Responsabilul cu protectia datelor (DPO)
Article Mini GHID PRACTIC privind desemnarea Responsabilului cu protecția datelor (DPO)

Regulamentul general privind protecția datelor personale (numit în continuare “GDPR”) obligă autoritățile și organismele publice din UE, cât și o parte din companiile private să desemneze un responsabil cu protecția datelor, care să vegheze asupra respectării prevederilor GDPR în companie.

 

Acest mini ghid informativ vă va ajuta să găsiți răspunsurile pentru cele mai frecvente întrebări ce privesc responsabilul cu protecția datelor, cum ar fi:

  • entitatea pe care o reprezinți are nevoie de un DPO?
  • care sunt sarcinile DPO-ului?
  • care sunt calitățile pe care un DPO trebuie să le întrunească?
  • care sunt avantajele și dezavantajele contractării unui DPO intern/extern?
  • care sunt costurile pentru organizația ta pe care desemnarea unui DPO le implică?

Ce este Responsabilul cu protecția datelor (DPO)?

Responsabil cu protectia datelor cu caracter personal reprezinta varianta în limba română a Data Protection Officer (numit în continuare “DPO”). O traducere nefericită, care nu face altceva decât să ducă în eroare operatorii. De regulă aceștia interpretează delegarea acestui rol drept o pasare a responsabilității în sarcina DPO-ului. Nimic mai greșit! DPO-ul este denumit așa în virtutea atribuțiilor sale, nu în virtutea obligațiilor sale.

Regulamentul general privind protecția datelor îi conferă acestuia un rol esențial, punându-l în centrul acestui nou cadru juridic pentru numeroase organizații. Rolul acestuia este de a sprijini organizațiile în procesul de conformare cu dispozițiile GDPR-ului.

Care este rolul unui DPO?

Rolul DPO-ului este să asiste organizațiile în procesul de monitorizare a menținerii conformității cu GDPR-ul. El trebuie să:

DPO-ul este o piatră de temelie pentru demonstrarea responsabilității operatorului. Numirea unui DPO poate facilita conformitatea și, mai mult decât atât, poate deveni un avantaj concurențial pentru companii. 

DPO-ul joacă un rol esențial în promovarea unei culturi de protecție a datelor în cadrul organizației. 

Acesta contribuie la implementarea elementelor esențiale din GDPR, cum ar fi:

  • principiile de prelucrare a datelor cu caracter personal 
  • drepturile persoanelor vizate
  • protecția datelor începând cu momentul conceperii și protecția implicită 
  • evidența activităților de prelucrare 
  • securitatea procesului de prelucrare
  • notificarea și comunicarea cazurilor de încălcare a protecției datelor

Care sunt sarcinile DPO-ului?

  • informarea și consilierea operatorului, sau a persoanei împuternicite de operator, precum și a angajaților care se ocupă de prelucrare cu privire la obligațiile care le revin referitoare la protecția datelor
  • monitorizarea respectării Regulamentului, a altor dispoziții de drept al UE sau de drept intern referitoare la protecția datelor și a politicilor operatorului sau ale persoanei împuternicite de operator în ceea ce privește protecția datelor cu caracter personal, inclusiv alocarea responsabilităților și acțiunile de sensibilizare și de formare a personalului implicat în operațiunile de prelucrare, precum și realizarea auditurilor necesare 
  • furnizarea de consiliere la cerere în ceea ce privește evaluarea impactului asupra protecției datelor și monitorizarea funcționării acesteia 
  • cooperarea cu autoritatea de supraveghere 
  • asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare, inclusiv consultarea prealabilă, precum și, dacă este cazul, consultarea cu privire la orice altă chestiune

ATENȚIE: Atingerea unui grad adecvat de conformitate privind protecția datelor este obligația Operatorului. În cazul unei încălcări a Regulamentului general privind protecția datelor personale, nu DPO-ul este va fi tras la răspundere ci Operatorul de date.

Care sunt calitățile pe care un DPO ar trebui să le întrunească?

Alegerea unui DPO se face în baza calităților profesionale și, în special, a cunoștințelor de specialitate în dreptul și practicile din domeniul protecției datelor. Un alt criteriu esențial este capacitatea acestuia de a îndeplini sarcinile ce-i revin conform Regulamentului.

 

Nu exista un standard al calităților necesare pentru candidatul ideal la funcția de DPO. Cu toate acestea, un DPO ar trebui să cunoască activitatea organizației operatorului. Ar trebui să aibă capacitatea de a înțelege bine operațiunile de prelucrare desfășurate și sistemele informatice, precum și cerințele operatorului legate de securitatea și protecția datelor.

