Sergiu Bozianu este în primul rând un profesionist în domeniul protecției datelor din Republica Moldova, ultima funcție publică fiind cea de director adjunct în Direcția Generală Supraveghere și Conformitate în cadrul Centrului Național pentru Protecția Datelor cu Caracter Personal al Republicii Moldova. În prezent este președintele Asociației pentru Protecția Vieții Private prin care şi-a luat angajamentul să contribuie la promovarea şi transpunerea la nivel naţional a standardelor europene, în domeniul protecţiei datelor cu caracter personal şi a vieţii private. Este directorul companiei ,,Law, Privacy & Data Protection Services” SRL și  doctorand, tema sa de cercetare fiind,,Caracteristica juridico penală și criminologică a inviolabilității vieții personale”. A acceptat provocarea de a inaugura această nouă secțiune pe portalul dpo-net.ro, intitulată "Interviu Exclusiv", acordând răspunsuri la cele mai arzatoare întrebări ale momentului, despre provocările implementarii GDPR în România și Republica Moldova. Ne propunem periodic să publicăm interviuri exclusive cu profesioniști în domeniul protecției și securității datelor, atât din România, cât și din Europa. Vă invităm să ne urmăriți și așteptăm propuneri pe adresa de email a redacției cu persoane pe care vă doriți să le includem în acest proiect editorial.

Scopul GDPR-ului nu este de a da amenzi ci de a proteja persoanele. Cu toate acestea, după 3 ani de la intrarea în vigoare a Regulamentului doar 67% dintre Europeni au auzit de GDPR, în timp ce doar 36% au declarat că știu ce este acest regulament (date prezentate de Comisia Europeana în sondajul Eurobarometru). Credeți ca aceste cifre sunt rezultatul dezinteresului persoanelor în ceea ce privește de protejarea datelor lor?

 În opinia mea, rezultatele sondajului denotă 2 aspecte:

• Constatăm o tendința de maturizare a acestui drept modern – Dreptul la protecția datelor cu caracter personal, care a început a fi promovat cu insistență doar odată cu aplicarea Regulamentului General privind Protecția Datelor (25 mai 2018) deși, elaborarea și aprobarea acestui Regulament este consecința dezvoltării Dreptului fundamental al persoanei la viața privată și de familie statuat la art. 8 din CEDO, încă în anul 1950 și dezvoltat odată cu adoptarea Convenției nr. 108 privind protecția persoanelor referitor la prelucrarea automatizată a datelor cu caracter personal.
• Punctajul (cartonașul roșu) acumulat de Statele vizate în cazul obligațiilor pozitive ce le revin, de a respecta și ocroti viața intimă, familială și privată.

Care credeți ca vor fi consecințele acestei lipse de conștientizări a importantei datelor în rândul persoanelor, pe termen lung?

Este un fapt demonstrat că persoanele vizate cedează tot mai mult dreptul său la protecția datelor cu caracter personal în schimbul confortului personal – aspect ce rezultă din automatizarea exponențială în ultima perioadă de timp a proceselor și serviciilor din sfera publică și privată. Consecințele nu se lasă mult așteptate pe motiv că datele cu caracter personal sunt utilizate pe larg în scopuri meschine cum ar fi: șantajul, înșelăciunea, supunerea, denigrarea și manipularea în masă a societății. Important este de a conștientiza că datele cu caracter personal, în marea majoritate a cazurilor, nu au termen de valabilitate, pot fi utilizate și reutilizate de nenumărate ori, iar eventualele prejudicii pe urma utilizării ilegale a acestora ar putea ieși la iveală după o perioadă îndelungată de timp, în unele situații producând efect chiar și în raport cu copii, nepoții sau strănepoții noștri.   

Este esențial ca persoanele să identifice prelucrările ilegale de date pentru a-și putea exercita drepturile. Cât este de important sa-ți cunoști drepturile atâta timp cât nu poți identifica o prelucrare ilegală? Pe ce ar trebui să se axeze campaniile de informare a persoanelor?

Cunoașterea de către persoanele vizate a drepturilor ce rezultă din legislația din domeniul protecției datelor cu caracter personal este una crucială din considerentul că această disciplină interferează orice domeniu cum ar fi: medical, social, economic, educațional etc. De reținut că unul dintre principalele scopuri pentru care a fost adoptat Regulamentul general privind protecția datelor este de a asigura persoanei fizice un control mai mare asupra modului de prelucrare și protecție a datelor cu caracter personal care-l vizează. Concluzia este că cu cât este mai informat cetățeanul cu atât este mai responsabil operatorul de date. În acest context, necunoașterea drepturilor prevăzute de legislația din domeniul protecției datelor cu caracter personal duce la imposibilitatea constatării situațiilor care ar putea duce la încălcarea regimului juridic al protecției datelor cu caracter personal.

Campaniile de informare trebuie să se bazeze pe explicația simplă a celor mai importante drepturi ale persoanei: dreptul de a fi informat și dreptul de acces la aceste date, care, odată realizate, deschid calea spre pârghiile de control și interdicție care pot fi realizate direct către operatorul de date sau prin intermediul Autorității de supraveghere sau instanței de judecată. Nu în ultimul rând de menționat că realizarea drepturilor subiecților de date contribuie esențial asupra conștientizării sarcinilor și responsabilităților operatorului în raport cu datele cu caracter personal prelucrate. În Republica Moldova, dar cred că și în alte țări vizate, operatorii de date cu caracter personal încep a reacționa la trebuințele legale prevăzute de domeniul protecției datelor cu caracter personal doar urmare a depunerii unei plângeri din partea persoanei vizate sau în urma inițierii unei investigații din partea Autorității de supraveghere.

Care credeți că ar fi cea mai scurta cale spre creșterea gradului de conștientizare și complianta GDPR: educarea persoanelor sau educarea operatorilor?

