Accesarea măsurii POC 4.1.1 și îndeplinirea criteriilor GDPR

Article Accesarea măsurii POC 4.1.1 și îndeplinirea criteriilor GDPR | Decalex

Ce este măsura POC 4.1.1?

Finanțări nerambursabile de până la un milion de euro pentru investiții în activități productive

Ministerul Investițiilor și Proiectelor Europene, prin Autoritatea de management pentru Programul Operațional Competitivitate, a publicat în luna februarie a acestui an versiunea consolidată a Ghidului solicitantului aferent acțiunii 4.1.1. „Investiții în activități productive”. Obiectivul specific al măsurii este consolidarea poziției pe piață a IMM-urilor afectate de pandemia COVID-19. 

Prin intermediul acestei acțiuni, companiile eligibile pot beneficia de finanțare nerambursabilă cuprinsă între 50.000 euro și până la 1.000.000 Euro. Suma care poate fi solicitată este limitată la de cinci ori cifra de afaceri înregistrată în anul 2019.

Această măsură se bucură de un interes enorm din partea IMM-urilor, peste 55.000 de companii verificându-și eligibilitatea în timp ce alte 3000 de companii au demarat elaborarea proiectelor prin intermediul POCSketch. 

Ce tipuri de proiecte vizează acțiunea 4.1.1.

Lista activităților (CAEN) eligibile pentru această acțiune se regăsesc în Anexa 10 din Ghidul Solicitantului. Plaja domeniilor de activitate care pot solicita o finanțare nerambursabilă prin măsura 4.1.1. este una extrem de largă, incluzând spre exemplu industria alimentară, producție (ex. textile, lem , hârtie, chimice, plastic, metalice, IT, electrice , mașini, utilaje), construcții, comerț,  transport, HoReCA, curierat, învățământ, asistență socială și lista poate continua. 

Activitățile eligibile prin măsura POC 4.1.1 sunt dotarea cu active corporale, necorporale și modernizarea spațiilor de producție/servicii (în limita a maxim 50% din valoarea proiectului).

Astfel, achizițiile și cheltuieli eligibile prin această măsură pot viza:

  • Utilaje, echipamente tehnologice și instalații de lucru specifice codului CAEN pentru care se solicită finanțarea; 
  • Aparate și instalații de masurare, control, reglare;
  • Mijloace de transport auto, utilaje și instalații de transportat și ridicat;
  • Mobilier și aparatură birotică;
  • Sisteme de protecție a valorilor umane și materiale;
  • Echipamente informatice (laptop-uri, imprimante, desktop-uri) și produse software;
  • Instalaţii / echipamente specifice în scopul obţinerii unei economii de energie;
  • Brevete, Licente, Marci Comerciale;
  • Cheltuieli de amenajare a spațiilor comerciale / industriale, în limita a 50% din valoarea totală a proiectului;
  • Cheltuieli de promovare și consultanță.

Necesitatea desemnării unui DPO în vederea aplicării pentru măsura 4.1.1

Cerințele ghidului privind desemnarea DPO-ului

Potrivit  Ghidului  Solicitantului aferent acțiunii 4.1.1. „Investiții în activități productive”, solicitanții au obligația de a desemna un responsabil cu protecția datelor (DPO), a cărui responsabilități trebuie prevăzute în fișa postului. Această obligație este aplicabilă tuturor solicitanților, indiferent de obiectul de activitate al acestora.

De asemenea, solicitantul are obligația de a se asigura că persoana desemnată ca responsabil cu protecția datelor cu caracter personal „deține cunoștințele de specialitate în dreptul și practicile din domeniul protecției datelor și că a absolvit un curs în domeniul GDPR (certificat/diplomă de participare, absolvire etc)”. 

GDPR-ul prevede faptul că Responsabilul cu protecția datelor este desemnat pe baza calităților profesionale și, în special, a cunoștințelor de specialitate în dreptul și practicile din domeniul protecției datelor, precum și pe baza capacității de a îndeplini sarcinile prevăzute la articolul 39”. Astfel, considerăm că simpla cerință prevăzută în Ghid privind absolvirea unui curs în domeniul GDPR nu poate constitui o calificare suficientă pentru rolul de DPO în raport cu cerințele Regulamentului.

Persoana care asigură rolul de DPO ar trebui să dețină un cocktail de calități specializate. Acesta trebuie să fie un specialist în securitate informatică care să și să fie un bun cunoscător al legislației și a practicilor din domeniul protecției datelor la nivel național și european. Pe lângă aceste expertize, DPO-ul trebuie să dețină calități de formator (coaching) intern, competențe de auditor ISO 27001 (audit și evaluare de risc), în același timp să denote excelente calități de comunicare în relația cu clienții, sau ca purtător de cuvânt în relația cu autoritatea de supraveghere și persoana de contact pentru persoanele vizate.

