Special

Autoritatea de protecţie a datelor personale: Ideal ar fi ca responsabilul de date să fie un IT-ist cu studii juridice sau un om juridic cu studii de IT

Autor: Alex Ciutacu

16.02.2018, 00:07 10677

Noua legislaţie europeană privind protecţia datelor cu caracter personal (General Data Protection Regulation-GDPR) va intra în vigoare la data stabilită, la 25 mai, fără nicio amânare, astfel că firmele şi instituţiile publice care prelucrează asemenea informaţii trebuie să fie gata să respecte noile reguli, au spus reprezentanţii autorităţii, dar şi ai companiilor de audit, consultanţă, avocatură şi tehnologie prezenţi la conferinţa ZF „Patru luni până la şocul GDPR”.

Responsabilul de datele personale - Data Protection Officer (DPO) - trebuie să aibă în mod ideal cunoştinţe juridice şi de IT, a declarat Simona Zanfir,  consilier în cadrul biroului juridic şi de comunicare al Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).

„Noi am spus că DPO-ul ar trebui să fie un IT-ist cu studii juridice sau un om juridic cu studii de IT, pentru că ar înţelege exact tot ce este nevoie. Este foarte greu să găseşti astfel de oameni, nu imposibil, dar greu. Responsabil cu protecţia datelor nu înseamnă doar un om, ci o echipă întreagă. Sunt multe organizaţii în România care au ales un responsabil care în spate are o echipă de 5-7 oameni, care cunosc foarte bine organizaţia, activitatea ei şi cunosc tot ce se întâmplă la nivelul unei organizaţii. Teoretic este un singur om declarat de organizaţie la autoritate, dar care în spate poate avea o echipă întreagă, sau poate fi chiar un serviciu externalizat către o firmă care oferă astfel de servicii”, a spus Zanfir.

Companiile trebuie să ia în serios reco­mandările făcute de persoanele care răspund de protecţia datelor, nu doar să numească pe cineva formal, a avertizat ea. „Un DPO trebuie să înţeleagă principiile şi mecanismele regula­men­tului. De preferat să aibă studii juridice sau/şi de IT, ar înţelege bine aspectele de substanţă. Certitudinea că acea persoană este una care poate îndeplini toate condiţiile şi toate standardele, e greu de obţinut această certitudine, de multe ori operatorii îşi vor asuma, niciodată nu va exista o certitudine, aşa cum nu există nici când numeşti un manager pentru un spital, că acel om va înţelege toate aceste lucruri încât să facă faţă jobului pe care îl are. Ce este important este faptul că întotdeauna acel DPO va avea o funcţie cumva asimilată auditorului. Întotdeauna va raporta boardului problemele, compania va trebui să asculte de acel DPO chiar dacă nu îi va face plăcere, chiar dacă nu va înţelege tot timpul. DPO-ul va trebui mereu să identifice şi să transmită datele legate de regulament. Nu este o persoană care să fie numită şi ignorată, lăsată într-un colţ că se rezolvă. Chiar va trebui ascultată acea persoană care, din fericire pentru ea, nu va fi trasă la răspundere pentru nereguli.”

Autoritatea aşteaptă de la „factorii politici” bani pentru a recruta mai mulţi oameni şi lucrează în prezent la finalizarea reglementărilor locale legate de GDPR. „ne concentrăm pe modul în care va fi aplicat acest act normativ, avem şi o lege de aplicare, una care este în fază de proiect şi discuţii interinstituţionale, în care vom încerca să clarificăm anumite aspecte impuse, aspecte privind supravegheera angajaţilor, încercăm să le clarificăm acum pentru că sunt mai multe aspecte. Având în vedere că la data la care va intra în vigoare GDPR, legile anterioare nu vor mai fi valabile. Înercăm să facem ghiduri, materiale, ne străduim să participăm la cât mai multe întâlniri. GDPR din 25 mai înlocuieşte Directiva 95/46/EC – nu este necesară transpunerea în legislaţia naţională.”

