Raportul EDPB privind desemnarea și statutul Ofițerului responsabil cu Protecția Datelor (DPO)

Article Raportul EDPB privind DPO

 

I. Un punct de vedere direct de la Bruxelles cu privire la rolul de DPO 

 

În octombrie 2020, Comitetul european pentru protecția datelor (EDPB) a decis să instituie un cadru coordonat de aplicare a legii (Coordinated Enforcement Framework - CEF) în vederea raționalizării aplicării legii și a cooperării între autoritățile de supraveghere, în concordanță cu Strategia EDPB 2021-2023, cât și crearea unui grup de experți de sprijin ("SPE"). 

Un prim CEF a fost realizat în 2021 cu privire la utilizarea serviciilor cloud de către organismele publice.

 

Pentru cel de-al doilea CEF, EDPB a selectat în septembrie 2022 "Desemnarea și statutul Ofițerului responsabil cu protecția datelor" pentru acțiunea sa coordonată de punere în aplicare pentru anul 2023.

25 de autorități de supraveghere ("AS") din întregul SEE au lansat investigații coordonate privind rolul responsabililor cu protecția datelor ("RPD"), pentru a oferi informații valoroase privind profilul, poziția și activitatea RPD la 5 ani de la intrarea în vigoare a RGPD.

 

Între noiembrie 2022 și februarie 2023, aceste autorități de supraveghere au redactat un chestionar într-o manieră imparțială, astfel încât să poată fi completat fie de către operator, fie de către persoana împuternicită de operator sau de către responsabillii cu protecția datelor personale/ DPO.

 

Raportul privind cadrul coordonat de aplicare a legislației reunește constatările tuturor autorităților de supraveghere participante la CEF și acordă o atenție specială provocărilor identificate de autoritățile de supraveghere și/sau de respondenți în timpul acțiunii cadrului coordonat de aplicare a legislației.

 

Printre aceste probleme merită menționate resursele insuficiente alocate ofițerilor responsabili cu protecția datelor personale, cunoștințele de specialitate și formarea insuficientă a DPO și riscurile de conflicte de interese.

 

Acest raport oferă, printre altele, o listă de recomandări pe care organizațiile, RPD și autoritățile de supraveghere le pot lua în considerare pentru a aborda provocările identificate, fără a aduce atingere dispozițiilor GDPR/EUDPR și competențelor autorităților de supraveghere.



  1. Motivele care au stat la baza selecției temei DPO-ului în cadrul CEF în anul 2023

 

S-ar putea să vă întrebați care este motivul din spatele raționamentului selecției EDPB pentru acest subiect. 

 

În acest sens, EDPB a decis să acorde prioritate acestui subiect datorită statutului responsabililor cu protecția datelor ("DPO") în temeiul Regulamentului (UE) 2016/679 ("GDPR"), ca intermediari între autoritățile de supraveghere, persoanele fizice și centrele de business ale unei organizații, ceea ce îi plasează pe aceștia într-o poziție esențială.

 

În plus, EDPB a selectat acest subiect deoarece, în conformitate cu GDPR, DPO-ul este o persoană care a acumulat cunoștințe de specialitate în materie de legislație și practici privind protecția datelor. Făcând legătura între legislația UE privind protecția datelor și aplicarea practică a acesteia, DPO contribuie la promovarea protecției efective a dreptului fundamental al persoanelor referitor la protecția datelor.

 

Decizia EDPB pentru acest subiect a luat în considerare faptul că rolul de responsabil cu protecția datelor este crucial pentru a se asigura că legislația privind protecția datelor este aplicată și respectată în mod continuu în cadrul organizațiilor, având în vedere că DPO-ul este un actor-cheie în noul sistem de guvernanță a datelor.

 

În pofida faptului că desemnarea unui DPO era deja o obligație pentru instituțiile UE în cadrul juridic anterior (și acum în temeiul Regulamentului 2018/1725 sau "RGPDUE"), DPO a fost o cerință nouă introdusă în RGPD.

Este relevant de menționat faptul că înainte de intrarea în vigoare a RGPD, multe dintre legislațiile naționale ale statelor membre nu conțineau dispoziții privind desemnarea obligatorie a unui DPO.