 

Atunci când prelucrările de date sunt de o complexitate extrem de ridicată, sau în cazul în care este vorba despre un volum mare de date sensibile, este posibil ca DPO-ul să aibă nevoie de un nivel mai ridicat de specializare și de sprijin.

 

În concluzie, DPO-ul ideal ar trebui să dețină un cocktail de calități specializate. Un specialist în securitate informatică care să și să fie un bun cunoscător al legislației și a practicilor din domeniul protecției datelor la nivel național și european sunt calități care greu pot fi găsite la aceeași persoană. Pe lângă acestea, DPO-ul trebuie să dețină calități de formator (coaching) intern, competențe de auditor ISO 27001 (audit și evaluare de risc), în același timp să denote excelente calități de comunicare în relația cu clienții, sau ca purtător de cuvânt în relația cu autoritatea de supraveghere și persoana de contact pentru persoanele vizate.

5. Particularități ale funcției de DPO

Responsabilul cu protecția datelor poate fi angajat al operatorului/persoanei împuternicite de operator (inclusiv prin culmul de funcții) sau poate să-și îndeplinească sarcinile pe baza unui contract de prestări servicii (externalizat).

 

ATENȚIE: DPO-ul nu poate deține o funcție în cadrul organizației, prin care să stabilească scopurile și mijloacele de prelucrare a datelor cu caracter personal, pentru a se evita existența unui conflict de interese.

 

În funcție de natura operațiunilor de prelucrare, precum și de activitățile și dimensiunea organizației, ar trebui puse la dispoziția DPO-ului următoarele resurse:

  • sprijin activ pentru funcția DPO din partea personalului de conducere de nivel superior
  • timp suficient pentru îndeplinirea de către DPO a sarcinilor sale
  • sprijin adecvat în ceea ce privește resursele financiare, infrastructura (spații, facilități, echipamente) și personal, după caz
  • comunicarea oficială cu privire la desemnarea DPO către toți membrii personalului
  • accesul la alte servicii din cadrul organizației pentru ca DPO-ul să poată primi sprijin, date și informații esențiale din partea serviciilor respective.
  • formare continuă

Atunci când se externalizează sarcinile DPO-ului către un prestator de servicii extern, o echipă de persoane care lucrează pentru prestatorul respectiv pot îndeplini în mod eficient sarcinile unui DPO ca echipă, sub responsabilitatea unei persoane de contact principale.

 

DPO-ul este obligat să păstreze secretul sau confidențialitatea în ceea ce privește îndeplinirea sarcinilor sale.

Acesta răspunde direct în fața celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator. Elaborează raport anual cu activitățile sale și-l aduce spre cunoștința celui mai înalt nivel de conducere.

ATENȚIE: Responsabilul pentru protecția datelor nu poate fi demis sau sancționat de operator sau persoana împuternicită de operator pentru îndeplinirea sarcinilor sale.

Garanții privind independeța DPO-ului:

Indiferent dacă este sau nu angajat al operatorului, ar trebui să fie în măsură să își îndeplinească atribuțiile și sarcinile în mod independent. Independența DPO-ului consta în:

  • nu există instrucțiuni din partea operatorilor sau a persoanelor împuternicite de către operatori în ceea ce privește exercitarea de către DPO a sarcinilor
  • nu se prevede concedierea sau sancționarea de către operator în legătură cu îndeplinirea de către DPO a sarcinilor sale
  • nu există un conflicte de interese cu posibile alte sarcini și atribuții

Cele mai întâlnite mituri legate de activitatea DPO-ului:

Este DPO-ul responsabil personal de neconformitatea cu cerințele privind protecția datelor?

Nu! DPO-ul nu este responsabil personal de neconformitatea cu cerințele privind protecția datelor. Operatorul sau persoana împuternicită de către operator este cel sau cea care trebuie să se asigure și să fie în măsură să demonstreze că prelucrarea se efectuează în conformitate cu acest regulament.

Este DPO responsabil personal de evaluarea impactului asupra protecției datelor?

Nu! DPO-ul oferă avizul evaluarea impactului asupra protecției datelor la solicitarea operatorului sau a persoana împuternicită de către operator.

Păstrarea evidenței activităților de prelucrare este responsabilitatea DPO-ului?

Operatorul sau persoana împuternicită de către operator are obligația de a păstra evidenta însa poate delega această sarcina DPO-ului.

6. Cine are obligația de a desemna un DPO?

Operatorii și persoanele împuternicite de către operatori au obligația de a efectua și documenta o analiză internă pentru a stabili dacă este necesară sau oportună desemnarea unui DPO.