Două dintre cele mai importante aspecte care urmează să fie reglementate de ANSPDCP se referă la utilizarea codului numeric personal (CNP), un cod unic alocat fiecărui cetăţean român de către Ministerul de Interne prezent pe cărţile de identitate şi care este solicitat în mod uzual de multe companii şi instituţii publice în diferite situaţii.

„Din punctul meu de vedere cea mai stringentă problemă este cea a clarificării de către Autoritate a regimului utilizării CNP-ului, care în România a ajuns să stea la baza oricăror date. Până acum ne-am bazat pe consimţământ, regulamentul lasă la voinţa statelor membre ce se întâmplă, iar ca şi consultant aceasta este problema principală. Suntem în proces de a consilia clienţii şi nu ştim ce să facem cu acest CNP, dacă să le spunem să ceară în continuare acest consimţământ, este un impas, din ce am înţeles, nu suntem foarte aproape să ajungem la o concluzie din partea Autorităţii”, a declarat Raluca Silaghi, manager în cadrul societăţii de avocatură Radu şi Asociaţii, EY Law.

De asemenea Autoritatea este aşteptată să anunţe ce abordare va avea în legătură cu sancţionarea autorităţilor publice în cazul în care este constatată o încălcare a normelor GDPR.

 Autoritatea ar putea decide ca instituţiile publice să nu fie sancţionate financiar în cazul încălcării legislaţiei.

 
 

Ce au spus invitaţii la conferinţa ZF „Patru luni până la şocul GDPR“

 

Simona Zanfir, Consilier, Birou juridic şi comunicare, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal

Pe noi criza de personal ne afectează. Este foarte greu să aplici toate aceste sancţiuni fără să ai personal cu care să faci asta. Important este să-i ajutăm pe operatori să se conformeze, să înţeleagă, să ştie ce au de făcut în continuare şi să facă aceste lucruri cu ajutorul autorităţii.

Sufleteşte suntem pregătiţi pentru controale, material nu depinde doar de dorinţa noastră şi doar de noi. Ştiţi foarte bine de cât de multe ori factorul politic ajunge să pună în dificultate multe instituţii, prin finanţele de la buget etc. Suntem doar 40 şi ceva de oameni.

Noi am spus că DPO-ul ar trebui să fie un IT-ist cu studii juridice sau un om juridic cu studii de IT, pentru că ar înţelege exact tot ce este nevoie. Este foarte greu să găseşti astfel de oameni, nu imposibil, dar greu. Responsabil cu protecţia datelor nu înseamnă doar un om, ci o echipă întreagă.


 

Roxana Ionescu, Head of Data Protection, NNDKP

Regulamentul nu schimbă principiile de gestionare a datelor cu caracter personal. Asta asigură o continuitate la nivelul companiilor care se ocupă cu acest lucru. Schimbă transparenţa. Sunt deja multe mecanisme implementate, clauze în contracte de muncă, politici de confienţialitate pe site, ceea ce se schimbă cu adevărat prin acest regulament este faptul că se pune foarte mult accent pe transparenţă la nivelul organizaţiilor. Se vorbeşte de evidenţa prelucărilor de date - forţează puţin organizaţia să se întrebe care sunt datele pe care le folosesc, cum le folosesc.

Discuţia începe de la ce date folosesc, ce destinatar am pentru fiecare flux de date. Dacă poţi să clarifici scopul, poţi urmări aplicarea cerinţelor pe regulament foarte simplu.


 

Carmen Adamescu, Partener, EY România 

România este în urmă. Nu ştiu dacă Bulgaria sau România e mai în urmă, dar suntem cumva la coada Europei. Pare că suntem mult mai avansaţi cu discuţiile tehnice pe soluţii IT pt că avem o piaţă matură de IT. Trebuie făcut ordine şi apoi venit cu recomandările şi soluţiile IT necesare.

