DPO: fokusera på yrket som dataskyddsombud (intervju)

Paul-Olivier Gibert, ordförande för AFCDP, en förening som bidrar till att främja uppgiftsskyddsombud och uppmuntrar återkoppling av information, anser att delegaternas roll blir ännu viktigare i det aktuella sammanhanget.

Tidigare kända under ett annat namn, dataskyddsombud (DPO) är av största vikt för alla enheter som omfattas av GDPR, som gäller sedan 25 maj 2018. Och ännu mer sedan utbrottet av covid-pandemin. -19. Den franska sammanslutningen av korrespondenter för skydd av personuppgifter (AFCDP), som sedan dess bildande 2004 har följt med utvecklingen av DPO-yrket, underlättar utbyten mellan sina medlemmar, allmänheten och myndigheterna.

För att prata mer om det och diskutera detta yrke som DPO, men också för att diskutera frågorna om överföring av personuppgifter och önskemålen kring hälsodata, gick vi för att träffa presidenten för AFCDP, Paul-Olivier Gibert, under Assises de la sécurité, i Monaco.

Intervju med Paul-Olivier Gibert, ordförande för den franska föreningen för personuppgiftskorrespondenter (AFCDP)

Clubic: TheAFCDP
har ärligt talat sett sin roll utvecklas sedan 2004…

Paul-Olivier Gibert : Verkligen. 2004 var vi strax före ikraftträdandet av lagen om genomförande av 1995 års direktiv om skydd av personuppgifter, som hade skapat funktionen, på en utforskande basis, för databehandling och frihetskorrespondent (CIL) . Det sistnämnda har utvecklats mer än CNIL trodde, och var prefigurationen av DPO, dataskyddsombudet. I och med att GDPR träder i kraft har AFCDP blivit en sammanslutning, inte längre av IT- och frihetskorrespondenter, utan av dataskyddsombud franska. Den har haft en mycket stark tillväxt, eftersom vi idag är mer än 6 500 yrkesverksamma inom denna förening.

DPO är en skapelse av GDPR, som tar över en bestämmelse som fanns i 1995 års direktiv, men gör den viktigare och strängare, dvs den är obligatorisk för offentliga organ och för ett visst antal organisationer som bearbetar högintensiva, personliga data, med stark bearbetning av dessa.

“Vi måste investera för att garantera dess skydd mot sanktioner”

För dem som fortfarande inte är medvetna om det, kan du ge oss din definition av DPO-yrket och dess uppdrag?

Dataskyddsombudet är en mycket viktig person som arbetar med den personuppgiftsansvarige, därför ledningen för företaget, föreningen, den lokala myndigheten, sjukhuset eller en förvaltning, för att ge råd och bistå denna ledning i efterlevnaden av bestämmelserna i GDPR, för att säkerställa skyddet av enskildas rättigheter och friheter. Dess närvaro blev obligatorisk i vissa företag för två år sedan.

Anser du idag att behovet av DPO bör utvidgas till alla aktörer i ekonomin, även de minsta?

Allt beror på ett antal kriterier. Alla organisationer eller företag behandlar inte nödvändigtvis personuppgifter som kan anses vara en fråga för individers rättigheter och friheter. GDPR bidrar till utvecklingen av uppgiftsskyddsombudets roll. Men att säga att alla företag eller organisationer ska ha en DPO föreskrivs inte i GDPR och det är inte obligatoriskt eller relevant.

Har vi en uppfattning om kostnaden för en DPO för ett företag? För det representerar en extra kostnad, trots allt…

Det är inte nödvändigtvis en extra kostnad. De företag som har minst oro över efterlevnaden av GDPR är de som har varit mycket engagerade i personuppgiftsskyddsfrågor sedan 2005. Man måste förstås komma ihåg att detta är en kostnad, och att den bristande efterlevnaden av GDPR också har en kostnad, eftersom straffavgifterna kan gå upp till 4 % av omsättningen, vilket är långt ifrån försumbart. Det finns också säkerhetskostnaderna för sanktionen, såsom förlorat förtroende gentemot konsumenter och internetanvändare, med en föreställning om kostnad i förhållande till risk. Det är verkligen nödvändigt att investera för att garantera dess skydd mot sanktionerna.

“Med interaktioner som går digitalt och genererar data kommer DPO:n att ha ännu mer arbete”

Vi pratade om sanktioner, med böter som kan nå upp till 4 % av företagets årliga omsättning. Många har kritiserat CNIL för att inte vara tillräckligt strikta. Är det för att vi fortfarande bara befinner oss i “början” av GDPR:s liv, eller är det ett myndighetsfel?

Sanktionen mot Google (Redaktörens anteckning : böter på 50 miljoner euro i januari 2019, vilket raderade när det tidigare franska rekordet på 150 000 euro) kom i början av GDPR. Detta var den första sanktionen av flera tiotals miljoner euro som uttalades av CNIL.

I Storbritannien finns det sanktionsförfaranden som inletts mot företag som inte ingår i GAFA men som potentiellt borde leda till sanktioner på flera hundra miljoner pund. Storleken på insatserna har nyligen förändrats i omfattning för företag och organisationer.

