, mai ales, poate stabili măsurile tehnice și organizatorice corespunzătoare, asigurând integritatea și confidențialitatea.

Altfel spus, având în vederea că dovedirea aplicării și respectării regulamentului este principiul de bază, cartografierea completă este o probă care stă la baza construiri altor probe concludente ori în limbaj juridic a „unui început de probă”.

Evaluarea Impactului asupra Protecției Datelor este un alt proces care poate fi ușurat cu ajutorul unei cartografieri corespunzătoare a datelor, întrucât poate contribui foarte bine la descrierea fluxului datelor, a nivelului de confidențialitate al acestora și a riscurilor asociate prelucrării.

Care sunt principalele provocări în cadrul procesului de cartografiere?

Personal, cred că cea mai mare provocare a acestui proces este identificarea datelor. În mod simetric, beneficiul ideal rezultat din cartografierea datelor și din toate acțiunile ulterioare, este curățenia și ordinea în activitățile de prelucrare și efectiv în cadrul întregii activități a companiei. Responsabilitatea față de prelucrare este o cultură, din punctul meu de vedere, și o carte de vizită foarte prețioasă în relațiile de afaceri, atât cu partenerii cât și cu clienții.

Revenind la provocări și la identificarea datelor, într-adevăr, identificarea se poate arăta dificilă uneori, întrucât, în lipsa unui cadru normativ general, imperativ și coercitiv, până în anul 2018 nu toți operatorii au cultivat protecția datelor la un standard ridicat. Astfel, în lipsa unor reguli interne de gestionare și păstrare a datelor cu caracter personal, datele nu au fost întotdeauna prelucrate și stocate în mod controlat.

Din punctul meu de vedere, având în vedere cultura pe care Regulamentul o propune și esența acestuia, precum și principii de bază, cum ar fi respectul față de celălalt, consider demn de apreciat orice operator care este pregătit să o ia de la zero, elaborând o cartografiere completă a datelor, culegând și păstrând doar acele date care sunt absolut esențiale afacerii și curățând întreaga infrastructură fizică și digitală. În felul acesta, se pot evita riscurile generate de activitățile din trecut și se poate porni  cu pași siguri către o construcție sănătoasă în materie de protecție a datelor cu caracter personal. Desigur, pe cât de necesar este, pe atât de ideal poate părea. Complexitatea, amploarea și vechimea unor afaceri, pot să facă dificil de aplicat, dintr-o dată, un astfel de proiect de „punct zero”. În cazul acestor afaceri, curățenia, cartografierea și construirea noilor mecanisme se face treptat, concomitent.

O altă provocare este identificarea măsurilor tehnice și organizatorice corespunzătoare pentru asigurarea protecției datelor și a controlului asupra acestora. Necesitatea acestor măsuri apare odată cu cartografierea datelor.

Regulamentul, atunci când se referă la securitatea prelucrării, face referire la nivelul actual al dezvoltării, termen care, fiind tradus din „state of the art” în limba engleză, se definește ca cel mai înalt nivel de dezvoltare generală privind un dispozitiv, o tehnică sau un domeniu științific, la un moment dat. Astfel, aplicarea măsurilor tehnice atât de importante pentru integritatea și confidențialitatea datelor, poate presupune un consum economic ridicat pentru anumiți operatori, având în vedere specificul activității fiecăruia. Astfel, pot exista companii mici, care, prin prisma activității pe care o desfășoară sunt nevoite să aplice un nivel de securitate ridicat și măsuri organizaționale complexe. Primul exemplu care îmi vine minte, este o firmă de recrutare, dar la fel de bine pot exista companii mici care desfășoară activități cu date sensibile, cum ar fi cele în domeniul medical.

Acești operatori optează deseori pentru resurse modeste de implementare a măsurilor tehnice și organizatorice de protecție a datelor și optează pentru o implementare progresivă a măsurilor. Din acest punct de vedere, identificarea măsurilor de bază pentru a asigura o protecție responsabilă în faza inițială de implementare poate deveni, uneori, o provocare.

Un aspect important care cred că trebuie cultivat este apetitul pentru schimbare. Așa cum nici cartografierea nu este o activitate statică, care se face odată și gata, nici implementarea nu este o activitatea dintr-o dată, ci o activitate continuă, care trebuie monitorizată și controlată constant și revizuită periodic. La fel, activitatea DPO-ului este o activitate în continuă desfășurare.

Ce sfaturi ai pentru cartografierea datelor?

Sfatul meu principal pentru operatori este de a efectua cartografierea datelor într-o manieră cât mai exactă și mai elaborată, astfel încât să asigure controlul asupra datelor. E un mijloc care, cum spuneam anterior, nu ușurează doar munca DPO-ului, ci ajută compania în ansamblul ei și care poate, astfel, reglementa, dezvolta și proba o practică coerentă în interiorul companiei, cu partenerii de afaceri, autoritățile sau clienții.

