Pentru comunicare profesională JURIDICE.ro recomandă Infinit PR
TOP LEGAL
Print Friendly, PDF & Email

Cum trebuie să fie DPO (responsabilul cu protecția datelor)

23.02.2018 | Andrei SĂVESCU
Newsletter
Instagram
Facebook
Andrei Savescu

Andrei Săvescu

Responsabilul cu protecția datelor cu caracter personal, la care ne vom referi în continuare cu acronimul DPO (Data Protection Officer), trebuie să fie desemnat de către operator, potrivit art. 37 alin. 5 din Regulament, pe baza calităților profesionale și, în special, a cunoștințelor de specialitate în dreptul și practicile din domeniul protecției datelor, precum și pe baza capacității de a îndeplini următoarele sarcini, menționate expres de art. 39 alin. 1: (i) informarea și consilierea operatorului, sau a persoanei împuternicite de operator, precum și a angajaților care se ocupă de prelucrare cu privire la obligațiile care le revin în temeiul Regulamentului și al altor dispoziții de drept ale Uniunii sau drept intern referitoare la protecția datelor; (ii) monitorizarea respectării Regulamentului, a altor dispoziții de drept ale Uniunii sau de drept intern referitoare la protecția datelor și a politicilor operatorului sau ale persoanei împuternicite de operator în ceea ce privește protecția datelor cu caracter personal, inclusiv alocarea responsabilităților și acțiunile de sensibilizare și de formare a personalului implicat în operațiunile de prelucrare, precum și auditurile aferente; (iii) furnizarea de consiliere la cerere în ceea ce privește evaluarea impactului asupra protecției datelor și monitorizarea funcționării protecției datelor; (iv) cooperarea cu autoritatea națională de supraveghere; (v) asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare, inclusiv consultarea prealabilă, precum și, dacă este cazul, consultarea cu privire la orice altă chestiune.

Cu titlul de observație semantică precizăm că „responsabilul” cu protecția datelor cu caracter personal nu este persoana care preia responsabilitatea protecției datelor, ci această responsabilitate rămâne în sarcina operatorului. Responsabilul este denumit așa în virtutea atribuțiilor sale, nu în virtutea obligațiilor sale.

În orice caz, desemnarea DPO se poate face nu doar în situațiile în care este obligatorie, potrivit Regulamentului, ci orice operator poate să-și desemneze un DPO. Având în vedere importanța crucială a DPO în privința protecției datelor cu caracter personal, opinia noastră este că pentru o organizație prudentă și diligentă, care se preocupă de respectarea dispozițiilor Regulamentului, desemnarea unui DPO, chiar dacă nu ar fi obligatorie, reprezintă o opțiune demnă să fie analizată cu seriozitate.

Regulamentul nu cere o calificare specială pentru DPO, iar coduri oficiale de bune practici încă nu există. După părerea noastră, operatorii se vor orienta către desemanrea unor DPO care întrunesc trei calități. (i) DPO ar trebui să fie o persoană cu studii juridice, care să fie bine conectat la noutățile în domeniu, căci vor fi multe în următorii ani. (ii) Deopotrivă, DPO ar trebui să fie o persoană foarte organizată, care cunoaște foarte bine procedurile companiei, și care are și abilități tehnice, care înțelege ușor procesele. (iii) În plus, și foarte important, DPO trebuie să aibă foarte bune abilități de comunicare, atât cu persoanele vizate cât și, mai ales, cu Autoritatea națională (ANSPDCP).

Responsabilul cu protecția datelor poate fi un membru al personalului operatorului sau persoanei împuternicite de operator sau poate să își îndeplinească sarcinile în baza unui contract de servicii (art. 37 alin. 6). În ambele situații este imperios necesar ca îndeplinirea sarcinilor sale de către DPO să nu nască un conflict de interese.

Un DPO poate sa îndeplinească această funcție pentru mai mulți operatori concomitent, însă cu condiția ca el să fie ușor accesibil din fiecare întreprindere. În cazul în care prelucrarea este efectuată de un grup de întreprinderi, sediul principal al întreprinderii care exercită controlul ar trebui considerat drept sediul principal al grupului de întreprinderi, cu excepția cazului în care scopurile și mijloacele aferente prelucrării sunt stabilite de o altă întreprindere.

