Responsabilul cu protecția datelor (DPO - Data Protection Officer) este o persoană sau o echipă de persoane desemnată în cadrul unei organizații pentru a se ocupă de aspectele legate de protecția datelor cu caracter personal. Acesta este responsabil cu asigurarea conformității organizației cu legislația privind protecția datelor și cu elaborarea și implementarea politicilor și procedurilor interne de protecție a datelor. De asemenea responsabilul cu protectia datelor asigura legatura dintre persoanele vizate si autoritatea națională privind protectia datelor.
Potrivit Regulamentului General privind Protecția Datelor (RGPD), instituțiile publice trebuie să desemneze un DPO.
În procesul de desemnare a unui responsabil cu protecția datelor (DPO), instituțiile publice trebuie să țină cont de următoarele aspecte:
- Trebuie sa identifice cine trebuie să fie desemnat ca DPO - potrivit Regulamentului General privind Protecția Datelor (RGPD), DPO poate fi o persoană fizică sau o echipă de persoane, iar aceasta trebuie să aibă cunoștințe solide în domeniul protecției datelor și să fie independentă și imparțială în îndeplinirea funcțiilor sale.
- Trebuie sa se asigure că DPO are acces la resursele necesare pentru a-și îndeplini atribuțiile - aceasta poate include accesul la informații, tehnologie și suportul necesar pentru a se asigura că institutia publica este conformă cu legislația privind protecția datelor.
- Trebuie sa incurajeze comunicarea deschisă și transparentă între DPO și restul organizației - asigurându-se că toți angajații sunt conștienți de rolul și responsabilitățile DPO și că sunt încurajați să raporteze probleme legate de protecția datelor.
- Trebuie sa se asigure că DPO are o poziție de autoritate adecvată - DPO trebuie să fie în măsură să își exercite funcțiile și atribuțiile fără a fi supus presiunii sau influenței din partea altor persoane sau departamente.
- Trebuie sa se asigure că DPO este bine pregătit pentru a face față schimbărilor legislative - protecția datelor cu caracter personal este o problemă în continuă schimbare, iar DPO trebuie să fie capabil să se adapteze rapid la schimbările legislative și tehnologice.
- Trebuie sa se asigure că DPO are un canal direct de raportare către cel mai înalt nivel de management al organizației - acest lucru îi va permite să comunice direct cu cei mai înalți decidenți și să aibă un impact mai mare asupra politicilor și deciziilor legate de protecția datelor.
- Trebuie sa se asigure că DPO beneficiază de sprijin și susținere din partea conducerii organizației - DPO trebuie să aibă sprijinul și susținerea deplină a conducerii organizației pentru a-și putea îndeplini în mod eficient rolul și responsabilitățile.
O institutie publica poate desemna un DPO in urmatoarele feluri:
- Să desemneze DPO din randul angajatilor sai, dubland calitatea de DPO cu o funcție de execuție sau conducere,
- Să creeze o noua pozitie in organigrama pentru DPO si sa angajeze o persoana în acea poziție,
- Să contracteze servicii DPO, specializate în domeniul protectiei datelor.
1. Desemnarea unui angajat ca DPO.
În general, nu este recomandat să desemnați un angajat ca responsabil cu protecția datelor (DPO), deoarece acesta ar putea să nu fie în măsură să își îndeplinească rolul într-un mod independent și imparțial. Acest fapt reprezinta un risc care trebuie gestionat atat conform GDPR cat si conform SCIM.
DPO trebuie să fie independent și să nu primească instrucțiuni în ceea ce privește îndeplinirea atribuțiilor sale de protecție a datelor. Desemnarea unui angajat existent ca DPO ar putea face ca acea persoană să fie influențată sau să fie considerată că reprezintă interesele departamentului sau ale organizației în detrimentul protecției datelor.
De asemenea, desemnarea unui angajat ca DPO ar putea să nu fie cea mai eficientă soluție din punct de vedere al resurselor. DPO trebuie să aibă cunoștințe solide în domeniul protecției datelor și să fie capabil să își îndeplinească funcțiile și atribuțiile fără a fi supus presiunii sau influenței din partea altor persoane sau departamente. Ar putea fi dificil să identificați un angajat care îndeplinește toate aceste cerințe.
