GDPR (General Data Protection Regulation) este noul cadru legislativ impus la nivelul Uniunii Europene, incepand cu 25.05.2018, care vine sa inlocuiasca o mai veche directiva din 1995 referitoare la protectia datelor. Scopul declarat este acela de a avea un mai bun control al utilizarii si stocarii datelor cu caracter personal.
Respectarea noilor reguli este conditionata, in primul rand, de cunoasterea si de implementarea lor efectiva, mai apoi de un control eficient al stocarii, circulatiei si utilizarii datelor cu caracter personal.
Responsabilul de protectia datelor
Ce inseamna DPO? Responsabilul cu protectia datelor este o persoana calificata, numita in cadrul unei organizatii cu atributii de consiliere, educare si control periodic al modului in care membrii organizatiei inteleg sa interactioneze cu date atat de importante cum sunt cele cu caracter personal.
Din punct de vedere legal, este obligatorie desemnarea unui responsabil cu protectia datelor in orice autoritate sau organism public, indiferent de datele pe care le prelucreaza. De asemenea, este necesar in orice organizatie care monitorizeaza sistematic persoane sau care prelucreaza pe scara larga date cu caracter personal. Desi nu este obligatoriu, este recomandat ca fiecare organizatie sa aiba un asemenea responsabil, pentru a preveni posibila incalcare a legislatiei in domeniu, sanctionabila cu amenzi deosebit de mari.
Pentru a putea fi numita in aceasta functie, o persoana trebuie sa indeplineasca mai multe conditii:
- sa aiba specializare in securitate informatica;
- sa cunoasca foarte bine legislatia in domeniu;
- sa posede abilitati de comunicare si transmitere a informatiei;
- sa aiba competente de auditor ISO 27001.
Legislatia permite externalizarea acestui serviciu, asa incat atributiile pot fi preluate de o echipa specializata, cu experienta in domeniu – in general, pentru un cost mult mai mic decat cel necesar pentru un salariat.
Rolul unui DPO
In primul rand, un responsabil de protectia datelor ofera consultanta organizatiei in ceea ce priveste obligatiile stipulate in legislatia GDPR. Pentru a-si respecta obligatiile, responsabilul trebuie sa cunoasca foarte bine legislatia in domeniu, sa inteleaga natura acestor obligatii si sa poata crea un set de reguli pe care fiecare membru al organizatiei sa il respecte integral. Nu este suficienta doar cunoasterea cadrului legislativ, este necesara si o experienta in lucrul cu diferite organizatii, din domenii variate, pentru a intelege care sunt modalitatile optime in care procedurile de gestionare a datelor cu caracter personal pot fi integrate in fluxul zilnic de lucru.
In al doilea rand, un DPO trebuie sa aiba si certe calitati de comunicator, pentru a putea oferi informare si sprijin in intelegerea obligatiilor, fiecarui membru al organizatiei. Una dintre atributii este tocmai aceea de a organiza periodic sesiuni de instruire in scopul constientizarii fiecarui salariat asupra importantei extraordinar de mari pe care o are respectarea procedurilor de lucru ce au ca obiect date cu caracter personal.
Nu este suficient ca responsabilul de protectia datelor sa fie un bun profesor, acesta trebuie sa fie si un excelent auditor, o persoana capabila sa evalueze periodic performanta fiecarui salariat si a organizatiei per ansamblu, in ceea ce priveste protectia datelor cu caracter personal. Rezultatele acestor evaluari periodice sunt fundamentul viitoarelor sesiuni de instruire si a masurilor necesar a fi luate pentru o conformare totala cu obligatiile impuse prin cadrul legislativ. In fond, documentatia GDPR trebuie sa fie in permanenta revizuita si actualizata, conform cu provocarile cu care se confrunta organizatia.
Foarte important este si rolul de suport pentru crearea si mentinerea evidentelor de prelucrare a datelor personale, sprijinul in notificarea incidentelor de securitate si functia de interfata intre organizatie si autoritatea de protectie a datelor (ANSPDCP).
Intelegerea importantei respectarii noului cadru legislativ referitor la protectia datelor cu caracter personal este esentiala pentru o buna functionare a oricarei organizatii. In asemenea conditii, rolul responsabilului de protectia datelor este fundamental in asigurarea unei informari corecte si a unui control periodic al modului de respectare a acestor reguli.
