O analiză la rece a GDPR, sau cum să privim cu calm spre 25 mai 2018

Partea I.

Ce trebuie făcut până la 25 mai 2017 ?

A început nebunia GDPR. E plin internetul de site-uri care afişează cronometre care numără invers, spre data de 25 mai 2018, asociind cel mai adesea această dată cu apocalipsa amenzilor prevăzute de noul regulament UE privind protecţia datelor personale, de 20.000.000 euro sau 4%  din cifra mondială totală de afaceri a firmei (depinde care valoare e mai mare). Şi apoi, vine soluţia salvatoare: responsabil cu protecţia datelor, cursuri, certificări, contracte de consultanţă, de sprijin juridic şi multe multe alte produse şi servicii, bani să aveţi, că vi se oferă imediat ceva în schimbul lor. Şi când în sfârşit politicienii români vor termina lupta cu justiţia şi se apucă şi de guvernat, ajungând inevitabil şi la subiectul GDPR, mulţi vor (veţi ?) descoperi că cel puţin jumătate din bani i-aţi dat degeaba, căci dispoziţiile Autorităţii naţionale de supraveghere, certificările şi autorizările impuse de aceasta, s-ar putea să nu prea coincidă cu ceea ce aţi cumpărat de la diverşi furnizori de servicii IT, juridice sau de certificare. Şi asta, dintr-un motiv foarte simplu: în momentul de faţă, o autoritate naţională de supraveghere în sensul cerut de Regulament, nu există ! Legea 102 din 3 mai 2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal are nevoie de serioase amendamente privind extinderea atribuţiilor sale, pentru a i se asigura competenţele în sensul cerut de Regulament. Şi este şi normal să fie aşa, o lege din 2005 nu avea cum să prevadă şi să acopere cerinţele unui regulament adoptat în 2016. Aşadar, un prim motiv de calmare: cât timp prelucraţi date personale ale cetăţenilor români, doar pe teritoriul României, nu are încă cine să vă aplice amenzile care vă sperie şi vă îndeamnă să investiţi cine ştie câţi bani, în servicii mai mult sau mai puţin explicate.

Să vă dau un exemplu. Dacă veţi căuta pe net servicii gdpr, veţi ajunge rapid pe un site care în încercarea de a vă convinge să apelaţi rapid la ei, prezintă proiectul de modificare a legii de funcţionare a Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal ca fiind deja lege adoptată ! Când de fapt, proiectul de modificare a legii 102 din 2005, e încă în discuţii şi analize din 5 septembrie, fără a se întrevedea finalul. Ultima versiune a propunerii de modificare, poate fi consultată de aici. Iar acum, cu un Guvern şi implicit, cu un ministru de interne în curs de schimbare, minister sub auspiciile căruia sunt operate modificările (sper că vă e clar tipul de abordare adoptat de statul român, da ? mai potrivit mi se părea Ministerul Comunicaţiilor şi Tehnologiei Informaţiei în colaborare cu cel al Justiţiei şi eventual cu cel de Interne….), va mai dura până va exista o autoritate naţională, în sensul cerut de Regulament.

Oricum, dincolo de astfel de abordări … mincinoase (căci a ascunde adevărul, tot minciună se cheamă), continuând căutările pe această temă, veţi fi inundaţi de îngrijorări ale specialiştilor, de cursuri, de atestări (!), de certificări, de servicii oferite, care mai de care mai avantajoase. Abundă internetul de oferte privind externalizarea serviciului de responsabil cu protecţia datelor cu caracter personal. Şi toate ofertele sunt făcute sub iminenţa amenzilor enorme prevăzute de Regulament. Şi doar puţine încearcă să vă lămurească dacă aveţi neapărat nevoie de astfel de servicii, sau de un astfel de responsabil. Iar uneori, chiar şi asta costă. Cel mai adesea, se generalizează, „dacă prelucraţi în orice fel date personale, gata ! trebuie să respectaţi cu stricteţe prevederile acestui regulament, să vă numiţi sau angajaţi un responsabil cu protecţia datelor personale, să obţineţi autorizarea X sau certificarea Y” şi tot aşa.

Vom demonta (sper !) împreună, toate aceste idei şi veţi înţelege singuri, fără să vă coste decât timpul petrecut cu lecturarea acestor opinii, ce trebuie să faceţi înainte de 25 mai 2018 şi mai ales după, când să sperăm că autorităţile statului vor detalia competenţele şi sarcinile ce revin Autorităţii naţionale de supraveghere conform prevederilor art. 56-58 din Regulament.