În plus, desemnarea unui angajat ca DPO ar putea fi dificilă din punct de vedere al conflictului de interese. Dacă un angajat existent este desemnat ca DPO, aceasta ar putea crea o situație în care acea persoană trebuie să ia decizii care afectează interesele proprii, precum și interesele organizației.
În consecință, este recomandat să desemnați o persoană independentă și imparțială ca DPO, care poate fi o persoană externă organizației sau o echipă de persoane care lucrează împreună într-o companie specializată în protecția datelor. Desemnarea unui DPO din randul angajatilor existenti genereaza un risc semnificativ care trebuie menționat în Registrul de riscuri, obligatoriu pentru instituțiile publice, si gestionat cu consum de resurse publice.
Riscul semnificativ despre care vorbim este neindeplinirea de catre DPO a conditiei de independenta. Există mai multe cazuri în care condiția de independență a DPO poate fi încălcată. Acestea include:
- DPO este desemnat de conducerea organizației - DPO trebuie să fie desemnat de către organizația însăși, iar conducerea organizației nu trebuie să își exercite influența asupra acestuia în îndeplinirea atribuțiilor sale.
- DPO este subordonat unui departament sau unei persoane - DPO trebuie să aibă o poziție independentă în cadrul organizației și să nu fie subordonat unui departament sau unei persoane.
- DPO primește instrucțiuni cu privire la îndeplinirea atribuțiilor sale - DPO nu trebuie să primească instrucțiuni cu privire la îndeplinirea atribuțiilor sale de protecție a datelor. Acesta trebuie să aibă libertatea de a lua decizii în mod independent și imparțial.
- DPO este implicat în activități care îl fac să nu mai fie independent - DPO nu trebuie să fie implicat în activități care îl fac să nu mai fie independent, cum ar fi luarea de decizii cu privire la procesarea datelor personale sau implicarea în orice altă activitate care ar putea să îi afecteze capacitatea de a fi independent.
- DPO este plătit sau promovat în funcție de performanța organizației - DPO nu trebuie să fie plătit sau promovat în funcție de performanța organizației, deoarece acest lucru ar putea să îi afecteze independența și imparțialitatea.
- DPO nu are suficiente resurse pentru a își îndeplini atribuțiile - DPO trebuie să aibă suficiente resurse și sprijin din partea organizației pentru a își îndeplini atribuțiile. Dacă DPO nu are resursele necesare, acest lucru ar putea să îi afecteze capacitatea de a fi independent și de a își îndeplini atribuțiile în mod eficient.
În general, pentru a se asigura că DPO este independent și imparțial, este important ca acesta să aibă o poziție de autoritate adecvată, să nu fie influențat de nicio persoană sau departament și să aibă suficiente resurse pentru a își îndeplini atribuțiile în mod eficient.
Există multe cazuri în care autoritățile naționale de protecție a datelor cu caracter personal din Europa au aplicat sancțiuni pentru lipsa de independență a DPO (Responsabilul cu Protecția Datelor). Iată câteva exemple:
- În 2019, Comisia de protecție a datelor din Belgia (CPVP) a aplicat o amendă de 50.000 de euro unei companii care a încălcat GDPR prin numirea unui angajat al companiei drept DPO. CPVP a constatat că această numire a dus la o lipsă de independență a DPO, deoarece angajatul numit ca DPO avea și alte funcții în cadrul companiei și nu a putut acționa independent în ceea ce privește protecția datelor personale. Acest caz evidențiază importanța desemnării unui DPO independent și calificat, care să nu aibă alte funcții în organizație care ar putea compromite independența sa și care să nu fie supus presiunilor sau influenței în luarea deciziilor privind protecția datelor personale.
- Un alt exemplu este cazul unei companii din Germania, care a primit o amendă de 10.000 de euro în 2020 pentru că a numit un angajat al companiei drept DPO, fără a asigura independența acestuia. Autoritatea de protecție a datelor din statul german Baden-Württemberg a constatat că angajatul numit ca DPO nu avea suficientă autonomie și independență în ceea ce privește protecția datelor personale și a recomandat companiei să numească un DPO independent.
- În alt caz din Spania, o organizație a primit o amendă de 9.000 de euro în 2021 pentru că a încălcat GDPR prin numirea unui avocat intern drept DPO, fără a asigura independența sa. Autoritatea spaniolă de protecție a datelor a constatat că avocatul nu a fost independent, deoarece a răspuns direct companiei și nu a putut acționa independent în luarea deciziilor privind protecția datelor personale.
