PECB semnează un parteneriat cu NeoPrivacy România și lansează cursurile recunoscute internațional

Editorial

Vizualizari: 81176

Facebooktwittergoogle_plusredditpinterestlinkedinmail

PECB Group Inc. Canada a anunțat semnarea un nou acord de parteneriat cu NeoPrivacy România, pentru a distribui cursuri de formare PECB, recunoscute internațional.

Suntem foarte încântați de acest parteneriat și promitem că vom oferi serviciile noastre la cel mai înalt nivel. Mă simt profund onorat și extrem de încântat să semnez acest acord cu NeoPrivacy România ”, a declarat Eric Lachapelle, CEO PECB. „Am susținut întotdeauna parteneriatele cu astfel de companii care sunt în concordanță și împărtășesc misiunea noastră. În anii trecuți am asistat la o dezvoltare extraordinară a programului nostru de parteneriat, susținând inițiativele care vizează în special dezvoltarea parteneriatelor internaționale. Ambele companii au echipe grozave de profesioniști și resurse care vor fi un sprijin deosebit pentru acest parteneriat ”, a adăugat Lachapelle.

Parteneriatul dintre NeoPrivacy România și PECB ne onorează și ne obligă să oferim servicii de înaltă calitate clienților noștri din România și Republica Moldova. În primul rând, acest parteneriat strategic își propune să crească calitatea serviciilor de formare românești dedicate domeniului confidențialității și protecției datelor, punând un accent mai mare pe experiența practică. Toți formatorii NeoPrivacy România sunt în primul rând practicieni în domeniul protecției și securității datelor. ” a declarat Marius Dumitrescu, Managing Partner, NeoPrivacy Romania.

Prin intermediul acestui parteneriat, specialiștii români în protecția și securitatea datelor cu caracter personal, care își doresc o certificare la standardul PECB, pot demonstra la nivel international că dețin cunoștințele practice și capacitățile profesionale pentru a ajuta organizațiile în aplicarea legilor și reglementărilor privind protecția datelor și nu numai. Candidații pot economisi timp și bani, având în vedere că nu există cheltuieli de deplasare și pot învăța practic din confortul casei sau al biroului. Fiecare își poate stabili ritmul propriu de învățare cu posibilitatea de a obține certificarea prin susținerea examenului online, în orice moment, într-o perioadă de 12 luni.

Pechetul de cursuri în regim Self-Study lansat de NeoPrivacy Romania prin intermediul portalului dpo-NET.ro este următorul:

Denumire curs si descriere curs (link) Tip Durata Pret promotional valabil pana la 01.08.2020
PECB GDPR Introduction Self-Study Flexibil, maxim 12 luni Pret redus - 600 lei +TVA
PECB GDPR Foundation + Online Exam Self-Study Flexibil, maxim 12 luni Pret redus - 1200 lei +TVA
PECB GDPR – Certified DATA PROTECTION OFFICER (DPO) + Online Exam Self-Study Flexibil, maxim 12 luni Pret redus - 2600 lei +TVA
PECB ISO/IEC 27001 Introduction (Information Security) Self-Study Flexibil, maxim 12 luni Pret redus - 600 lei +TVA
PECB Certified ISO/IEC 27001 Foundation (Information Security) + Online Exam    Self-Study Flexibil, maxim 12 luni Pret redus - 1200 lei +TVA
PECB Certified ISO/IEC 27001 Lead Implementer (Information Security) + Online Exam Self-Study Flexibil, maxim 12 luni Pret redus - 2600 lei +TVA
PECB Certified ISO/IEC 27001 Lead Auditor (Information Security) + Online Exam Self-Study Flexibil, maxim 12 luni Pret redus - 2600 lei +TVA
PECB Certified ISO/IEC 27701 Foundation (Privacy Information Management System) + Online Exam Self-Study Flexibil, maxim 12 luni Pret redus - 1200 lei +TVA
PECB Certified ISO/IEC 27701 Lead Implementer (Privacy Information Management System) + Online Exam Self-Study Flexibil, maxim 12 luni Pret redus - 2600 lei +TVA
PECB Certified ISO/IEC 27701 Lead Auditor (Privacy Information Management System) + Online Exam Self-Study Flexibil, maxim 12 luni Pret redus - 2600 lei +TVA
PECB ISO/IEC 27005 Introduction (Information Security Risk Management) Self-Study Flexibil, maxim 12 luni Pret redus - 600 lei +TVA
PECB Certified ISO/IEC 27005 Foundation (Information Security Risk Management) + Online Exam Self-Study Flexibil, maxim 12 luni Pret redus - 1200 lei +TVA
PECB Certified ISO/IEC 27005 Risk Manager (Information Security Risk Management) + Online Exam Self-Study Flexibil, maxim 12 luni Pret redus - 1800 lei +TVA
PECB Certified ISO/IEC 27005 Lead Risk Manager (Information Security Risk Management) + Online Exam Self-Study Flexibil, maxim 12 luni Pret redus - 2600 lei +TVA
PECB Certified ISO/IEC 29100 Lead Privacy Implementer (Lead Privacy Implementer) + Online Exam Self-Study Flexibil, maxim 12 luni Pret redus - 2600 lei +TVA
PECB Certified ISO/IEC 27032 Lead Cybersecurity Manager (Cyber Security) + Online Exam Self-Study Flexibil, maxim 12 luni Pret redus - 2600 lei +TVA
PECB Certified Ethical Hacking (Ethical Hacking) + Online Exam Self-Study Flexibil, maxim 12 luni Pret redus - 2600 lei +TVA
PECB ISO/IEC 27035 Introduction (Incident Management)  Self-Study Flexibil, maxim 12 luni Pret redus - 600 lei +TVA
PECB Certified ISO/IEC 27035 Foundation (Incident Management) + Online Exam Self-Study Flexibil, maxim 12 luni Pret redus - 1200 lei +TVA
PECB Certified ISO/IEC 27035 Incident Manager (Incident Management) + Online Exam Self-Study Flexibil, maxim 12 luni Pret redus - 2600 lei +TVA
PECB Certified ISO/IEC 27035 Lead Incident Manager (Incident Management) + Online Exam Self-Study Flexibil, maxim 12 luni Pret redus - 2600 lei +TVA
PECB Introduction to Forensics (Computer Forensics) Self-Study Flexibil, maxim 12 luni Pret redus - 600 lei +TVA
PECB Certified Forensics Examination Foundation (Computer Forensics) + Online Exam Self-Study Flexibil, maxim 12 luni Pret redus - 1200 lei +TVA
PECB Certified Lead Computer Forensics Examiner (Computer Forensics) + Online Exam Self-Study Flexibil, maxim 12 luni Pret redus - 2600 lei +TVA
PECB Certified Lead Pen Test Professional (Penetration Testing) + Online Exam Self-Study Flexibil, maxim 12 luni Pret redus - 2600 lei +TVA
PECB Certified Cybersecurity Audit Foundation + Online Exam Self-Study Flexibil, maxim 12 luni Pret redus - 1200 lei +TVA
PECB ISO 31000 Introduction Self-Study Flexibil, maxim 12 luni Pret redus - 600 lei +TVA
PECB Certified ISO 31000 Foundation + Online Exam Self-Study Flexibil, maxim 12 luni Pret redus - 1200 lei +TVA
PECB Certified ISO 31000 Risk Manager + Online Exam Self-Study Flexibil, maxim 12 luni Pret redus - 1800 lei +TVA
PECB Certified ISO 31000 Lead Risk Manager + Online Exam Self-Study Flexibil, maxim 12 luni Pret redus - 2600 lei +TVA
PECB Certified ISO 31000 Transition + Online Exam Self-Study Flexibil, maxim 12 luni Pret redus - 1200 lei +TVA
PECB ISO 22301 Introduction Self-Study Flexibil, maxim 12 luni Pret redus - 600 lei +TVA
PECB Certified ISO 22301 Foundation + Online Exam Self-Study Flexibil, maxim 12 luni Pret redus - 1200 lei +TVA
PECB Certified ISO 22301 Lead Implementer + Online Exam Self-Study Flexibil, maxim 12 luni Pret redus - 2600 lei +TVA
PECB Certified ISO 22301 Lead Auditor + Online Exam Self-Study Flexibil, maxim 12 luni Pret redus - 2600 lei +TVA
PECB Certified ISO 22301:2019 Transition + Online Exam Self-Study Flexibil, maxim 12 luni Pret redus - 1200 lei +TVA