De asemenea, este foarte important să implice toate departamentele în acest proces și, înainte de asta, să arate importanța și beneficiile asigurării protecției datelor, astfel încât să se asigure că toți colegii din subordine tratează acest subiect în mod constructiv și cu deschidere. Este foarte importantă transparența, pentru a asigura ulterior transparență, astfel că aceasta trebuie să pornească de la conducere, să meargă către colegii din subordine, să revină înapoi la conducere, ca în final să ajungă la clienți, la toți angajații, la partenerii de afaceri și la alte persoane vizate cu care compania interacționează.

Un sfat personal într-un cadru ceva mai general, este să ia în considerare faptul că activitatea de conformare, deși nu este aducătoare de profit, este menită să scadă anumite riscuri, să formeze o cultură a responsabilității față de persoanele vizate și reprezintă, cum spuneam mai sus, o carte de vizită foarte prețioasă.

Nu există un singur mijloc de cartografiere a datelor, sunt varii opțiuni prin care acest proces poate fi îndeplinit, pornind de la documente, tabele sau hărți (ori toate la un loc), până la software-uri specifice, mai tehnice sau mai prietenoase cu utilizatorul, și chiar până la soluții CRM. Ce este relevant, este ca acest mijloc să arate în mod concludent întregul ansamblu al activităților de prelucrare a datelor și să fie documentat corespunzător.

Specialistii in protectia datelor au fost cei care au lucrat alaturi de organizatii in procesul de obtinere si mentinere a conformitatii GDPR. Am vrut sa stim care a fost, in opinia lor, cea mai mare provocare cu care s-au confruntat companiile in acesti doi ani.

In opinia lui Bogdan Manolea, legal expert, cea mai mare provocare a fost: “Sa inteleaga ceea ce trebuie sa faca. Efectiv, de maine. Companiile se asteapta sa primeasca un checklist clar si definitiv, impreuna cu un pret ferm, pe care sa-l plateasca o data si gata. Dar raspunsul depinde atat de mult de practicile efective de prelucrare a datelor, care sunt diferite de la companie la companie si de masurile de securitate corelative, incat eu gandesc ca ar fi neprofesional sa zici ca stii ce trebuie sa faca de la prima intalnire. Pentru ca, de fapt, nu stii si o sa-ti dai seama pe parcurs”.

La capitolul provocari, Serban Popa, consultant GDPR la Unity Solutions, mentioneaza: “Micsoarea importantei efortului de analiza si consultanta, a cartografierii proceselor interne cu toate elementele descriptive aferente.”

Raluca Puscas, avocat asociat la Filip & Company, afirma: “Intr-adevar, ne gandim in primul rand la obtinerea conformitatii cu cerintele GDPR, care presupune o serie intreaga de activitati, de la maparea datelor, analize de risc, evaluari ale impactului asupra protectiei datelor, implementarea de politici si documente, dar apoi si la mentinerea acesteia, care este un proces continuu. De multe ori, toate acestea presupun schimbarea modului de lucru in organizatie si definirea unor noi fluxuri de colaborare intre departamente, implicand si responsabilul pentru protectia datelor. Chiar si dupa ce toate politicile, procedurile si evaluarile vor fi facute si toate documentele vor fi in ordine, ramane provocarea de a incorpora cerintele de privacy in cultura organizatiei si anume, de a acorda atentie protectiei datelor clientilor, angajatilor si tuturor persoanelor ale caror date le prelucreaza.

Acest lucru presupune atat lucruri aparent simple, cum ar fi acela de a nu solicita semnarea unui consimtamant in cazul in care nu este de fapt necesar (in ideea ca poate e mai sigur asa), ori de a pastra diverse acte in baza de date (ca poate mai trebuie vreodata, desi perioada de stocare a expirat) si pana la lucrurile mai complexe care pot presupune investitii din partea companiei, cum ar fi stergerea datelor la momentele de expirare a perioadelor de detinere prevazute in registru”.

Pentru Stefan Iancu, consultant GDPR in cadrul companiei iPrivacy, “Sunt trei variabile care influenteaza major succesul programelor de conformare, si anume: desemnarea responsabilului cu protectia datelor cu respectarea cerintelor din Regulament (expertiza, independenta, evitarea conflictelor de interese, asigurarea implicarii DPO in timp util in toate aspectele privind protectia datelor, acces la cel mai inalt nivel, etc), evaluarea corecta a impactului si riscurilor asociate precum si alocarea corecta a resurselor necesare”.

