Obligația numirii unui Responsabil cu Protecția Datelor este o problematică des întâlnită în rândul operatorilor dar și al specialiștilor care oferă consultanță GDPR.
Dincolo de rolul pe care trebuie să îl ocupe DPO-ul într-un sistem, întotdeauna se ivește aceeași întrebare: să numim o persoană din interiorul organizației sau să externalizăm acest serviciu?
Experții de la compania GDPR Complet spun că, întâi de toate, este bine de știut în ce cazuri este obligatoriu numim un DPO. Din punct de vedere legal, orice instituție publică este obligată să aibă numit un responsabil cu protecția datelor.
Mai mult, această obligativitate este valabilă și în cazuri specifice – firme care poate realizează activități ce necesită o monitorizare periodică și sistematică a persoanelor vizate (de exemplu un magazin virtual cu mii sau zeci de mii de clienți persoane fizice) sau firme care prelucrează categorii speciale de date pe scară largă (de exemplu oferirea de soluții IT pentru un spital – datele de sănătate ale pacienților).
Avantajele numirii unui DPO intern
Ionel Orza, antreprenor și fondator GDPR Complet, explică avantajele numirii unui DPO intern: “Persoana va ști cel mai bine situația din companie sau din instituția în care lucrați. Acest lucru este important deoarece rolul Responsabilului cu Protecția Datelor impune să cunoască și să poată să trateze toate riscurile, pe când cuiva din exterior îi poate lua mult timp să se acomodeze cu operatorul și să relaționeze în mod eficient cu angajații acestuia. Aparent, nu există costuri suplimentare pentru companie / instituție deoarece nu angajăm o persoană nouă. Cu toate acestea pot apărea costuri ascunse legate de pregătirea profesională a acelui angajat”.
Dezavantajele numirii unui DPO intern
Expertul spune că, în cazul unui DPO intern, există pericolul ca persoana numită să fie în incompatibilitate și astfel numirea să nu fie conformă cu normele. “Astfel, va trebui căutată o altă persoană care să preia această funcție și să se investească în pregătirea profesională a acesteia – cel puțin un curs de specializare în domeniul protecției datelor”, subliniază Ionel Orza.
“Totodată, aglomerând fișa postului unui angajat pe care l-am pregătit în timp prin instruiri și cursuri de specialitate, cunoaște situația, problematicile operatorului, s-ar putea să-și dorească să plece din companie / instituție și să ne aflăm în situația de a o lua de la capăt cu un alt angajat sau alt nou angajat, astfel că mereu o luăm de la început”, completează Orza. Astfel, precizează acesta, instabilitatea numirii Responsabilului poate atrage probleme mari operatorului care luni de zile, sau chiar un an, va rămâne descoperit în fața amenințărilor riscurilor la protecția datelor (de exemplu vulnerabilități informatice, procedurale, lipsuri în politici și proceduri, gestionare eronată a consimțămintelor).
Imparțialitatea – sau lipsa acesteia este unul dintre aspectele sensibile cu care operatorul se poate confrunta.
“Cum să asiguri imparțialitatea Responsabilului cu Protecția Datelor în cazul raportării incidentelor în contextul evaluărilor anuale spre exemplu? Cum ne asigurăm că acel Responsabil cu Protecția Datelor va și aduce la cunoștința managementului un incident de securitate datorat unei erori umane a unui coleg de birou și prieten cu acesta? Aceste aspecte pot pune în dificultate operatorul și în realitate să îl expună unor riscuri enorme!”, atrage atenția Ionel Orza.
Avantajele numirii unui DPO extern
O soluție pare a fi, pentru ca totul să fie bine, alegerea unei firme care să se ocupe de GDPR. “Alegând o colaborare cu un furnizor de servicii, vei avea parte de o colaborare cu profesioniști, pe baza unui contract în care se stabilesc termenii colaborării. Acel furnizor este posibil să pună la dispoziția operatorului/firmei/instituției 4-5 persoane specializate pe câte o componentă specifică de auditare / implementare a standardului – IT, managerial, pe componenta procedurilor, politicilor, a instruirilor, astfel că procesul de implementare va fi mult mai rapid și probabil mai bine făcut”, spune Ionel Orza.
Dacă ai nemulțumiri întemeiate legate de furnizor, îl poți schimba foarte rapid, întrerupând contractul. În același timp, se pot cere garanții materiale cu privire la asumarea responsabilității privind serviciile pe care le oferă, pe când unui angajat nu.
Un alt avantaj este faptul că furnizorul de servicii este echidistant față de toți factorii implicați în problematici specifice protecției datelor. Odată cunoscute, intuite sau bănuite anumite riscuri, acestea vor fi aduse la cunoștința managementului operatorului în cel mai scurt timp pentru a fi tratate, deoarece furnizorul de servicii nu își va dori niciodată o situație în care este posibil să răspundă în solidar pentru anumite prejudicii materiale create de o breșă de securitate.
Deși poate la prima impresie lucrurile nu par așa, costurile acestei alegeri vor fi mai avantajoase – pot porni de la câteva sute de lei pe lună până la câteva sute de euro, în funcție de specificul companiei / instituției.
“Luați în calcul faptul că o persoană numită intern (conform standardului ocupațional – cu studii superioare și curs specializat), în 95% din cazuri va îndeplini și alte sarcini ale funcției de bază (juridic, resurse umane, administrativ, etc.). Pentru îndeplinirea noii funcții, capacitatea de lucru a acesteia va fi mult restrânsă cel puțin în primul an de activitate (poate 2-4 ore pe zi va fi nevoit să lucreze, timp de 1 an pentru evaluarea, implementarea și monitorizarea standardului). Astfel, poate jumătate din salariul acestuia va fi plătit pentru ocuparea funcției de DPO (raportat la nivelul mediu / economie, vom plăti cel puțin 1000-2000 lei lunar pentru aceasta, neluând în calcul că persoana s-ar putea să fie plătită cu mult mai mult, și noi să scoatem din buzunar multe mii de lei)”, exemplifică Ionel Orza, antreprenor și fondator GDPR Complet.
Dezavantajele numirii unui DPO extern
Numirea unui DPO extern are însă și dezavantaje. Furnizorul de servicii pe care l-am contractat nu va ști situația operatorului, s-ar putea să îi ia câteva luni bune până să cunoască particularitățile, să reușească să auditeze întreaga companie / instituție pentru a-și face o imagine și pentru a reuși să creioneze un plan bine pus la punct de conformare și monitorizare a respectării legislației pentru operator.
“Putem risca să alegem un furnizor de servicii care nu este suficient de implicat în procesele procesele operatorului sau care să nu corespundă așteptărilor managementului operatorului. Cu toate acestea, răspunderea contractuală poate fi antrenată pe aspectele contractate”, conchide Ionel Orza.
