Într-o eră digitală în care informația circulă rapid și în cantități uriașe, protejarea datelor cu caracter personal a devenit o prioritate pentru orice organizație. În acest context, apare o funcție-cheie impusă de regulamentul european GDPR: DPO – Data Protection Officer, în română Responsabil cu protecția datelor.
Dar ce înseamnă mai exact DPO? De ce este important, cine are nevoie de un astfel de responsabil și ce competențe trebuie să dețină? În acest articol vei găsi o introducere clară și concisă despre rolul și responsabilitățile unui DPO, pregătind terenul pentru o înțelegere completă a cerințelor legale.
Ce este un DPO – Definiție și rol
DPO, prescurtarea de la Data Protection Officer, este persoana desemnată să supravegheze respectarea legislației privind protecția datelor cu caracter personal în cadrul unei organizații. Conform Regulamentului general privind protecția datelor (GDPR – Regulamentul UE 2016/679), DPO-ul acționează ca un intermediar între autoritățile de reglementare și companie, având și un rol consultativ intern pentru angajați și conducere.
Pe scurt, DPO-ul:
-
Monitorizează conformitatea cu GDPR și alte reglementări aplicabile;
-
Consiliază conducerea și angajații cu privire la obligațiile privind protecția datelor;
-
Colaborează cu autoritatea de supraveghere (ex: ANSPDCP în România);
-
Este punct de contact pentru persoane vizate (clienți, angajați, utilizatori).
Cine are obligația legală de a desemna un DPO?
Nu toate organizațiile sunt obligate să aibă un DPO, însă regulamentul impune desemnarea unuia în trei situații principale:
-
Autorități sau organisme publice (cu excepția instanțelor în activități jurisdicționale);
-
Organizații care prelucrează date personale la scară largă, în mod sistematic și periodic (ex: spitale, bănci, companii de telecomunicații);
-
Operatori care prelucrează categorii speciale de date (ex: date medicale, date biometrice, religie, orientare sexuală etc.).
Chiar și organizațiile care nu sunt obligate pot opta voluntar pentru desemnarea unui DPO, ca o măsură de responsabilitate și transparență față de datele colectate.
Ce competențe trebuie să aibă un DPO?
DPO-ul nu este doar un titlu onorific. Persoana care ocupă acest rol trebuie să dețină:
-
Cunoștințe temeinice de legislație privind protecția datelor (în special GDPR);
-
Înțelegere tehnică a proceselor de prelucrare a datelor;
-
Abilități de consiliere și comunicare;
-
Capacitate de analiză a riscurilor privind confidențialitatea;
-
Independență funcțională – DPO-ul nu trebuie să fie influențat în deciziile sale de conducerea organizației.
Conform GDPR, DPO-ul trebuie să aibă o poziție autonomă, să nu primească instrucțiuni în legătură cu modul în care își îndeplinește atribuțiile și să nu fie demis pentru îndeplinirea acestora.
Ce trebuie să dețină un DPO (din punct de vedere profesional)?
Pentru a fi eficient și conform cu cerințele legale, un responsabil cu protecția datelor ar trebui să aibă:
-
Certificări recunoscute în domeniu (ex: CIPP/E, CIPM, cursuri autorizate de protecția datelor);
-
Documentație clară a activității sale (politici, rapoarte, recomandări);
-
Acces la resurse (timp, buget, formare continuă);
-
Statut intern bine definit în organigrama companiei;
-
O rețea de suport (colegi din IT, juridic, HR etc.) pentru implementarea măsurilor.
Concluzie
Într-o organizație modernă, DPO-ul este mai mult decât un simplu consultant juridic. Este garantul încrederii, al transparenței și al protejării vieții private într-un peisaj digital complex. Alegerea unei persoane potrivite pentru acest rol – fie internă, fie externă – este esențială pentru evitarea sancțiunilor și pentru dezvoltarea unei culturi organizaționale bazate pe respectarea drepturilor individuale.