Roxana Mitroi, avocat in cadrul bpv GRIGORESCU STEFANICA, semnaleaza ca: “Inclusiv angajatii companiilor ce au parcurs procesul conformitatii si implementarii prevederilor GDPR au fost nevoiti sa se puna la punct cu procedurile si legislatia in domeniu. In orice caz, fiecare organizatie este diferita si fiecare activitate a unei organizatii poate duce la prelucrarea unor tipuri diferite de date. In vederea aplicarii in mod corect a prevederilor GDPR, apreciem ca una din provocarile companiilor este monitorizarea continua si permanenta a conformitatii sale. Luand in considerare eforturile interne si externe depuse pentru a ajunge la un grad de conformare, necesitatea monitorizarii si actualizarii periodice a proceselor de prelucrare, a registrului de activitati de prelucrare, preintampinarea unor brese de securitate, dezvoltarea si utilizarea software-urilor de tipul inteligentelor artificiale, suntem de parere ca activitatea in domeniul privacy & data protection va continua atat la nivelul intern al companiilor, cat si la nivel extern, prin angajarea diferitelor tipuri de consultanti in domeniu”.

Roxana Mitroi mai adauga ca: „In acest sens, se remarca un interes accentuat al companiilor ce se manifesta sub forma implicarii mai multor categorii de actori in acest proiect de aliniere si compliance, iar acest lucru este sustinut inclusiv de practica multor organizatii de a desemna la nivel intern persoane specializate responsabile de aspecte de tin de protectia datelor, desemnate la nivelul intregului grup, persoane ce colaboreaza cu avocati sau consultanti externi in acest domeniu”.

Marius Dumitrescu, specialist GDPR, afirma ca: „Angajatii reprezinta unul dintre cele mai mari riscuri in ceea ce priveste securitatea unei organizatii, conform studiului State of Cybersecurity 2019 realizat de ISACA. Din punctul meu de vedere, cea mai mare provocare a companiilor in procesul de obtinere si mentinere a conformitatii GDPR este carenta unei culturi a responsabilitatii, in randul angajatilor, privind protectia datelor personale. Acesta carenta poate fi diminuata substantial in urma instituirii unor programe de instruire cu privire la importanta protectiei datelor in concordanta cu practicile generale si politicile specifice activitatii companiei. Responsabilizarea angajatilor din perspectiva protectiei datelor personale va aduce un plus de valoare companiei. Un angajat constient si informat este un angajat vigilent si care actioneaza cu responsabilitate, riscurile unei erori umane scazand, in acelasi timp in care randamentul muncii creste. Mai mult, identificarea rapida a eventualelor brese de securitate si respectarea protocolului de raspuns la incidente va minimiza pierderile companiei”.

Specialistul concluzioneaza: “Raman un visator si sper ca in urmatoarea perioada sa vedem campanii de educare a persoanelor vizate din Romania, si de ce nu, campanii de educatie in scoli”.

Data de 25 mai 2020 a marcat 2 ani de la implementarea regulamentului GDPR in Uniunea Europeana. Au fost doi ani plini de schimbari, atat pentru utilizatori, cat si pentru companii, dar, mai ales, pentru specialistii in protectia datelor. Cu această ocazie, colegii noștri de la SYPHER au realizat acest articol colaj in patru parti, care prezinta 2 ani de GDPR din perspectiva mai multor profesionisti in domeniul protectiei datelor.

Cei doi ani de la implementarea GDPR au fost o perioada cu numeroase provocari, atat pentru companii, dar si pentru specialisti, in procesul de obtinere si mentinere a conformitatii GDPR. Am intrebat sase specialisti care a fost cea mai mare provocare cu care s-au confruntat profesionistii care activeaza in domeniul protectiei datelor.

Bogdan Manolea, legal expert, puncteaza trei provocari majore; pe scurt: “Sa existe. Sa invete. Sa aplice.”

Specialistul detaliaza apoi: “Cea mai mare provocare pentru societate a fost sa existe, pentru ca, inainte de 2018 erau destul de putini specialisti care sa poate sa se laude ca lucreaza efectiv pe domeniul protectiei datelor. A doua mare provocare a specialistilor a fost, pe de o parte sa primeasca o instruire adecvata, in conditiile primului punct, dar si sa gaseasca materiale educative sau de informare dincolo de cursul initial. Iar a treia a fost sa vada cum pot sa aplice ceea ce stiu in zona in care lucreaza. Si sa convinga managementul ca este nevoie de unele schimbari.”

Pentru Serban Popa, consultant GDPR la Unity Solutions, cea mai mare provocare a constituit-o “Constientizarea necesitatii adaptarii si conformarii proceselor si activitatiilor la noile cerinte, alaturi de faptul ca efortul se va regasi in increderea crescuta a clientilor si a partenerilor de afaceri.”

