Ce cunoștințe ar trebui să aibă responsabilul cu securitatea datelor?

/ 15 iunie 2017

În cazul autorităților publice sau al organizațiilor care monitorizează sau prelucrează date personale pe scară largă sau categorii speciale de date, angajarea unui responsabil cu securitatea datelor este obligatorie. Pentru alte situații este recomandabilă, voluntară

Ar trebui acesta să fie un rol „IT„ fără cunoștințe juridice?

Ar trebui să fie un rol de „conformitate„ fără cunoștințe IT/evaluare riscuri/audit?

Poate fi un junior?

Să analizăm cerințele GDPR.

  • Orientări pentru implementarea unor măsuri adecvate și pentru demonstrarea conformității de către operator sau persoana împuternicită de operator, mai ales în ceea ce privește identificarea riscului legat de prelucrare, evaluarea acestuia din punctul de vedere al originii, naturii, probabilității de a se materializa și al gravității, precum și identificarea bunelor practici pentru atenuarea riscului ar putea fi oferite în special prin coduri de conduită aprobate, certificări aprobate, orientări ale comitetului sau prin indicații furnizate de un responsabil cu protecția datelor. (Preambul 77)
  • La realizarea unei evaluări a impactului asupra protecției datelor, operatorul solicită avizul responsabilului cu protecția datelor, dacă acesta a fost desemnat (Art. 35 (2))
  • În îndeplinirea sarcinilor sale, responsabilul cu protecția datelor ține seama în mod corespunzător de riscul asociat operațiunilor de prelucrare, luând în considerare natura, domeniul de aplicare, contextul și scopurile prelucrării. (Art. 39(2))

Concluzia 1: Responsabilul cu securitatea datelor trebuie să aibă cunoștințe din domeniul managementului riscurilor IT.

  • Nivelul necesar al cunoștințelor de specialitate ar trebui să fie stabilit în special în funcție de operațiunile de prelucrare a datelor efectuate și de nivelul de protecție impus pentru datele cu caracter personal prelucrate de operator sau de persoana împuternicită de operator. Acești responsabili cu protecția datelor, indiferent dacă sunt sau nu angajați ai operatorului, ar trebui să fie în măsură să își îndeplinească atribuțiile și sarcinile în mod independent.(Preambul 97)
  • Responsabilul cu protecția datelor este desemnat pe baza calităților profesionale și, în special, a cunoștințelor de specialitate în dreptul și practicile din domeniul protecției datelor, precum și pe baza capacității de a îndeplini sarcinile prevăzute la articolul 39.(Art. 37(5))
  • Responsabilul cu protecția datelor are obligația de a respecta secretul sau confidențialitatea în ceea ce privește îndeplinirea sarcinilor sale, în conformitate cu dreptul Uniunii sau cu dreptul intern. (Art. 38(5))

Concluzia 2: Responsabilul cu securitatea datelor trebuie să aibă cunoștințe juridice și să înțeleagă ce înseamnă „independența„ și „conflictul de interese„

  • Operatorul și persoana împuternicită de operator se asigură că responsabilul cu protecția datelor este implicat în mod corespunzător și în timp util în toate aspectele legate de protecția datelor cu caracter personal.

  • Operatorul și persoana împuternicită de operator sprijină responsabilul cu protecția datelor în îndeplinirea sarcinilor menționate la articolul 39, asigurându-i resursele necesare pentru executarea acestor sarcini, precum și accesarea datelor cu caracter personal și a operațiunilor de prelucrare, și pentru menținerea cunoștințelor sale de specialitate.

  • Operatorul și persoana împuternicită de operator se asigură că responsabilul cu protecția datelor nu primește niciun fel de instrucțiuni în ceea ce privește îndeplinirea acestor sarcini. Acesta nu este demis sau sancționat de către operator sau de persoana împuternicită de operator pentru îndeplinirea sarcinilor sale. Responsabilul cu protecția datelor răspunde direct în fața celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator. (Art. 38)

Concluzia 3: Responsabilul cu protecția datelor trebuie să aibă cunoștințe economice (pentru a înțelege afacerea/organizația), de management proiecte și abilități de conducere și comunicare (va avea de raportat la cel mai înalt nivel al managementului dar va fi și persoana contactată de persoanele vizate)

Concluzia finală: organizațiile sînt libere să angajeze pe cine vor (mărturisesc că abia aștept să vină luna mai 2018 :)). Nu trebuie uitat însă că responsabilul cu securitatea datelor nu are nici o responsabilitate pentru lipsa de conformare! Operatorul este responsabil de respectarea prevederilor regulamentuliui și trebuie să poată demonstra această respectare („responsabilitate”). Are însă posibilitatea/libertatea să nu fie de acord cu ce recomandă responsabilul angajat :).

Responsabilul cu securitatea datelor nu va înlocui „juridicul„ și nici „securitatea tehnică„. Va fi un „sfătuitor„.

(Toate recomandările necesare se regăsesc în Guidelines on Data Protection Officers (‘DPOs’), wp243rev.01)

__________________________________________________________________________________________________

Întrebare: în organizațiile în care există audit intern, procesul „pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.„ va fi în prăvălia acestui departament/compartiment? Va fi externalizat sub forma unui „audit„?

 

 

Articole similare

Mulţumesc.

Completează mai jos detaliile cerute sau dă clic pe un icon pentru a te autentifica:

Gravatar
Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare /  Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare /  Schimbă )

Anulează

Conectare la %s

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.