Responsabilul cu protecția datelor sau, pe scurt, DPO-ul (de la „data protection officer”), are un rol foarte important în domeniul protecției datelor și în privința respectării obligațiilor din domeniu – în special, a Regulamentului general privind protecția datelor (GDPR).
Când este necesară numirea unui DPO?
În primul rând, de DPO au nevoie cei care au ca activitate de bază monitorizarea persoanelor în mod sistematic și pe scară largă ori cei care prelucrează categorii speciale de date personale la scară largă.
Potrivit unui ghid privind Responsabilul cu protecția datelor, în această categorie se încadrează, de exemplu: spitalele și clinicile private, care trebuie să prelucreze datele de sănătate ale pacienților pentru a putea oferi asistență medicală într-un mod adecvat; firmele de securitate, care supraveghează centre comerciale și spații publice, activitatea lor fiind strâns legată de prelucrarea datelor personale; furnizorii de telefonie și internet, care prelucrează datele de conținut, trafic și localizare ale clienților.
Important de retinut este faptul că în legătură cu obligativitatea numrii unui DPO, numărul angajaților societății nu reprezintă un criteriu, deși poate părea probabil că doar societățile de dimensiuni medii și mari să fie vizate de obligație, aceasta poate apărea și la cele de dimensiuni mici.
Cine poate avea calitatea de DPO?
Regulamentul general privind protecția datelor (GDPR) le oferă operatorilor de date personale și împuterniciților lor posibilitatea să numească un responsabil cu protecția datelor (DPO) fie din rândul propriilor angajați, fie un terț de companie, dar contractat special pentru responsabilitatea cu protecția datelor.
Standardul ocupațional DPO prevede o serie de condiții formale, printre care și absolvirea unui număr minim de ore de curs de specialitate.
De asemenea, DPO-ul poate ocupa mai multe funcții, în cadrul unei firme, dar este foarte important să se evite conflictul de interese.
DPO trebuie să se bucure de independență. Astfel, apar întrebări legate de cum poate fi concediat acesta. În acest context, GDPR interzice concedierea DPO-ului pentru faptul că își îndeplinește atribuțiile în domeniul protecției datelor. Mai mult, inclusiv sancțiuni pentru astfel de fapte sunt interzise.
De asemenea, este recomandabilă desemnarea unui DPO care să se ocupe de operațiunile care implică prelucrări de date, întrucât companiile și orice alte entități cu activitate economică (indiferent de forma lor juridică) ce nu vor respecta regulile privind protecția datelor, prevăzute de GDPR, vor risca amenzi de până la 4% din cifra de afaceri mondială totală anuală aferentă exercițiului financiar anterior.
Întrucât conformitatea cu GDPR nu este opțională, deoarece orice organizație care prelucrează date cu caracter personal asupra persoanelor fizice din Uniunea Europeană trebuie să se conformeze, considerăm că este necesar ca agenții economici ce desfășoară astfel de activități să colaboreze cu o echipă de specialiști pentru a îndeplini toate cerințele legale în materie de respectare a standelor de confidențialitate și protecție a datelor.
Simina Baciu – Paralegal