 

Metoda Self Study – materiale in format electronic, in limba engleza

  • Taxele de certificare sunt incluse în prețul examenului.
  • Participanților li se va asigura materialul de instruire care conține sute de pagini de informații explicative și exemple practice.

Avantajele sistemului Self-Study

  • Economisiți timp și bani având în vedere că nu există cheltuieli de deplasare și veți învăța practic din confortul casei sau al biroului.
  • Stabiliți-vă ritmul propriu de învățare cu posibilitatea finaliza prin susținerea examenului în orice moment pe perioada de 12 luni
  • Aveți posibilitatea de a susține examenul individual, prin platforma online de examinare
  • In taxa de curs sunt incluse două încercări de absolvire a examenului de certificare

Etapele procesului de certificare PECB

  1. Inscrierea la curs prin completarea formularului online
  2. Achitati factura primita prin email
  3. Deschideti un cont PECB – Urmați instrucțiunile aici: www.pecb.com/help
  4. Descarcati aplicatia KATE – Urmați linkul pentru a descărca: www.pecb.com/en/kate-app
  5. Conectati-va la aplicatia KATE cu contul Dumneavoastra PECB
  6. Dupa ce studiati materialele puse la dispozitie, programati-va pentru examenul online. Descărcați aplicația EXAM. Urmați linkul pentru a descărca: www.pecb.com/pecbexams
  7. Aplicati pentru certificare PECB. Candidații trebuie să completeze Formularul de Cerere de Certificare online

Despre PECB

PECB este un organism de certificare international pentru persoane, sisteme de management și produse, pe o gamă largă de standarde internaționale. Ca furnizor global de servicii de formare, examinare, audit și certificare, PECB oferă expertiza sa în mai multe domenii, inclusiv, dar fără a se limita la securitatea informațiilor, IT, continuitatea afacerilor, managementul serviciilor, sisteme de management al calității, risc și management, sănătate, siguranță și mediu.

PECB, prin intermediul NeoPrivacy România, ajută profesioniștii și organizațiile din România să își demonstreze angajamentul și competența, raportându-se la standarde internaționale, oferind această asigurare prin educație, evaluare și certificare cu cerințe de competență riguroase, recunoscute la nivel internațional. Misiunea noastră este de a oferi clienților noștri servicii complete care inspiră încredere, îmbunătățire continuă, demonstrarea recunoașterii și accent pe beneficiul societății, în ansamblu. Pentru informații suplimentare despre PECB și pentru lista completă a standardelor, vizitați http://www.pecb.com.

Despre NeoPrivacy Romania

La începutul anului 2018, NeoPrivacy și-a lansat oferta de servicii pentru companii din România și Republica Moldova, promovând soluții software pentru conformitate și implementarea GDPR, precum și servicii de audit pentru măsuri tehnice și organizatorice, servicii de audit pentru prevenirea incidentelor de securitate, ISO27001 și traininguri specializate pentru DPO și alți specialiști.

NeoPrivacy Romania a dezvoltat primul portal web românesc dedicat exclusiv comunității profesioniștilor din domeniul protecției datelor și securității informațiilor (https://dpo-net.ro/), oferind informații naționale și internaționale, resurse utile și traininguri online. Pe baza dezvoltării tehnologice din ultimii zece ani, proiectele echipei noastre rezultă din convingerea că „Privacy is a right, NeoPrivacy is a currency” și prin activitățile noastre de formare, creștem activ gradul de  conștientizare cu privire la importanța și valoarea datelor cu caracter personal.

    Campurile marcate cu * sunt obligatorii








    Etapele de certificare / absolvire curs

    1. Alegeti cursul care vi se potriveste
    Fiecare certificare PECB are o programă de curs specifică și un set de cerințe de experiență. Pentru a stabili care acreditare este potrivită pentru Dumnevoastră, verificați toate cerințele de eligibilitate pentru diferitele certificări, în concordanță cu nevoile Dumneavoastră profesionale.

    2. Pregătiți-vă pentru examen
    Toți candidații în sistemul Self Study sunt responsabili pentru propriul program de studiu și pentru pregătirea în vederea examinării. Nu este obligatoriu parcurgerea un set specific de informații sau a unei material  unic de studiu, ca parte a procesului de certificare. Totuși, finalizarea unui curs sau a unui program de studiu vă va spori semnificativ șansa de a trece un examen de certificare PECB. Pentru a afla mai multe despre examene, domenii de competență și declarații de cunoștințe, accesați: Ghiduri de pregătire a examenelor PECB.

    3. Aplicați și programați examenul
    Candidații pot să susțină un examen PECB de la distanță, din comoditatea propriei case, prin aplicația de examen PECB si efecutand o programare: https://pecb.com/en/eventExamList/schedule

    4. Absolvirea examenului
    Candidații trebuie să ajungă cu cel puțin 30 de minute înainte de începerea examenului de certificare. Candidaților care sosesc cu întârziere nu li se va acorda timp compensatoriu pentru sosirea cu întârziere și li se poate refuza participarea la examen. Toți candidații sunt obligați să prezinte o carte de identitate valabilă, cum ar fi o carte de identitate națională, un permis de conducere sau un pașaport. Durata examenului variază în funcție de tipul de examen (vezi descrierea diferitelor examene pentru mai multe detalii). Timpul suplimentar poate fi oferit candidaților care susțin examenul într-o limbă diferită de limba maternă (la solicitarea candidaților, în ziua examenului).

    Tipul examenului: eseuri, cunoscute sub numele de examene cu intrebari deschise, sunt examene în care candidații sunt autorizați să utilizeze numai următoarele materiale de referință:

    • O copie a Regulamentului 679/2016 pe suport de hârtie;
    • Notele de curs din Fișa Participantului;
    • Orice note personale făcute de student în timpul cursului;
    • Un dicționar;

    Pentru mai multe informații despre detaliile examenului, consultați Regulile și politicile de examinare

    5. Primește rezultatele examenului tău
    Rezultatele vor fi comunicate prin e-mail într-o perioadă de la 6 până la 8 săptămâni de la data examinării. Candidatului i se vor oferi doar două rezultate posibile ale examinării: admis sau respins. În caz de eșec, rezultatele vor fi însoțite de lista domeniilor în care candidatul nu a răspuns complet la întrebare. Acest lucru poate ajuta candidatul să se pregătească mai bine pentru o reluare a examenului. Candidații, care nu sunt de acord cu rezultatele examenului, pot depune o contestatie.