Cea mai simplă cale pentru atingerea unui nivel de conștientizare adecvat ar fi de explicarea beneficiilor în cazul respectării regimului juridic al protecției datelor cu caracter personal:

• pentru operatori – obținerea elementului de competitivitate, legalizarea activităților ce implică prelucrarea datelor, promovarea imaginii și stabilirea unei relații de încredere dintre prestator-consumator, evitarea riscurilor privind răspunderea: pecuniară sub formă de amendă 20 000 000 sau 4 %, repararea prejudiciilor morale și materiale ale persoanelor vizate, cheltuieli de judecată, pierderea reputației. În același context urmează a fi conștientizat că cu cât mai devreme începi să implementezi cerințele de protecție a datelor, cu atât mai repede îți asiguri continuitatea afacerii sau a serviciilor prestate.
• pentru persoanele vizate – protejarea informațiilor confidențiale despre sine, afacere, membri de familie, obținerea unui confort emoțional și fizic, evitarea riscurilor de pierdere a unor proprietăți, active, a reputației on-line și off-line.

În România, până în acest moment, nu s-a dat nici o amenda pentru nerespectarea GDPR deși autoritatea condus aproape 1.000 de investigații, adoptând o atitudine orientată spre prevenție și dispunerea de măsuri corective. Considerați că Amenzile au un rol important în aplicarea GDPR-ului? Din experienta Dumneavoatră practică, cei mai mult operatori se conformeză cu GDPR-ul din responsabilitate sau de frica amenzilor? Care este situatia in Republica Moldova ?

Având în vedere experiența anterioară la Autoritatea națională de protecție a datelor cu caracter personal din Republica Moldova, pot să vă comunic că cea mai eficientă măsură este dialogul specific, informat și lipsit de ambiguitate dintre regulator și operatorii de date cu caracter personal care trebuie să fie asigurat cu norme coercitive consistente pentru a reda forță juridică discuțiilor inițiate. Așadar, cel mai important este de a asigura spiritul legii și de a nu denatura esența acesteia, de a oferi soluții practice și de compromis și nu de mers în extreme, or, disciplina protecției datelor cu caracter personal nu poate fi atinsă peste noapte doar prin impunerea unor măsuri pecuniare. Forța coercitivă a Autorității trebuie aplicată doar ca ultimă măsură spre calea conformării sau, în toate cazurile: de rea intenție sau neglijență vădită. Din practică, pot să vă afirm că cel mai mari impedimente întru asigurarea principiilor de protecție a datelor cu caracter personal este lipsa capacității raportării realităților juridice cu cele practice, persistența vacuumului în dialogul constructiv și analfabetismul funcțional. 

Totuși trebuie să recunoaștem că un avânt cu totul special pentru respectarea dreptului la viața privată în legătură cu prelucrarea datelor cu caracter personal la nivel global l-a adus anume Regulamentul general privind protecția datelor care a impus niște amenzi considerabile. De remarcat că acest Regulament nu a schimbat esența principiilor fundamentate spre exemplu prin Directiva 95/46, însă a schimbat de principiu atitudinea legiuitorului european din perspectiva obligațiilor pozitive care revin statelor de a asigura dreptul la viața privată, reliefând importanța persoanei fizice și prețul datelor cu caracter personal în condițiile relațiilor juridice. 

Așadar, sarcina noastră comună la moment este de a dezvolta acel reflex condiționat în raport cu dreptul modern la protecția datelor cu caracter personal.

Credeți că instituțiile publice ar trebui sa fie un exemplu pentru restul operatorilor? Punem această întrebare pentru că în Romania instituțiile publice riscă o amenda maxima pentru nerespectarea GDPR-ului de 200.000 lei, cu mult inferior față de ceea ce risca operatorii privați. Care este situatia in Republica Moldova ?

Una dintre principala premisă urmărită de art. 8 din CEDO, Convenția 108, Directiva 95/46, Regulamentul 679/2016, Directiva 680/2016 și a altor acte, a fost limitarea eventualului abuz al forței publice în raport cu persoana fizică. De reținut că așa cum opinează CEDO cu putere de lucru judecat, simpla înregistrare a unor date cu caracter personal de către o autoritate sau instituție publică reprezintă o ingerință în viața privată a persoanei vizate.

Așadar, putem constata că autoritățile publice sunt cei mai mari operatori de date cu caracter personal având cele mai intruzive mijloace de colectare și prelucrare a datelor cu caracter personal. Mai mult, Legea Supremă din România și din Republica Moldova statuează obligația autorităților publice de a respecta și ocroti dreptul la viața intimă, familială și privată.

Așadar, intenția legiuitorului de a diminua suma sancțiunilor aplicate în raport cu autoritățile publice este una previzibilă pe motiv că în joc sunt puși banii publici care, odată cu aplicarea sancțiunii vor migra dintr-un buget în altul. Nu este neapărat ca suma cuantumului pecuniar să fie aceeași ca și în cazul operatorilor de drept privat, însă, aceste diminuări ar trebui în mod corespunzător de compensat prin intermediul altor măsuri punitive care ar aduce un echivalent echitabil în raport cu autoritățile publice.

Din aceste considerente, fără a diminua importanța asigurării cerințelor legale de către sectorul privat, autoritățile publice sunt principalii actori vizați întru respectarea principiilor de protecția datelor cu caracter personal. În Republica Moldova autoritățile publice nu pot fi atrase la răspundere contravențională, însă această interdicție legiuitorul a compensat-o prin instituirea dreptului de a atrage la răspundere contravențională persoanele cu funcție de răspundere (conducătorii, factorii de decizie, executorii etc.). Așadar, dacă e să facem o analiză a numărului de cazuri de atragere la răspundere, cam jumătate din sancțiunile contravenționale care au fost aplicate de către Autoritatea de protecția datelor cu caracter personal din Republica Moldova, au fost aplicate în privința: primarilor, executorilor judecătorești, polițiștilor, procurorilor, funcționarilor publici etc.

