GDPR – cum numim un DPO sau Responsabilul cu Protecția Datelor
GDPR este prescurtarea regulamentului UE nr.679/2016 aplicabil din 25 mai 2018 la nivelul întregii uniuni europene precum și în orice alt stat din lume unde se folosesc date personale ale cetățeniilor UE. Interesul acestui subiect a devenit de actualitate deoarece amenzile de care sunt pasibile cei care nu îl vor respecta sunt de până la 20 milioane EURO sau 4% din cifra de afaceri înregistrată în anul precedent. Obiectivul regulamentului GDPR este protejarea cu strictețe a modului în care sunt culese, folosite, transmise și arhivate datele personale care ajung la operatorii economici.
În regulamentul 679 se definește clar rolul unei persoane numită DPO (Data Protection Officer) sau tradus Responsabilul cu Protecția Datelor, și pare a fi mai degrabă un fel de avocatul clientului decât o simplă persoană de contact folosită în prezent de cei care sunt deja autorizați ca operatori de date. Această persoană trebuie să aibă cunoștințe de specialitate pe zona de protecție de date (art.37-5). Poate fi un membru al echipei sau poate să-și desfășoare activitatea în baza unui contract de prestări servicii (art.37-6), însă trebuie implicat în mod corespunzător și în timp util în toate aspectele legate de protecția datelor (art.38-1) și nu poate fi demis sau sancționat de către operator pentru îndeplinirea sarcinilor sale (art.38-3).
Pe scurt ar trebui să fie un expert în securitate informatică, cu zece pe linie la relații cu clienții, training și coaching intern, audit și evaluare de risc,în același timp să fie și purtător de cuvânt în relația cu autoritatea de supraveghere, și plătit de o societate comercială care are ca scop realizarea de profit. Ca să fac o analogie, un fel de căpitan de aeronavă care să știe să conducă basculante și să facă curse București-Mizil la un tarif de 15 RON, certificarea în vigoare pe ultimul tip de Boeing și examen medical de clasa 2 constituie un avantaj.
Norocul este că nu există în acest moment o certificare formală pentru acest DPO și va fi relativ greu de dovedit că o persoană care are titlul postului cerut de lege nu e potrivită pe acel rol. Vestea cea rea esta că cele mai multe dintre firmele vizate de aceste noi cerințe nu sunt pregătite ca și organizații pentru tot ce trebuie implementat până pe 25 mai 2018 și e mai puțin important dacă șoferul nu are viza medicală pe carnet dacă mașina nu are roți și motor. Este mult mai important în momentul de față ca persoana numită să poată pregăti și schimba organizația decât să aibe toate certificările personale.
Așadar ce este de făcut? Cred că depinde de tipul de organizație din care faceți parte:
Firmă mare – dacă firma din care faceți parte pare să meargă întotdeauna după un plan, merită să căutați o persoană cu certificări ISO27001, ISO37001, CISM, CRISC, CISA, CGEIT etc. sau să găsiți o persoană – candidat intern care să fie pasionată de subiectul securității informatice și protecției datelor și să fie certificată până anul viitor. Dacă sunteți o firmă mare care merge pas cu pas, căutați un cadru de conducere care să aibe un rol cu nume pompos și inspiră încredere pentru schimbările care trebuie să le facă organizația.
Firmă medie – într-o organizație medie este posibil ca cea mai potrivită persoană să fie cea care aprobă tot ce ține de tehnologie, uneori i se spune manager IT, sau în alte părți este aceiași persoană cu directorul operațional sau chiar financiar. Această persoană se poate ocupa direct dacă are afinitate spre aceste zone sau să-și numească sau angajeze un adjunct care să se ocupe de subiect.
Firmă mică – Aici variantele sunt simple, fie se implică șeful, fie este o șansă bună ca asistenta șefului de care ascultă toată firma să înceapă să învețe, și să promoveze. Șansele de dezvoltare pot fi foarte motivante și se pot obține rezultate surprinzătoare. În paralel cu schimbările din firmă se pot obține și cunoștințele sau certificările necesare
Citeste intreg articolul si comenteaza pe Contributors.ro