Așadar, înainte de toate, fiecare stat membru al UE trebuie să constituie o autoritate de supraveghere, așa cum e descris în Capitolul VI din Regulament. Mai departe, acea autoritate, va aviza direct și monitoriza direct sau prin organisme acreditate tot de autoritate, codurile de conduită elaborate de asociațiile și organismele care reprezintă categorii de operatori de date cu caracter personal. Tot autoritatea de supraveghere, va stabili criteriile pentru eliberarea certificărilor că operatorii de date cu caracter personal, respectă regulile GDPR. Cine eliberează astfel de avize şi certificate ?  Conform articolului 43, autoritatea de supraveghere (care încă nu există în spiritul și litera Regulamentului UE) și organisme acreditate tot de autoritatea de supraveghere (care, repet, încă nu există). Și țineți cont că aderarea la un cod de conduită sau obținerea unei astfel de certificări, este absolut benevolă (art. 42 al. 3) și are doar scopul de a prezenta terților garanții suplimentare privind seriozitatea cu care tratați prelucrarea datelor cu caracter personal. Nu este așadar nici obligatorie și nici măcar nu vă scapă de griji, aderarea la un cod de conduită sau obținerea unei certificări, căci nu reprezintă o absolvire de la alte obligații prevăzute de Regulament.

Buun, la un moment dat vom avea autoritate de supraveghere, vom avea coduri de conduită și certificări stabilite la nivel național cu privire la respectarea prevederilor Regulamentului. Dar tocmai v-am explicat că un operator de date cu caracter personal care aderă la aceste coduri de conduită sau obține acele certificări, tot nu scapă de griji. Ce mai trebuie să facă ? Mai ales, dacă alege să nu adere la acel coduri de conduită şi să nu arunce cheltuie banii pe nişte certificări încă ambigue. Simplu. În primul rând trebuie să se asigure că prin prelucrarea datelor personale şi după 25 mai 2017, nu se întâmplă vreun eveniment care poate fi sancţionabil cu amenzile alea enorme, prevăzute de art. 83. Şi dacă s-au luat măsurile respective, restul e floare la ureche şi dă răgaz ca pentru următorii paşi, să se aştepte deciziile care vor fi luate la nivel de Stat, privind formele de certificare, codurile de conduită care vor fi poate, avizate, etc.. Iar în ceea ce priveşte ordinea de implementare a măsurilor, cele mai prioritare vor fi cele prin care se diminuează riscurile administrării amenzilor cele mai mari, urmând cele mai mici, şi aşa mai departe.

Aşadar, dincolo de toate recomandările formulate ori de specialişi în drept, sau de specialişti IT, specialiştii licenţiaţi atât în drept cât şi în IT care susţin site-ul ITProtection vă garantează că dacă implementaţi etapele enumerate în site, nu trebuie să vă faceți griji că imediat după 26  mai, riscați aplicarea vreunei amenzi.

Mda, ați văzut că dacă vă aflaţi în situaţia descrisă de art. 37 al. (1) din Regulament, va trebui să numiţi un responsabil cu protecţia datelor din propria companie ori, să cumpăraţi acest serviciu care din fericire, poate fi şi externalizat, în baza prevederilor art. 37 al. (6).

În postările viitoare vom vorbi despre această persoană. Căci în sfârşit, avem oarece motive de panică. Ideal, ar fi ca această persoană să aibă studii juridice şi în domeniul IT, precum şi experienţă în protecţia datelor prelucrate electronic. Ori, în România deja există un deficit de IT-isti, aşa că după ce că îi găsim greu, să mai aibă şi încă o specializare – juridică, va fi şi mai greu de aflat. Dar nu imposibil, după cum puteţi constata aici. Cel mai probabil va fi un jurist, cu cunoştinţe în domeniul IT. Sau, certificări în domeniul protecţiei datelor electronice (CIPP/E, CIPM, ISO 27001, ş.a.m.d.). Cel mai nerecomandat ar fi să fie o persoană care a urmat un curs rapid, din care au apărut cu sutele, de genul „Devii DPO în xxx zile”, care nu e nici jurist, nici IT-ist. Ci doar un român care se pricepe la toate. Nu e imposibil să fie o persoană capabilă să îşi facă corect treaba, dar mai bine lăsaţi instituţiile statului să apeleze la astfel de experimente, n-o faceţi pe banii voştri (de parcă instituţiile statului au alţi bani, decât tot ai noştri…). Şi încă ceva. Ţineţi cont de faptul că Regulamentul dă posibilitatea statelor membre să instituie şi alte reguli suplimentare  celor stipulate în GDPR. Prin contractele pe care le semnaţi deja, lăsaţi-vă o portiţă prin care acestea să poată fi reziliate dacă furnizorul de servicii tip Responsabil cu protecţia datelor, nu va fi capabil să respecte condiţiile de certificare şi acreditare care ar putea fi impuse suplimentar recomandărilor GDPR, prin legislaţia internă sau prin viitoarele norme ce vor fi elaborate de Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal. Căci altfel rămâneţi prizonierii unui contract în care mai mult plătiţi decât să şi obţineţi.

Pe curând !

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *