6 minute read
DPO pag
Despre DPO, sau ”Responsabilul” cu Protecția Datelor
(cum a fost poreclit în limba română)
Advertisement
Daniel Suciu
Ce este de fapt un DPO?
Pentru o înțelegere mai clară a acestui rol, o să încep cu o scurtă digresiune despre drumețiile montane. O să vă întrebați ce au în comun drumețiile cu conformarea la GDPR. Este vorba în special despre călătorie, nu despre destinație. Să presupunem că știm exact unde vrem să ajungem. Însă , în ambele cazuri, realitatea nu este atât de simplă.
Pentru a vă urmări traseul spre destinația selectată, trebuie înainte de toate, să știți exact unde vă aflați, nu doar destinația. Ce avem nevoie pentru asta? Un GPS, nu? Din păcate acesta nu este la fel de util pe munte precum este într-un oraș.
Poate o hartă ar fi mai utilă. Citirea unei hărți este importantă, dar identificarea poziției reale pe teren necesită o corelație între elementele de pe hartă și mediu, ceea ce nu este tocmai intuitiv pentru cineva care n-a făcut asta niciodată. Chiar și pentru cunoscători, este o lecție ce trebuie învățată de fiecare dată.
Dar despre timpul necesar pentru a ajunge la destinație? Pentru cei care au străbătut munții, este destul de evident că distanța reală până la un reper nu este cea care pare, bazat pe estimarea vizuală a distanței în linie dreaptă, iar ca efort, drumul până la vârf poate fi de multe ore.
Să mai amintim că la munte există hăuri ascunse, pâraie, vegetație neprietenoasă și asta într-o zi frumoasă. În ploaie sau ceață chiar și urmarea unei căi marcate necesită eforturi mari și muncă în echipă. Nu uitați că actualizarea poziției curente este necesară pe tot parcursul, altfel ne putem trezi chiar mai departe de țintă decât atunci când am plecat.
Cea mai bună și ușoară soluție este apelarea la serviciile unui ghid montan, de preferință familiarizat cu traseul dorit. Ca să revenim la subiectul inițial, DPO-ul este acel ghid. El va ghida echipa pe cel mai bun traseu către conformare, în funcție de destinația dorită, timpul avut la dispoziție, factorii externi, precum și gradul de pregătire a echipei. Dar el nu va hotărî destinația, timpul de plecare, cine participă la drumeție… Va face recomandări despre acestea, despre timpul necesar în diferite condiții de vreme, va propune echipamentele necesare, drumul de urmat, și va fi responsabil ”doar” de menținerea echipei pe traseul stabilit.
Cum alegem un DPO?
La modul ideal, ar trebui ca DPO-ul să poate fi o persoană care să înțeleagă atât domeniul protecției datelor cât și activitățile organizației. Ar trebui să poată fi înțeles și in care să aibă încredere atât conducerea cât și cei din linia întâi. Să înțeleagă problemele de zi cu zi atât ale celor din IT, dar si HR sau Marketing. Dar asta depinde și de mărimea organizației, de specificul acesteia și impactul protecției datelor în activitățile operaționale. Nu există o rețetă unică, ci o decizie informată pe baza nevoilor specifice și a posibilităților
DPO intern versus extern DPO intern vs. Extern
Prima întrebare ar fi dacă este preferabil angajarea unui DPO intern (dedicat sau parțial) sau utilizarea unui serviciu de DPO extern. Nici aici nu este o rețetă, dar criteriile general folosite pentru a lua o decizie informată sunt:
•Independența •Conflictul de interese •Autoritatea (Reputația) •Gradul de încredere •Gradul de implicare •Costurile (directe și indirecte) •Competențele •Riscurile implicate
Sursa imagini: Daniel Suciu
Ce cunoștințe sunt necesare pentru a fi un DPO eficient?
În afara cunoștințelor despre Protecția datelor, juridice și IT/ cybersecurity, singurele menționate în GDPR, mai sunt unele utile, sau chiar absolut necesare, în afara de cunoașterea domeniului de activitate a organizației.