    6. Aplicați pentru certificare
    Toți participanții care susțin cu succes examenul de certificare PECB au dreptul să solicite acreditările PECB pentru care au fost examinați. Cerințele educaționale și profesionale specifice vor trebui îndeplinite pentru a fi certificate PECB. Candidații trebuie să completeze Formularul de Cerere de Certificare online și să completeze toate celelalte formulare online (care pot fi accesate prin intermediul profilului lor online PECB), inclusiv datele de contact ale referințelor care vor fi contactate pentru a valida experiența profesională a candidaților.

    Aprobarea cererii are loc imediat ce Departamentul de certificare validează că îndepliniți toate cerințele de certificare cu privire la acreditarea pentru care ați solicitat-o. Un mesaj va fi trimis la adresa de e-mail pe care ați furnizat-o în timpul procesului de inregistrare. Dacă este aprobat, vei putea descărca certificatul din contul de membru.

    7. Mențineți certificarea
    Certificările PECB sunt valabile timp de trei ani. Pentru a menține certificarea, solicitantul trebuie să demonstreze în fiecare an că el / ea încă îndeplinește sarcini care țin de această certificare. Profesioniștii cu certificare PECB furnizează anual PECB numărul de ore de audit și / sau sarcini legate de implementare pe care le-au îndeplinit, împreună cu datele de contact ale persoanelor care pot valida aceste sarcini. În plus, profesioniștii certificați ar trebui să plătească periodic taxele anuale de întreținere a certificării PECB.

    Un e-mail de notificare este trimis membrilor noștri certificați, care sunt obligați să depună documente care atestă dezvoltarea profesională continuă (CPD) împreună cu taxa anuală de întreținere (AMF) cu trei luni înainte de data anuală a certificării lor.

    INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


    Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


    Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

    Importanța respectării autonomiei și independenței DPOului

    Editorial

    Vizualizari: 2342

    Facebooktwittergoogle_plusredditpinterestlinkedinmail

    În urma diferitelor discuții purtate cu colegi și colaboratori DPO au reieșit câteva dintre condițiile dificile în care își desfășoară activitatea unii dintre aceștia și, din provocările cu care se confruntă au rezultat următoarele constatări:

    • Există opoziție din partea restului organizației,
    • Volumul de muncă este masiv și în continuă creștere,
    • Independența DPO este contestată,
    • DPO-ul se confruntă cu lipsa suportului managementului pentru schimbarea situațiilor descrise anterior.

    DPO, ca și garant al respectării dreptului fundamental al persoanelor fizice la protecția datelor cu caracter personal, este o componentă importantă a Regulamentului privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal (679/2016 /GDPR).

    Neînțelegerea de către operatori a acestui rol al DPO este un alt motiv pentru care acesta întâmpină dificultăți în îndeplinirea sarcinilor sale și în consolidarea poziției sale în cadrul organizației.

    Acest specialist este desemnat de Regulament să protejeze/să asigure protecția datelor cu caracter personal ale persoanelor vizate, iar acest lucru reiese clar și din titulatura acestei funcții, fie că este denumit responsabil (într-o traducere neinspirată din limba engleză), fie că este denumit ofițer (DPO - Data Protection Officer). În relația sa cu operatorul, DPO are obligația de a se asigura că datele personale al persoanelor vizate nu sunt opționale, sunt prelucrate în condiții de securitate, iar obligația sa de a nu aviza favorabil prelucrări de date personale care ar încălca dreptul persoanelor la protecția datelor face ca, uneori, relațiile dintre aceste două părți să devină tensionate.

    Rolul unui DPO asigură că operatorii de date sunt informați cu privire la riscurile legate de diferite activități de prelucrare, include consilierea cu privire la evaluările impactului asupra protecției datelor (DPIA), supravegherea acurateței cartografierii datelor, instruirea personalului și răspunsul la cererile de acces ale persoanelor vizate (DSAR), iar un DPO capabil este tocmai punctul de echilibru al unui program de protecție a datelor de succes.

    Organizațiile care promovează o cultură a conformității datelor se află în avantaj competitiv într-o lume în care confidențialitatea și protecția datelor contează mai mult decât oricând. Pentru cei care nu fac acest lucru, riscurile financiare, juridice și reputație pot fi semnificative.

    Tocmai din această perspectivă a provocărilor tot mai complexe, DPO nu ar trebui să rezolve problemele în mod individual. În schimb, autoritățile vor trebui să își asume un rol activ în îmbunătățirea condițiilor pentru DPO, oferind îndrumări clare și explicite cu privire la chestiuni practice și prin aplicarea sancţiunilor în cazurile de încălcare a Regulamentului și/sau al breșelor de securitate.

    Rolul DPO în evaluarea impactului și interpretarea legilor privind protecția datelor

    Articolul 38 din GDPR prevede ca atât operatorul cât și persoana împuternicită să se asigure că DPO este „implicat, în mod corespunzător și în timp util, în toate aspectele legate de protecția datelor cu caracter personal”. Acest lucru implică faptul că DPO nu este consultat doar ocazional sau post factum (când apar incidente de securitate sau când sunt de procesat cereri ale persoanelor vizate pentru exercitarea drepturilor acestora), ci și ante factum, pentru ca aspectele legate de protecția datelor cu caracter personal să fie avute în vedere și luate în considerare înainte de desfășurarea unor activități noi care presupun prelucrări de date cu caracter personal. Cu alte cuvinte, această consultare prealabilă a DPO și respectarea avizului acestuia înseamnă că se respectă, implicit și principiul privacy by design al activității de prelucrare a datelor preconizată de operator.

    Din faptul că DPO are sarcina de a oferi consultanță operatorului, acesta din urma ar trebui să înțeleagă și faptul că DPO, chiar dacă dă aviz negativ felului în care operatorul a realizat prelucrarea de date, poate oferi și soluții pentru ca acea prelucrare să devină conformă cu GDPR, parțial, sau chiar integral.

    Acest lucru nu înseamnă că DPO este un magician cu soluții minune disponibile în joben, pentru ca operatorul să poată face prelucrarea de date dorită folosindu-se de eventuale interpretări din zona gri a Regulamentului.

    Acolo unde nu există dubii asupra prevederilor Regulamentului, iar DPO a dat un aviz negativ pe baza acestora, operatorul trebuie să respecte acest aviz și să nu interpreteze poziția DPO ca fiind una negativă, îndreptată împotriva operatorului și a intereselor acestuia ci, din contră, să înțeleagă că prin acel aviz negativ, DPO îl protejează și pe el, de fapt, nu doar persoanele vizate.

    În temeiul articolului 39, “un DPO nu primeşte niciun fel de instrucţiuni în ceea ce priveşte tratarea unei probleme, de exemplu, ce rezultat ar trebui obținut, cum să investigheze o plângere, sau dacă să consulte Autoritatea de Supraveghere. Mai mult, aceștia nu trebuie să aibă o anumită viziune asupra unei probleme legate de legislația privind protecția datelor, de exemplu, o interpretare specială a legii”. (Comitetul European pentru Protecția Datelor).

