Obligatia numirii unui Responsabil cu Protectia Datelor este o problematica des intalnita in randul operatorilor dar si al specialistilor care ofera consultanta GDPR. Dincolo de rolul pe care trebuie sa il ocupe DPO-ul intr-un sistem, intotdeauna se iveste aceeasi intrebare: sa numim o persoana din interiorul organizatiei sau sa externalizam acest serviciu?
Intai de toate, este bine de stiut in ce cazuri este obligatoriu numim un DPO. Astfel, potrivit Legii, orice institutie publica este obligata sa aiba numit un responsabil cu protectia datelor. Mai mult decat atat, aceasta obligativitate este valabila si in urmatoarele cazuri specifice: (1) pentru firmele care poate realizeaza activitati care necesita o monitorizare periodica si sistematica a persoanelor vizate, pe scara larga (ex. o firma de IT care ofera soft-uri sau platforme pentru anumiti clienti si administreaza sau ofera mentenanta acestora, avand acces la datele tuturor persoanelor vizate cu care clientul intra in contact sau o firma de transport, un magazin virtual cu mii sau zeci de mii de clienti persoane fizice) sau (2) pentru firmele care prelucreaza categorii speciale de date pe scara larga (ex. oferirea de solutii IT pentru un spital -datele de sanatate ale pacientilor).
Avantajele numirii unui DPO intern
“Persoana va sti cel mai bine situatia din companie sau din institutia in care lucrati. Acest lucru este important deoarece rolul Responsabilului cu Protectia Datelor impune ca sa cunoasca si sa poata sa trateze toate riscurile, pe cand cuiva din exterior ii poate lua mult timp sa se acomodeze cu operatorul si sa relationeze in mod eficient cu angajatii acestuia. Aparent, nu exista costuri suplimentare pentru companie / institutie deoarece nu angajam o persoana noua. Cu toate acestea pot aparea costuri „ascunse” legate de pregatirea profesionala a acelui angajat”, declara Ionel Orza, antreprenor si fondator GDPR Complet.
Dezavantajele numirii unui DPO intern
“S-ar putea sa ne trezim in situatia in care persoana numita intern este in incompatibilitate si astfel numirea Responsabilului cu Protectia Datelor sa nu fie conforma cu normele prevazute de R.G.P.D. Astfel, va trebui ca cautam o alta persoana (daca avem posibilitatea) care sa preia aceasta functie si sa investim in pregatirea profesionala a acesteia (cel putin un curs de specializare in domeniul protectiei datelor). Totodata, aglomerand fisa postului unui angajat pe care l-am pregatit in timp prin instruiri si cursuri de specialitate, cunoaste situatia, problematicile operatorului sa doreasca sa plece din companie / institutie si sa ne aflam in situatia de a o lua de la capat cu un alt angajat sau alt nou angajat, astfel ca mereu o luam de la inceput. Instabilitatea numirii Responsabilului poate atrage probleme mari operatorului care luni de zile sau poate chiar un an poate ramane descoperit in fata amenintarilor riscurilor la protectia datelor (ex. a vulnerabilitatilor informatice, procedurale, lipsurilor in politici si proceduri, gestionare eronata a consimtamintelor etc.). Impartialitatea – sau lipsa acesteia este unul dintre aspectele sensibile cu care operatorul se poate confrunta. Cum sa asiguri impartialitatea Responsabilului cu Protectia Datelor in cazul raportarii incidentelor in contextul evaluarilor anuale spre exemplu? Cum ne asiguram ca acel Responsabil cu Protectia Datelor va si aduce la cunostinta managementului un incident de securitate datorat unei erori umane a unui coleg de birou si prieten cu acesta? Aceste aspecte pot pune in dificultate operatorul si in realitate sa il expuna unor riscuri enorme!”, explica Ionel Orza, antreprenor si fondator GDPR Complet.
Avantajele numirii unui DPO extern
“Alegand o colaborare cu un furnizor de servicii, vei avea parte de o colaborare cu profesionisti (care asta fac zi de zi de ani de zile), pe baza unui contract in care se stabilesc termenii colaborarii. Acel furnizor este posibil sa puna la dispozitia operatorului (firmei sau institutiei) 4-5 persoane specializate pe cate o componenta specifica de auditare / implementare a standardului (IT, managerial, pe componenta procedurilor, politicilor, a instruirilor etc), astfel ca procesul de implementare va fi mult mai rapid si probabil mai bine facut. Daca ai nemultumiri intemeiate legate de furnizor, il poti schimba foarte rapid, intrerupand contractul, lucru care sta foarte diferit in relatiile de munca – angajator – angajat. In acelasi timp se pot cere garantii materiale cu privire la asumarea responsabilitatii privind serviciile pe care le ofera, pe cand unui angajat nu. Poate si un avantaj net superior este faptul ca furnizorul de servicii este echidistant fata de toti factorii implicati in problematici specifice protectiei datelor. Odata cunoscute, intuite sau banuite anumite riscuri acestea vor fi aduse la cunostinta managementului operatorului in cel mai scurt timp pentru a fi tratate, deoarece furnizorul de servicii nu isi va dori niciodata o situatie in care este sa posibil sa raspunda in solidar pentru anumite prejudicii materiale create de o bresa de securitate. Desi poate la prima impresie lucrurile nu par asa, costurile acestei alegeri vor fi mai avantajoase (pot porni de la cateva sute de lei pe luna pana la cateva sute de euro, in functie de specificul companiei / institutiei). Pentru a detalia acest argument va indemnam doar sa luati in calcul faptul ca o persoana numita intern (conform standardului ocupational – cu studii superioare si curs specializat), in 95% din cazuri va indeplini si alte sarcini ale functiei de baza (juridic, resurse umane, administrativ, etc.). Pentru indeplinirea noii functii, capacitatea de lucru a acesteia va fi mult restransa cel putin in primul an de activitate (poate 2-4 ore pe zi va fi nevoit sa lucreze, timp de 1 an pentru evaluarea, implementarea si monitorizarea standardului). Astfel poate jumatate din salariul acestuia va fi platit pentru ocuparea functiei de DPO (raportat la nivelul mediu / economie, vom plati cel putin 1000-2000 lei lunar pentru aceasta, neluand in calcul ca persoana s-ar putea sa fie platita cu mult mai mult, si noi sa scoatem din buzunar multe mii de lei)”, declara Ionel Orza, antreprenor si fondator GDPR Complet.
Dezavantajele numirii unui DPO extern
“Furnizorul de servicii pe care l-am contractat nu va sti situatia operatorului, s-ar putea sa ii ia cateva luni bune pana sa cunoasca particularitatile, sa reuseasca sa auditeze intreaga companie / institutie pentru a isi face o imagine si pentru a reusi sa creioneze un plan bine pus la punct de conformare si monitorizare a respectarii legislatiei pentru operator. Putem risca sa alegem un furnizor de servicii care nu este suficient de implicat in procesele procesele operatorului sau care sa nu corespunda asteptarilor managementului operatorului. Cu toate acestea raspunderea contractuala poate fi antrenata pe aspectele contractate”, conchide Ionel Orza, antreprenor si fondator GDPR Complet.
Adauga comentariu