  1. Cadrul juridic și metodologia

 

GDPR stabilește norme specifice privind desemnarea, cunoștințele și experiența unui DPO, sarcinile și resursele care le sunt alocate, precum și cu privire la rolul și poziția efectivă a acestora.

 

GDPR nu este prima lege privind protecția datelor care a avut în vedere conceptul de responsabil cu protecția datelor. 

Cu toate acestea, a introdus, printre altele, noi cerințe la nivelul UE care au stabilit condițiile în care un astfel de responsabil trebuie să fie desemnat, competențele pe care ar trebui să le aibă un astfel de responsabil în exercitarea atribuțiilor sale și mai multe condiții legate de poziția acestora în cadrul structurii și proceselor unei entități.

 

Înainte de intrarea în vigoare a RGPD, Grupul de lucru al articolului 29 a considerat rolul de DPO drept "o piatră de temelie a responsabilității[1]", iar în Orientările sale privind responsabilii cu protecția datelor din 2017 ("Orientările privind DPO[2]"), care au fost aprobate de EDPB în urma intrării în vigoare a RGPD, se exprima ideea că aceștia vor fi "chiar în centrul acestui nou cadru juridic pentru multe organizații[3]".

 

În conformitate cu articolul 43 din RGPD, toate instituțiile sau organismele UE trebuie să numească un responsabil cu protecția datelor. Între timp, articolul 37 alineatul (1) din GDPR prevede că un operator și o persoană împuternicită de operator desemnează un DPO în cazul în care:

 

  • Prelucrarea este efectuată de către o autoritate sau un organism public, cu excepția instanțelor care acționează în calitate de instanțe judecătorești;
  • Activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopul lor necesită o monitorizare regulată și sistematică a persoanelor vizate pe scară largă; sau
  • Activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date în conformitate cu articolul 9 din RGPD și a datelor cu caracter personal referitoare la condamnări penale și infracțiuni menționate la articolul 10 din RGPD.

 

Autoritățile de supraveghere participante au redactat mai întâi împreună un chestionar în limba engleză, care urma să fie apoi tradus în limbile relevante ale UE și să fie trimis părților interesate la alegerea fiecărei autorități de supraveghere la nivel național, pentru a permite autorităților de supraveghere să aplice strategii diferite în alegerea țintei și scopurilor pentru acest chestionar.

 

Fiecare dintre autoritățile de supraveghere participante și-a dezvoltat propria strategie pentru destinatarii acestui chestionar construit în comun.

 

Cu toate acestea, volumul și profilul părților interesate contactate variază la nivel național. 

 

Pentru a analiza rezultatele acestui raport, este important să se identifice strategiile acestora și să se observe principalele diferențe dintre ele:

  • Pe de o parte, autoritățile austriece, bavareze, franceze, grecești, letone și suedeze au furnizat rezultate orientate calitativ, construite pe baza unor investigații formale ale unui număr mic de părți interesate.
  • Pe de altă parte, autoritățile de supraveghere belgiene, croate, cipriote, olandeze, din Liechtenstein, malteze, portugheze, slovene și spaniole au vizat rezultate cantitative, trimițând chestionarele la sute (în cazul țărilor mai mici) sau zeci de mii (în cazul celor mai mari) de organizații și responsabili cu protecția datelor personale. De exemplu, autoritățile de supraveghere belgiene, olandeze, din Liechtenstein, portugheze, slovene și spaniole au contactat toți DPO ale căror date de contact fuseseră notificate în conformitate cu articolul 37 alineatul (7) din RGPD.




  1. Provocări identificate în timpul acțiunii CEF și recomandări

 

Raportul CEF a scos la iveală următoarele provocări pentru responsabilii cu protecția datelor personale:

 

  • Absența desemnării unui DPO, chiar dacă este obligatorie
  • Resurse insuficiente alocate către responsabilii cu protecția datelor personale
  • Insuficiența cunoștințelor de specialitate și a formării profesionale a RPD
  • Responsabililor cu protecția datelor personale nu le sunt încredințate în mod complet sau explicit sarcinile prevăzute de GDPR/EUDPR
  • Conflictul de interese și lipsa de independență a RPD
  • Lipsa raportării de către DPO la cel mai înalt nivel de conducere al organizațiilor

 

 