    Independența DPO este testată foarte dur mai ales în situațiile în care operatorul se confruntă cu o breșă de securitate. Dacă DPO, în urma analizării faptelor și a contextului în care s-a produs incidentul de securitate decide că operatorul se confruntă cu o încălcare a securității datelor personale iar acesta trebuie să-și respecte obligația legală de a notifica breșa de securitate la ANSPDCP, DPO trebuie să păstreze o poziție fermă și să nu cedeze eventualelor sugestii sau chiar insistențelor operatorului de a cosmetiza incidentul, de a ascunde informații, sau chiar de a nu respecta prevederile GDPR privind notificarea breșelor de securitate. Această poziție a DPO este de cele mai multe ori generatoare de tensiuni între operator și DPO, mai ales atunci când, operatorul se va confrunta cu amendă/măsuri corective din partea Autorității. Pierderile operatorului în termeni de credibilitate și reputație pot fi mult mai importante decât o amendă de câteva mii de euro (în primele 5 luni ale anului 2020,  media/amendă în România a fost de 3.358 euro).

    În legătură cu evaluările impactului asupra protecției datelor (DPIA),  GDPR prevede implicarea timpurie a DPO și specifică la articolul 35 alineatul (2) că operatorul va solicita sfatul DPO atunci când efectuează astfel de evaluări de impact. Guidelines on Data Protection Officers (‘DPOs’) - Ghidul privind Responsabilul cu protecția datelor cu caracter personal prevede faptul că „dacă operatorul nu este de acord cu sfaturile furnizate de DPO, documentația DPIA ar trebui să justifice în scris în mod specific motivul pentru care sfatul nu a fost luat în considerare”. În plus, articolul 36 din Regulamentul 679/2016 obligă operatorul să consulte Autoritatea de protecție a datelor, prin intermediul DPO, înainte de prelucrare, în cazul în care DPIA indică existența unui risc ridicat al prelucrării.

    Deci, ce înseamnă asta în practică?

    O bună gestionare a conformității prelucrării datelor provine dintr-o bună guvernanță implementată în practică. Dacă independența DPO este ceva care există doar scriptic în organizație, în realitate:

    1. sfatul DPO nu este apreciat și nici luat în considerare
    2. DPO nu este implicat în toate procesele relevante
    3. uneori i se solicită DPO să își schimbe recomandările, ceea ce ulterior constituie o slăbiciune a acestuia, chiar o încălcare a GDPR.

    Echipa de management a operatorului trebuie să sprijine construirea culturii conformității în organizație nu numai prin punerea la dispoziția DPO a resurselor umane, financiare sau logistice necesare (conform art 38 din GDPR), pentru ca acesta să-și îndeplinească sarcinile specifice, dar și prin sprijinirea DPO în îndeplinirea sarcinilor sale. Aceasta implică ascultarea și luarea de măsuri pe baza sugestiilor uneori incomode din partea DPO, cu privire la consolidarea stării de maturitate organizațională.

    Cum putem rezolva problemele

    Opoziția din partea restului organizației față de activitatea de protecţie a datelor provine, de obicei, din trei motive:

    • lipsa sprijinului acordat de conducere activităţii de protecţie a datelor,
    • roluri și responsabilități neclare
    • instrumente de lucru neadecvate

    Dacă cel mai înalt nivel al conducerii operatorului nu a fost clar în comunicarea cu privire la importanța unui management implicat și a unor practici de protecţie a datelor coerente față de întreaga organizație, poate fi dificil pentru angajații care nu sunt implicați în mod curent în activitatea de protecție a datelor să înțeleagă importanța unor sarcini suplimentare care trebuie îndeplinite. Pentru că îndeplinirea sarcinilor privind protecția datelor personale nu este o activitate direct productivă, nefiind ceva ‘palpabil’ cu efecte directe in zona beneficiilor materiale, este esențial ca, în astfel de situaţii, conducerea să trimită un mesaj clar și să dedice timp și efort pentru a sublinia importanța unei culturi solide a protecţiei datelor. Obținerea unei conformități GDPR reale, de facto a organizației este un efort de echipă și nu poate fi considerată sarcina exclusivă a DPO.

    Un alt motiv pentru opoziție poate fi lipsa de roluri bine definite și atribuirea clară a responsabilităților. În multe organizații, există încă loc de îmbunătățire atunci când vine vorba de proiectarea organizației care trebuie să mențină documentația activităților de prelucrare a datelor și să efectueze evaluările și monitorizarea îndeplinirii sarcinilor. Cade în sarcina echipei de management să implice toți membrii organizației în sprijinirea DPO pentru identificarea corectă a activităților de prelucrare a datelor personale, de furnizare corectă și completă a informațiilor către DPO și, acolo unde este cazul, fiecare actor implicat în implementarea GDPR să elaboreze și să gestioneze partea proprie de documentație.

    Atunci când un angajat se confruntă brusc cu o sarcină legată de protecţia datelor care nu a fost prioritizată de conducere, sau care i-a fost atribuită în mod oficial pe cale administrativă, reacția naturală a acestuia este de a o neglija (mai ales dacă este solicitat și de celelalte atribuții de serviciu). DPO va experimenta acest lucru ca o respingere, sau chiar opoziție față de munca ce trebuie făcută. În această situație e indicat ca DPO, să dea dovadă de tact, pentru a compensa și chiar a înlătura reticența și opoziția , celorlalte părți interesate prin îndrumări și clarificări necesare si astfel să răspundă în mod adecvat la nevoile fiecărei părți și să își îndeplinească obligațiile față de toate părțile.

    În consecință, este esențial ca fiecare organizație să aibă timp să ia în considerare rolurile din organizație pentru a îndeplini toate sarcinile relevante atât la nivel strategic, cât și la nivel tactic și operațional. Până când nu sunt definite clar rolurile și responsabilităţile fiecăruia cu privire la ce trebuie să facă și până când această nouă atribuţie nu este percepută și acceptată ca fiind necesară, DPO va continua să se lupte pentru a obține și colaborare din partea celor implicaţi.

    Al treilea motiv pentru care DPO se află în conflict este din cauza instrumentelor de lucru depășite și ineficiente. Multe organizații se bazează încă pe tabele Excel și șabloane “word”,  în cel mai bun caz centralizate pe un site SharePoint. Această configurare face practic imposibil pentru DPO să delege atribuțiile într-un mod eficient și permite doar adaptarea limitată la situația specifică. Prin urmare, destinatarul noii activități va experimenta interacțiunea cu DPO ca fiind rigidă și suprasolicitantă. O mulțime de instrumente de lucru sunt disponibile pe piață astăzi, iar DPO ar trebui să aibă acces la cele mai bune dintre ele pentru a facilita organizațiilor să sprijine conformitatea cu cerințele Regulamentului. DPO poate îmbunătăți colaborarea cu salariații și poate obține colaborarea voluntară și conștientă a acestora pentru implementarea GDPR, folosindu-se de calitățile sale “naturale”, dar nu poate compensa lipsa resurselor financiare și carcterul depăsit al instrumentelor de lucru pe care le are la dispoziție. Mare parte din reticența, sau chiar opoziția celorlalți membri ai entității organizaționale în ce privește îndeplinirea sarcinilor pe linie de protecție a datelor personale, ar putea fi depășite dacă ar putea fi contrabalansate de timpul scurt de realizare a acestora cu ajutorul unor instrumente de lucru performante.

