Externalizare DPO (Responsabil cu Protectia Datelor)

Dacă ai o afacere, va fi de datoria ta să verifici dacă ai nevoie de un responsabil cu protectia datelor, adică un DPO. Noi putem realiza un audit GDPR în acest sens și-ți putem spune mai multe despre situațiile în care compania ta trebuie să angajeze un responsabil cu protecția datelor personale. Și totuși, decizia va rămâne la atitudinea ta, motiv pentru care te invităm să afli mai multe despre responsabilul cu protecția datelor. 

Ce este un DPO? 

Responsabilul cu protecția datelor reprezintă varianta în limba română a Data Protection Officer (numit in continuare “DPO”). O traducere nefericită, care nu face altceva decât să inducă așteptări nerealiste managerilor organizațiilor. De regulă, aceștia interpretează delegarea acestui rol drept o pasare a responsabilității în sarcina DPO-ului. Nimic mai greșit! DPO-ul este denumit așa în virtutea atribuțiilor sale, nu în virtutea obligațiilor sale.

Regulamentul general privind protecția datelor îi conferă acestuia un rol esențial, punându-l în centrul acestui nou cadru juridic pentru numeroase organizații. 

Care este rolul unui DPO?

Rolul DPO-ului este să asiste organizațiile în procesul de monitorizare a menținerii conformității cu GDPR-ul. El trebuie să:

• informeze și să ofere sfaturi cu privire la obligațiile companiei privind protecția datelor;
• sa efectueze auditurile privind confidențialitatea datelor;
• sa ofere sfaturi cu privire la evaluările impactului protecției datelor (DPIA);
• sa inducă o conduită a responsabilității organizaționale, în special prin instruirea angajaților;
• sa acționeze ca un punct de contact, eventual și mediator, în relațiile operatorilor cu persoanele vizate și autoritatea de supraveghere. 

Când este obligatorie numirea unui DPO?

Înainte de a afla dacă ai nevoie de un DPO, te sfătuim să afli mai multe despre implementarea GDPR și cât de importantă este protecția datelor cu caracter personal pentru companii.

Organizațiile au obligația de a efectua și documenta o analiză internă pentru a stabili dacă este necesară sau oportună desemnarea unui DPO.

Desemnarea unui DPO este obligatorie pentru:

• toate autoritățile și organismele publice, indiferent de datele pe care le prelucrează (autoritățile și organismele publice includ autoritățile naționale, regionale și locale, organizațiile private care îndeplinesc sarcini publice sau exercita autoritate publică);
• Organizații care, ca activitate de bază, monitorizează persoane în mod sistematic și la scară largă (monitorizarea periodică și sistematică a persoanelor vizate include toate formele de urmărire și profilare, atât online, cat și offline, inclusiv în scopul publicității comportamentale);
• Organizații care prelucrează categorii speciale de date cu caracter personal la scară largă (pentru a stabili daca prelucrarea se realizează la scară largă, trebuie să iei în calcul următorii factori: numărul sau procentul persoanelor vizate în cauză, volumul de date cu caracter personal prelucrate, gama elementelor diferite de prelucrat, extinderea geografică a activității, durata sau permanența activității de prelucrare);
• Prelucrarea unui număr de identificare național, inclusiv prin colectarea sau dezvăluirea documentelor ce îl conțin, în vederea realizării intereselor legitime urmărite de operator sau de o parte terță (codul numeric personal, seria și numărul actului de identitate, numărul pașaportului, al permisului de conducere, numărul de asigurare socială sau de sănătate). 

Important: chiar și organizațiile care nu îndeplinesc criteriile de obligativitate a numirii unui DPO ar trebui să ia în considere numirea unui DPO pe bază de voluntariat. Grupul de lucru pentru protecția datelor în temeiul articolului 29 („WP29”) și autoritatea națională în domeniul protecției datelor încurajează numirea voluntară a unui DPO.

Află și ce alte reguli pentru protecția datelor trebuie să respecte companiile! 

Cine poate fi desemnat DPO?

Practic oricine poate fi desemnat DPO, atâta timp cât nu se află în conflict de interese și deține cunoștințe de specialitate în dreptul și practicile din domeniul protecției datelor.

DPO-ul ideal ar trebui să dețină un cocktail de calități specializate: 

• bun cunoscător al legislației și al practicilor din domeniul protecției datelor la nivel național si european;
• specialist în securitate informatică; 
• trebuie să dețină calități de formator (coaching) intern;
• competențe de auditor ISO 27001 (audit și evaluare de risc);
• excelente calități de comunicare în relația cu persoanele vizate, partenerii comerciali sau în relația cu autoritatea de supraveghere.

Avantajele unui DPO externalizat

Externalizare DPO, - DPO ales dintre angajații actuali sau un angajat nou cu acest rol? Toate calitățile enumerate mai sus, fac ca un DPO bun să fie, pe cât de rar, pe atât de costisitor.

Externalizarea sarcinilor DPO-ului către o echipa de specialiști este o soluție preferată de cele mai multe organizații private, din doua motive esențiale:

• presupune un efort financiar mult mai mic decât angajarea unui DPO;
• organizația beneficiază, de regulă, de aportul unei întregi echipe multidisciplinare compusă din specialiști în protecția datelor, juriști și specialiști în securitate cibernetică, o sumă de calități și cunoștințe care cu greu se pot găsi într-un singur specialist.

