TOP LEGAL
Înregistrările video sunt accesibile pentru membri şi parteneri. Cheltuială deductibilă fiscal. Reducere 39,6 euro pentru avocaţii din barourile Bucureşti, Ilfov, Dolj, Timiş, Prahova şi Sibiu. Se acordă 20 de puncte de pregătire profesională. UNBR încurajează extinderea naţională, detalii aici. Reducere 19,8 euro pentru executorii Camerei Executorilor Bucureşti, membrii UNELM şi notarii Camerei Notarilor Publici Bucureşti.
Abonare newsletter oficial JURIDICE.ro

Print Friendly, PDF & Email

Ce trebuie să facă un DPO?

07.09.2018 | Laurențiu PETRE, Alexandru MATEI
Laurențiu Petre

Laurențiu Petre

Alexandru Matei

Alexandru Matei

Deseori se pune problema în rândul operatorilor de date cu caracter personal ce trebuie efectiv să facă și cum să-și îndeplinească funcția responsabilul cu protecția datelor (data protection officer sau DPO).

I. Perspectiva GDPR

În opinia noastră, esența activității DPO-ului se regăsește în obligația impusă operatorului sau persoanei împuternicite de operator de a se asigura că DPO-ul este implicat în toate aspectele legate de protecția datelor cu caracter personal, în mod corespunzător și în timp util [art. 38 alin. (1) GDPR]. Această obligație se află în strânsă legătură cu sarcina de monitorizare a DPO-ului stabilită de art. 39 alin. (2) GDPR. Implicarea DPO-ului în toate aspectele, se referă la faptul că DPO-ul va lua la cunoștință în mod nemijlocit de toate activitățile de prelucrare, fără să fie nevoie să fie informat în mod special de operator.

Sarcinile DPO-ului, reglementate în cuprinsul dispozițiilor art. 39 GDPR, sunt:
– informarea și consilierea operatorului sau a persoanei împuternicite de operator, precum și a angajaților care se ocupă de prelucrare cu privire la obligațiile care le revin în temeiul GDPR și a altor dispoziții de drept al Uniunii sau drept intern referitoare la protecția datelor;
– monitorizarea respectării GDPR, a altor dispoziții de drept al Uniunii sau de drept intern referitoare la protecția datelor și a politicilor operatorului sau ale persoanei împuternicite de operator în ceea ce privește protecția datelor cu caracter personal, inclusiv alocarea responsabilităților și acțiunile de sensibilizare și de formare a personalului implicat în operațiunile de prelucrare, precum și auditurile aferente;
– furnizarea de consiliere la cerere în ceea ce privește evaluarea impactului asupra protecției datelor și monitorizarea funcționării acesteia;
– cooperarea cu autoritatea de supraveghere;
– asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare, inclusiv consultarea prealabilă și cu privire la orice altă chestiune.

Enumerarea nu este limitativă, GDPR lăsând libertate operatorului de a stabili în sarcina DPO-ului și alte sarcini sau atribuții, cu o singură condiție, respectiv ca niciuna dintre sarcinile și atribuțiile suplimentare să nu genereze un conflict de interese [art. 38 alin. (6) GDPR].

Este important de reamintit faptul că în ceea ce privește îndeplinirea sarcinilor, DPO-ul nu primește niciun fel de instrucțiuni, neputând fi demis sau sancționat pentru îndeplinirea acestora [art. 38 alin. (3) GDPR].

GDPR mai stabilește o obligație pentru DPO, respectiv aceea de a respecta secretul și confidențialitatea în îndeplinirea sarcinilor sale [art. 38 alin. (5) GDPR].

II. Standardul ocupațional. Observații

Prin decizia nr. 74 din 19 martie 2018 Autoritatea Națională pentru Calificări a aprobat standardul ocupațional pentru Responsabil cu protecția datelor cu caracter personal (COR 242231). Standardul ocupațional prevede ce competențe și deprinderi trebuie să aibă un responsabil cu protecția datelor, astfel:
– informarea organizației și persoanelor vizate cu privire la drepturile și obligațiile lor în baza legislației privind protecția datelor cu caracter personal;
– monitorizarea modalității prin care organizația respectă legislația privind protecția datelor cu caracter personal și standardele specifice la care organizația a aderat;
– emiterea de recomandări și oferirea asistenței de specialitate organizației cu privire la interpretarea și aplicarea prevederilor legislației privind protecția datelor cu caracter personal;
– gestionarea relației cu autoritatea de supraveghere în domeniul protecției datelor cu caracter personal;
– respectarea principiului obiectivității în domeniul protecției datelor cu caracter personal;
– asigurarea și gestionarea registrului de evidență al prelucrării datelor cu caracter personal;
– gestionarea și coordonarea resurselor umane, financiare, tehnice necesare realizării sarcinilor și activităților specifice domeniului protecției datelor cu caracter personal;
– dezvoltarea profesională continuă în domeniul protecției datelor cu caracter personal;
– monitorizarea aplicării instrumentelor și metodelor de îmbunătățire a eficacității sistemului de management al securității informației;
– analizarea și evaluarea riscurilor de prelucrare a datelor cu caracter personal.