    Volumul de muncă deseori copleşitor

    Motivul creșterii volumului de muncă provine de obicei din proiectarea organizațională ineficientă, lipsa resurselor și lipsa disponibilității instrumentelor adecvate.

    Atunci când vine vorba de a complica munca pentru DPO, lipsa unui design organizațional eficient este întotdeauna vinovatul principal. În multe organizații, DPO a ajuns să fie “calul de bătaie” pentru întreaga corporație. DPO trebuie să țină evidența activităților de procesare, să elaboreze acorduri de prelucrare a datelor, să efectueze DPIA-uri, să asigure implementarea capabilităților tehnice, să instruiască angajații și să monitorizeze implementarea practicilor de protecţie a datelor. Cu alte cuvinte, DPO a devenit o resursă operațională necesară pentru îndeplinirea sarcinilor, care în mod ideal ar trebui să fie îndeplinite de către cei responsabili cu activitățile de prelucrare. Rețineți că articolul 39 din GDPR prevede că DPO doar va informa și consilia, misiunea lui nu este de a efectua lucrările operaționale propriu-zise.

    Această provocare este rezultatul unui concept organizațional ineficient, în care responsabilitatea de a îndeplini sarcinile enumerate mai sus nu a fost atribuită resurselor relevante, sau, dacă au fost atribuite, acest lucru s-a făcut doar scriptic, iar echipa de management nu s-a asigurat prin acțiuni de monitorizare și control eficiente că aceste sarcini chiar sunt îndeplinite, aceasta fiind una din explicațiile pentru care salariații manifestă reticență sau refuză, tacit sau chiar explicit, să îndeplinească aceste sarcini. În consecință, pe baza neînțelegerii rolului DPO, organizația se așteaptă ca acesta să gestioneze toate aspectele operaționale legate de activitatea de protecţie a datelor. În schimb, DPO ar trebui să acționeze la un nivel tactic, să instruiască și să ofere sfaturile necesare celor care fac munca la nivel operațional. DPO are de îndeplinit și o parte operațională în activitatea sa, dar nu poate prelua și îndeplini aceste activități pentru toată organizația.

    Pentru îndeplinirea conformității nu înseamnă neapărat că trebuie să existe mai mulți angajați în zona de protecţie a datelor. Cu toate acestea, doar puține organizații au luat în considerare impactul GDPR la nivel operațional și au alocat timp pentru sarcinile suplimentare ale angajaţilor referitor la protecţia datelor, în plus faţă de activitățile curente ale postului. De asemenea, responsabilitatea de a îndeplini aceste sarcini trebuie să le fie atribuită în mod clar. Acest lucru va elimina o parte din volumul de lucru al DPO și va elibera timp pentru alte sarcini critice. În esență, salariații urmează indicaţiile operatorului, iar DPO îi ajută să înțeleagă CUM să facă ceea ce le solicită operatorul. DPO are o contribuție hotărâtoare la clarificarea acestui CE este de făcut, dar este obligația operatorului să impună realizarea sarcinilor, fie direct, fie dându-i DPO autoritatea necesară (este valabil pt toți stakeholderii, nu numai pt salariați)pentru ca acesta să poată stabili sarcini și atribuții pe linie GDPR, așa cum este prevăzut în art. 39, alineatul 1, lit. b) din Regulamentul 679/2016.

    Încă o dată, accesul la instrumente de lucru de ultimă generație (aplicații automatizate, sisteme inteligente) este esențial pentru ca DPO să își poată îndeplini sarcinile (ceea ce nu înseamnă că DPO, sau angajații nu și-ar putea îndeplini sarcinile folosind documente create în Excel sau șabloane în “word”, ci existența unor instrumente de lucru de ultimă generație s-ar traduce în timpi mult mai scurți de efectuare a acestor sarcini suplimentare și ar avea ca efecte benefice detensionarea relațiilor între DPO și restul organizației și reducerea / eliminarea reticenței, opoziției sau refuzului de a contribui activ la obținerea conformității GDPR).

    Independența DPO este contestată

    Amenințarea la adresa independenței DPO este o problemă mult mai gravă și care poate necesita o implicare externă, dacă DPO este blocat în mod repetat în a-și prezenta opiniile către conducere, la orice nivel. Mulți DPO reclamă faptul că se confruntă cu numeroase situații în care conducerea s-a opus anumitor evaluări făcute de acesta cu privire la riscurile și legalitatea prelucrării.

    Acest lucru este o provocare pentru DPO și se află în conflict direct cu intenția de a avea DPO ca organism independent în cadrul organizației, care să asigure practici solide de protecție a datelor. De asemenea, conflictul cu echipa de management și presiunea de a-și schimba poziția pot avea implicații psihologice semnificative în termeni de stres și satisfacție scăzută la locul de muncă.

    Problema independenței DPO este cauzată, adesea, de două aspecte:

    • neînțelegerea de către conducere a rolului DPO
    • poziția, uneori inflexibilă a DPO, ceea ce face dificilă găsirea unei căi de urmat.

    Conducerea tinde să privească DPO ca fiind “aproape” o extensie a funcției juridice, prin urmare, se așteaptă ca acesta să găsească argumente juridice care ar putea permite activități de prelucrare a datelor într-o “zona incertă” și este contrariată, sau chiar nemulțumită de poziția DPO când acesta exprimă îngrijorări sau chiar dă aviz negativ pentru anumite activități de prelucrare a datelor personale care nu sunt conforme cu prevederile GDPR. Cum explicam anterior, rolul DPO nu este de a găsi “portițe de scăpare” în Regulament pentru operator, ci de a oferi soluția cea mai corectă pentru respectarea principiilor protecției datelor cu caracter personal.

    Cea mai bună modalitate de a rezolva această problemă este de a purta o discuție cu privire la rolul DPO înainte de apariția oricărui conflict. O întâlnire informală cu conducerea superioară unde DPO poate avea ocazia să explice conducerii avantajele independenței funcției sale care este benefică pentru toate părțile implicate: asigură soluții care generează încrederea clienților, îndeplinesc așteptările clienților, evaluează și diminuează riscurile, face verificări și asigură echilibrul, elaboreaza documentație - cu precizarea că elaborează doar documentația care cade în sarcina sa, conform prevederilor Regulamentului, sprijină operatorul în  îndeplinirea obligației sale de a respecta principiul responsabilității etc. Înțelegerea sau interpretarea greșită de către conducere a rolului DPO provine și din faptul că mulți DPO nu sunt suficient de bine pregătiți și nu cunosc suficient de bine care sunt limitele de competență ale rolului lor, ceea ce contribuie la apariția acestei confuzii de roluri. Acest impas poate fi depășit, pe de o parte prin munca individuala a DPO de a-și extinde experiența în domeniu, iar pe de alta parte de obligația operatorului de a pune la dispoziția DPO resursele pentru actualizarea cunoștințelor de specialitate ale acestuia, fie că este vorba despre achiziționarea de bibliografie în domeniu (cărți, reviste etc.), fie prin alocarea unui buget care sa-i permita participarea la cursuri de perfecționare, sau achiziția unui abonament la o platformă care conține bibliografie legislativă actualizată.