Majoritatea clienţilor întreabă cât îi costă să se conformeze cu GDPR. E dificil să le spui cât de la început, mai întâi constatăm ce au de făcut, facem constatări, facem road map-ul.

GDPR este un exerciţiu care trebuie continuat de acum pentru totdeauna. Nu ne oprim la 25 mai, din contră, cel mai greu va fi să monitorizezi activitatea echipei DPO, să raportezi, să ai registrul pentru procesarea datelor personale, şi dacă este foarte mare compania, trebuie să le poată face automat, altfel nu se poate, să aibă planificate rezervele.


 

Bogdan Pătraşcu, Cybersecurity Implementation Manager, CertSign

Dacă se întâmplă să am un incident de securitate, îmi trebuie un plan de răspuns, avem la dispoziţie 72 de ore pentru a raporta un incident. În cursul acestor ore trebuie să am planul. Câteva măsuri ar fi să limitez răspândirea şi infectarea calculatoarelor şi a sistemelor din organizaţie, să izolez incidentul, să fac o evaluare, care sisteme au fost afectate şi cum pot limita răspândirea.

Este privită altfel opinia specialistului extern. Top managament-ul trebuie să asigure şi un fel de control extern pentru politici de securitate IT. Este recomandat un consultant extern care să facă o evaluare pentru a avea o opinie cât mai clară în ceea ce priveşte situaţia organizaţiei.


 

Raluca Silaghi, Manager, Radu şi Asociaţii, EY Law

Din punctul meu de vedere cea mai stringentă problemă este cea a clarificării de către Autoritate a regimului utilizării CNP-ului, care în România a ajuns să stea la baza oricăror date. Până acum ne-am bazat pe consimţământ, regulamentul lasă la voinţa statelor membre ce se întâmplă, iar ca şi consultant aceasta este problema principală. Suntem în proces de a consilia clienţii şi nu ştim ce să facem cu acest CNP, dacă să le spunem să ceară în continuare acest consimţământ, este un impas, din ce am înţeles, nu suntem foarte aproape să ajungem la o concluzie.

Dacă am o suspiciune că un operator de date are datele mele, pot întreba de unde le are şi ce face cu ele. Obligaţia de a răspunde există. Nu vom ignora orice solicitare. Regulamentul spune la a doua sau a treia solicitare şicanatorie am dreptul să îi facturez un onorariu sau să îi spun că nu îi mai răspund pentru că deja am acoperit toate întrebările.


 

Anemari Ionescu, Head of Business & Platform Solutions, Atos România

Acest Data Protection Officer trebuie să aibă acces la cel mai înalt nivel din comapnie. Nu contează de unde vine, dar trebuie să fie împuternicit de organizaţie, să nu privească GDPR decât ca pe un challenge, nu ca pe o problemă de securitate. Să aibă acea putere de a trage organizaţia după el şi de a duce toţi oamenii din acea companie în modul de gândire GDPR.

Modelul Atos este de consultanţă, punem la dispoziţia companiilor pachete de soluţii care acoperă şi partea de software şi cea de hardware şi ulterior monitorizăm aceste aplicaţii. Atos România are o poziţie privilegiată în grupul Atos, unde anul trecut am deschis al 14-lea security operation center la nivel global în Timişoara, ceea ce ne dă o înţelegere şi mai bună în materie de cyber security.


 

Horaţiu Dumitrescu, Program Manager, High-Tech Systems and Sotware

În primul rând trebuie să ştii ce date ai ca şi companie, al doilea lucru, să ştii ce faci cu ele. Cel mai mare duşman al GDPR-ului este Excel-ul.

Din punctul de vedere al consultanţei, oferim consultanţă pentru implementarea normelor. Venim cu un set de instrumente care ajută partea de organizare a registrului şi de descriere a activităţilor, partea de Data Protection prevăzută de regulament. Oferim un portal de comunicare prin care companiile le pot prezenta clienţilor toate informaţiile legate de consimţământ pentru prelucrarea datelor.