Aceste cazuri subliniază faptul că independența DPO este un aspect crucial în ceea ce privește respectarea GDPR și că organizațiile trebuie să fie foarte atente la numirea unui DPO independent și să se asigure că acesta poate acționa în mod autonom și independent în ceea ce privește protecția datelor personale.
In mod particular, conform recomandărilor Grupului de lucru pe art.29 din GDPR, nu este ideal să numești un DPO din departamentul juridic al organizației deoarece acest lucru ar putea duce la o posibilă încălcare a independenței DPO. Deși un jurist poate fi un candidat adecvat pentru funcția de DPO datorită cunoștințelor sale legale și a experienței în gestionarea datelor, este important să se ia în considerare conflictul de interese potențial și faptul că DPO trebuie să fie independent și să acționeze în interesul protecției datelor personale.
În conformitate cu GDPR, DPO nu trebuie să fie sancționat sau concediat pentru îndeplinirea sarcinilor sale de protecție a datelor personale și trebuie să aibă resurse suficiente pentru a-și îndeplini sarcinile.
Dacă DPO este numit din departamentul juridic, acesta ar putea fi nevoit să ia decizii care ar putea afecta interesele juridice ale organizației și ar putea fi supus presiunii sau influenței din partea conducerii organizației, ceea ce ar putea duce la o încălcare a independenței sale.
Desemnarea unui DPO din rândul propriilor angajați genereaza un risc semnificativ care trebuie tratat conform reglementărilor în vigoare. În primul rand acest risc trebuie menționat în Registrul de riscuri al entității publice, obligatoriu de întocmit conform art.5 alin.4 din Ordinul Secretarului General al Guvernului nr. 600/2018 în scopul identificării, evaluării și gestionării riscurilor semnificative pentru activitatea acestora.
Potrivit ordinului, riscurile semnificative sunt cele care pot afecta în mod semnificativ atingerea obiectivelor instituționale, pot compromite securitatea informației sau pot avea un impact financiar semnificativ asupra activității instituționale.
Registrul Riscurilor Semnificative trebuie să conțină următoarele informații:
- Identificarea și descrierea riscului
- Cauzele și factorii de risc asociate cu riscul
- Impactul asupra activității instituționale
- Evaluarea riscului
- Măsurile de prevenire și reducere a riscului
- Persoana sau persoanele responsabile de gestionarea riscului
- Termenele de implementare a măsurilor de prevenire și reducere a riscului
- Stadiul de implementare a măsurilor de prevenire și reducere a riscului
- Monitorizarea și evaluarea ulterioară a riscului.
- Instituțiile publice sunt obligate să întocmească Registrul Riscurilor Semnificative și să îl actualizeze periodic. De asemenea, este necesar ca instituțiile să ia măsurile necesare pentru a preveni și reduce riscurile semnificative identificate și să monitorizeze continuu situația pentru a preveni apariția unor noi riscuri.
Registrul Riscurilor este o metodă utilă pentru a identifica și gestiona riscurile la nivelul instituțiilor publice din România, contribuind astfel la îmbunătățirea eficienței și eficacității activității acestora. Ordinul Secretarului General al Guvernului nr. 600/2018 reglementează modul de implementare a Sistemului de Control Intern Managerial(SCIM) în cadrul instituțiilor și autorităților publice din România precum si identificarea si gestionarea riscurilor.
În acest context, articolul 19 din Ordinul nr. 600/2018 prevede obligația instituțiilor și autorităților publice de a întocmi și actualiza un "registru al riscurilor semnificative" în ceea ce privește informațiile clasificate deținute și prelucrate de acestea. Registrul trebuie să conțină informații referitoare la riscurile semnificative identificate în ceea ce privește confidențialitatea, integritatea și disponibilitatea informațiilor clasificate și să permită evaluarea și gestionarea acestor riscuri.
În activitatea instituțiilor publice, riscurile pot apărea în ceea ce privește protecția datelor cu caracter personal, securitatea informațională, confidențialitatea informațiilor clasificate sau a altor informații sensibile, precum și în alte domenii relevante pentru activitatea instituției/autorității publice.