  1. Orientări suplimentare din partea autorităților de supraveghere

 

Câteva recomandări pe care organizațiile, responsabilii cu protecția datelor personale și/sau autoritățile de supraveghere le pot lua în considerare pentru a aborda provocările identificate:



  • Mai multe inițiative din partea autorităților de supraveghere ar putea sensibiliza organizațiile cu privire la obligația lor de a desemna un RPD, inclusiv cu privire la stabilirea dacă un RPD este sau nu este de fapt necesar. Orientări suplimentare din partea autorităților de supraveghere cu privire la cerințele aplicabile pentru desemnarea unui RPD, campanii suplimentare de sensibilizare pentru promovarea orientărilor existente pe această temă și acțiuni de aplicare a legii pot face parte din soluția de educare a operatorilor și a persoanelor împuternicite de operatori.
  • Mai multe inițiative și acțiuni din partea autorităților de supraveghere ar putea stimula conducerea organizațiilor să aloce mai multe resurse pentru DPO și pentru echipa acestora.
  • Operatorii și persoanele împuternicite de operatori trebuie să verifice cu atenție dacă RPD dispune de suficiente resurse pentru a-și exercita în mod corespunzător funcțiile. În unele cazuri, atunci când se angajează un DPO extern, acest lucru ar putea necesita ca operatorii și persoanele împuternicite de operatori să verifice numărul de clienți pe care îl are DPO-ul respectiv, pentru a se asigura că acesta are suficient timp și capacitate pentru a-și îndeplini obligațiile GDPR relevante.
  • Orientări suplimentare din partea autorităților de supraveghere, precum și materiale de formare suplimentare ar putea ajuta responsabilii cu protecția datelor personale să navigheze în probleme complexe și să economisească timp prețios.
  • Operatorii și persoanele împuternicite de operatori ar trebui să se asigure că documentează necesitățile și progresele înregistrate de organizațiile lor în materie de cunoștințe și de formare. Acest lucru poate fi, de asemenea, important pentru a asigura conformitatea cu articolul 24 și cu articolul 5 alineatul (2) din RGPD, precum și cu articolul 26 și cu articolul 4 alineatul (2) din EUDPR.
  • Operatorii și persoanele împuternicite de operatori trebuie să se asigure că RPD beneficiază de suficiente oportunități, timp și resurse pentru a-și actualiza cunoștințele și pentru a se informa cu privire la cele mai recente evoluții, inclusiv, în cazul în care este relevant pentru activitățile lor, cu privire la noua legislație a UE în domeniul digital și al IA.
  • Utilizarea sporită a mecanismelor și inițiativelor de certificare, acolo unde este cazul.
  • O cooperare sporită din partea părților interesate cu universitățile și cu cursurile de formare orientate spre piață.
  • Mai multe inițiative și acțiuni ale autorităților de supraveghere ar putea stimula operatorii și persoanele împuternicite de operatori să mențină o separare adecvată între, pe de o parte, obligațiile operatorului/persoanei împuternicite de operatori și, pe de altă parte, obligațiile și îndatoririle proprii ale RPD, astfel cum sunt stabilite în temeiul GDPR/EUDPR.
  • Operatorii trebuie să se asigure că promovează rolul DPO-ului lor la nivel intern.
  • Operatorii ar trebui să colaboreze cu DPO-ul lor pentru a construi rolurile acestuia într-un mod corespunzător și independent.
  • Operatorii și persoanele împuternicite de operatori trebuie să se asigure că revizuiesc și îmbunătățesc în mod activ implicarea DPO în cadrul organizației. O astfel de revizuire poate avea în vedere, printre altele, următoarele aspecte: O astfel de examinare poate, printre altele, să ia în considerare Orientările privind RPD, un raport anual privind activitățile RPD și bunele practici generale.
  • Mai multe inițiative și acțiuni ale autorităților de supraveghere ar putea verifica dacă operatorii și persoanele împuternicite de operatori dispun de garanții adecvate în procedurile lor pentru a se asigura că RPD nu este responsabil de îndeplinirea unor sarcini care conduc la un conflict de interese.
  • Ar putea fi avute în vedere mai multe activități de sensibilizare, acțiuni de informare și de aplicare a legii privind independența RPD (inclusiv cu privire la interdicția de a sancționa și de a concedia RPD pentru îndeplinirea sarcinilor lor de RPD), fie de către autoritățile de supraveghere, fie pe plan intern, de către organizațiile însele.
  • Obligația legală ca RPD să raporteze la cel mai înalt nivel de conducere al organizației ar putea beneficia de îndrumări suplimentare pentru a ajuta operatorii și persoanele împuternicite de operatori să o pună în aplicare în practică. Autoritățile de supraveghere ar putea încuraja elaborarea și adoptarea de standarde sectoriale, politici interne de protecție a datelor și bune practici pentru a defini mai bine condițiile, frecvența, conținutul și eficacitatea raportării directe a RPD la cel mai înalt nivel de conducere.
  • În plus față de orientările existente la nivel național și la nivelul SEE, alte orientări ar putea contribui la responsabilizarea RPD și la abordarea unora dintre provocările identificate mai sus.

