"De vineri, cine nu are DPO să-și cumpere!" am putea spune, dar nu orice firmă va trebui să-și procure un DPO, pentru că GDPR-ul nu prevede obligația de a avea un astfel de responsabil pentru toate categoriile de operatori de date personale.
Regulamentul european intră vineri în vigoare în România și în toată Uniunea Europeană, iar aplicarea sa este inevitabilă. Printre reglementările acestui regulament european obligatoriu și direct aplicabil este și aceea de a avea un responsabil cu protecția datelor.
Concret, desemnarea unui responsabil cu protecția datelor va fi obligatorie pentru entitățile publice (de principiu, autoritățile naționale, regionale și locale, exceptând instanțele) și pentru firmele care au ca activități principale prelucrarea periodică și pe scară largă a datelor personale sau prelucrarea pe scară largă a unor categorii speciale de date.
În continuare, abonații premium pot afla mai multe despre:
- sarcinile exacte ale DPO-ului;
- cine răspunde pentru neregulile în conformarea cu GDPR-ul;
- cu ce profesionist comparăm DPO-ul ca să înțelegem mai bine responsabilitatea sa;
- recomandările privind consultarea acestui responsabil în luarea anumitor decizii.
Sancțiunile le încasează operatorul sau împuternicitul său, după caz
Printre sarcinile enumerate în GDPR pentru DPO nu se regăsește ideea că DPO-ul este ținta unor eventuale sancțiuni pe care le primesc entitățile ce prelucrează datele. Acest lucru e valabil și pentru situația când DPO-ul este un angajat al firmei, și pentru situația în care e un terț contractat. Dacă, de exemplu, o societate trebuie să răspundă penal, nu consilierul juridic va fi tras la răspundere de organele statului. La fel și cu responsabilul de protecția datelor.
E adevărat că modul cu a fost tradus DPO-ul în limba română poate să ducă cu gândul că el e și responsabil legal pentru nerespectarea GDPR-ului. Doar că denumirea acestuia, orice critici am avea în raport cu traducerea, nu trebuie să ne ducă la concluzii pripite cu privire la funcția sa.
Lămuriri extrem de utile pe tema DPO-ului sunt aduse de un grup de lucru special constituit la nivelul Uniunii -- Grupul de lucru "Articolul 29 pentru protecția datelor". Documentul pus la dispoziție de grupul de lucru prevede următoarea chestiune: "DPO nu este personal responsabil în caz de nerespectare a GDPR. GDPR spune clar că responsabil este operatorul sau persoana împuternicită de operator care trebuie să se asigure și să fie în măsură să demonstreze că prelucrarea este efectuată în conformitate cu dispozițiile sale (art. 24(1)). Respectarea normelor de protecție a datelor reprezintă responsabilitatea operatorului sau a persoanei împuternicite de operator".
Notă: Despre sancțiunile aduse prin acest regulament european puteți afla mai multe de aici, dar să nu scăpăm din vedere, totuși, că GDPR-ul aduce și oportunități și beneficii pe termen lung pentru cei care se conformează.
Până la urmă, calitatea serviciului pe care-l prestează depinde de cât de multe știe, ca în cazul oricărui consultant sau specialist. Este evident că cine e nemulțumit de serviciul DPO-ului, îl poate schimba oricând cu unul mai competent, să zicem. Ca să înțelegem mai bine, ar fi utilă comparația DPO-ului cu avocatul.
"Un DPO din mediul privat este, din multe puncte de vedere, asimilabil avocaților, din perspectiva răspunderii pentru activitatea sa. Cu alte cuvinte, el are o obligație să își facă treaba cât de bine poate, conform opiniilor sale asupra modului în care trebuie interpretat Regulamentul și legislația conexă privind prelucrarea datelor. Bineînțeles, putem vorbi și despre situații în care culpa gravă a unui DPO îl face responsabil. Spre exemplu, să spunem ca o activitate de prelucrare ar implica o evaluare de impact, iar DPO nu semnalizează acest lucru angajatorului său. În acest caz, în funcție de circumstanțele particulare ale situației, DPO-ul în cauză ar putea fi culpabil", ne-a spus Alin Popescu, CEO avocatnet.ro și co-fondator la Academia DPO.
Ce face, de fapt, responsabilul?
Responsabilul cu protecția datelor are dedicată o secțiune întreagă în GDPR. La articolul 39 din GDPR se precizează care sunt sarcinile acestui responsabil. Astfel:
1. DPO-ul se asigură să informeze și să consilieze operatorul de date/împuternicitul operatorului (uneori fiecare dintre ei are nevoie de propriul DPO), precum și pe angajații care se ocupă de prelucrările de date cu privire la obligațiile care le revin în numele GDPR-ului.
2. DPO-ul monitorizează respectarea GDPR-ului, a altor dispoziții de drept al Uniunii sau de drept intern referitoare la protecția datelor și a politicilor operatorului/ ale persoanei împuternicite de operator în ceea ce privește protecția datelor cu caracter personal, inclusiv alocarea responsabilităților și acțiunile de sensibilizare și de formare a personalului implicat în operațiunile de prelucrare, precum și auditurile aferente;
3. DPO-ul furnizează consiliere la cerere în ceea ce privește evaluarea impactului asupra protecției datelor și monitorizarea funcționării acesteia;
4. DPO-ul cooperează cu autoritatea de supraveghere (la noi, e vorba de Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal); de asemenea, cine își ia un astfel de responsabil, fie obligat, fie voluntar, trebuie să notifice Autoritatea cu privire la persoana responsabilului;
5. DPO-ul devine punct de contact cu autoritatea română de protecția datelor privind aspectele legate de prelucrare.