Responsabilitatea nu este a DPO-ului, el e cel care trage clopotul, restul trebuie făcut în organizaţie.


 

Ioan Dumitraşcu, Partener şi Head of Commercial Department, PeliFilip

Trebuie să avem documentaţia pregătită până în mai 25, pentru că din momentul în care începe să se aplice GDPR, una dintre primele întrebări ar putea fi „pe procesarea cu multe date sensibile, aţi făcut studiu de impact (DPIA)?”. Dacă din nefericire răspunsul este nu, riscul este o amendă de 2% din cifra de afaceri. Este un subiect de maximă actualitate, şi companiile cu care lucrăm sunt în general foarte preocupate în acest moment.

Fenomenul întâlnit extrem de des, cum e la multinaţionale, că în România nu este exact perla coroanei, iar răspunsul pe care îl primesc companiile este să aştepte pentru că vor primi pe tavă de la grup, ceea ce duce la o întârziere riscantă. Eu estimez că în aprilie-mai o să lucrăm pe brânci ca să adaptăm la România ceea ce a produs grupul şi nu prea se va potrivi.


 

Emil Munteanu, Managing Partner, Power Net Consulting

Zona de competenţă a Power Net intervine după ce avem raportul consultantului, pentru că de la companie la companie diferă gradul de tehnologie de care au nevoie, lucrăm în paralel cu consultanţii pentru implementarea efectivă. Partea cea  mai puţin acoperită este cea de protecţie şi securitate internă, noi le spunem Human Points Security, nu există protecţie vizavi de ce pot face angajaţii, riscurile care le avem cu angajaţii şi cu ce interacţionează, de la USB-uri, la transfer prin mail sau prin alte platforme să transferi baze de date sau alte lucruri sensibile.

Companiile mari româneşti abia acum îşi pun problema, iar companiile mici şi medii mergem noi acum către ei şi ei se întreabă dacă trebuie neapărat să facă ceva, să facă vreun demers.


 

Cosmin Nechita, Partner Sales Specialist, Hewlett Packard Enterprise

S-a schimbat mult paradigma legată de securitate cibernetică, acum 10 ani vorbeam de firewall, acum nu trebuie să ne uităm la hardware sau firewall, ci la om, pentru că omul, angajatul, poate aduce o breşă şi poate să o stopeze în acelaşi timp.

Multe cazuri sunt provocate de breşe umane. Nimeni nu a calculat acest coeficient de risc. Nu vreau să pictez o imagine de societate orweliană, dar aici ne îndreptăm. Nimeni nu mai cumpără angajaţilor laptopuri, smartphone-uri etc, ei vin cu ele. Ce facem cu aceste device-uri, trebuie să scanăm, sunt mulţi identificatori, trebuie să avem grijă ca acei oameni să nu intre pe anumite site-uri, vorbim de un univers de informaţii extrem de vast.


 

Sergiu Sechel, Manager, Departament Advisory, EY România

Sunt companii care pot spune că nu au nicio informaţie, dar când se ajunge la un control sau la un incident, se poate descoperi că acea informaţie era acolo. Acestea sunt riscurile atunci când companiile nu sunt oneste.

Din perspectiva regulamentului trebuie avute în vedere informaţiile cu caracter personal, fie că vorbim de mediu digital, hârtie, audio-video, trebuie avute în vedere şi mecanismele prin care printăm sau transmitem informaţii cu caracter personal, faxul ca exemplu este un mediu de transmisie analogic sau digital dar nu asigură o transmiie securizată a datelor, şi se poate discuta foarte mult timp despre toate mediile noastre de comunicaţie şi să realizăm dacă trebuie sau nu reglementate.

AFACERI DE LA ZERO