La capitolul provocari, Raluca Puscas, avocat asociat la Filip & Company, mentioneaza ca: “Integrarea cerintelor legate de protectia datelor in activitatea zilnica a companiilor a fost si ramane o provocare in sine, in sensul de constientizare in cadrul organizatiei si in privinta crearii unei <<obisnuinte”>> de a integra regulile GDPR in toate liniile de activitate si noile produse dezvoltate de operatorul economic”.

Raluca Puscas remarca faptul ca: “Dincolo de actiunile de implementare specifice, de multe ori specialistii in protectia datelor s-au confruntat cu provocarea de a-si defini rolul in cadrul organizatiei si de a convinge ca regulile stabilite de GDPR nu reprezinta o piedica in dezvoltarea afacerii, in implementarea de noi tehnologii sau lansarea de noi produse, ci pot fi identificate solutii adecvate, in conditiile unei prelucrari responsabile a datelor. Nu mai putin, adaptarea la mediul de afaceri in continua schimbare si raspunsul rapid in situatii de criza (cum este actuala situatie generata de COVID-19 sau, mai general, situatiile cand companiile se confrunta cu o incalcare a securitatii datelor) necesita reactii si raspunsuri prompte, inclusiv in zona de protectie a datelor, iar acest lucru necesita de asemenea o atentie continua si o buna pregatire de specialitate”, a mai adaugat specialistul.

Pentru Stefan Iancu, consultant GDPR in cadrul companiei iPrivacy, cele mai mari provocari au fost reprezentate de: “Comunicarea clara si asigurarea acceptarii de catre senior management a obiectivelor de conformare la Regulament, asigurarea alocarii resurselor necesare si a comunicarii in organizatie, la toate nivelele, pe de o parte si extinderea expertizei proprii, in aria de IT, Legal, Management al riscului, Audit, Training, pe de alta parte”.

In opinia Roxanei Mitroi, avocat in cadrul bpv GRIGORESCU STEFANICA, “Una dintre provocarile cu care cu siguranta multi specialisti ai domeniului s-au intalnit este legata de cartografierea in mod complet a datelor personale prelucrate, precum si a activitatilor de prelucrare, avand in vedere faptul ca fiecare activitate de prelucrare trebuie identificata, stabilindu-se atat elementele de legitimitate ale acesteia, cat si identificarea scopurilor prelucrarii, a temeiurilor juridice, perioadelor de retentie adecvate, a tuturor entitatilor implicate in proces”.

Roxana Mitroi mentioneaza ca „Alte provocari in domeniu au fost date chiar de aspectele sensibile pentru care au fost solicitate opiniile juristilor. Astfel, anumite zone precum marketingul, profilarea, monitorizarea comportamentului prin noile tehnologii sunt unele dintre putine cazuri cand spiritul de inovatie, dar si pragmatismul juridic au iesit la iveala. In acest context, un aspect important este identificarea echilibrului intre nevoile business-ului de a-si continua activitatea si gradul de conformare cu prevederile GDPR. Mai mult, o alta provocare aparuta in decursul acestor ani a plecat de la lipsa unor proceduri minime de protectie a datelor si de asigurare a securitatii acestora, precum si de la lipsa de pregatire a personalului intern al organizatiilor privind modul in care datele personale sunt prelucrate.  In acest sens, avocatii firmei noastre au inceput proiectele de conformitate cu prevederile GDPR prin niste sesiuni de training organizate la nivelul organizatiilor pe care le asistam, pentru ca angajatii acestora sa cunoasca prevederile si procedurile ce vor dicta modul in care trebuie sa actioneze in legatura cu activitatile de prelucrare a datelor pe care le desfasoara”.

Pentru Marius Dumitrescu, specialist GDPR, „Persoana fizica in sine a ramas cea mai mare provocare pentru intreg domeniul protectiei datelor din Romania, deoarece, prin lipsa de cultura, intreg corpul profesional se confrunta cu solicitari nejustificate si insuficient documentate privind stergeri selective sau rectificari neintemeiate a informatiilor inregistrate in documente. Cu siguranta, aceste solicitari nu vor fi solutionate in favoarea persoanei vizate, existand mai multe reglementari specifice in ceea ce priveste termenul de retentie si posibilitatile de acces restrictionat si conditionat”.

Totodata, in opinia specialistului, “Gardianul modului in care se respecta confidentialitatea si mecanismele de protectie a datelor cu caracter personal ramane in continuare Responsabilul cu protectia datelor cu caracter personal (DPO), aceasta meserie nou aparuta, care se confrunta probabil cu cele mai mari provocari profesionale datorita caracterului general al Regulamentului (UE) 2016/679 si lipsei unor repere unitare privind interpretarea si implementarea lui. Poate si denumirea postului, care induce ideea responsabilitatii concentrate pe umerii unei singure persoane, a ingreunat ascensiunea si recunoasterea profesionala, multi DPO facand educatie managementului in momentul semnarii contractelor de consultanta”.