Obligația firmelor de a desemna un responsabil cu protecția datelor personale este prevăzută în Regulamentul general privind protecția datelor (GDPR). Acesta se va aplica, începând cu data de 25 mai 2018, direct în toate statele Uniunii Europene (UE), fără ca autoritățile să fie nevoite să-l transpună în legislația României.
Pe scurt, documentul introduce obligația de a avea la companie un DPO, însă doar în cazul societăților care se ocupă în principal cu prelucrarea unor astfel de date. De principiu, vorbim de companii cum sunt băncile, spitalele, clinicile private, farmaciile sau magazinele online, însă nu numai. Deși poate părea probabil ca doar societățile de dimensiuni medii și mari să fie vizate de obligație, aceasta poate apărea și la cele de dimensiuni mici.
„Obligația de a numi un responsabil cu protecția datelor nu ține de mărimea entității, ci exclusiv de îndeplinirea condițiilor expres prevăzute de articolul 37 din Regulamentul european 2016/679, ceea ce în sectorul privat înseamnă ca activitatea principală să constea fie în (1) monitorizarea periodică, sistematică și pe scară largă a persoanelor, fie în (2) prelucrarea pe scară largă a unor categorii speciale de date (originea rasială sau etnică, opiniile politice, confesiunea religioasă, convingerile filozofice, apartenența la sindicate, date genetice, date biometrice pentru identificarea unică a unei persoane fizice, date privind sănătatea, date privind viața sexuală sau orientarea sexuală) sau a datelor privind condamnări penale și infracțiuni. Nu este necesar ca această activitate principală să fie prestată prin mijloace proprii - o firmă cu un singur angajat și care subcontractează toată activitatea se poate încadra la obligația de a numi un responsabil cu protecția datelor dacă îndeplinește una dintre cele două condiții”, a lămurit, la solicitarea redacției noastre, Andreea Lisievici, avocat PrivacyOne.
În continuarea articolului poți citi despre:
- ce persoană poți pune ca DPO la firmă;
- posibilitatea de a avea un DPO extern firmei;
- ce trebuie să știe un responsabil cu protecția datelor pentru a ocupa funcția de DPO;
- sancțiunile pe care le vor risca societățile fără DPO, care-s obligate să-l aibă.
Numești un salariat propriu (nou sau vechi) ori contractezi o entitate externă
GDPR prevede că ocuparea funcției de responsabil cu protecția datelor se va putea face ori prin numirea cuiva din interiorul firmei, ori prin încheierea unui contract de servicii cu cineva din afara acesteia. Deoarece dispoziția nu este foarte precisă, rezultă că firmele vor avea o oarecare libertate în a alege varianta cea mai potrivită. În esență, putem vorbi de un salariat al firmei sau de o colaborare contractuală cu un avocat, o persoană fizică autorizată (PFA), o societate de avocatură sau chiar o altă companie.
„Un responsabil cu protecția datelor poate fi salariat, dar poate fi și extern - PFA, avocat, societate comercială. Este important însă de menționat că, și în cazul în care contractul se încheie cu o formă de organizare colaborativă (societate de avocați, societate comercială), trebuie în continuare desemnată o persoană anume care va deține funcția de responsabil cu protecția datelor. Acest lucru este necesar pentru că funcția este una unipersonală (chiar și acolo unde are în spate un departament) și această persoană va fi cea indicată Autorității Nationale pentru Supravegherea Prelucrării Datelor cu Caracter Personal, în informările către persoanele vizate, în studiile de impact etc.”, ne-a spus Andreea Lisievici.
Regulamentul european stabilește că responsabilul cu protecția datelor nu va primi instrucțiuni pentru îndeplinirea sarcinilor sale. Totodată, acesta nu va putea fi demis sau sancționat pentru că își îndeplinește sarcinile pe care le are. Plus că va răspunde direct în fața celui mai înalt nivel al conducerii companiei.
„Este o chestiune de avut în vedere, pentru că responsabilul cu protecția datelor va avea un mare grad de independență, deciziile și analizele sale neputând fi invalidate, ci doar luată o decizie de afaceri în sensul asumării riscurilor și neîndeplinirii măsurilor indicate. Însă indiferent cât de costisitoare sau neplăcute vor fi concluziile responsabilului cu protecția datelor pe anumite chestiuni, contractul acestuia nu va putea fi încetat pe acest motiv. Asta însă nu elimină posibilitatea încetării contractului pe motiv de culpă profesională sau chiar încetarea fără motiv, dar cu preaviz”, a atras atenția specialista de la PrivacyOne.
Notă: De câteva luni există în Clasificarea ocupațiilor și funcția de responsabil cu protecția datelor.
Responsabilul trebuie să aibă cunoștințe în domeniu
DPO-ul nu va trebui să aibă anumite studii sau o anumită experiență profesională pentru a ocupa această poziție la o societate. Totuși, GDPR impune ca această persoană să aibă cunoștințe de specialitate în dreptul și practicile din domeniul protecției datelor.
„Regulamentul european 2016/679 nu impune o anumită calificare pentru un responsabil cu protecția datelor, ci doar solicită ca acesta să aibă cunoștințe de specialitate în dreptul și practicile din domeniul protecției datelor și să poată îndeplini sarcinile prevăzute la articolul 39 din regulament”, subliniază Andreea Lisievici.
Concret, vorbim de sarcini precum informarea și consilierea firmei și a angajaților care se ocupă de prelucrări referitor la obligațiile legale care le revin privind protecția datelor sau monitorizarea respectării legislației protecției datelor și a politicilor companiei în ceea ce privește protecția datelor. Specialista contactată de redacția noastră a opinat că este destul de probabil ca viitorii responsabili cu protecția datelor să fie avocați.
„Nu este necesar ca responsabilul să fie avocat, însă este de așteptat ca majoritatea să provină din acest domeniu datorită nevoii de a cunoaște practica și jurisprudența anterioară dezvoltate în aplicarea Directivei 95/46/CE și a Legii nr. 677/2001. Un responsabil poate avea formare, de exemplu, în IT sau în managementul proiectelor, cu condiția să fie instruit în chestiunile juridice care îi lipsesc. Și invers, un avocat responsabil cu protecția datelor are nevoie de o sumedenie de cunoștințe de ordin tehnic, pe care poate în mod normal nu le-ar dobândi (în special pe partea de securitate, dar și chestiuni adaptate domeniului în care activează operatorul de date, un bun exemplu fiind entitățile implicate în publicitatea comportamentală)”, a explicat avocata.
Important! Entitățile ce nu vor respecta obligația de a desemna un responsabil cu protecția datelor vor risca amenzi destul de mari, așa cum reiese din regulamentul european aplicabil din 25 mai 2018. Mai exact, este vorba de amenzi administrative de până la zece milioane de euro sau, în cazul întreprinderilor, de până la 2% din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior.