Responsabilul cu protecția datelor cu caracter personal, cunoscut sub acronimul de DPO (Data Protection Officer), reprezintă o funcție nou introdusă de Regulamentul General privind Protecția Datelor (GDPR) din mai 2018. Orice companie, indiferent de obiectul său de activitate, dacă are un singur angajat și desfășoară relații comerciale, trebuie să aibă în vedere că activitatea sa angrenează o multitudine de procese de prelucrare a datelor cu caracter personal.
Îndrumarea modului și a operațiunilor în care sunt gestionate datele persoanelor fizice, monitorizarea respectării prevederilor legale, consilierea privind ințelegerea și respectarea obligațiilor impuse de GDPR, asigurarea dialogului și cooperarea cu Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) reprezintă doar câteva dintre avantajele majore ale desemnării unui DPO.
În anumite situații prevăzute de art. 37 – 39 din GDPR, numirea unui DPO în cadrul unei companii este obligatorie. De exemplu, atunci când operatorul sau persoana împuternicită de operator este o autoritate publică sau un organism public (cu excepția instanțelor de judecată în exercitarea funcției lor jurisdicționale) sau atunci când desfășoară o activitate principală care conduce la realizarea unei monitorizări constante și sistematice pe scară largă a persoanelor fizice, respectiv dacă activitatea principală a operatorului constă în prelucrarea pe scară largă de date sensibile sau referitoare la condamnări penale și infracțiuni. Atunci când ne referim la prelucrarea „pe scară largă” a datelor personale, trebuie să avem în vedere patru criterii importante, precum numărul persoanelor vizate (un număr exact sau un procent din populația relevantă), volumul datelor și/sau gama de elemente diferite de date în curs de prelucrare, durata sau permanența activității de prelucrare a datelor, respectiv suprafața geografică a activității de prelucrare.
Chiar dacă o companie nu are obligația expresă de a desemna un responsabil cu protecția datelor, conform celor precizate mai sus, ANSPDCP recomandă, totuși, numirea unui DPO în vederea asigurării unui nivel optim de siguranță al activității desfășurate și al respectării normelor GDPR.
DPO-ul, in cadrul unei companii, poate fi desemnat pe baza calităților profesionale și, în mod special, a cunoștințelor de specialitate în dreptul și practicile din domeniul protecţiei datelor, precum și pe baza capacității de a îndeplini sarcinile prevazute de articolul 39 din GDPR. Cu titlu de exemplu, putem enunța câteva dintre sarcinile unui DPO, precum informarea și consilierea operatorului sau a persoanei împuternicite de operator, precum și a angajaților care se ocupă de prelucrare cu privire la obligațiile care le revin conform GDPR, monitorizarea respectării normelor privind protecția datelor, cooperarea cu autoritatea de supraveghere etc.
În domeniul privat, DPO-ul poate fi angajat al societății având calitatea de operator de date/ persoana împuternicită de operator cu prelucrarea datelor sau poate să-și îndeplinească sarcinile pe baza unui contract de prestări servicii, actionând, astfel, ca un responsabil cu protectia datelor externalizat.
În domeniul public, DPO-ul poate fi desemnat pentru mai multe autorități sau instituții publice, luând în considerare structura organizatorică și dimensiunea acestora.
În ambele cazuri, trebuie avut în vedere evitarea conflictului de interese dintre angajat si entitate prin apelarea la servicii externalizate oferite de un DPO profesionist.
DPO-ul nu poate fi demis sau sancționat de către operator sau persoana împuternicită de operator pentru îndeplinirea sarcinilor sale, cu alte cuvinte nu poate fi concediat pentru modalitatea în care își îndeplinește atribuțiile. Un responsabil cu protecția datelor ar putea fi totuși demis, în mod legal, pentru alte motive, străine de calitatea sa de responsabil cu protecția datelor cu caracter personal.
Atribuțiile unui DPO sunt variate și impun o serie de calități, dar și o anumită poziție în cadrul companiei. DPO-ul trebuie să dețină experiență în legislația și practicile de protecție a datelor la nivel național și european, precum și o înțelegere adecvată a GDPR, un nivel necesar de cunoștințe în domeniul protecției datelor în funcție de operațiunile de prelucrare a datelor efectuate. De asemenea, acesta trebuie să înțeleagă operațiunile de prelucrare efectuate, precum și sistemele de informații și necesitățile de securitate și protecție a datelor prelucrate de către companie. În cazul unei autorități sau instituții publice, responsabilul cu protecția datelor trebuie să dețină, de asemenea, cunoștințe privind reglementările legale referitoare la organizarea și funcționarea entității, precum și a procedurilor interne administrative ce vizează desfășurarea activității.
Ca un corolar al atribuțiilor sale, evidențiate în cadrul unei societăți, DPO-ul asigură monitorizarea proceselor de prelucrare a datelor desfășurate de operator, oferă suport în implementarea și respectarea procedurilor prevăzute de GDPR, evaluează, verifică și analizează conformitățile sistemului video, sistemului informativ, a platformelor și aplicațiilor care implică prelucrarea de date. De asemenea, DPO-ul răspunde solicitărilor venite din partea persoanelor vizate pe baza drepturilor acestora asigurate de legislația în vigoare.
Mai mult decât atât, DPO-ul consiliază personalul în gestionarea corectă a eventualelor incidente de securitate și instruiește angajații companiei sau ai instituției privind bunele practici în materia protecției datelor având în vedere obiectul specific de activitate al acesteia.
DPO-ul asigură realizarea de evaluări de impact asupra situațiilor care impun măsuri privind protecția datelor cu caracter personal, analizează și întocmește politicile și procedurile privitoare la protecția datelor și le adaptează în funcție de noutățile legislative sau de schimbarea modelului de business al companiei.
În toate cazurile, principala preocupare a DPO-ului trebuie să fie respectarea Regulamentului General privind Protecția Datelor și a reglementărilor naționale incidente.
Avocat Ana Maria Nistor