Ce este Dintrede fapt un DPO?acestea cunoștințele de
Data Governance, Project Pentru o înțelegereManagement, mai clară a acestui Change rol, o să încep cu o scurtă digresiune despre drumețiile montane. O să vă întrebați ce au în comun drumețiile cu conformarea la GDPR. Este vorba în special despre călătorie, nu despre destinație. Să presupunem că știm exact unde vrem să ajungem. Însă , în ambele cazuri, realitatea nu este atât de simplă. Management, Audit sau Risk Management aș spune că sunt critice, dar mai există multe altele care pot fi necesare, dintre care aș enumera măcar înțelegerea domeniilor de IT si HR, cunoștințe de Business Analysis, Vendor Management, Stakeholder Management, Marketing sau Software Development și Quality, dar lista celor utile poate continua...
Pentru a vă urmări traseul spre destinația selectată, trebuie înainte de toate, să știți exact unde vă aflați, nu doar destinația. Ce avem nevoie pentru asta? Un GPS, nu? Din păcate acesta nu este la fel de util pe munte precum este într-un oraș.
Poate o hartă ar fi mai utilă. Citirea unei hărți este importantă, dar identificarea poziției reale pe teren necesită o corelație între elementele de pe hartă și mediu, ceea ce nu este tocmai intuitiv pentru cineva care n-a făcut asta niciodată. Chiar și pentru cunoscători, este o lecție ce trebuie învățată de fiecare dată.
Dar despre timpul necesar pentru a ajunge la destinație? Pentru cei care au străbătut munții, este destul de evident că distanța reală până la un reper nu este cea care pare, bazat pe estimarea vizuală a distanței în linie dreaptă, iar ca efort, drumul până la vârf poate fi de multe ore.
Să mai amintim că la munte există hăuri ascunse, pâraie, vegetație neprietenoasă și asta într-o zi frumoasă. În ploaie sau ceață chiar și urmarea unei căi marcate necesită eforturi mari și muncă în echipă. Nu uitați că actualizarea poziției curente este necesară pe tot parcursul, altfel ne putem trezi chiar mai departe de țintă decât atunci când am plecat.
Cum alegem un DPO?
Greșeli în alegerea unui DPO
Greșeala nr. 1: numirea în funcția de DPO intern versus extern DPO (extern) a unui specialist de profil înalt, chiar prof. Dr. ..., care nu va fi niciodată implicat în vreo activitate reală de conformitate, discutând doar cu conducerea superioară, în general aspecte pur teoretice. Acesta ar fi „Ghost DPO”.
Greșeala nr. 2: numirea unui bun specialist în protecția datelor, dar cazarea lui într-o „cușcă” drăguță, care nu ar trebui să „deranjeze” oamenii operaționali, responsabilitățile sale fiind de a documenta lucrurile și de a scrie „proceduri” GDPR frumoase. Rezultatul va fi „Innocent Monkey
DPO”.
Greșeala nr. 3: Desemnarea unui angajat de profil scăzut, dispus să învețe (mai ales pe cont propriu), dar care nu îi oferă acces la informații relevante sau șansa de a vorbi vreodată cu conducerea superioară. Acesta ar fi „Diligent Ant DPO”.
Greșeala nr. 4: Desemnarea unui angajat de profil înalt, cu cunoștințe bune din domeniu, cu „singura” problemă că el / ea este, de asemenea, responsabil pentru multe alte domenii pe care nimeni nu și le-a dorit, mulți aflându-se în conflict puternic de interese cu responsabilitățile DPO. Acesta este „Chameleon DPO”. Greșeala nr. 5: Desemnarea unui angajat intern, posibil calificat, ca o responsabilitate suplimentară, dar care nu are timp și resurse pentru a îndeplini responsabilitățile de rol, rezultând un „DPO Scapegoat” . Greșeala nr. 6: Desemnarea unui angajat ”ascultător”, care nu se află în conflict de interese, este dispus să învețe, scrie toate documentele necesare, pentru toată lumea. Toată lumea este fericită, deoarece nimeni nu este distras de la activitățile lor operaționale cu orice problemă. Nu par probleme, în afară de eficiența pentru „Pussy Cat DPO”.
Viața unui DPO în câteva imagini…
