avocatnet.ro 
Desemnarea obligatorie a unui responsabil cu protecția datelor personale la firmele care se ocupă în principal cu prelucrarea datelor este prevăzută de Regulamentul general privind protecția datelor (GDPR). Documentul se va aplica, începând cu data de 25 mai 2018, direct în România și în celelalte state membre ale Uniunii Europene.
În esență, DPO-ul va putea să fie ori un salariat al firmei, ori un consultant extern. „Responsabilul cu protecția datelor poate fi un membru al personalului operatorului (adică al societății - n. red.) sau persoanei împuternicite de operator sau poate să își îndeplinească sarcinile în baza unui contract de servicii”, prevede GDPR.
Dacă în privința desemnării unui salariat lucrurile sunt destul de clare, actul normativ lasă o libertate destul de mare atunci când vine vorba de contractarea unui consultant extern. Concret, acesta ar putea fi o persoană fizică autorizată (PFA), un avocat sau chiar o societate.
„Un responsabil cu protecția datelor poate fi salariat, dar poate fi și extern - PFA, avocat, societate comercială. Este important însă de menționat că, și în cazul în care contractul se încheie cu o formă de organizare colaborativă (societate de avocați, societate comercială), trebuie în continuare desemnată o persoană anume care va deține funcția de responsabil cu protecția datelor. Acest lucru este necesar pentru că funcția este una unipersonală (chiar și acolo unde are în spate un departament) și această persoană va fi cea indicată Autorității Nationale pentru Supravegherea Prelucrării Datelor cu Caracter Personal, în informările către persoanele vizate, în studiile de impact etc.”, a lămurit, la solicitarea redacției avocatnet.ro, Andreea Lisievici, avocat PrivacyOne.
Important! Legislația europeană permite ca un grup de companii să poată numi un responsabil cu protecția datelor unic. Singura condiție va fi ca această persoană să fie ușor accesibilă din fiecare firmă a grupului.
Sunt necesare doar unele cunoștințe de specialitate
Cei care vor dori să ocupe funcția de responsabil cu protecția datelor nu vor avea nevoie de studii în domeniu și nici de vreo experiență profesională anterioară specifică. Singura precizare inclusă în GDPR este ca aceste persoane să aibă cunoștințe de specialitate în dreptul și practicile din domeniul protecției datelor.
„Nu este necesar ca DPO-ul să fie avocat, însă este de așteptat ca majoritatea să provină din acest domeniu datorită nevoii de a cunoaște practica și jurisprudența anterioară dezvoltate în aplicarea Directivei 95/46/CE și a Legii nr. 677/2001. Un responsabil poate avea formare, de exemplu, în IT sau în managementul proiectelor, cu condiția să fie instruit în chestiunile juridice care îi lipsesc. Și invers, un avocat responsabil cu protecția datelor are nevoie de o sumedenie de cunoștințe de ordin tehnic, pe care poate în mod normal nu le-ar dobândi (în special pe partea de securitate, dar și chestiuni adaptate domeniului în care activează operatorul de date, un bun exemplu fiind entitățile implicate în publicitatea comportamentală)”, ne-a spus Andreea Lisievici.
Notă: De câteva luni, funcția de responsabil cu protecția datelor a fost introdusă în Clasificarea ocupațiilor din România.
Responsabilul va avea un grad mare de independență
Persoanele care vor ocupa funcția de responsabil cu protecția datelor se vor bucura de un grad mare de independență în desfășurarea activității lor, reiese din regulamentul european citat. Lucru scos în evidență și de avocata contactată de redacția noastră.
„De asemenea, o altă chestiune importantă este că, indiferent de forma aleasă, contractul cu responsabilul nu va putea fi încetat de firmă pe motivul că acesta își îndeplinește atribuțiile. Este o chestiune de avut în vedere, pentru că responsabilul cu protecția datelor va avea un mare grad de independență, deciziile și analizele sale neputând fi invalidate, ci doar luată o decizie de afaceri în sensul asumării riscurilor și neîndeplinirii măsurilor indicate. Însă indiferent cât de costisitoare sau neplăcute vor fi concluziile responsabilului cu protecția datelor pe anumite chestiuni, contractul acestuia nu va putea fi încetat pe acest motiv. Asta însă nu elimină posibilitatea încetării contractului pe motiv de culpă profesională sau chiar încetarea fără motiv, dar cu preaviz”, a explicat specialista de la PrivacyOne.
Potrivit reglementărilor aplicabile din 25 mai 2018, DPO-ul va trebui să fie sprijinit de firmă în îndeplinirea sarcinilor sale, asigurându-i-se resursele necesare pentru executarea lor și pentru menținerea cunoștințelor de specialitate pe care le are. Mai exact, responsabilul cu protecția datelor va avea cel puțin sarcinile detaliate în cadrul regulamentului european, după cum urmează:
- informarea și consilierea companiei și a angajaților care se ocupă de prelucrare cu privire la obligațiile care le revin conform legislației protecției datelor;
- monitorizarea respectării legislației protecției datelor și a politicilor companiei în ceea ce privește protecția datelor cu caracter personal, inclusiv alocarea responsabilităților și acțiunile de sensibilizare și de formare a personalului implicat în operațiunile de prelucrare, precum și auditurile aferente;
- furnizarea de consiliere la cerere în ceea ce privește evaluarea impactului asupra protecției datelor și monitorizarea funcționării acesteia;
- cooperarea cu autoritatea de supraveghere a țării;
- asumarea rolului de punct de contact pentru autoritatea de supraveghere a țării privind aspectele legate de prelucrare, inclusiv consultarea prealabilă, precum și consultarea cu privire la orice altă chestiune.
Atenție! În actul normativ menționat mai este subliniat că responsabilul cu protecția datelor va răspunde direct în fața celui mai înalt nivel al conducerii unei societăți. Informații suplimentare despre categoriile de firme cărora le va reveni noua obligație pot fi găsite aici.
NeliF