Cerința privind desemnarea DPO-ului pe masura 4.1.1 reflectă cerințele GDPR?

Cu siguranță o mare parte dintre IMM-urile care vor aplica pentru o finanțare nerambursabilă nu ar avea, în mod normal, în conformitate cu prevederile Regulamentului UE 679/2016 („GDPR”), obligația de a desemna un DPO. 

Cu toate acestea, potrivit recomandărilor ghidului „Orientări privind responsabilii cu protecția datelor („RPD”)”, adoptat de Grup de lucru pentru articolul 29 (predecesorul Comitetului European pentru Protecția Datelor), este recomandată „ca exemplu de bună practică” , numirea unui DPO. 

Mai mult, Autoritatea națională privind protecția datelor (ANSPDCP) a precizat în informațiile generale publicate pe site-ul său cu privire la Responsabilul cu protecţia datelor cu caracter personal, faptul că desemnarea unui DPO este o măsură utilă în vederea respectării obligațiilor privind protecția datelor (și implicit o dovadă a responsabilității companiei am adăuga noi).

Deși în unele cazuri nu este necesară desemnarea unui responsabil cu protecția datelor, Autoritatea de Supraveghere recomandă numirea unei astfel de persoane, întrucât este utilă operatorului pentru respectarea obligațiilor în domeniul protecției datelor cu caracter personal.

Extras website ANSPDCP 

 

Pentru mai multe informații privind rolul DPO-ului, când este obligatorie numirea unui DPO, cine poate fi desemnat Responsabil cu protectia datelor, care sunt responsabilitățile unui DPO, vă invităm să accesați mini ghidul nostru privind desemnarea responsabilului cu protecția datelor.

Numirea unui DPO intern sau externalizat?

Potrivit Ghidului, solicitanții au posibilitatea de a numi un DPO intern sau de a externaliza rolul de DPO, detaliind sarcinile responsabilului GDPR în proiect, în capitolul referitor la prezentarea Resurselor umane implicate. Postul de DPO trebuie menținut pe toată perioada de implementare și de sustenabilitate a proiectului.

În cazul externalizării, prezentarea contractului aferent serviciului de externalizare a DPO-ului este obligatorie cu ocazia primei cereri de prefinanțare/plată/rambursare. 

Responsabilul cu protecția datelor poate fi angajat al solicitantului (inclusiv prin cumul de funcții) sau poate să-și îndeplinească sarcinile pe baza unui contract de prestări servicii (externalizat). Un aspect important este faptul că DPO-ul nu poate deține  în cadrul organizației o funcție prin care să stabilească scopurile și mijloacele de prelucrare a datelor cu caracter personal, pentru a se evita existența unui conflict de interese. Practic, persoanele din managementul companiei sunt incompatibile cu rolul de DPO și nu pot asigura acest rol.

Un aspect important este faptul că deși serviciile GDPR nu sunt eligibile pentru finanțare, acestea sunt obligatorii pentru implementarea proiectului. Acest aspect poate determina ca o parte dintre solicitanți să se orienteze spre desemnarea DPO-ului din rândul angajaților proprii, fapt ce va aduce atingere scopului urmărit de Ministerul Investițiilor și Proiectelor Europene (MIPE) și anume respectarea cerințelor GDPR privind protecția persoanelor.

Puteți afla mai multe despre ce implică externalizarea DPO-ului accesând acest link.

Care sunt responsabilitățile pe care un DPO ar trebui să le acopere?

Sarcinile DPO-ului acoperă o gamă vastă de activități pe care acesta trebuie să le asigure în vederea îndeplinirii obligațiilor ce-i revin conform GDPR, printre care menționăm:

Revizuire de contracte cu terți parteneri din perspectiva prelucrării datelor personale;

Revizuirea politicilor existente și a documentației din perspectiva prelucrării datelor personale;

Consultanta pe probleme generale ce tinde protecția datelor;

Consultanță și recomandări privind gestionarea datelor personale sensibile;

Monitorizarea conformității cu GDPR, cât și propunere/creare de instrumente care să asigure conformitatea;

Îndrumarea și instruirea personalului implicat în operațiunile de prelucrare a datelor cu caracter personal, crearea și livrarea unei strategii de training continuu;

Analiza și consilierea în revizuirea politicii de protecție a datelor personale ale organizației;

Analiza și emiterea de recomandări privind procedurile și instrucțiuni interne de lucru;

Raportare trimestrială către conducere privind evolutia procesului de conformare;

Buletin informativ lunar cu cele mai recente știri de reglementare GDPR și îndrumări de conformitate;

Suport în cooperarea cu autoritatea de supraveghere;

Suport în gestionarea legăturii cu persoanele fizice (persoanele vizate) în chestiuni legate de protecția datelor, inclusiv solicitările de acces la date;