    Cu toate acestea, DPO trebuie să înțeleagă că face parte dintr-o organizație care depinde de cunoștințele și îndrumările sale ca specialist în materie de gestionare a conformității. Prin urmare, considerăm că DPO are obligația de a căuta în mod activ soluții care să asigure un echilibru corect între soluționarea problemelor organizației și reducerea riscului pentru persoana vizată, fără ca acest lucru să blocheze activitatea organizației sau să încarce membrii acesteia cu sarcini suplimentare care să pună presiune suplimentară (și inutilă) pe aceștia. Chiar dacă nu este prevăzut în Regulament, DPO trebuie să-și asume și rolurile suplimentare de facilitator și chiar de mediator pentru a fluidiza activitatea organizației în efortul acesteia de a obține și de a menține un nivel ridicat de conformitate GDPR.

    Pare ușor pentru un DPO să spună „nu” și să solicite întotdeauna mai mult în ceea ce privește securitatea și protecția datelor, dar valoarea reală, atât pentru organizație, cât și pentru persoana vizată este faptul că DPO poate ajuta la găsirea de soluții care să atenueze în mod adecvat riscurile activităților de prelucrare a datelor și reducerea lor la un nivel acceptabil. În cazul în care DPO se poate poziționa în mod recurent ca un ajutor în găsirea de soluții la probleme și nu doar ca un identificator de probleme, atunci probabil ca va primi sprijinul corespunzător din partea restului organizației. Operatorii ar trebui să fie conștienți de faptul că solicitările DPO de alocare de resurse suplimentare, uneori deloc de neglijat sub aspect financiar au scopul de a reduce inclusiv riscul unor sancțiuni în cazul producerii unei breșe de securitate. Este, deja, de notorietate faptul că amenzile pentru nerespectarea art. 32 din Regulament sunt bazate, de multe ori, pe faptul că operatorul nu va putea niciodată să demonstreze că a făcut suficient sau că “[...] implementează măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc [...]”, deoarece, oricâte eforturi ar face operatorul pentru obținerea conformității, faptul că breșa de securitate s-a produs este folosit ca justificare pentru a demonstra că nu a făcut suficient. Realitatea producerii breșei de securitate nu poate fi ștearsă sau ignorată nici de operator, nici de autoritatea de supraveghere.

    Lipsa suportului managementului superior

    Cele din urmă provocări cu care se confruntă DPO sunt rezistența din partea conducerii de a face modificările necesare pentru a aborda situația DPO. Principalul motiv pentru această reticență este că, uneori, conducerea nu are o înțelegere deplină atât a riscurilor, cât și a oportunităților ratate pe care le presupune configurarea ineficientă a protecţiei datelor.

    În multe organizații, activitățile GDPR și managementul protecţiei datelor au fost gestionate ca un proiect de conformitate, la fel ca practicile și anticoncurențiale, spălarea banilor, programele anticorupție, etc. Cu toate acestea, domeniul protecţiei datelor reprezintă un exercițiu complet diferit și mult mai orientat către piață. Prelucrarea datelor este ceva de care companiile depind în mare măsură. Iar corupția și spălarea banilor sunt activități pe care companiile doresc să le evite.

    Rolul vieții private nu poate fi abordat doar ca o activitate de conformitate. Trebuie luat în considerare din perspectiva pieței. Trebuie luat în considerare din perspectiva dezvoltării serviciilor. Trebuie luat în considerare din perspectivă organizațională. Deasemenea, este necesar să fie luate în considerare implicațiile financiare, tehnologice, de piață și de risc semnificative pentru a aborda pe deplin impactul acestuia. Acest lucru trebuie discutat la nivel strategic cu conducerea, unde DPO trebuie să ia în considerare protecția datelor companiei, apetitul la risc și nivelul de conformitate ale companiei.

    În concluzie:

    DPO are nevoie de conducere pentru a-l ajuta să reușească în misiunea sa, mai ales în încercarea rezolvării următoarelor probleme:

    1. Creșterea gradului de conștientizare de către echipa de management cu privire la importanța rolului său în alinierea programului de protecţie a datelor organizației cu strategia și valorile sale
    2. Derularea și implementarea unui proiect organizațional eficient care să permită DPO să preia un rol tactic
    3. Alocarea clară a sarcinilor operaționale resurselor relevante din organizație
    4. Creșterea gradului de conștientizare de către echipa de management cu privire la avantajele accesului DPO și al întregii organizații la instrumentele de lucru potrivite pentru gestionarea protecţiei datelor
    5. Definirea clară a nivelului de maturitate pentru gestionarea proiectului organizațional
    6. Creșterea gradului de conștientizare de către echipa de management cu privire la avantajele independenței DPO și respectarea activă a acestei independențe de către toți membrii organizației
    7. Identificarea de soluții la provocările cu care se confruntă organizația (pe baza cunoștințelor, expertizei și experienței DPO cu rol activ și constructiv în a ajuta organizația să vadă oportunități și să exploreze noi căi de urmat)

    INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


    Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


    Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

    Avem nevoie de o lege a Responsabilului cu protectia datelor cu caracter personal?

    Editorial

    Vizualizari: 2643

    Facebooktwittergoogle_plusredditpinterestlinkedinmail

    Data de 10 noiembrie 2020 a fost marcată de un eveniment controversat, care a declanșat discuții între teoreticienii și practicienii din domeniul protecției datelor cu caracter personal, atât în spațiul public, cât și pe grupurile / în asociațiile/organizațiile de specialiști și a generat analize pe baza Regulamentului European 679/2016 și a viitorului activității DPO în România, evenimentul fiind reprezentat de o inițiativă legislativă depusă în Senat, cu caracter de urgență.

    Proiectul de lege privind organizarea profesiei de responsabil cu protectia datelor cu caracter personal, înregistrat spre dezbatere cu Nr. B 653/2020 din 10 noiembrie a generat replici dure, critici și opoziții ferme, în primul rând din partea comunității specialiștilor în protectia datelor, în nume colectiv, cât și opinii independente. Aceste acțiuni nu s-au limitat doar la mediatizarea / diseminarea luării de poziție în mediul online, ci s-au materializat și prin obiecții trimise Senatului și comisiilor din cadrul acestuia, sesizări înaintate Avocatului Poporului, Consiliul Legislativ, cel Economic și Social, precum și altor instituții sau organisme a căror notificare a fost impusă de acest context. 

    În cuprinsul acestui articol nu am încercat să subliniez aspectele care nu au fost respectate în ce privește tehnica legislativă pentru elaborarea actelor normative și nici modul precar de fundamentare a expunerii de motive prezentată de către inițiatorii acestui proiect de lege, deși acestea se regăsesc în proiect, însă, se impune precizarea că aceste puncte slabe reprezintă elementele inițiale suficiente pentru a se concluziona că proiectul de lege propus demonstrează o documentare insuficientă sub aspect GDPR, o necunoaștere adecvată a Legislației aplicabile în domeniul protecției datelor cu caracter personal și chiar necunoașterea punerii în practică a Regulamentului (UE) 679/2016 în România, atât la nivel instituțional cât și privat.