Gestionarea acestor riscuri este esențială pentru protejarea informațiilor deținute și prelucrate de instituții și autorități publice și pentru asigurarea conformității cu prevederile legale în materie de protecția datelor și securitatea informațională.
Pentru a gestiona eficient riscurile , instituțiile și autoritățile publice trebuie să adopte o abordare sistematică și coerentă, care să includă:
- Identificarea riscurilor: instituțiile și autoritățile publice trebuie să efectueze o analiză a riscurilor pentru a identifica riscurile în ceea ce privește protecția datelor cu caracter personal și alte informații relevante pentru activitatea lor. Acest proces poate fi realizat prin intermediul unor metodologii și instrumente specifice de analiză a riscurilor.
- Evaluarea riscurilor: instituțiile și autoritățile publice trebuie să evalueze impactul potențial al riscurilor identificate asupra activității lor și asupra informațiilor deținute și prelucrate de acestea.
- Implementarea măsurilor de gestionare a riscurilor: instituțiile și autoritățile publice trebuie să implementeze măsurile adecvate pentru a gestiona riscurile identificate. Aceste măsuri pot include, printre altele, implementarea de politici și proceduri specifice, formarea și instruirea personalului sau utilizarea de soluții tehnologice specifice.
- Monitorizarea și actualizarea gestionării riscurilor: instituțiile și autoritățile publice sunt obligate să monitorizeze și să actualizeze constant procesul de gestionare a riscurilor, pentru a se asigura că acestea sunt gestionate în mod adecvat și că măsurile de gestionare implementate sunt eficiente și actualizate.
- Pentru a asigura o gestionare eficientă a riscurilor, este important ca instituțiile și autoritățile publice să aibă resursele și competențele adecvate în ceea ce privește protecția datelor cu caracter personal și securitatea informațională. De asemenea, este recomandat să se colaboreze cu experți și consultanți externi în domeniul protecției datelor și securității informaționale, pentru a obține expertiză necesară în gestionarea riscurilor semnificative.
- Efectele riscurilor în activitatea instituțiilor publice pot fi multiple și pot avea un impact semnificativ asupra activității acestora. Printre acestea se pot enumera:
- Pierderea de informații și date cu caracter personal - poate duce la încălcarea drepturilor persoanelor vizate și la aplicarea de sancțiuni de către autoritățile competente în domeniul protecției datelor cu caracter personal.
- Întreruperea activității instituției publice - poate duce la pierderea de timp și de resurse pentru repunerea în funcțiune a serviciilor publice.
- Comunicarea defectuoasă cu cetățenii și alte entități - poate duce la o reputație negativă a instituției publice și la pierderea încrederii din partea cetățenilor și a altor entități cu care instituția publică interacționează.
- Consumul de resurse financiare și umane pentru gestionarea riscurilor - poate duce la reducerea bugetului disponibil pentru alte proiecte și la suprasolicitarea angajatilor, care trebuie să se ocupe de gestionarea acestor riscuri.
În general, riscurile pot afecta eficiența și eficacitatea instituțiilor publice, dar și satisfacția cetățenilor și a altor entități care interacționează cu acestea. De aceea, este importantă identificarea, evaluarea și gestionarea acestor riscuri într-un mod cât mai eficient și eficace posibil, pentru a minimiza efectele negative și pentru a maximiza beneficiile activității instituțiilor publice.
Încălcarea eficienței și eficacității instituțiilor publice poate avea un impact semnificativ asupra activității acestora și asupra societății în general. În mod obișnuit, aceste încălcări sunt cauzate de diverse probleme, cum ar fi:
- Probleme de management - lipsa de strategii și planuri clare, ineficiență în implementarea acestora sau lipsa resurselor necesare.
- Lipsa de transparență și responsabilitate - instituțiile publice care nu sunt transparente cu privire la activitățile lor sau care nu-și asumă responsabilitatea pentru deciziile lor pot pierde încrederea cetățenilor și a altor entități.
- Probleme de corupție - corupția poate distorsiona eficiența și eficacitatea instituțiilor publice, ducând la utilizarea necorespunzătoare a fondurilor publice și la oferirea de servicii inadecvate.
- Lipsa de competență și profesionalism - instituțiile publice care nu au personal competent și profesionist pot fi incapabile să ofere servicii de calitate sau să ia decizii adecvate.