Va prezentam mai jos legislatia in vigoare privind Responsabilul cu protecția datelor
Articolul 37
Desemnarea responsabilului cu protecția datelor
(1) Operatorul și persoana împuternicită de operator desemnează un responsabil cu protecția datelor ori de câte ori:
(a) prelucrarea este efectuată de o autoritate sau un organism public, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale;
(b) activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă; sau
(c) activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date în temeiul articolului 9 sau a unor date cu caracter personal referitoare la condamnări penale și infracțiuni, menționată la articolul 10.
(2) Un grup de întreprinderi poate numi un responsabil cu protecția datelor unic, cu condiția ca responsabilul cu protecția datelor să fie ușor accesibil din fiecare întreprindere.
(3) În cazul în care operatorul sau persoana împuternicită de operator este o autoritate publică sau un organism public, poate fi desemnat un responsabil cu protecția datelor unic pentru mai multe dintre aceste autorități sau organisme, luând în considerare structura organizatorică și dimensiunea acestora.
(4) În alte cazuri decât cele menționate la alineatul (1), operatorul sau persoana împuternicită de operator ori asociațiile și alte organisme care reprezintă categorii de operatori sau de persoane împuternicite de operatori pot desemna sau, acolo unde dreptul Uniunii sau dreptul intern solicită acest lucru, desemnează un responsabil cu protecția datelor. Responsabilul cu protecția datelor poate să acționeze în favoarea unor astfel de asociații și alte organisme care reprezintă operatori sau persoane împuternicite de operatori.
(5) Responsabilul cu protecția datelor este desemnat pe baza calităților profesionale și, în special, a cunoștințelor de specialitate în dreptul și practicile din domeniul protecției datelor, precum și pe baza capacității de a îndeplini sarcinile prevăzute la articolul 39.
(6) Responsabilul cu protecția datelor poate fi un membru al personalului operatorului sau persoanei împuternicite de operator sau poate să își îndeplinească sarcinile în baza unui contract de servicii.
(7) Operatorul sau persoana împuternicită de operator publică datele de contact ale responsabilului cu protecția datelor și le comunică autorității de supraveghere.
Articolul 38
Funcția responsabilului cu protecția datelor
(1) Operatorul și persoana împuternicită de operator se asigură că responsabilul cu protecția datelor este implicat în mod corespunzător și în timp util în toate aspectele legate de protecția datelor cu caracter personal.
(2) Operatorul și persoana împuternicită de operator sprijină responsabilul cu protecția datelor în îndeplinirea sarcinilor menționate la articolul 39, asigurându-i resursele necesare pentru executarea acestor sarcini, precum și accesarea datelor cu caracter personal și a operațiunilor de prelucrare, și pentru menținerea cunoștințelor sale de specialitate.
(3) Operatorul și persoana împuternicită de operator se asigură că responsabilul cu protecția datelor nu primește niciun fel de instrucțiuni în ceea ce privește îndeplinirea acestor sarcini. Acesta nu este demis sau sancționat de către operator sau de persoana împuternicită de operator pentru îndeplinirea sarcinilor sale. Responsabilul cu protecția datelor răspunde direct în fața celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator.
(4) Persoanele vizate pot contacta responsabilul cu protecția datelor cu privire la toate chestiunile legate de prelucrarea datelor lor și la exercitarea drepturilor lor în temeiul prezentului regulament.
(5) Responsabilul cu protecția datelor are obligația de a respecta secretul sau confidențialitatea în ceea ce privește îndeplinirea sarcinilor sale, în conformitate cu dreptul Uniunii sau cu dreptul intern.
(6) Responsabilul cu protecția datelor poate îndeplini și alte sarcini și atribuții. Operatorul sau persoana împuternicită de operator se asigură că niciuna dintre aceste sarcini și atribuții nu generează un conflict de interese.