Principala chestiune care suscită discuții este dacă ar fi mai bine ca DPO să fie un salariat sau serviciile specifice are trebui externalizate către un avocat sau alt consultant.

Având în vedere cerințele art. 37 alin. (5) din Regulament, potrivit cărora DPO va fi desemnat pe baza calităților profesionale și, în special, a cunoștințelor de specialitate în dreptul și practicile în domeniul protecției datelor, precum și pe baza capacității de a îndeplini sarcinile specifice activității, pare că DPO se cuvine să fie o persoană cu o înaltă calificare, dar care să nu facă parte din managementul operatorului. Pe de altă parte, dislocarea unei persoane înalt calificate pentru serviciile DPO presupune renunțarea la utilizarea aptitudinilor acesteia pentru alte activități necesare în cadrul operatorului. Totuși, trebuie să remarcăm că, potrivit pct. 97 din Expunerea de motive a Regulamentului, nivelul necesar al cunoștințelor de specialitate ar trebuie să fie stabilit în funcție de operațiunile de prelucrare a datelor efectuate și de nivelul de protecție impus pentru datele cu caracter personal prelucrate.

Așa după cum se subliniază și în Ghidul privind Responsabilul cu protecția datelor, publicat de ANSPDCP, nivelul de expertiză necesar al responsabilului cu protecția datelor nu este strict definit, dar trebuie să fie proporțional cu sensibilitatea, complexitatea și volumul de date prelucrate de organizație. De exemplu, în situația în care o operațiune de prelucrare a datelor este deosebit de complexă sau în cazul în care este implicat un volum mare de date speciale, DPO poate necesita un nivel mai ridicat de expertiză și suport.

Deopotrivă, potrivit Ghidului, este utilă cunoașterea mediului în care operatorul activează afaceri și cunoașterea organizării operatorului. DPO ar trebui, de asemenea, să înțeleagă operațiunile de prelucrare efectuate, precum și sistemele informatice și necesitățile de securitate și protecție a datelor din cadrul operatorului, iar calitățile personale trebuie să includă integritatea și etica profesională. Având în vedere că principala preocupare a DPO trebuie să fie respectarea Regulamentului, acesta ar trebui să fie în măsură să promoveze în cadrul culturii organizaționale valorile care se degajă din Carta Drepturilor Fundamentale a Uniunii Europene și din Regulament.

Pe de altă parte, în cazul desemnării DPO din rândul salariaților, acesta se poate dovedi o nucă tare. Principala problema cu care managementul operatorului se confruntă este reglementarea raportului de muncă a acestuia, stabilirea indicatorilor de performanță și a criteriilor și metodologiei de evaluare profesională a DPO.

Ideea pe care încercăm să o subliniem este că DPO ocupă o poziție cheie în organizație, natura poziției sale fiind de placă turnată între obiectivele managementului operatorului, aspirațiile legitime ale persoanelor vizate și obiectivele Autorității Naționale de Supraveghere și a Prelucrării Datelor cu Caracter Personal. În acest context, este firesc ca managementul operatorului să dorească să aibă în DPO o persoană de încredere.

Av. dr. Andrei Săvescu
Managing Partner SĂVESCU & ASOCIAȚII, coordonator JURIDICE.ro

Newsletter
Instagram
Facebook

Aflaţi mai mult despre , , ,
JURIDICE.ro utilizează şi recomandă SmartBill pentru facturare.

Puteţi publica şi dumneavoastră pe JURIDICE.ro. Publicăm chiar şi opinii cu care nu suntem de acord. Publicarea nu semnifică asumarea de către noi a mesajului. JURIDICE.ro este o platformă de exprimare. Pentru a publica vă rugăm să citiţi Condiţiile de publicare şi să ne scrieţi la adresa redactie@juridice.ro!

Lasă un răspuns

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.

CariereEvenimenteProfesioniştiRLWCorporate