Un studiu ASCPD atragea atentia la începutul acestui an asupra acestor statistici din unitatile medicale Romanesti: 37,44% din instituţiile sanitare cuprinse în analiză s-au confruntat cu incidente de securitate şi cu toate acestea 73,85% din total nu au implementat un plan de reacţie la incidentele de securitate. De asemenea, sondajul a scos în evidenţă că 70,26% încă folosesc adrese de email @yahoo.com şi @gmail.com în interes profesional în interiorul reţelei, expunând astfel organizaţia unor riscuri care pot fi evitate. Din sondaj a mai reieşit că 11,28% nu au implementat sisteme tehnice de protecţie antivirus, cel mai des invocând lipsa fondurilor. Cum comentati aceste rezultate ?

Rezultatele denotă o problemă stringentă care nicidecum nu poate fi justificată prin lipsa fondurilor. Urmează a fi reținut că în majoritatea cazurilor asigurarea unui nivel adecvat de protecție a datelor nu presupune cheltuieli exorbitante după cum pretind anumiți actori, exagerând sub aspectul dat în încercarea de a justifica propriile acțiuni sau inacțiuni care sunt neconforme. Așa cum relevă și GDPR, operatorul trebuie să fie în stare să demonstreze conformitatea prelucrării datelor cu caracter personal și măsurile de securitate asigurate prin implementarea unor politici care implică măsuri organizatorice și tehnice adecvate riscurilor pentru care sunt expuse datele. În acest context, atunci când operatorii de date în cunoaștere de cauză admit neconformități, aceste acțiuni ar putea fi încadrate de către Autoritatea de supraveghere în pârghiile de reeducare prevăzute de GDPR. Totuși, pentru a oferi o consecvență și previzibilitate în cazul enunțat, de resortul Autorității ține înaintarea unor preavize scrise sau electronice prin care să se solicite excluderea fără întârziere a inadvertențelor admise.

Cu toate că România înregistrează cel mai scăzut nivel de utilizare a serviciilor de internet dintre statele membre ale UE, 86 % dintre utilizatorii români de internet au conturi pe rețelele sociale, ceea ce ne face campionii Europei la acest capitol. Având în vedere scandalurile imense în care au fost implicate rețelele de socializare, fie prin breșele de securitate, fie prin utilizarea ilicită a datelor, putem considera că suntem și cei mai vulnerabili. Cum considerați ca ar trebui să se comporte un utilizator de internet, dacă ar sti de riscurile pe care internetul le ascunde?

În primul rând utilizatorii de internet trebuie să conștientizeze că cei mai înstăriți agenți economici din lume sunt proprietarii platformelor de socializare și a serviciilor de web service și de software. Așadar, impresia precum că serviciile platformelor de socializare sunt gratuite sunt false, din prima clipă de utilizare a platformelor de socializare noi plătim cu datele noastre cu caracter personal în schimbul acestor servici. Esența afacerii privind platformele de socializare este structurarea analitică a datelor, analiza preferințelor și viziunilor utilizatorului, furnizarea dirijată și adaptivă a informațiilor specifice către utilizatorul final, crearea dirijată de opinie și promovarea anumitor viziuni și preferințe. În acest context, regula de bază ar fi să limităm la maxim oferirea datelor cu caracter personal. Trebuie să înțelegem că serviciile societății informaționale în majoritatea situațiilor ne depășesc posibilitățile reale de a înțelege activitățile ce rulează în fundal inclusiv trasabilitatea datelor cu caracter personal care ne vizează și de a raporta aceste procese la cerințele legale. O încercare de a reglementa aceste procese este instituirea obligației operatori de date de a ne informa asupra modului de prelucrare și protecție a datelor cu caracter personal prin afișarea extraselor din politicile de securitate. După cum s-a adeverit a fi, majoritatea utilizatorilor nu citesc politicile de securitate și bifează aproape în regim automatizat (la nivel de reflex) rubrica prin care confirmă că a luat cunoștință de aceste politici. O bună parte din utilizatori sau nu dispun de cunoștință speciale în domeniul dat pentru a putea tălmăci acele acrobații juridice expuse de către operatorii de date care au sarcina de a demonstra grija și atenția oferită utilizatorilor și în special datelor cu caracter personal ale acestora sau au lipsă de timp și atenție față de aceste note informative.

În opinia mea, în cazul în care utilizatorii vor fi în cunoștință de cauză asupra scopului, destinatarilor și a modului de prelucrare a datelor cu caracter personal, ar fi cel puțin mai precauți sau chiar vor renunța la multe din serviciile și funcționalitățile la care s-au abonat.

Facebook a lansat Study, un program de cercetare de piață bazat pe recompense. Cum vi se pare un asemenea concept: să fim plătiți pentru datele pe care le facem publice? Este acesta direcție una corecta?

Consider că această ofertă publică este următorul pas spre care se vor focaliza mulți prestatori de servicii. Această situație a existat și anterior însă a fost camuflată sub diferite servicii și activități. Chiar dacă în opinia mea acest concept este unul destul de periculos, având în vedere monopolul evident al unor prestatori de servicii, afișarea deschisă în vederea remunerării pentru oferirea datelor cu caracter personal este o nouă provocare pentru Etica digitală. Fenomenul cumpărării sau obținerea unor beneficii în schimbul datelor cu caracter personal nu cred că va putea fi anihilat, însă, efortul de bază ar fi necesar de conturat asupra creării unor mecanisme adecvate pentru a putea concilia interesul economic al prestatorului de servicii și dreptul la viața privată în legătură cu prelucrarea datelor cu caracter personal. 

Accesul copiilor la internet este deja o normalitate. Ar trebui acest lucru sa ne îngrijoreze? Considerați că o educație privind privind accesul la internet al copiilor ar trebui sa fie o sarcina a părinților sau sistemul de învățământ ar trebui să-și asume acest rol?