Toate aceste probleme pot duce la pierderea încrederii cetățenilor și a altor entități în instituțiile publice, dar și la pierderea de resurse publice importante și la eficiență redusă în implementarea politicilor publice. Este important ca instituțiile publice să identifice și să gestioneze aceste probleme, astfel încât să poată fi asigurată o activitate eficientă și eficace în serviciul cetățenilor și al societății în general.
Toate situațiile prezentate mai sus privind riscul desemnării DPO din randul angajatilor existenti genereaza un risc de încălcare a condiției de independență a DPO. Acest risc trebuie menționat în Registrul de riscuri al instituției publice si trebuie gestionat. Gestionarea unui asemenea risc inseamna consum de resurse publice. Prin urmare, fata de toate elementele prezentate nu considerăm oportună din perspectiva eficienței si eficacității instituției publice desemnarea unui DPO din randul angajatilor existenti.
2. Crearea unei noi poziții de DPO în cadrul organigramei instituției în vederea desemnării sale
În situația instituțiilor publice modificarea organigramei prin introducerea unui post nou, cel de DPO, este un proces anevoios si din perspectiva administrativă dar si din perspectiva politică, fiind necesare ambele în procesul de modificare a organigramei. Apariția unui nou post s-ar justifica dacă activitatea instituției publice o necesita. Astfel, prin prisma faptului ca DPO nu poate fi decat o persoana cu calificare specifica, DPO nu poate fi decat funcție de conducere după cum reiese din denumirea Data Protection Officer (DPO), titulatura de officer, în administrația si managementul din țările Uniunii Europene.
Un asemenea scenariu ar fi oportun, in acceptiunea noastra in conditiile in care dimensiunile instituției publice ar fi însemnate, atât prin numărul de angajați cât si prin numărul de activități prestate, s-ar impune crearea unui post distinct si specific de DPO.
Trebuie avut în vedere si faptul ca o noua pozitie in organigrama inseamna si majorarea corespunzătoare a bugetului de salarii al instituției.
3. Contractarea de servicii de specialitate de DPO externe.
Este cea mai ergonomica varianta de desemnare a DPO , in acceptiunea noastra, contractarea de servicii de specialitate externe de DPO. Astfel, se asigura îndeplinirea tuturor condițiilor pentru ca activitatea acestuia sa fie conforma cu GDPR si astfel sa fie asigurată si conformitatea instituției cu aceleași dispoziții normative europene.
Serviciile de DPO pot fi contractate de la terti care au specializare in acest sens si care, nefiind angajați ai instituției, nu mai generează riscul de conflict de interese, menționarea acestuia în Registrul riscurilor nemaiimpunandu-se.
Totodata, costurile cu servicii externe de DPO sunt net inferioare ipotezei în care organigrama ar fi modificată în sensul suplimentarii cu poziția de DPO. După cum am arătat, ca si cost direct cu un angajat, avand in vedere ca functia este asimilata functiilor de conducere, estimam un minim stipendiar peste 4000 de lei (incluzand taxele si impozitele pe salarii). Mai trebuie menționat ca un angajat nou generează costuri indirecte rezultate din utilizarea bazei tehnologice si a spațiului de lucru aferent.
Totodata, faptul ca unul sau unii dintre angajați au parcurs un curs de GDPR nu-i face nici specialisti si nici nu ii certifica, în acest domeniu fiind de notorietate faptul ca nu exista o certificare științifică a acestor cunoștințe. Domeniul este atat de vast si sfera de aplicabilitatea a domeniului protectiei datelor incidenta practice oricăror activități publice ale entitatilor publice, incat nu s-a convenit încă, la nivel european sau local, ca o certificare în acest domeniu ar putea fi acordata in mod oficial. Astfel, cursurile parcurse de angajați nu obliga în niciun fel instituția sa ii desemneze ca DPO, aceste cursuri putand fi asimilate cursurilor de perfecționare continua la care sunt obligați angajații din sistemul de stat.
In concluzie, cea mai avantajoasa varianta pentru o insitutiei publica de desemnarea a unui DPO este varianta contractarii de servicii de specialitate de DPO de la terti. Desemnarea unui DPO din randul angajatilor proprii producand un risc a cărui gestiune este mult prea costisitoare pentru instituție, exact ca în situația creării unei poziții distincte a DPO în organigrama.