Angående överföring av data, Irland vill avsluta Privacy Shield
en av de rättsliga grunderna som möjliggjorde transatlantisk överföring av personuppgifter från EU till USA, vilket stör Facebook
och andra företag som är beroende av det. Vad tror du ?

Det är inte första gången som det finns ett problem relaterat till Max Schrems för de rättsliga grunderna för överföring mellan Europa och USA. Första gången var 2013. Det som har förändrats är att sedan 2013 har många molntjänster utvecklats, byggts med kommunikation eller möjlighet att överföra data till USA eller andra områden. För Facebook kommer överklagandet av omsättningen att kompensera för rädslan för vissa saker. Men för andra organisationer och företag kan det skapa ett verkligt problem, en verklig juridisk bräcklighet.

Låt oss nu prata om Gaia-X
som syftar till att bli det framtida europeiska molnet och som nyligen har gjort det bilda en förening
. I praktiken känns det mer som att hantera en sökmotor för Cloud-erbjudanden. Tror du att detta kan vara användbart för europeiska leverantörer? Och att detta kan återställa en viss europeisk suveränitet?

Jag tror att Gaia-X kan vara användbar. Det är en bra industriell idé, men den måste omvandlas till konkret implementering. Allt som kan leda till uppkomsten i Europa av företag med kapacitet motsvarande GAFA eller andra amerikanska företag är ett steg i rätt riktning.

“För Facebook kommer överklagandet av omsättning att kompensera för rädslan för vissa saker”

Gaia-X planerar att vara öppen för utländska erbjudanden, till exempel de från Azure. Ifrågasätter inte detta projektets relevans och dess suveräna europeiska dimension?

Du ska inte vara alltför rädd för det. Om jag pratar med dig om en tid som personer under 40 inte visste… När det gäller kärnkraft till exempel, även om det fungerar mindre bra, var Frankrike väldigt stolta över att ha en kärnkraftsindustri och att bygga kraftverk. Vad man inte bör glömma är att det kommer från ett licensavtal med Westinghouse som slöts för decennier sedan, och att licensen har franciserats. Vi får inte befinna oss i en logik av “nordkoreansk” stängning, utan anser att vi har en rörelse av idéer, landvinningar och uppfinningar som kan delas, och att det är så vi kommer att lyckas skapa den franska och europeiska industrin.

Hälsodata riktas mer och mer regelbundet av hackare, särskilt genom sjukhus. Kommer dessa sjukhusinstitutioner att påverkas mer och mer med åren?

Det finns två olika saker: att stjäla data för att återanvända den och skapa värde för dess exploatering, och att göra ransomware genom att blockera systemet, det är inte riktigt samma sak. Att attackera ett sjukhus för en lösensumma är obeskrivligt.

Vad är din åsikt om intrånget av digitala jättar, som Google, på hälsoområdet?

Här pratar vi om människor som investerar för att kunna använda hälsodata.

“All hälsodata skapas inte lika. Det är inte samma sak att ha konstanter mätta av din Fitbit och att ha data från medicinska undersökningar eller bildbehandling”

Men är det inte en risk att överlåta data av så stor betydelse till händerna på en ostoppbar spelare, vilket framgår av viljan hos övertagande av Fitbit
fast än så länge EU veto
?

Ja, det är hela problemet. GAFA:erna har tjänat en stor del av sin förmögenhet genom att ha nästan exklusiv tillgång till viss data som rör internetsurfning. Om de gör det på andra typer av data, som ekonomisk eller hälsodata, skapar det ett problem. Men inte alla hälsodata skapas lika. Det är inte samma sak att ha konstanter mätta av din Fitbit och att ha data från medicinska undersökningar eller bildbehandling. Det finns verkligen ett problem kring utnyttjandet av data, vilket också är anledningen till att Health Data Hub skapades, så att Frankrike har möjligheten att federera och organisera exploateringsdatumen.

När det gäller AFCDP denna gång, har du till exempel någon feedback?

Föreningen är uppbyggd kring sina medlemmar. Dess primära funktion är att ge dem ett utrymme för utbyte och möten, där de kan diskutera vilka typer av problem de stöter på och hur de hanterar dem. Sedan är det tänkt att överföra och säkerställa återkoppling till myndigheter och media i frågor om skydd av personuppgifter. Vi organiserar oss så att de debatter som dyker upp inom föreningen kan överföras till nationell och samhällelig nivå. Det är mycket användbart, eftersom uppgifterna snabbt kom tillbaka med den första instängningen som en känslig fråga, med spårning och upptäckt av kontaktfall. AFCDP uttryckte genom pressen feedback från fältet som uppgiftsskyddsombuden stött på.

Så det finns verkligen en ökning av aktiviteten med COVID-19?

Det har skett ett uppsving i aktivitet och intresse för dessa ämnen. Vi är inne i en period där vi har mindre fysisk kontakt än tidigare. Allt detta förändras genom interaktioner som går digitalt och genererar data. Problemet med personuppgifter förändras i omfattning. Det hade redan stor betydelse, särskilt genom användningen av smartphones och webben, men det kommer att öka. Detta kommer att ge ännu mer arbete till uppgiftsskyddsombuden.