    Pornind de la aceste ultime observații, proiectul de lege trebuie analizat din trei perspective:

    • Prima perspectivă este dată de necesitatea, sau nu, a existenței unei legi care să reglementeze activitatea responsabilului cu protecția datelor cu caracter personal;
    • A doua perspectivă face referire la modul în care se dorește, prin acest proiect, să fie coordonată și controlată activitatea responsabililor cu protecția datelor cu caracter personal, atât persoane fizice, prin constituirea unui așa numit Corp al responsabililor cu protecția datelor cu caracter personal;
    • A treia perspectivă și nu neapărat ultima, este reprezentată de încălcările evidente ale Regulamentului UE 679/2016, ale Legii 190/2018 și legislației naționale incidente, cum ar fi Codul Muncii și Legea 31/1990 privind societățile comerciale.

    Paradoxal, o primă contradicție privind oportunitatea adoptării unei astfel de legi o găsim chiar în “Expunerea de motive” a inițiatorilor legii, care face trimitere la cele două acte normative comunitare, Regulamentul 679/2016 și Directiva 680/2016 și la transpunerea acestora în legislația națională, prin Legea 190/2018, respectiv Legea 363/2018.

    Astfel, în prezența celor două reglementări privind prelucrarea datelor cu caracter personal, dispoziții legale ce stabilesc, printre altele, limitele și sarcinile responsabilului cu protecția datelor cu caracter personal, ba, chiar mai mult decât atât - forma pe care o poate îmbracă această activitate fără posibilități de limitare sau interpretare națională, nu se poate adopta o lege specială care să contravină acestora sau să ocolească caracterul de obligativitate.

    Al doilea argument solid în motivarea lipsei posibilității de punere în practică a acestei legi se regăsește, din nou într-un mod paradoxal, tot în textul redactat de inițiatori, de data aceasta în propunerea de lege, la Articolul 2, care precizează (chiar dacă într-un mod eronat privind tipul de contract) faptul că, în temeiul regulamentului european, responsabilul cu protecția datelor cu caracter personal poate fi și un operator extern (în sensul de persoană juridică), în baza unui contract, asupra căruia, însă, propunerea de lege nu a mai făcut mențiune în cuprinsul său, eludând astfel această activitate. Ori, lipsa prevederilor explicite în legătură cu această activitate prestată de o persoană juridică o pune în ilegalitate, deși ea este reglementată prin Regulamentul European. 

    În aceeași ordine de idei, avocați din întreaga țară și-au exprimat, justificat, opoziția pentru această propunere de lege motivând, printre altele, excluderea lor din această activitate, în primul rând datorită tipului de contract indicat în proiect - contract comercial și nu contract de servicii cum prevede regulamentul și, în al doilea rând, prin încercarea de impunere a anumitor condiții privind studiile, experiența sau specialitatea - “Un responsabil cu protectia datelor trebuie sa fie un jurist specializat în tehnologie” în accepțiunea initțatorilor, altfel decât prevede regulamentul european.

    Un aspect important prezent în opiniile critice și obiective citate regăsim și în amendamentul privind respectarea independenței responsabilului cu protectia datelor cu caracter personal, independență garantată prin articolele 37 și 38 din GDPR și care, în eventualitatea constituirii unui Corp profesional al responsabililor cu protectia datelor, așa cum se regăsește în proiect, prin includerea unor sancțiuni disciplinare, penale sau civile aplicabile acestor profesioniști, ar duce la încălcarea articolelor GDPR menționate anterior și ar conduce la însăși eliminarea principiului de obiectivitate necesar responsabilului cu protectia datelor cu caracter personal în toată practica sa pentru respectarea cerințelor Regulamentului (UE) 679/2016.

    Fără a face o analiza a sintagmei Responsabil cu protecția datelor cu caracter personal vs. DPO - Ofițer cu protecția datelor, se cuvine să precizăm faptul că multe dintre reacțiile vehemente împotriva acestui proiect de lege sunt venite, pe bună dreptate, din partea responsabililor cu protecția datelor cu caracter personal desemnați la nivelul instituțiilor publice (sau private), care se văd constrânși să adere la un for superior de organizare a unei profesii, cu toate condițiile și procedurile ce decurg dintr-un astfel de proces de “certificare/autorizare”, deși ei prestează o activitate suplimentară, nu profesează în această “meserie”!

    Diferențierea între activitate și profesie rezultă din mai multe prevederi ale Regulamentului 679/2016, din opinii ale Grupului de lucru “Articolul 29” sau interpelări făcute Autorităților de control și, în susținerea acestora, notăm faptul că în procedura de notificare a responsabilului cu protecția datelor cu caracter personal la Autoritatea națională de supraveghere - ANSPDCP există opțiunea de comunicare obligatorie, fie a unei persoane fizice, fie a unei persoane juridice atunci când a fost desemnat Responsabilul cu protectia datelor la nivelul entității declarante. Regulamentul 679/2016 prevede asumarea de către un responsabil cu protecția datelor cu caracter personal a funcției și sarcinilor atribuite de legiuitor și nu de deținerea unor competențe specifice unei calificări / profesii / meserii.

    Nu putem să trecem cu vederea un deziderat probabil al acestui proiect, așa cum l-au identificat mulți opozanți ai acestuia, adică cel al constituirii unui “Corp al responsabililor” și să nu constatăm faptul că, la baza acestui proiect de lege stă ca sursă de inspirație “cu punct și virgulă” Ordonanta Nr. 65/1994 care reglementează organizarea și funcționarea activității contabililor și a Corpului Experților Contabili și Contabililor Autorizați din România.

    Suntem, așadar, în fața unei transpuneri rigide a modului de funcționare al unui alt Corp profesional, imposibil de pus în practică și care este fără adaptare reală la domeniul protecției datelor cu caracter personal și la activitatea desfășurată de un DPO, fapt care îndreptățește contestarea aplicabilității unei viitoare legi în forma actuală a proiectului. 

    În acest proces de redactare și înaintare spre aprobare în Senat, proiectul a prevăzut, în contradicție cu prevederile legale (subliniem în mod particular Legea 102/2005), că Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal - ANSPDCP va realiza activități de acreditare, organizare și avizare a constituirii și funcționării Corpului Responsabililor cu protecția datelor, fără ca inițiatorii proiectului de lege să consulte, în prealabil, această autoritate! Ca urmare a unei solicitări înaintate de către ASCPD - Asociaţia specialiştilor în confidenţialitate şi protecţia datelor autorității române de supraveghere, autoritatea a confirmat faptul că nu a fost consultată cu privire al acest proiect de lege și, mai mult decât atât, a considerat că sarcinile / atribuțiile care i-au fost stabilite în cadrul proiectului “Legii responsabilului cu protecția datelor” nu respectă prevederile Regulamentului (UE) 679/2016 și exced, totodată, competențelor sale.