În ultimii 20-30 de ani a crescut exponențial prezența tehnologiilor informaționale în viața de zi cu zi a fiecărui individ – acest fenomen fiind recunoscut ca era digitală. Veriga slabă în acest circuit este copilul, care, fiind în curs de dezvoltare a conștiinței, în multe cazuri este expus nejustificat riscurilor și provocărilor legate de utilizare a internetului. Spre regret, atât părinții cât și cadrul didactic nu sunt pregătiți în deplină măsură pentru a oferi o instruire și o protecție adecvată a copilului în spațiul on-line. De regulă copilul este de unul singur atunci când accesează internetul precum și nu are nici un fel de restricții în navigare, fapt ce poate duce la antrenarea acestuia în anumite fapte ilegale, sau comiterea abuzurilor de ordin psihic, sexual etc. are acces nelimitat la resursele de pe internet accesând site-uri care pot admite abuzuri în privința acestor minori. În cele din urmă, responsabilitatea de a răspunde acestor provocări este a părinților și a sistemului de învățământ. Cu titlu de exemplu, în Republica Moldova din anul 2018, a fost revizuită curicula școlară și cea universitară, copii din anul întâi având obiectul ,,educația digitală” inclusiv fiind ajustată legislația din domeniul comunicațiilor electronice, fiind stabilită obligația prestatorilor de servicii de a elabora ghiduri și de a oferi servici menite pentru a proteja copii de unele informații pe internet.

Conform unui raport DLA Piper (GDPR data breach survey: February 2019), de la data aplicării GDPR-ului și pana în februarie 2019, Autoritatea de supraveghere din Olanda înregistrase 15,400 de notificări de breșe, în timp ce România număra la acea vreme doar 270. Care credeți că este motivul acestei discrepanțe? 

Problemă de bază este capacitatea de a constata aceste breșe de securitate, deoarece în o bună parte de cazuri, operatorii de date cu caracter personal desemnează formal ofițerul de protecție a datelor sau își asumă anumite măsuri declarative privind protecția datelor cu caracter personal, însă în practică nefiind asigurate cerințe minime organizatorice și tehnice care ar putea duce la constatarea acestor breșe de securitate. Suplimentar există și o altă explicație care se rezumă la teama sau lipsa de încredere a operatorilor în Autoritatea de supraveghere, care odată informată asupra unui incident de securitate, ar putea aplica măsuri punitive în privința celor care au sesizat. Acest fenomen ar putea fi depășit doar prin deschiderea Autorității de protecție a datelor, inclusiv prin elaborarea unor acte departamentale care vor dezvolta acest mecanism de sesizare și de examinare a cazurilor, pentru a oferi o claritate în acțiunile date. Cu alte cuvinte obligația de a sesiza eventualele breșe de securitate trebuie să vină în ajutorul operatorilor de date pentru identificarea soluțiilor corecte și pentru a exclude pe viitor aceste incidente. Mai mult, oferirea masivă a informațiilor cu privire la incidentele depistate și măsurilor de corecție aplicate, ar trebuie să fie sistematizate de către Autoritatea de supraveghere și expusă sub formă de recomandări și ghiduri pentru a preveni alți operatori de date de la aceste riscuri.

Identificarea riscurilor este unul din cei mai importanți pași spre complianta GDPR. Cum putem identifica riscurile?

Pentru a putea identifica aceste riscuri, urmează să punem accent pe calitatea și profesionalismul de care trebuie să dispună ofițerul de protecție a datelor cu caracter personal. Totodată pentru a crește nivelul de percepție a eventualelor riscuri care pod duce la admiterea breșelor de securitate, Autoritatea de supraveghere în baza raporturilor de informare privind incidentele de securitate dar și având în vedere investigațiile realizate, urmează să publice anumite ghiduri și recomandări care să fie examinate și aplicate de către ofițerul de protecție datelor în cadrul operatorului.

În final, cine credeți ca ar trebui să se implice mai mult în diseminarea importantei datelor personale? Instituțiile publice, Autoritățile naționale de supraveghere sau ONG-urile din domeniul protecției datelor?

Tonul privind diseminarea informațiilor privind importanța domeniului protecției datelor cu caracter personal urmează să date de către Regulator și să continue de către ONG-uri și organizațiile profesionale. Cooperarea dinte Regulator, ONG-uri, organizații profesionale, și operatori este esențială din perspectiva conjugării eforturilor.

Daniela Simionovici a absolvit cursurile Universității Ștefan cel Mare din Suceava, specializarea Asistență socială și un master în consiliere și administrare resurse umane la aceeași universitate. A absolvit cursul postuniversitar de “Protecția datelor cu caracter personal” organizat de Facultatea de Drept și Științe Administrative ale aceleiași universități sucevene. Este membru ASCPD și a obținut titlul de „Cel mai bun DPO din România” împreună cu Echipa Nord Est DPO România la Târgu Mureș în iunie 2019. În calitate de Senior Partner la NeoPrivacy România, oferă consultanță în domeniul implementării Regulamentului general privind protecția datelor (GDPR) și oferă și servicii de Responsabil cu protecția datelor personale în regim externalizat (DPO). Participă constant la seminare, dezbateri și conferințe dedicate protecției datelor personale și împărtășește din experiența sa scriind articole și cărți dedicate domeniului protecției datelor din perspectiva practicianului. La sfârșitul lunii Septembrie 2020 a moderat Webinarul LIVE dpo.TALKS unde alături de Mihai Ghiță, Cofondator Sypher Solutions, a analizat provocările profesionale ale DPO-ului în contextul actual.  

Daniela a acceptat să ofere un interviu în exclusivitate pentru cititorii dpo-NET.ro, reușind să ne trezească interesul tuturor pentru un subiect atât de important pentru orice companie care își propune să adopte și să implementeze principiile GDPR: “Amenzile GDPR”. 

Dacă ar fi să facem o radiografie succintă a amenzilor GDPR la nivel european, cum ar arăta?

D.S.: Respectarea dreptului persoanelor vizate la protecția datelor este un drept fundamental, chiar dacă nu este absolut, iar acest lucru presupune că operatorii de date personale trebuie să-și îndeplinească obligațiile care le revin conform prevederilor GDPR.

