Conflictul de interese la desemnarea DPO. Ce mai este si asta?

Desemnarea internă a Responsabilului cu protecția datelor cu caracter personal crează de cele mai multe ori acel conflict de interese așa cum este menționat în Regulament.

Hai să analizăm cele mai frecvente greșeli la desemnarea Responsabilului cu protecția datelor, acel DPO minune care ar trebui să monitorizeze periodic activitățile de prelucrare, să informeze, să consilieze sau să ajute la elaborarea Studiilor de impact GDPR:

• Ca regulă generală, printre funcțiile contradictorii din cadrul organizației se pot include funcțiile personalului de conducere de nivel superior (precum funcția de director general, de director general administrativ, de director financiar, de medic primar, de șef al departamentului de marketing, de șef al serviciului de resurse umane sau de șef al departamentelor IT), însă și alte roluri de rang inferior în organigramă dacă astfel de poziții sau roluri conduc la stabilirea scopurilor și a mijloacelor de prelucrare.

• DPO desemnat nu are experiența și expertiza necesară auditării proceselor informatice, nu are cunoștințe sumare despre securitatea informatică pentru a putea să auditeze acele procese informatice, să descopere breșe de securitate așa cum este menționat în recomandările din ghidurile GL29;

În acest caz se regasesc și experții juridici care preiau sarcina DPO, dar nu au expertiza IT necesar monitorizării proceselor informatice și trebuie să ținem cont de aspectul că prelucrarea datelor în ziua de azi se realizează informatic în toate domeniile).

• Managerii adaugă din creion pe fișa postului unui angajat și responsabilitatea DPO, fară a delimita volumul de muncă necesar și încălcând un principiul esențial din Regulament, cel al responsabilitații operatorului care nu poate să demonstreze activitatea specifică.

• Activitatea practică lunară a DPO este inexistentă, nu exista rapoarte de activitate, de monitorizare, de informare sau consiliere specifice GDPR.

• Activitațile GDPR și măsurile tehnico organizatorice nu sunt adecvate și eficace atât cu momentul conceperii prelucrării, cât și în mod implicit. Operatorii ar trebuii să poată demonstra că au pus în aplicare măsuri și garanții adecvate și eficace pentru a asigura respectarea deplină a principiilor de protecție a datelor, a drepturilor și libertăților persoanelor vizate.

• Documentația obligatorie GDPR nu există sau a fost cumparată sau xeroxată. Atunci când un model de document specific GDPR este achiziționat, el ar trebui customizat după activitatea operatorului, pentru a se asigura că respectă realitatea activităților de prelucrare și asigură măsuri eficace pentru securitatea prelucrării datelor.

• Studii de impact GDPR? Ce sunt???? Deși sunt foarte mulți operatori care au prelucrări mari de date cu caracter personal cu risc ridicat, operatorii nici nu știu că au obligația legală de a efectua un studiu de impact din momentul proiectării.

„Absența conflictului de interese este strâns legată de cerința de a acționa în mod independent. Cu toate că DPO are permisiunea de a îndeplini și alte funcții, acestuia i se pot încredința și alte atribuții doar cu condiția ca acestea să nu dea naștere unor situații de conflicte de interese. Aceasta presupune, în mod specific, faptul că DPO nu poate deține o funcție în cadrul organizației, prin care să stabilească scopurile și mijloacele de prelucrare a datelor cu caracter personal.” – wp243rev01

„Ca regulă generală, printre funcțiile contradictorii din cadrul organizației se pot include funcțiile personalului de conducere de nivel superior (precum funcția de director general, de director general administrativ, de director financiar, de medic primar, de șef al departamentului de marketing, de șef al serviciului de resurse umane sau de șef al departamentelor IT), însă și alte roluri de rang inferior în organigramă dacă astfel de poziții sau roluri conduc la stabilirea scopurilor și a mijloacelor de prelucrare.” – wp243rev01

„Din motive de claritate juridică și pentru o bună organizare, precum și pentru a preveni conflictele de interese în cazul membrilor echipei, se recomandă să se prevadă în contractul de servicii alocarea clară a sarcinilor în cadrul echipei DPO externe și numirea unei singure persoane ca persoană de contact principală și persoană „responsabilă” pentru client.”- Orientările nr. 4/2019 privind articolul 25

In 2022 am susținut cursuri de GDPR adresate angajaților Autoritaților centrale și locale în cadrul proiectului POAT 1.114. Am incheiat fiecare raport cu idea: „Uniunea Europeana a dat dovadă de maturitate și responsabilitate în privința protejării drepturilor și libertăților fundamentale prin aprobarea Regulamentului”.

Din păcate la nivel național procentul majoritar este al celor care nu dau dovadă de maturitate și responsabilitate, considerând că este doar o nouă lege unde nimeni nu ințelege nimic și este suficient un curs.

O responsabilitate scazută a cerințelor Regulamentului am regăsit-o și în rândul unor DPO-iști.

Marius Gustea