 

Este important de remarcat faptul că unele dintre acțiunile întreprinse de autoritățile de supraveghere în cadrul CEF sunt încă în curs de desfășurare la nivel național, în special pentru cazurile în care au fost lansate investigații formale în acest sens.

 

În concluzie, există numeroase legături între provocările și preocupările identificate mai sus. Cu alte cuvinte, cauza (cauzele) și consecințele acestora sunt adesea interconectate. 

 

De exemplu, în cazul în care o organizație desemnează resurse insuficiente pentru RPD, acest lucru poate duce la alocarea de către RPD a unor sarcini care nu se încadrează în misiunile principale ale RPD în temeiul RGPD, ceea ce, la rândul său, poate provoca un conflict de interese. 

 

O altă ilustrare ar putea fi aceea că, în cazul în care un RPD nu raportează direct la cel mai înalt nivel de conducere, acest lucru ar putea rezulta în lipsa conștientizării cu privire la misiunile de bază ale RPD în cadrul organizației, iar conducerea ar putea decide să aloce mai puține resurse decât este necesar RPD, deoarece nu ar fi conștientă de problemele de protecție a datelor identificate de RPD. Acest fapt ar conduce, printre altele, la un buget redus pentru formarea RPD.

 

Aceste provocări ar putea obstrucționa rolul-cheie atribuit RPD prin RGPD, deoarece îi împiedică pe RPD să își îndeplinească în mod corespunzător misiunea și toate sarcinile care le revin. 

 

Acest lucru este extrem de problematic, deoarece, din cauza acestor provocări, DPO nu poate fi în măsură să promoveze o adevărată cultură de conformitate în materie de protecție a datelor în cadrul organizațiilor și nici să protejeze drepturile persoanelor vizate. 

 

Prin urmare, toate acestea pot da naștere nu numai la încălcări ale dispozițiilor RGPD privind RPD, ci și la încălcări generale ale operatorilor și procesatorilor cu privire la obligațiile care le revin în temeiul RGPD.

 

O ultimă recomandare din partea echipei noastre de experți Decalex în domeniul protecției datelor, având o experiență relevantă de peste un deceniu, ar fi faptul că este esențial pentru companii să adere la o cultură de protecție a datelor pentru a putea evolua într-o piață digitală în continuă schimbare.

Primul pas în atingerea conformității GDPR este colaborarea cu persoane bine informate și cu experiență, astfel încât navigarea și aplicarea cerințelor legale complexe să nu reprezinte o problemă în dezvoltarea digitală a companiei. Pentru mai multe informatii ne puteti scrie la office@decalex.ro

 

Antonia Stefan

Consultant in securitatea si protectia datelor



[1] Autoritatea Eurpeană pentru Protecția Datelor, Orientări privind responsabilii cu protecția datelor (“RPD”), WP 243 rev.01, revizuit și adoptat pe 5 aprilie 2017, pagina 5, link: https://www.google.com/url?q=https://ec.europa.eu/newsroom/article29/items/612048&sa=D&source=docs&ust=1708937730599528&usg=AOvVaw1sfitjjkezHkT2nMFU6iWv, consultat în data de 15 februarie 2024.

[2] Idem.

[3] Idem.

Share:
DECALEX  TEAM
Autor: DECALEX TEAM We make privacy easy

PUNE O INTREBARE