Indiferent de domeniul specific de activitate al operatorilor sau al PI, indiferent dacă sunt sau nu obligați să numească un DPO sau să întocmească evidențele prevăzute de art. 30, toți operatorii de date personale sunt obligați să respecte principiile GDPR și vom face trimitere explicită la respectarea principiului responsabilității, adică la faptul că toți operatorii și PI trebuie să facă dovada că respectă și implementează corect prevederile GDPR, lucru care, dacă se întâmplă, reduce semnificativ riscul amenzilor GDPR.

Motivele pentru care s-au aplicat cele mai multe amenzi GDPR în acest an au fost stabilirea incorectă sau insuficientă a temeiului legal de prelucrare a datelor și corelarea acestuia cu scopurile prelucrării și insuficiența măsurilor tehnice și organizatorice de securitate a datelor implementate de operatori se află în topul european, dar și în cel românesc în ce privește numărul și cuantumul amenzilor GDPR aplicate de autoritățile de supraveghere și nerespectarea principiilor GDPR de prelucrare a datelor. 

Care este mesajul, legat de aceste amenzi GDPR, pe care un operator de date ar trebui să îl rețină?

D.S.: Se vorbește foarte mult despre amenzile GDPR, despre cuantumul acestora, despre caracterul disuasiv, sau nu al acestora, dar se pierde din vedere faptul că măsurile corective sunt mult mai importante și cu consecințe mai grave decât amenda, per se, în sensul în care, spre exemplu, unui operator căruia i se stabilește măsura corectivă a suspendării chiar și temporare a prelucrării datelor personale, până la corectarea deficiențelor constatate de autoritatea de supraveghere, înseamnă că, nemaiputând să prelucreze date personale, operatorul își suspendă, de fapt, activitatea până când autoritatea ridică măsura suspendării prelucrării datelor.

Am dori să atragem atenția asupra prevederilor art. 29, alin. (2) din Procedura ANSPDCP de efectuare a investigațiilor unde se precizează: „(2) Introducerea contestației [Împotriva procesului-verbal de constatare/sancționare și/sau a deciziei de aplicare a măsurilor corective – n.a.] suspendă NUMAI plata amenzii, până la pronunțarea unei hotărâri judecătorești definitive.”

Operatorii ar trebui să fie conștienți de faptul că, și dacă remediază imediat deficiențele constatate de autoritate și pentru care s-a aplicat măsura corectivă a suspendării prelucrării datelor personale, acest lucru nu înseamnă că autoritatea de supraveghere se mișcă la fel de repede. Prin urmare, riscă să se confrunte cu o perioadă destul de lungă în care nu își pot desfășura activitatea! Ca atare, o amendă, deși nu e de neglijat, mai ales dacă suma este foarte mare, nu înseamnă decât bani, totuși, pe când suspendarea activității pe perioade oricât de scurte ar putea însemna pierderi financiare mult mai mari.

Ați moderat Webinarul dpo.Talks de la sfarsitul lunii septembrie. Care este cea mai surprinzătoare concluzie la care ați ajuns? 

D.S.: Constat ca există o preocupare reală în rândul DPO din toate entitățile legate de numirea forțată a acestora pe postul de DPO, de multe ori în situații evidente de incompatibilitate. Numirea / desemnarea forțată și de formă, pe hârtie, a unui DPO este o realitate care poate avea și chiar are consecințe negative sub aspectul amenzilor GDPR. O soluție pentru evitarea amenzilor GDPR în acest caz, dar și pentru păstrarea unui mediu de lucru armonios într-o entitate ar fi ca operatorii să convingă și să motiveze, nu să oblige un angajat să devină DPO, să-i liniștească temerile și să-l facă să accepte cu ușurința aceste noi sarcini, mai ales dacă acest salariat vede că operatorul se implică, îi alocă resurse de toate tipurile, dacă operatorul conștientizează faptul că trebuie să cheltuie suplimentar pentru instruirea DPO-ului și pentru formarea continuă a acestuia etc. Relația între DPO și operator nu trebuie să se desfășoare de pe poziții de forță, ci pe un nivel de cooperare și colaborare responsabilă. Evitarea situațiilor de incompatibilitate se poate face aplicând un filtru relativ simplu: DPO-ul nu poate desfășura alte activități care l-ar pune în situația de a se audita/monitoriza singur, iar în Ghidul privind responsabilul pentru protecția datelor (DPO), raportat la art. 37-39 din RGDP se găsesc toate îndrumările de care un operator ar avea nevoie pentru a desemna un DPO în mod corect. Numirea unui DPO incompatibil este purtătoare de sancțiuni, iar soluția evitării amenzilor GDPR în acest caz este exact opusul acestei realități, adică numirea corectă a unui DPO evitându-se situațiile de conflict de interese și de incompatibilitate.

Are DPO-ul român resursele necesare pentru a-și desfășura activitatea ?

D.S.: Foarte mulți DPO sesizează și reclamă faptul că nu au resursele necesare pentru a-și desfășura activitatea. Asigurarea resurselor pentru această activitate este obligația operatorului, iar în Regulament sunt menționate explicit și resursele care trebuie alocate, inclusiv pentru instruirea DPO-ului, nu doar cele care vin imediat în mintea unui operator, cum ar fi birotică, papetărie și cam atât. În acest sens, art. 38, alin. 2 este cât se poate de explicit: “(2) Operatorul și persoana împuternicită de operator sprijină responsabilul cu protecția datelor în îndeplinirea sarcinilor menționate la articolul 39, asigurându-i resursele necesare pentru executarea acestor sarcini, precum și accesarea datelor cu caracter personal și a operațiunilor de prelucrare, și pentru menținerea cunoștințelor sale de specialitate.” DPO-ul, în funcție de mărimea organizației, ar putea avea nevoie și de o echipă pluridisciplinară, care să includă cel puțin un jurist și / sau un IT-ist, de un birou propriu, securizat corespunzător, de o colecție, dacă nu de o bibliotecă proprie de materiale bibliografice de specialitate etc. În cazul producerii unei breșe de securitate urmată de o amendă, argumente de tipul “Nu am știut!” sau “Nu avem fonduri suficiente să alocăm și pentru DPO pentru că suntem în criză economică!” sunt irelevante și, chiar dacă nu vor fi interpretate de autoritatea de supraveghere ca circumstanțe agravante, nici nu vor fi luate în considerare ca argumente pentru clemență dusă până la iertarea “păcătosului”. Dacă lipsa de resurse poate fi purtătoare de sancțiuni GDPR, soluția evitării acestora sau a reducerii riscului amenzilor GDPR este bugetarea corespunzătoare a activității DPO-ului. Operatorii ar trebui să includă în bugetul anual de cheltuieli și resursele necesare pentru implementarea GDPR, dar și pentru menținerea conformității, pentru că procesul de conformare GDPR a entității este continuu și este egal cu durata de viață a entității.

