Obligația numirii unui responsabil cu protecția datelor este o problematică des întâlnită în rândul operatorilor, dar și al specialiștilor care oferă consultanță GDPR. Dincolo de rolul pe care trebuie să îl ocupe DPO-ul într-un sistem, întotdeauna se ivește aceeași întrebare: să numim o persoană din interiorul organizației sau să externalizăm acest serviciu?
Întâi de toate, este bine de știut în ce cazuri este obligatoriu să numim un DPO. Astfel, potrivit Legii, orice instituție publică este obligată să aibă numit un responsabil cu protecția datelor. Mai mult decât atât, această obligativitate este valabilă și în următoarele cazuri specifice: (1) pentru firmele care realizează activități care necesită o monitorizare periodică și sistematică a persoanelor vizate, pe scară largă (ex. o firmă de IT care oferă soft-uri sau platforme pentru anumiți clienți și administrează sau oferă mentenanță acestora, având acces la datele tuturor persoanelor vizate cu care clientul intră în contact sau o firmă de transport, un magazin virtual cu mii sau zeci de mii de clienți persoane fizice) sau (2) pentru firmele care prelucrează categorii speciale de date pe scară largă (ex. oferirea de soluții IT pentru un spital -datele de sănătate ale pacienților).
Avantajele numirii unui DPO intern
“Persoana va ști cel mai bine situația din companie sau din instituția în care lucrați. Acest lucru este important deoarece rolul Responsabilului cu Protecția Datelor impune ca să cunoască și să poată să trateze toate riscurile, pe când cuiva din exterior îi poate lua mult timp să se acomodeze cu operatorul și să relaționeze în mod eficient cu angajații acestuia. Aparent, nu există costuri suplimentare pentru companie/instituție deoarece nu angajăm o persoană nouă. Cu toate acestea pot apărea costuri „ascunse” legate de pregătirea profesională a acelui angajat”, declară Ionel Orza, antreprenor și fondator GDPR Complet.
Dezavantajele numirii unui DPO intern
“S-ar putea să ne trezim în situația în care persoana numită intern este în incompatibilitate și astfel numirea responsabilului cu protecția datelor să nu fie conformă cu normele prevăzute de R.G.P.D. Astfel, va trebui să căutăm o altă persoană (dacă avem posibilitatea) care să preia această funcție și să investim în pregătirea profesională a acesteia (cel puțin un curs de specializare în domeniul protecției datelor). Totodată, aglomerând fișa postului unui angajat pe care l-am pregătit în timp prin instruiri și cursuri de specialitate, cunoaște situația, problematicile operatorului să dorească să plece din companie/instituție și să ne aflăm în situația de a o lua de la capăt cu un alt angajat sau alt nou angajat, astfel că mereu o luăm de la început. Instabilitatea numirii responsabilului poate atrage probleme mari operatorului care luni de zile, sau poate chiar un an, poate rămâne descoperit în fața amenințărilor riscurilor la protecția datelor (ex. a vulnerabilităților informatice, procedurale, lipsurilor în politici și proceduri, gestionare eronată a consimțămintelor etc.). Imparțialitatea – sau lipsa acesteia – este unul dintre aspectele sensibile cu care operatorul se poate confrunta. Cum să asiguri imparțialitatea Responsabilului cu Protecția Datelor în cazul raportării incidentelor în contextul evaluărilor anuale, spre exemplu? Cum ne asigurăm că acel Responsabil cu Protecția Datelor va și aduce la cunoștința managementului un incident de securitate datorat unei erori umane a unui coleg de birou și prieten cu acesta? Aceste aspecte pot pune în dificultate operatorul și în realitate să îl expună unor riscuri enorme!”, explică Ionel Orza, antreprenor și fondator GDPR Complet.
Avantajele numirii unui DPO extern
“Alegând o colaborare cu un furnizor de servicii, vei avea parte de o colaborare cu profesioniști (care asta fac zi de zi, de ani de zile), pe baza unui contract în care se stabilesc termenii colaborării. Acel furnizor este posibil să pună la dispoziția operatorului (firmei sau instituției) 4-5 persoane specializate pe câte o componentă specifică de auditare/implementare a standardului (IT, managerial, pe componenta procedurilor, politicilor, a instruirilor etc), astfel că procesul de implementare va fi mult mai rapid și probabil mai bine făcut. Dacă ai nemulțumiri întemeiate legate de furnizor, îl poți schimba foarte rapid, întrerupând contractul, lucru care stă foarte diferit în relațiile de muncă – angajator – angajat. În același timp se pot cere garanții materiale cu privire la asumarea responsabilității privind serviciile pe care le oferă, pe când unui angajat nu. Poate și un avantaj net superior este faptul că furnizorul de servicii este echidistant față de toți factorii implicați în problematici specifice protecției datelor. Odată cunoscute, intuite sau bănuite anumite riscuri acestea vor fi aduse la cunoștința managementului operatorului în cel mai scurt timp pentru a fi tratate, deoarece furnizorul de servicii nu își va dori niciodată o situație în care este să posibil să răspundă în solidar pentru anumite prejudicii materiale create de o breșă de securitate. Deși poate la prima impresie lucrurile nu par așa, costurile acestei alegeri vor fi mai avantajoase (pot porni de la câteva sute de lei pe lună până la câteva sute de euro, în funcție de specificul companiei / instituției). Pentru a detalia acest argument vă îndemnăm doar să luați în calcul faptul că o persoană numită intern (conform standardului ocupațional – cu studii superioare și curs specializat), în 95% din cazuri va îndeplini și alte sarcini ale funcției de bază (juridic, resurse umane, administrativ, etc.). Pentru îndeplinirea noii funcții, capacitatea de lucru a acesteia va fi mult restrânsă cel puțin în primul an de activitate (poate 2-4 ore pe zi va fi nevoit să lucreze, timp de 1 an pentru evaluarea, implementarea și monitorizarea standardului). Astfel poate jumătate din salariul acestuia va fi plătit pentru ocuparea funcției de DPO (raportat la nivelul mediu / economie, vom plăti cel puțin 1000-2000 lei lunar pentru aceasta, neluând în calcul că persoana s-ar putea să fie plătită cu mult mai mult, și noi să scoatem din buzunar multe mii de lei)”, declară Ionel Orza, antreprenor și fondator GDPR Complet.
Dezavantajele numirii unui DPO extern
“Furnizorul de servicii pe care l-am contractat nu va ști situația operatorului, s-ar putea să îi ia câteva luni bune până să cunoască particularitățile, să reușească să auditeze întreaga companie / instituție pentru a își face o imagine și pentru a reuși să creioneze un plan bine pus la punct de conformare și monitorizare a respectării legislației pentru operator. Putem risca să alegem un furnizor de servicii care nu este suficient de implicat în procesele procesele operatorului sau care să nu corespundă așteptărilor managementului operatorului. Cu toate acestea răspunderea contractuală poate fi antrenată pe aspectele contractate”, conchide Ionel Orza, antreprenor și fondator GDPR Complet.
