UPDATE: Integrarea în firmă a unui DPO: Salariatul va avea nevoie de independență și de resurse adecvate

Obligația de a avea un DPO va reveni, începând cu data de 25 mai 2018, firmelor care se ocupă în principal cu prelucrarea datelor personale, conform Regulamentului general privind protecția datelor (GDPR). În esență, vizate sunt băncile, spitalele, clinicile private, farmaciile, magazinele online și nu numai, fără să aibă o importanță reală dimensiunea firmei.

Desemnarea unui responsabil cu protecția datelor se va putea face în două feluri: fie prin alegerea unui salariat propriu (nou sau actual), fie prin contractarea unui colaborator extern. Noi ne concentrăm în acest articol pe desemnarea unui salariat propriu și ce va presupune asta, având în vedere că un om intern implicat zilnic în activitatea firmei se va putea achita cel mai bine de sarcinile sale de DPO.

„Exercițiul funcției de DPO trebuie să fie reglementat în raporturile contractuale cu persoana care va exercita funcția de DPO. Aceasta presupune încheierea unui contract de muncă (care să reglementeze atribuțiile specifice acestei funcții), dacă funcția de DPO va fi ocupată de o persoană nou-angajată. Dacă funcția de DPO va fi ocupată de un angajat existent, societatea va trebui să semneze cu angajatul respectiv un act adițional la contractul de muncă (prin care părțile vor agrea modificarea fișei postului, cu suplimentarea sarcinilor specifice unui DPO, precum și eventualele ajustări privind remunerația cuvenită acestuia)”, a lămurit, pentru redacția noastră, Horia Ispas (foto dreapta), partener la Țuca Zbârcea & Asociații.

Integrarea unui DPO în organigrama companiei va trebui făcută, în principiu, respectându-se anumite condiții esențiale, așa cum reiese din GDPR și din recomandările specialiștilor cu care am stat de vorbă.

În esență, „trebuie respectate cerințele GDPR specifice acestei funcții: independență, acces la resurse, acces la personalul care prelucrează date, acces la cel mai înalt nivel de management”, a rezumat pentru noi Andreea Lisievici (foto stânga), avocat la PrivacyOne.

Notă: De câteva luni, funcția de responsabil cu protecția datelor a fost introdusă în Clasificarea ocupațiilor din România.

În continuarea articolului poți citi despre:

• stabilirea unui grad ridicat de independență în activitatea la firmă a DPO-ului;
• accesul DPO-ului la tot ce se întâmplă în companie în privința prelucrărilor de date personale;
• evitarea conflictelor de interese în cazul cumulului de funcții.

1. Independența

Responsabilul cu protecția datelor va avea un grad ridicat de independență și va răspunde direct în fața celui mai înalt nivel al conducerii, așa cum reiese din prevederile GDPR.

Cu alte cuvinte, acesta nu poate fi încadrat ca subordonat al șefului unui anumit departament al firmei. El trebuie să aibă, de preferat, propriul departament pe care să-l conducă sau, în cel mai rău caz, să fie inclus într-un anumit departament din motive de spațiu. De exemplu, să stea în departamentul de vânzări pentru că acolo i se găsește spațiu pentru un birou, dar să nu figureze în organigramă ca subordonat al șefului vânzărilor.

„Ca regulă generală, funcția de DPO trebuie reflectată în organigrama societății. Ca atare, ar trebui să existe o decizie a organului societar competent prin care să se actualizeze structura organizatorică internă (fie în sensul că se creează o nouă poziție, fie că se suplimentează atribuțiile unei poziții deja existente, cu cele specifice DPO-ului)”, a punctat Horia Ispas.

2. Accesul

O condiție esențială pentru ca DPO-ul să poată să-și desfășoare treaba în mod adecvat este accesul la resurse, adică inclusiv la bani. Mai precis, potrivit GDPR, compania va fi obligată să sprijine responsabilul cu protecția datelor în îndeplinirea sarcinilor sale.

„Operatorul (firma - n. red.) și persoana împuternicită de operator sprijină responsabilul cu protecția datelor în îndeplinirea sarcinilor (...), asigurându-i resursele necesare pentru executarea acestor sarcini, precum și accesarea datelor cu caracter personal și a operațiunilor de prelucrare, și pentru menținerea cunoștințelor sale de specialitate”, scrie în GDPR.

Concret, din informațiile furnizate de PrivacyOne reiese că accesul la resurse va implica un sprijin activ din partea managementului superior și timp suficient pentru îndeplinirea atribuțiilor de DPO. De asemenea, va fi necesar un sprijin adecvat pe partea de resurse financiare, infrastructură (sediu, facilități, echipament) și personal, precum și de pregătire profesională continuă.

Referitor la accesul la prelucrările de date și la personalul care prelucrează date, ideea de bază este că DPO-ul va trebui să fie implicat „în mod corespunzător și în timp util în toate aspectele legate de protecția datelor cu caracter personal”, potrivit GDPR. El va necesita acces la alte servicii alte societății, conform PrivacyOne, cum sunt cele de resurse umane, juridic, IT sau securitate, pentru a beneficia de sprijin esențial, reacții și informații din partea lor.

Totodată, DPO-ul va trebui să anticipeze și să ghideze firma în privința managementului datelor personale, să se ocupe de instruirea colegilor și să se asigure că sunt implementate procedurile de lucru necesare protejării datelor personale.

Dacă vorbim de acces, atunci responsabilul cu protecția datelor va trebui să fie implicat în tot ceea ce conducerea decide, dacă există implicații asupra protecției datelor personale. Mai precis, informarea, implicarea și consultarea DPO-ului înainte de începerea prelucrărilor, participarea în mod regulat la ședințele conducerii, solicitarea avizului DPO-ului înainte de luarea unei decizii și consultarea acestuia imediat ce apar încălcări ale securității datelor.

3. Evitarea conflictelor de interese

Prevederile GDPR, ce se vor aplica direct în toate statele membre UE, deci și în România, stabilesc posibilitatea ca un DPO să aibă și alte sarcini și atribuții ce nu țin de protecția datelor. Însă este obligatoriu ca niciuna dintre ele să nu genereze conflicte de interese.

Pe scurt, Andreea Lisievici a explicat că un conflict de interese ar putea fi „orice situație în care DPO-ul ar fi chemat să analizeze o chestiune în care el a decis sau pe care el a implementat-o în cadrul altei funcții, sau în care chiar DPO-ul stabilește scopul și mijloacele prelucrării de date”.

„Nu există o listă a unor astfel de funcții (care generează conflicte de interese - n. red.), ci acestea trebuie determinate de la caz la caz, întrucât structurile organizatorice și procesele decizionale interne variază de la o societate la alta”, este de părere Horia Ispas.

Cu titlu de exemplu, putem vorbi de conflict de interese dacă DPO-ul ar ocupa, concomitent, o funcție de decizie (administrator, director general, director financiar etc.) sau chiar o funcție inferioară (manager IT etc.).