Este DPO-ul român investit cu autoritatea necesară pentru a-și putea desfășura activitatea în mod corespunzător ? 

D.S.: DPO-ul nu este învestit de operator cu autoritatea necesară pentru a-și putea desfășura activitatea în mod corespunzător și, mai rău, este chiar ignorat de conducere. Această autoritate absolut necesară DPO-ului nu înseamnă că acesta devine un fel de șef peste ceilalți colegi, pe care-i poate sancționa, ci că este ascultat atunci când trasează sarcini și responsabilități pe linie de GDPR și că beneficiază, pe de o parte, de sprijinul conducerii, pe de altă parte, obține cooperarea și colaborarea responsabilă și implicată a tuturor salariaților care prelucrează date personale. NU DPO-ul este cel care stabilește sancțiunile într-o entitate, ci conducerea acesteia, iar DPO-ul NU face parte din conducere! DPO-ul nu trebuie văzut ca un mic despot în entitate, ci ca pe un garant pentru persoanele vizate că prelucrarea datelor personale se face respectând principiile GDPR, iar operatorul trebuie să-l vadă ca pe o resursă reală pe care, dacă o folosește corespunzător, chiar îndepărtează de entitatea sa riscul contactului cu autoritatea de supraveghere și, implicit, reduce riscul amenzilor. Dacă autoritatea DPO-ului se limitează la transformarea acestuia într-un producător și arhivar de hârtii, de proceduri, politici și chestionare de audit, ușa spre amenzile GDPR este larg deschisă, iar operatorii n-ar trebui să fie nici surprinși, nici nemulțumiți că sunt sancționați. Prin urmare, soluția pentru reducerea riscului amenzilor GDPR în această situație presupune ca DPO-ul să primească autoritate din partea operatorului, iar acesta din urmă să se asigure că toți ceilalți salariați o respectă. Învestirea cu autoritate a DPO-ului nu se limitează la o simplă decizie internă și la semnarea unui proces verbal de luare la cunoștință din partea salariaților, ea trebuie să producă efecte reale.

În ce privește implicarea la timp a DPO-ului în activitățile de protecție a datelor personale vom atrage atenția operatorilor asupra faptului că lipsa încrederii în salariatul desemnat ca DPO nu este o justificare per se, ba, mai mult, în cazul producerii unei breșe de securitate poate fi un indicator clar al unor disfuncționalități grave și a unei stări de dezorganizare la nivelul entității și care nu pot fi estompate de existența unei documentații de conformitate GDPR, oricât de bine și de frumos ar fi întocmită. Cu alte cuvinte, operatorul nu are nicio scuză în fața autorității de supraveghere pentru că a numit un DPO în care nu are încredere și, pe aceasta bază, operatorul nu-și respectă obligația prevăzută de art. 38, alin. 1 din Regulament: “(1) Operatorul și persoana împuternicită de operator se asigură că responsabilul cu protecția datelor este implicat în mod corespunzător și în timp util în toate aspectele legate de protecția datelor cu caracter personal.”

Mai mult decât această implicare, operatorul trebuie să asigure independența DPO-ului, în sensul art. 38, alin. 3 din Regulament: “(3) Operatorul și persoana împuternicită de operator se asigură că responsabilul cu protecția datelor nu primește niciun fel de instrucțiuni în ceea ce privește îndeplinirea acestor sarcini. Acesta nu este demis sau sancționat de către operator sau de persoana împuternicită de operator pentru îndeplinirea sarcinilor sale. Responsabilul cu protecția datelor răspunde direct în fața celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator.” Independența DPO-ului este o altă piedică majoră în entitățile în care acesta este numit de formă și se poate trezi că fiecare șef ierarhic superior pe linia activităților de bază îi spune DPO-ului ce și cum să facă și pe linie de GDPR.

Toate aceste trei situații în care probabilitatea primirii unei amenzi este foarte mare, pot fi evitate, sau măcar redus riscul unei amenzi GDPR prin implicarea operatorului. De acesta depinde, aproape în exclusivitate, ca aceste sancțiuni să nu apară.

Există o preocupare reală legată de răspunderea DPO-ului? În ce măsură DPO-ul poate fi tras la răspundere și poate suporta consecințe negative în cazul implementării necorespunzătoare a GDPR-ului în entitate, mai ales în cazul amenzilor?

D.S.: Se cuvine să punctăm întâi faptul că această temere provine din traducerea nepotrivită a termenului DPO în limba română. În limba engleză, ca, de astfel și în celelalte limbi în care a fost tradus Regulamentul 679/2016, înseamnă Ofițer cu Protecția Datelor - Data Protection Officer și nu RESPONSABIL cu protecția datelor cu caracter personal, inducând, astfel, ideea că persoana care ocupă aceasta funcție este responsabilă de implementarea GDPR. Implementarea GDPR este obligația și implicit responsabilitatea operatorului (a angajatorului) și nu a salariatului numit pe postul de DPO.