Participarea la ședințele consiliului de administrație, dacă este necesar;

Punct de contact în legătură cu autoritatea de supraveghere;

Asistență în reprezentarea în fata autoritatii de supraveghere;

Asistență în cazul controalelor de la autoritatea de supraveghere;

Asistență privind breșele de securitate;

Identificare și evaluare riscuri de neconformitate;

Consultanță și ghidaj în realizarea evaluării impactului privind protectia datelor(DPIA), a modului de implementare și a rezultatelor sale;

Consultanta în ceea ce privește evaluarea impactului asupra protecției datelor și Monitorizarea funcționării acesteia;

Menținerea și administrarea registrului de evidență a activităților de prelucrarea datelor din companie;

Elaborarea sau actualizarea politicilor, procedurilor și normelor interne conform Regulamentului (UE) 679/2016.

Cât costa un DPO?

În funcție de complexitatea serviciilor oferite, costurile cu externalizarea unui DPO pot varia extrem de mult. Este necesar să analizați cu atenție ofertele primite pentru a vă asigura că acestea acoperă toate responsabilitățile care intră în sarcina DPO-ului. 

Eforturile îndeplinirii acestor obligații sunt considerabile, necesitând o alocare de resurse lunară adecvată complexității planului anual de conformare, pe care compania l-a agreat împreună cu DPO-ul.

Vă atragem atenția că am identificat în piața o creștere a numărului persoanelor care oferă servicii GDPR,  țintind persoanele interesate de accesarea fondurilor europene nerambursabile, care nu dețin expertiza și experiența necesară îndeplinirii rolului de DPO. 

Fără a încerca să discredităm serviciile GDPR oferite de alți consultanți, considerăm că un proiect dimensionat pe 24 de luni, cu un cost total de 500 de euro (cum ne-a fost dat să întâlnim) nu poate acoperi toate responsabilitățile DPO-ului.  

Ce se intampla dacă nu am un DPO pe masura 4.1.1? 

Lipsa unei persoane care să îndeplinească cu acest rol în echipa de implementare, la momentul depunerii cererii de finanțare, constituie motiv de respingere a solicitării, indiferent dacă solicitantul a optat pentru desemnarea internă a unui DPO sau externalizarea acestui rol. 

 

În cazul externalizării, solicitantul va include în cererea de finanțare „o declarație pe proprie răspundere”, potrivit răspunsurilor Ministerului Investițiilor și Proiectelor Europene în documentul Centralizator cu propuneri/observații/întrebări primite în perioada de consultare publică (21.12.2021 - 04.01.2022) a Ghidului Solicitantului aferent Acțiunii 4.1.1. De asemenea, solicitantul va prezenta opțiunea de externalizare a acestor servicii la capitolul referitor la prezentarea Resurselor umane implicate, descriind rolul responsabilului GDPR în proiect. 

Dovada îndeplinirii obligației de externalizare a rolului de DPO se va realiza cu ocazia primei cereri de prefinanțare/plată/rambursare prin prezentarea contractului încheiat cu DPO-ul extern.

Cum aleg un DPO?

Alegerea unui DPO este o responsabilitate ce trebuie tratată cu mare atenție, întrucât această decizie va putea transforma un cost într-un plus de valoare pentru companie, limitând totodată riscurile la care se poate expune compania din perspectiva respectări prevederilor GDPR-ului. 

Un factor important în alegerea DPO-ului este complexitatea proiectului pentru care se solicită finanțarea din perspectiva prelucrărilor de date ce se preconizează că vor avea loc.

 

Pentru a vă ajuta să alegeți soluția cea mai potrivită pentru compania dvs., am realizat o paralelă a variantelor existente:

 

Concluzii

Așa cum am precizat anterior, cerința numirii unui DPO pentru toți solicitanții de fonduri nerambursabile prin masura 4.1.1. poate părea la prima vedere o solicitare excesivă pentru mare parte dintre solicitanții de finanțare, însă lipsa desemnării unui DPO va determina cel mai probabil respingerea cererii de finanțare. 

Cu toate acestea, numirea unui DPO constituie o dovadă a responsabilității companiei în scopul implementării unui proiect al conformității cu cerințele GDPR.

Alegerea corecta a DPO-ului este un pas important întrucât acesta poate transforma un cost într-un real beneficiu pentru companie, fluidizand fluxurile și limitând riscurile la care se poate expune compania. 

Sunteți în căutarea unui DPO pentru măsura 4.1.1.?

Vă invităm pe site-ul nostru decalex.ro pentru mai multe detalii despre servicii pe care noi le oferim, sau ne puteți contacta la adresa de email office@decalex.ro.

Vom răspunde cu drag tuturor întrebărilor voastre!

 

Share:
Cristian Donciu
Autor: Cristian Donciu

Privacy & Data Protection Consultant

PUNE O INTREBARE