avocatnet.ro 
Obligația de a desemna un DPO este introdusă de Regulamentul general privind protecția datelor (GDPR), care se va aplica și în România începând cu data de 25 mai 2018. Aceasta va interveni, în esență, în cazul companiilor care se ocupă în principal de prelucrarea datelor personale, însă fără să aibă o importanță reală dimensiunea entităților în cauză. De exemplu, desemnarea unui DPO va fi obligatorie, în egală măsură, pentru o clinică privată (ce strânge datele medicale ale pacienților) sau pentru un magazin online (ce strânge și folosește datele clienților pentru a le face oferte personalizate).
GDPR permite contractarea unui DPO din exteriorul firmei (avocat, persoană fizică autorizată sau chiar altă companie), însă există și varianta desemnării DPO-ului din rândul salariaților proprii (indiferent că vorbim de un angajat actual sau unul nou). În acest articol ne axăm pe varianta a doua, în condițiile în care mai mulți cititori ai publicației noastre au fost nedumeriți de cum se va face evaluarea activității DPO-ului din moment ce acesta va avea o mare libertate de acțiune.
În continuare poți citi despre:
- cum poate fi evaluată activitatea DPO-ului, inclusiv prin intermediul unor persoane din exteriorul firmei;
- ce aspecte pot fi luate în calcul la evaluarea DPO-ului;
- activitatea DPO-ului nu poate fi evaluată doar în funcție de amenzile pe care le primesc sau nu companiile.
Răspunsul este cât se poate de simplu: responsabilul cu protecția datelor va fi evaluat la fel ca orice alt salariat. Cu toate acestea, angajatorul nu va putea să ceară DPO-ului „garantarea succesului”, adică firma să nu fie amendată la niciun control al autorităților din domeniul protecției datelor.
„Munca unui DPO este de multe ori greu cuantificabilă. De asemenea, munca unui DPO este una de diligență, asemănătoare avocatului, care nu poate fi legată de rezultatul acelei activități (de exemplu, dacă operatorul nu a fost sancționat de Autoritatea de Supraveghere, activitatea a fost bună și invers). Însă, ca în orice altă funcție, se stabilesc obiective anuale, iar urmărirea acestora este un mod eficient de a verifica activitatea. De exemplu, efectuarea unor training-uri, crearea unor politici interne, a unor clauze-standard, crearea unor procese interne (de exemplu, pentru studii de impact) etc.”, a declarat, la solicitarea redacției noastre, Andreea Lisievici, avocat la PrivacyOne.
Informația a fost confirmată pentru avocatnet.ro și de Horia Ispas, partener la Țuca Zbârcea & Asociații, care a subliniat că regulamentul european nu oferă niciun indiciu cu privire la evaluarea activității DPO-ului: „GDPR nu reglementează mecanismele prin care activitatea DPO-ului ar putea fi evaluată. Ca atare, în scopul evaluării activității DPO-ului, ar putea fi implementate măsuri similare celor care sunt, în general, folosite pentru evaluarea activității angajaților”.
Specialistul casei de avocatură a explicat că, în acest sens, angajatorul ar trebui să traseze clar sarcinile și atribuțiile responsabilului cu protecția datelor atât prin intermediul politicilor interne ale firmei, cât și prin intermediul contractului individual de muncă și al fișei de post. Totodată, DPO-ului ar trebui să i se stabilească și sarcini de raportare periodică la nivelul conducerii societății.
Pe deasupra, compania va putea verifica activitatea DPO-ului și cu ajutorul unor persoane din exterior, care să ofere puncte de vedere avizate în legătură cu ceea ce responsabilul cu protecția datelor a făcut bine sau rău.
„Nu în ultimul rând, activitatea DPO-ului ar putea fi verificată în contextul auditării prin intermediul unor terți specialiști (consultanți în securitate cibernetică, avocați etc.) a activității societății de prelucrare a datelor personale sau al unor controale din partea Autorității pentru Supravegherea Prelucrării Datelor cu Caracter Personal”, a mai spus Horia Ispas.
În orice caz, în prevederile GDPR este exprimat cât se poate de clar că un DPO nu va putea fi sancționat pentru că-și face treaba bine: „Operatorul (firma - n. red.) și persoana împuternicită de operator se asigură că responsabilul cu protecția datelor nu primește niciun fel de instrucțiuni în ceea ce privește îndeplinirea acestor sarcini (sarcinile specifice DPO-ului - n. red.). Acesta nu este demis sau sancționat de către operator sau de persoana împuternicită de operator pentru îndeplinirea sarcinilor sale”.
Independența este una dintre condițiile esențiale de care va avea nevoie un DPO ca să-și desfășoare activitatea așa cum trebuie. Totodată, acesta va răspunde numai în fața conducerii firmei și va trebui implicat în tot ceea ce societatea face sau urmează să facă în privința prelucrării datelor personale.
Principalele sarcini pe care le va avea un DPO sunt prevăzute în GDPR, dar angajatorii au posibilitatea de a stabili și sarcini suplimentare.
NeliF