În al doilea rând, DPO-ul răspunde legal dacă a produs prejudicii operatorului încălcând alte prevederi legale. Spre exemplu, DPO-ul nu poate fi concediat pentru îndeplinirea funcțiilor și sarcinilor sale specifice, adică nu poate fi concediat pentru că insistă pe lângă operator să-i asigure resurse, sau dă un aviz nefavorabil pentru o anumită activitate de prelucrare de date pe care o consideră riscantă dacă nu se iau măsuri de remediere a deficiențelor, dacă, însă, fură din bunurile angajatorului, provoacă distrugeri, îi perturbă activitatea, consuma alcool în timpul programului, se implică / se lasă implicat în altercații / agresiuni / violențe etc., este pasibil de sancțiuni disciplinare, administrative, penale etc.

Externalizarea serviciului de implementare GDPR este o soluție viabilă și care sunt limitele de responsabilitate ale prestatorilor de servicii în cazul amenzilor GDPR?

D.S.: La această întrebare răspunsul este categoric DA, externalizarea serviciului de protecție a datelor este o soluție foarte bună în multe contexte, dar, operatorii trebuie să ia în calcul câteva aspecte foarte importante:

Operatorii răspund oricum și sunt pasibili de amendă dacă externalizează serviciul către prestatorul nepotrivit, care nu demonstrează că are competențe și experiență adecvată în domeniu și care nu demonstrează că poate securiza datele personale încredințate spre prelucrare în mod corespunzător. Dacă operatorul externalizează serviciul de implementare GDPR către o firmă specializată în vânzarea de legume, dar care pretinde că are codul CAEN potrivit pentru a putea oferi și consultanță GDPR, amenda este ca și scrisă pentru operator. Verificarea sistemului de expertiză și de reputație al prestatorului este obligația operatorului. 

Operatorii răspund oricum și sunt pasibili de amendă dacă nu-și exercită la timp și corect instrumentul controlului asupra prestatorului pentru a se asigura, continuu, că acesta respectă condițiile contractuale în ce privește confidențialitatea și securitatea datelor personale încredințate spre prelucrare. Prestatorul de servicii externalizate ar putea fi sancționat doar dacă operatorul ar putea demonstra fără urmă de dubiu că vina este exclusiv a prestatorului. În teorie, operatorul și prestatorul ar putea răspunde solidar în fața autorității de supraveghere, în practică, însă, se va considera că partea cea mai mare de vină o deține operatorul, deoarece nu și-a exercitat în mod corespunzător instrumentul controlului pe care doar el îl deține. Poate, nu întâmplător, în limba engleză operatorul este numit controller. Ne putem afla, iarăși, în fața unei traduceri neinspirate în limba română a acestui termen, deoarece creează confuzii și poate induce ideea că operatorul prelucrează personal date cu caracter personal, deși este posibil ca cel mai înalt nivel al conducerii să nu se afle în această situație. Cel mai înalt nivel al conducerii entității, însă, are obligația de a folosi acest instrument al controlului pe care doar el îl deține, și asupra angajaților, și asupra împuterniciților săi.

În ce privește externalizarea serviciului de DPO, deși tentant și foarte comod pentru operator, în aparență, în realitate poate avea efecte pervese. Un DPO conectat la entitate va ști mereu, cu o precizie foarte mare, ce se întâmplă în organizație, unde se află documentele, în grija cui se află și cum le securizează, va putea monitoriza în timp real respectarea măsurilor de securitate implementate de entitate etc. și, cel mai important aspect, în cazul investigațiilor efectuate de autoritatea de supraveghere la sediul operatorului, va fi mult mai expeditiv, mai sigur pe sine și mai organizat în îndeplinirea solicitărilor echipei de investigații decât un DPO extern. Modul în care se poate organiza un DPO intern față de un DPO extern poate face diferența între o amendă și un avertisment însoțite, sau nu, de măsuri corective, sau s-ar putea traduce cel puțin în reducerea valorii amenzii. Această diferență nu este dată de incompetența unui DPO extern, ci de organizarea operatorului. Un DPO extern are cu atât mai mult nevoie de cooperarea operatorului, cu cât nu poate fi prezent în entitate așa cum este un DPO intern. Ori, dacă operatorul este dispus să ofere acest sprijin, cea mai bună combinație în opinia noastră și care ar reduce considerabil riscul amenzilor GDPR ar fi DPO intern și consultant extern pentru audituri, monitorizare, DPO coaching și / sau instruire salariați.

Dacă ar fi să sintetizăm într-o singură frază răspunsul la întrebarea “Cum reducem riscul amenzilor GDPR?” care ar fi acesta?

D.S.: “Riscul amenzilor GDPR scade foarte mult prin responsabilizare, cooperare și implicare, adică, în primul rând prin elemente ce țin de natura umană și abia apoi de partea tehnică, adică de instrumente de lucru, aplicații, programe etc.”

Portalul dpo-NET.ro - Data Protection Officers Network reia organizarea evenimentelor dpo.TALKS și organizează împreună cu Sypher Solutions și NeoPrivacy România, în data de 30 Septembrie 2020, în intervalul orar 10.00-11.30, o dezbatere online pe tema "Cum reducem riscul amenzilor GDPR ?", aducând în prim plan problema respectării  principiilor și prevederilor Regulamentului UE 679/2016. 

Vom analiza împreună cu Mihai Ghita, Cofondator Sypher Solutions și Daniela Simionovici, Senior Partner NeoPrivacy Romania, măsurile luate de autorități europene de protecția datelor cu caracter personal  în aceasta perioada. Vom pune accent pe provocarile profesionale cu care se confruntă DPO-ul  în aceasta perioada, si pe importanta implementării unor soluții pentru reducerea riscurilor amenzilor GDPR. 

Mihai Ghita are peste 20 de ani de experiență în industria de asigurări și în dezvoltarea de software de vânzări online pentru brokeri și companii de asigurări și este specializat în optimizarea experienței utilizatorilor de aplicații web, managementul și arhitectura produselor software și lucrează în permanență pentru a îmbunătăți funcționalitatea și platformei Sypher Solutions. Mihai a acceptat să ofere acest interviu în exclusivitate pentru Portalul dpo-NET.ro - Data Protection Officers Network.

