Obligația desemnării unui DPO apare în Regulamentul general privind protecția datelor (GDPR), act normativ care se va aplica, în mod direct, în toate statele membre ale Uniunii Europene, începând cu data de 25 mai 2018. În esență, vor trebui să numească un DPO firmele care se ocupă în principal de prelucrarea datelor personale.
GDPR prevede în mod expres că responsabilul cu protecția datelor va putea ocupa, concomitent, și altă funcție în cadrul firmei, însă numai în măsura în care nu există conflicte de interese. „Responsabilul cu protecția datelor poate îndeplini și alte sarcini și atribuții. Operatorul sau persoana împuternicită de operator se asigură că niciuna dintre aceste sarcini și atribuții nu generează un conflict de interese”, dispune regulamentul amintit.
De principiu, DPO-ul nu poate ocupa, în același timp, și o funcție de decizie, ajungându-se în situația în care acesta își evaluează propria activitate privind prelucrarea datelor personale. „[Conflictul de interese apare în] orice situație în care DPO-ul ar fi chemat să analizeze o chestiune în care el a decis sau pe care el a implementat-o în cadrul altei funcții. Sau în care chiar DPO-ul stabilește scopul și mijloacele prelucrării de date”, a lămurit, la solicitarea redacției noastre, Andreea Lisievici, avocat la PrivacyOne.
Specialista a dat ca exemplu o situație din Germania, țară de unde vine conceptul de DPO, acolo unde o firmă a fost amendată pentru conflict de interese după ce managerul IT a fost desemnat și responsabil cu protecția datelor.
În opinia autorităților de acolo, poziția de manager IT este incompatibilă cu cea de DPO, deoarece acesta din urmă ar trebui să se monitorizeze pe el însuși, ceea ce ar fi în contradicție cu independența necesară responsabilului cu protecția datelor. În plus, autoritățile au subliniat că există conflict de interese dacă DPO-ul este șef al oricărui departament implicat serios în prelucrarea de date personale, cum ar fi cele de HR, juridic sau marketing.
„Conflictul de interese este indisolubil legat de cerința independenței DPO-ului. Orice funcții sau sarcini suplimentare încredințate DPO-ului care generează o presiune din zona de business (de exemplu, puteri de decizie sau chiar de execuție în legătură cu scopurile și mijloacele de prelucrare a datelor), contrară atribuțiilor legale ale DPO-ului, sunt surse ale conflictului de interese. Nu există o listă a unor astfel de funcții, ci acestea trebuie determinate de la caz la caz, întrucât structurile organizatorice și procesele decizionale interne variază de la o societate la alta”, ne-a explicat și Horia Ispas, partener la Țuca Zbârcea & Asociații.
Horia Ispas a venit și el cu niște exemple concrete de conflicte de interese, care pot fi rezumate astfel:
-
funcția de DPO e ocupată de persoane cu funcții de conducere, cum ar fi cele de:
- administrator sau director general (apare un conflict de interese general, având în vedere și puterea decizională generală cu privire la activitatea unei societăți);
- director financiar (decide în aspectele financiare și poate influența decizia de a aproba finanțarea de măsuri de conformare stabilite de GDPR);
- director de resurse umane (poate influența mecanismele de prelucrare a datelor angajaților, foștilor angajați sau potențialilor angajați);
- director de marketing (poate influența mecanismele de prelucrare a datelor clienților în activitatea de marketing);
- funcția de DPO e ocupată de persoane care n-au funcții de conducere, cum ar fi un consilier juridic ce reprezintă societatea în instanță într-un litigiu pe legalitatea prelucrării datelor personale.
Ocuparea funcției de DPO la firme se va face fie prin desemnarea unui angajat propriu (nou sau actual), fie prin contractarea unui colaborator extern (avocat, persoană fizică autorizată, altă firmă etc.). Informații mai multe despre opțiuni sunt aici. În altă oridine de idei, mai nou, responsabilul cu protecția datelor figurează și în Clasificarea ocupațiilor din România.
Obligația de a avea un DPO va apărea, din 25 mai 2018, în cazul societăților care se ocupă în principal cu prelucrarea datelor personale. De exemplu, vorbim de bănci, spitale, clinici private, farmacii sau magazine online. Chiar dacă poate părea probabil ca doar societățile de dimensiuni medii și mari să fie vizate de obligație, aceasta poate apărea și la cele de dimensiuni mici.