Prima observație se referă la obligația stabilită în sarcina DPO-ului cu privire la „asigurarea și gestionarea registrului de evidență al prelucrării datelor cu caracter personal”. Considerăm că această obligație îi revine Operatorului în temeiul dispozițiilor art. 30 alin. (1) din GDPR, și nu DPO-ului, pentru că așa cum s-a susținut[i] DPO-ul este, în realitate, un consultant.

A doua observație se referă la „gestionarea și coordonarea resurselor umane, financiare, tehnice necesare realizării sarcinilor și activităților specifice domeniului protecției datelor cu caracter personal” cu privire la care considerăm că este aplicabilă doar în măsura în care solicită aceste resurse și le primește din partea operatorului.

III. Alte competențe/deprinderi pentru DPO

DPIA. DPO-ul ar trebui să acorde asistență operatorului în ceea ce privește impactul asupra protecției datelor (DPIA) și anume:
– ce metodologie să urmeze operatorul la realizarea unei DPIA;
– dacă să se realizeze DPIA intern sau să se externalizeze;
– ce garanții (inclusiv măsurile tehnice și organizatorice) să le aplice pentru a atenua orice riscuri pentru drepturile și interesele persoanelor vizate
– dacă evaluarea impactului privind protecția datelor a fost sau nu efectuată corect;
– dacă este vorba de concluziile sale (dacă trebuie sau nu să se desfășoare sau nu prelucrarea și ce măsuri de protecție pentru a aplica) sunt în conformitate cu GDPR.

Monitorizare legislație. DPO-ul ar trebui să monitorizeze permanent modificări ale legislației, în special în ceea ce privește domeniul protecției datelor cu caracter personal. Deopotrivă, atunci când temeiul legal de prelucrare este subsumat îndeplinirii unei obligații legale [art. 6 alin. (1) lit. c) GDPR], DPO-ul ar trebui să fie la curent cu modificarea acestora.

Adaptarea constantă a procedurilor interne la procesele de business ale operatorului astfel încât să fie menținută conformarea cu GDPR.

Organizarea de sesiuni periodice de instruire și perfecționare cu salariații existenți ai operatorului, precum și cu salariații noi. De asemenea, informarea cu privire la operațiunile de prelucrare a datelor personale care le aparțin, precum și cu privire la drepturile pe care le au.

Documentarea atentă a cererilor din partea persoanelor fizice sau ale autorității locale, privind ștergerea, distrugerea si accesibilitatea datelor.

Pentru o analiză mai detaliată cu privire la Fișa postului DPO (Data Protection Officer), recomandăm dezbaterea organizată de Societatea de Științe Juridice (SSJ), din data de 4 aprilie 2018[ii].

Concluzii

Funcția de DPO este o funcție complexă ce necesită atenție și preocupare constantă. Pentru îndeplinirea corectă a sarcinilor sale, responsabilul cu protecția datelor ar trebui să manifeste maximă diligență și să țină seama întotdeauna de natura și specificul activităților de prelucrare efectuate de operator.


[i] Av. dr. Andrei Săvescu, DPO este, în realitate, un consultant, material publicat pe JURIDICE.ro.
[ii] A se vedea dezbaterea „Fişa postului DPO (Data Protection Officer) (ediția 185)”, organizată de Societatea de Științe Juridice (SSJ).


Avocat Laurențiu Petre
Partner SĂVESCU & ASOCIAȚII

Avocat Alexandru Matei
Associate SĂVESCU & ASOCIAŢII


Aflaţi mai mult despre , , , , , , , ,
JURIDICE.ro utilizează şi recomandă SmartBill pentru facturare.

Lasă un răspuns

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important
Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile publicate sub numele real care respectă Politica JURIDICE.ro şi Condiţiile de publicare.


.


Irina Maria STANCU


Oana ISPAS


Radu Slăvoiu


Livia Dianu-Buja


Ștefania Stoica


Luminița Malanciuc


Ioana-Olivia Voicu


Eduard Toma-Apostol


Florina-Lăcrămioara Drăgan