 

Desemnarea unui DPO este obligatorie pentru:

 

  • Toate autoritățile și organismele publice (indiferent de datele pe care le prelucrează)

Autoritățile și organismele publice includ autoritățile naționale, regionale și locale, organizațiilor private care îndeplinesc sarcini publice sau exercită autoritate publică să numească un DPO

 

  • Organizații care, ca activitate de bază, monitorizează persoane în mod sistematic și la scară largă

Monitorizarea periodică și sistematică a persoanelor vizate include toate formele de urmărire și profilare, atât online, cât și offline inclusiv în scopul publicității comportamentale

 

  • Organizații care prelucrează categorii speciale de date cu caracter personal la scară largă

Atunci când se stabilește dacă procesarea se face la scară largă, liniile directoare afirmă că trebuie să țineți cont de următorii factori: numărul sau procentul  persoanelor vizate în cauză, volumul de date cu caracter personal prelucrate, gama elementelor diferite de prelucrat, extinderea geografică a activității, durata sau permanența activității de prelucrare.

 

  • Prelucrarea unui număr de identificare național, inclusiv prin colectarea sau dezvăluirea documentelor ce îl conțin, în vederea realizării intereselor legitime urmărite de operator sau de o parte terță

Numere de identificare națională sunt acele numere prin care se identifica o persoana fizica în anumite sisteme de evidenta și care au aplicabilitate generala, cum ar fi: codul numeric personal, seria și numărul actului de identitate, numărul pașaportului, al permisului de conducere, numărul de asigurare sociala sau de sănătate.

 

RECOMANDARE: Chiar și organizațiile care nu îndeplinesc criteriile de obligativitate a numirii unui DPO ar trebui să ia în considere numirea unui DPO pe bază de voluntariat. Grupul de lucru pentru protecția datelor în temeiul articolului 29 („WP29”) si Autoritatea națională în domeniul protecției datelor încurajează numirea voluntară a unui DPO.

DPO intern sau DPO externalizat?

Aceasta este una dintre primele întrebări pe care și le pune o companie atunci decid să facă primii pași spre alinierea la GDPR. Ce se potrivește mai bine activității companiei mele și care sunt avantajele și dezavantajele? 

 

Pentru a vă ajuta să găsiți mai ușor răspunsurile pe care le căutați, am realizat realiza o paralelă a variantelor existente:

 

Avantajele si dezavantajele externalizarii unui DPO

 

În concluzie, companiile mari, pentru care costurile aferente unui DPO nu sunt o problema, vor alege, în general, varianta unui DPO intern, cu vastă experiență practică.

Companiile mici și medii vor înclina pentru delegarea sarcinilor DPO-ului prin cumul de funcții pentru a minimiza costurile. Aceasta soluție este însoțită de o serie de riscuri care se pot dovedi în final a fi extrem de costisitoare pentru companie.

 

Externalizarea serviciului de DPO presupune un efort financiar mult mai mic decât angajarea unui DPO. Totodată, externalizarea este o soluție mult mai eficientă, având în vedere că veți beneficia (în general) de aportul unei întregi echipe multidisciplinare compusă din specialiști în protecția datelor, juriști și specialiști în securitate cibernetică, o suma de calități și cunoștințe care cu greu se pot găsi într-un singur specialist.

O scurta recapiturale:

  • Aveți obligația numi un Responsabil de protecție a datelor (DPO) dacă sunteți o autoritate sau un organism public sau dacă desfășurați anumite tipuri de activități de prelucrare.
  • DPO-ul vă ajută să monitorizați respectarea internă GDPR-ului, vă informează și vă oferă sfaturi cu privire la obligațiile dvs. privind protecție a datelor, vă sprijină în vederea realizării evaluărilor impactului protecției datelor (DPIA) și acționează ca un punct de contact pentru persoanele vizate și autoritatea de supraveghere.
  • DPO trebuie să fie independent, un expert în protecția datelor, să dispună de resurse adecvate și să raporteze la cel mai înalt nivel de conducere.
  • Un DPO poate fi un angajat existent sau numit extern.
  • DPO-ul vă poate ajuta să demonstrați conformitatea și este o dovada a unei culturi organizaționale bazata pe responsabilitate.

Compania ta are nevoie de un DPO?

Pentru mai multe detalii vă invităm pe site-ul nostru decalex.ro sau ne puteți contacta la adresa de email office@decalex.ro

Vom răspunde cu drag tuturor întrebărilor voastre!

 

Share:
Cristian Donciu
Autor: Cristian Donciu

Junior Privacy & Data Protection Consultant

PUNE O INTREBARE