    Raportat la cele menționate anterior, este legitimă incertitudinea opiniei publice asupra cauzei unei astfel de erori. Să fie aceasta urmare a necunoașterii atribuțiilor autorității naționale de supraveghere, a regulamentului european privind protecția datelor personale și a legislației naționale în domeniu, sau reprezintă o încercare de imixtiune în activitatea acestei autorități? Nu știm, cel puțin în acest moment (17.11.2020 - n. a.), însă suntem îndreptățiți să punem în discuție forma actuală a acestei propuneri legislative. 

     Este important să avem în vedere, dacă tot facem referire la opinie, faptul că nu s-a evidențiat până la acest moment o reacție semnificativă a comunității responsabililor și specialiștilor implicați în protecția datelor personale (indiferent de aria de expertiză a fiecăruia), lucru care este pe deoparte îngrijorător dacă ne raportăm la existența unui număr de 11543 responsabili notificați către Autoritate până la începutul anului 2020; dar, este și de așteptat să urmeze abia de acum o creștere în urma mediatizării acestui proiect și a repercusiunilor sale. Pasivitatea în fața acestui proiect legislativ nu este nici binevenită,  nici potrivită mediului profesionist, nici constructivă și nici justificată moral.

    Ca o concluzie, proiectul “Legii responsabilului cu protecția datelor” abundă de inadvertențe, de încălcări evidente ale altor legi și regulamente europene. Nu reiese de nicăieri caracterul de urgență al acestei legi, care face ca acest proiect să nu mai fie supus dezbaterii publice și, deși o propunere de lege se prezumă a fi un proiect care să reglementeze o nevoie, o stare de fapt sau un viciu legislativ, nu am reușit identificarea unor argumente solide, sau măcar minim fundamentate, care să susțină oportunitatea acestei legi.

    INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


    Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


    Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

    De câți DPO are nevoie România ?

    Pe parcursul anului 2019, operatorii au înregistrat la Autoritatea Naţională de Supraveghere un număr de 4318 responsabili cu protecția datelor numiți de către operatorii din sectorul public și […]

    TELEMUNCA și protecția datelor personale în contextul digitalizării

    Reglementată de Legea 81/2018 și impusă în viața noastră mai repede decât ne-am fi așteptat de către pandemia Covid 19, telemunca este o realitate tot mai prezentă. Este […]

    IMPACTUL INVALIDĂRII PRIVACY SHIELD SI POSIBILE SOLUTII PENTRU OPERATORII DE DATE PERSONALE

    16 iulie 2020. O dată de referință pentru istoria protecției datelor personale. O dată de la care aproape toți operatorii de date personale din România ar trebui să-și […]

    “EA ne vede, noi o vedem”

    Draga cititorule, nu este vorba de vreo doamna frumoasă și elegantă! Fie vorba între noi e chiar urâtă! Are doar un ochi de zici că-i o doamnă ciclop […]

    „GDPR-ul nu se aplică partidelor politice?”

    Ne aflăm în plină campanie electorală pentru alegerile locale, care se va finaliza cu votul cetățenilor in 27.09.2020. Cu toții suntem chemați la vot de foarte multe partide […]

    Care a fost cea mai importanta lectie pe care companiile, dar si specialistii in protectia datelor personale, au invatat-o in aceasta perioada?

    Cei doi ani care au trecut de la implementarea GDPR nu au reprezentat pentru noi doar provocari, ci au introdus si oportunitati de a invata lectii valoroase. Am […]

    Care a fost cea mai mare provocare a companiilor in procesul de obtinere si mentinere a conformitatii GDPR?

    Specialistii in protectia datelor au fost cei care au lucrat alaturi de organizatii in procesul de obtinere si mentinere a conformitatii GDPR. Am vrut sa stim care a […]

    Care a fost cea mai mare provocare, în ultimii doi ani, pentru specialistii in protectia datelor personale?

    Data de 25 mai 2020 a marcat 2 ani de la implementarea regulamentului GDPR in Uniunea Europeana. Au fost doi ani plini de schimbari, atat pentru utilizatori, cat […]

    Ce am învățat în primii 2 ani de GDPR în România?

    Data de 25 mai 2020 a marcat 2 ani de la implementarea regulamentului GDPR in Uniunea Europeana. Au fost doi ani plini de schimbari, atat pentru utilizatori, cat […]

    Normele GDPR nu împiedică măsurile luate împotriva pandemiei Covid-19

    În cadrul celei de-a 30-a sesiuni plenare, EDPB a adoptat o declarație privind drepturile persoanelor vizate în contextul actual epidemiologic al stării de urgență sau alertă din statele […]

    A măsura sau a nu măsura temperatura? Aceasta este întrebarea …

    Mare agitație în aceasta frumoasă dimineață de 15 mai 2020. Au fost publicate pe site-ul Ministerului Afacerilor Interne măsurile de prevenire și control a infecțiilor aplicabile pe durata […]

    Specialiștii în protecția datelor personale sar în ajutorul cadrelor didactice implicate în învățământul on-line

    Un grup de patru specialiști în domeniul protecției datelor, autorii volumului GDPR Aplicat, vin în sprijinul celor interesați și implicați direct în procesul de învățământ on-line în România […]

    Alexandru Luca: În acest context, digitalizarea nu este o noutate, este mai mult o oportunitate

    Alexandru Luca, în prezent Mobile Division Manager – Cybersecurity BU in cadrul comapaniei certSIGN, are o experiență de peste 15 ani în domeniul IT&C, asumându-și roluri cheie în […]

    La ce clauze contractuale vom fi mai atenți de acum în colo ?

    Epidemiile, la fel ca războaiele, reprezintă situații care ne găsesc întotdeauna nepregătiți pentru a gestiona efectele complexe ale acestora. Consecința de lungă durată a acestora, după impactul psiho-emoțional, […]

    Publicitatea declarației de căsătorie și respectarea principiilor GDPR

    Scrieți pe Google „publicație starea civilă”, selectați modul „imagini” și observați rezultatul…Poate chiar vă regăsiți numele pe internet, alături de soțul/soția de atunci sau (încă) din prezent. Ne […]

    GDPR se aplică și în timpul pandemiei COVID-19

    GDPR se aplică chiar dacă pe timp de pandemie operatorilor de telefonie mobilă le-a fost solicitat de autorități să comunice anumite date pentru a ajuta la reducerea răspândirii […]

    Pandemia Covid-19 a impus maturizarea forțată a societății românești

    Nimic nu va mai fi ca înainte. Societatea în care trăim s-a schimbat deja, fiind supusă la unul din cele mai dificile teste de stres. Frica este cea […]

    Hai să facem împreună analiza unei tentative de phishing

    Cred că nu ne preocupă îndeajuns de mult o realitate infracțională care capătă proporții sub ochii noștri, fără a sesiza impactul pe care îl are asupra vieților noastre […]

    Fenomenul FAKENEWS pierdut de sub control. „Spălați-vă mâinile, nu creierele!”

    Acum câteva zile am citit întâmplător pe Fecebook un îndemn, „Spălați-vă mâinile, nu creierele!”. Acesta a fost și momentul în care am realizat că fenomenul Fakenews în România […]

    Participa la DPO TOOLS Workshop – 23 / 24 Martie 2020 – „Mobilitatea, o provocare pentru aplicarea GDPR”

    La nivelul dispozitivelor mobile, au aparut in ultima perioada noi variante de atacuri informatice menite de a extrage informatii cu caracter personal cunoscute sub forma furtului de identitate […]