Pandemia COVID-19 a schimbat semnificativ activitatea tuturor profesionistilor si acum s-au remarcat cei care s-au putut adapta mai usor. Cum a fost afectat, in opinia dumneavoastra, domeniul protectiei datelor cu caracter personal?

MG: Pandemia din acest an a actionat ca un accelerator pentru deciziile de adoptare de noi tehnologii pentru ca, in doar cateva luni, a devenit clar ca digitalizarea nu mai este optionala, ci absolut necesara pentru supravietuirea companiilor.

Asta a facut ca proiecte care, in mod uzual ar fi luat chiar si ani de zile pentru analiza si planificare, sa se lanseze in regim de urgenta, fiind practic imposibil sa se ia in considerare toate efectele “secundare”.

Prioritatea a fost, cum este si normal, restabilirea rapida a functionarii companiei, iar in acest context cu siguranta s-au facut compromisuri privind protectia datelor. Compromisuri ce vor trebui insa rezolvate pe masura ce situatia se indreapta treptat spre normalitate.

Digitalizarea "pe repede-inainte" a fost de multe ori solutia pentru continuarea activitatii si astfel astazi vorbim mai mult decat oricand de telemunca sau teleeducatie. Cum se poate desfasura activitatea unui DPO in conditii de telemunca?

MG: Principalele provocari ale unui DPO sunt sa monitorizeze gradul de conformare a companiei cu cerintele GDPR si sa se asigure ca fiecare angajat isi cunoaste si isi indeplineste responsabilitatile privind protectia datelor si comunica cu echipa de conformitate atunci cand este nevoie.

“Telemunca” se impaca bine cu digitalizarea si nu ar trebui sa aiba un impact major pentru DPO daca exista deja o platforma software pentru controlul si supravegherea conformitatii, care poate fi folosita de toti angajatii cu responsabilitati in domeniu.

MG: La polul opus este situatia in care procesul de asigurare a conformitatii este preponderent manual sau alocat disproportionat de mult in sarcina echipei de conformitate.

Nici in acest caz problema principala nu este insa telemunca, ci mai degraba ineficienta implicita a abordarii.

Care sunt riscurile digitalizarii de pe o zi pe alta? Cum credeti ca ar fi trebuit sa fie adoptata aceasta tehnica pentru a asigura continuitatea afacerilor?

MG: Acum un an digitalizarea era o modalitate de a optimiza costurile si procesele. Astazi insa, pentru multe companii, digitalizarea este cea care asigura continuitatea afacerii.

Digitalizarea presupune gasirea de furnizori si solutii tehnice, dezvoltari, implementari, conectari, modificari de procese si proceduri.

Fiecare dintre acestea introduce riscuri noi, care trebuie identificate, evaluate si adresate, iar urgentarea procesului face posibila aparitia de brese procedurale si de securitate.

Urgenta nu inseamna insa renuntarea la precautii si analiza. Chiar si cu timp si resurse limitate se poate actiona asupra reducerii riscului prin identificarea proceselor a caror digitalizare are impact maxim pentru functionarea companiei si alocarea cu prioritate a resurselor de analiza si control al riscului catre acestea.

Capacitatea de a inova va schimba, cu siguranta, topurile economice internationale. Cum a inovat compania Sypher pentru a se adapta "noului model de bussines”?

MG: Sypher a aparut pentru ca digitalizarea procesului de gestionare a conformitatii este singura modalitate realista prin care companiile pot sa respecte cerintele GDPR.

Am pornit insa din primul moment de la principiul ca platforma Sypher trebuie sa fie nu doar un instrument de raportare si control pentru management, ci si sa usureze munca tuturor celor care au responsabilitati legate de GDPR.

Acest principiu ne-a ajutat sa ramanem mereu centrati pe identificarea si rezolvarea problemelor practice ale echipelor de conformitate si sa dezvoltam facilitati care nu se regasesc in alte platforme: harta vizuala dinamica a activitatilor, instrumentele de validare a registrului si a proiectului si, nu in ultimul rand, Asistentul virtual GDPR pentru echipele de conformitate.

Participati in data de 30 Septembrie 2020 ca si key-speaker in cadrului webinarului dpo.TALKS avand ca tema "Cum sa reducem riscul amenzilor GDPR?". Exista o reteta pe care urmeaza sa o prezentati?

MG: Oamenii sunt diferiti. De aceea nu exista o reteta universala de slabit sau pentru o viata sanatoasa. Exista insa principii care te pot ajuta sa ajungi la greutatea dorita sau sa iti mentii sanatatea.

Companiile sunt si ele diferite si cu cerinte diferite cand vine vorba de conformitate.

De aceea nu voi prezenta retete, ci voi discuta despre modul practic in care principiile GDPR te pot ajuta sa documentezi si sa demonstrezi conformitatea cu cerintele privind protectia datelor.

WEBINARUL ESTE TRANSMIS LIVE PE PLATFORMA https://conferinte-live.ro/ si pe pagina de Facebook Dpo-NET.ro - Data Protection Officers Network - https://www.facebook.com/dponet.ro

Evenimentul este inregistrat si este disponibil in spatiul public pentru a asigura accesul la informatii cator mai multe persoane si dupa acest eveniment.

AGENDA - dpo.TALKS - “Cum reducem riscul amenzilor GDPR ?” - 30.09.2020 - 10.00-11.30

• Invitat: Mihai Ghita, Cofondator Sypher Solutions
• Moderator: Daniela Simionovici, Senior Partner NeoPrivacy Romania

09.45 - 10.00 - Inregistrarea participantilor in platforma online

10.00 - 10.30 - Provocarile profesionale ale DPO-ului in contextul actual / Sinteza amenzilor GDPR aplicate la nivel european in 2020

10.30 - 11.00 - Studiu de caz: Asistentul Virtual GDPR Sypher ca solutie pentru reducerea riscurilor amenzilor GDPR si digitalizarea activitatii DPO-ului

11.00 - 11.30 - Sesiune de intrebari si raspunsuri

Inscrierea se face exclusiv prin completarea urmatorului formular.