Articolul 39
Sarcinile responsabilului cu protecția datelor
(1) Responsabilul cu protecția datelor are cel puțin următoarele sarcini:
- informarea şi consilierea angajaţilor Instituției, care se ocupă de prelucrarea datelor cu caracter personal, cu privire la obligaţiile care le revin în temeiul Regulamentului (UE)679/2016, ale Legii 190/2018 şi ale Legii 102/2005 şi ale altor dispoziţii de drept al Uniunii sau drept intern referitoare la protecţia datelor;
- monitorizarea respectării Regulamentului (UE)679/2016, a altor dispoziţii de drept al Uniunii sau de drept intern referitoare la protecţia datelor şi a politicilor Instituției sau ale persoanei împuternicite de operator în ceea ce priveşte protecţia datelor cu caracter personal, inclusiv alocarea responsabilităţilor şi acţiunile de sensibilizare şi de formare a personalului implicat în operaţiunile de prelucrare, precum şi auditurile aferente;
- furnizarea de consiliere la cerere în ceea ce priveşte evaluarea impactului asupra protecţiei datelor şi monitorizarea funcţionării acesteia;
- cooperarea cu Autoritatea Naţională de Supraveghere a Protecţiei Datelor cu Caracter Personal;
- asumarea rolului de punct de contact pentru Autoritatea Naţională de Supraveghere a Protecţiei Datelor cu Caracter Personal privind aspectele legate de prelucrare, inclusiv consultarea prealabilă referitoare la riscuri, precum şi, dacă este cazul, consultarea cu privire la orice altă chestiune.
- În îndeplinirea sarcinilor sale, responsabilul cu protecţia datelor ţine seama în mod corespunzător de riscul asociat operaţiunilor de prelucrare, luând în considerare natura, domeniul de aplicare, contextul şi scopurile prelucrării. (art. 39 din GDPR)
- Responsabilul cu protecţia datelor nu primeşte niciun fel de instrucţiuni în ceea ce priveşte îndeplinirea acestor sarcini. Acesta nu este demis sau sancţionat de către Instituție sau de persoana împuternicită de operator pentru îndeplinirea sarcinilor sale. (art. 38 al 3 din GDPR)
- Responsabilul cu protecţia datelor are obligaţia de a respecta secretul sau confidenţialitatea în ceea ce priveşte îndeplinirea sarcinilor sale, în conformitate cu dreptul Uniunii sau cu dreptul intern. (art. 38 al 5 din GDPR)
- Responsabilul cu protecţia datelor poate fi un membru al personalului societății sau poate să îşi îndeplinească sarcinile în baza unui contract de servicii. (art. 37 al 6 din GDPR)
Responsabilul cu protecţia datelor poate îndeplini şi alte sarcini şi atribuţii cu condiţia ca niciuna dintre aceste sarcini şi atribuţii să nu genereze un conflict de interese. (art. 38 al 6 din GDPR)
- Responsabilul cu protecţia datelor cu caracter personal are dreptul să ceară şi să obţină de de la personalul societății comerciale, orice informatii şi documente, indiferent de suportul de stocare, să aibă acces la oricare dintre incintele Instituției, precum şi să aibă acces şi să verifice orice echipament, mijloc sau suport de stocarea datelor, în condiţiile legii. (art. 14 al 2 din Legea 102/2005 actualizată)
- Întregul personal al societății sprijină responsabilul cu protecţia datelor în îndeplinirea sarcinilor menţionate, asigurându-i resursele necesare pentru executarea acestor sarcini, precum şi accesarea datelor cu caracter personal şi a operaţiunilor de prelucrare, şi pentru menţinerea cunoştinţelor sale de specialitate. (art. 38 al 2 din GDPR)
(2) În îndeplinirea sarcinilor sale, responsabilul cu protecția datelor ține seama în mod corespunzător de riscul asociat operațiunilor de prelucrare, luând în considerare natura, domeniul de aplicare, contextul și scopurile prelucrării.