Alte motive pentru care să externalizezi responsabilul cu protecția datelor sunt: 

• Experiență practică relevantă;
• Ușurință în identificarea și gestionarea riscurilor și capacitate de prioritizare;
• Experiență de trainer/coach;

Obligațiile profesionale ale unui DPO externalizat

Un DPO externalizat va avea fix aceleași îndatoriri ca unul intern, singura diferență între cei doi fiind dată de faptul că un DPO externalizat nu va fi prezent la sediul companiei tot timpul. 

Ce reprezintă serviciul de suport DPO? 

Desemnarea unui DPO intern fără o pregătire și o experiență specifice poate fi o soluție atâta timp cât este dublată de experiența unei echipe de profesioniști care să-l sprijine și să-l îndrume în activitatea sa. 

Prin acest serviciu asistăm DPO-ul companiei în toate sarcinile pe care acesta le are, ajutându-l să înțeleagă mai bine responsabilitățile sale și să identifice cele mai eficiente soluții pentru companie. Dar poate cel mai important aspect al acestui serviciu este sfatul pe care îl va primi în orice moment, sfat care-l va ajuta pe DPO sa ia cele mai bune decizii.

Transferul know-how-ului nu este un proces instant, însa în cele din urmă compania va câștiga un DPO pregătit să se confrunte cu orice situație și să aducă un plus de valoare.

Practic este un serviciu de mentorat, prin care compania beneficiază de întreg suportul și experiența specialiștilor noștri, totodată formându-și propriul DPO. 

Am dezvoltat acest serviciu din dorința de a putea ajuta cât mai multe companii în procesul de conformare. Este de departe cea mai cost effective soluție de pe piață, prin care companiile au acces la cunoștințele și expertiza unei întregi echipe de specialiști, la costuri minime.

Acțiuni ce fac parte din activitatea de suport DPO

Iată ce tipuri de acțiuni vor fi întreprinse în activitatea de suport DPO: 

• Revizuire de contracte cu terți parteneri din perspectiva prelucrării datelor personale;
• Revizuirea politicilor existente și a documentației din perspectiva prelucrării datelor personale;
• Consultanță pe probleme generale ce țin de protecția datelor;
• Consultanță si recomandări privind gestionarea datelor personale sensibile;
• Monitorizarea conformității cu GDPR, cât și propunere/creare de instrumente care să asigure conformitatea;
• Îndrumarea și instruirea personalului implicat în operațiunile de prelucrare a datelor cu caracter personal; crearea și livrarea unei strategii de training continuu;
• Analiză și consiliere în revizuirea politicii de protecție a datelor personale ale organizației;
• Analiza și emiterea de recomandări privind procedurile și instrucțiunile interne de lucru;
• Raportare lunară către conducere privind evoluția procesului de conformare;
• Buletin informativ lunar cu cele mai recente știri de reglementare GDPR și îndrumări de conformitate;
• Suport în cooperarea cu autoritatea de supraveghere;
• Suport în gestionarea legăturii cu persoanele fizice (persoanele vizate) în chestiuni legate de protecția datelor, inclusiv solicitările de acces la subiect;
• Participarea Decalex la ședințele consiliului de administrație, dacă este necesar (la cerere);
• Punct de contact în legătura cu autoritatea de supraveghere;
• Asistență în reprezentarea în fața autorității de supraveghere;
• Asistență în cazul controalelor de la autoritatea de supraveghere;
• Asistență privind breșele de securitate;
• Identificarea și evaluarea riscurilor de neconformitate;
• Administrarea Registrului de evidență a activităților de prelucrare a datelor din companie;
• Consultanță și ghidaj în realizarea evaluării impactului privind protecția datelor(DPIA), a modului de implementare și a rezultatelor sale;
• Consultanță în ceea ce privește evaluarea impactului asupra protecției datelor și Monitorizarea funcționarii acesteia, în conformitate cu articolul 35;
• Menținerea și administrarea registrului de evidență a activităților de procesare conform art. 30 din Regulamentul 679/2016;
• Elaborarea sau actualizarea politicilor, procedurilor și normelor interne conform Regulamentului (UE)2016/679.

De ce să apelezi la Decalex pentru externalizarea DPO? 

Contactul cu acest domeniu a născut o pasiune pe care încă o purtăm în suflet. Cei 10 ani, în care ne-am bucurat de aprecierea a peste 800 de companii pe care le-am sprijinit în eforturile lor de atingere a conformității, constituie fundamentul expertizei noastre.

În tot acest timp am învățat să ascultam business-urile, să le înțelegem și să găsim acele soluții flexibile care vin să sprijine dezvoltarea.  În tot acest timp, noi semănăm o cultură educațională a protecției datelor, ale căror roade vor aduce satisfacții an de an.

Te gândești să externalizezi serviciile DPO, dar nu știi sigur dacă e obligatoriu pentru afacerea ta? Scrie-ne la office@decalex.ro sau pe pagina de contact sau sună-ne la 0311.077.550 și te ajutăm noi! Nu ezita să ne contactezi, așa cum ziceam și mai sus, avem 10 ani de experiență în domeniul protecției datelor și oferim serviciul de DPO externalizat pentru numeroase companii, de la startup-uri,  până la companii globale.