De vineri, desemnarea unui responsabil cu protecția datelor va fi obligatorie pentru entitățile publice (de principiu, autoritățile naționale, regionale și locale, exceptând instanțele) și pentru firmele care au ca activități principale prelucrarea periodică și pe scară largă a datelor personale sau prelucrarea pe scară largă a unor categorii speciale de date.
Regulamentul european intră vineri în vigoare în România și în toată Uniunea Europeană, iar aplicarea sa este inevitabilă. Printre reglementările acestui regulament european obligatoriu și direct aplicabil este și aceea de a avea un responsabil cu protecția datelor pentru entitățile de mai sus, ale cărui sarcini sunt detaliate în acest material.
În principal, DPO-ul monitorizează respectarea GDPR-ului în firma/autoritatea unde lucrează, oferă consiliere și sfatul său e de luat în considerare, tot așa ca al oricărui alt specialist. Până la urmă, a avea un DPO nu trebuie privită doar ca o obligație, ci și ca un beneficiu în sensul unei mai bune conformări.
În continuare, abonații premium avocatnet.ro pot afla mai multe despre situațiile în care este mai mult decât recomandată consultarea acestuia, precum și despre situațiile în care trebuie să-i fie aduse la cunoștință anumite lucruri.
Recomandări privind consultarea și implicarea DPO-ului
Lămuriri extrem de utile pe tema DPO-ului sunt aduse de un grup de lucru special constituit la nivelul Uniunii -- Grupul de lucru "Articolul 29 pentru protecția datelor". Documentul pus la dispoziție de grupul de lucru recomandă firmelor să invite DPO-ul să participe în mod regulat la ședințele conducerii la nivel înalt și la nivel mediu, de pildă.
De asemenea, DPO-ul ar trebui să fie prezent atunci când se iau decizii cu implicații asupra datelor, trebuind să fie informat în timp util ca să poată oferi consiliere corespunzătoare.
Avizul dat de DPO trebuie întotdeauna privit cu deosebită importanță. Dacă conducerea entității nu e de acord cu DPO-ul, grupul de lucru recomandă (ca bună practică) documentarea motivelor pentru care nu a fost urmat avizul acestuia, în caz că autoritatea română de supraveghere va face o vizită.
În fine, mai punctează grupul de lucru, imediat ce a avut loc o încălcare a securității datelor sau un alt soi de incident de securitate privind protecția datelor, DPO-ul trebuie înștiințat de acest lucru.
"Este important ca DPO sau echipa sa, să fie implicat, cât mai devreme posibil, în toate aspectele legate de protecția datelor. În ceea ce privește evaluările impactului asupra protecției datelor, GDPR prevede în mod explicit implicarea timpurie a DPO și precizează că operatorul solicită avizul DPO atunci când se efectuează o astfel de evaluare a impactului. Asigurarea că DPO este informat și consultat de la bun început va facilita respectarea GDPR, va promova o abordare privacy by design și, prin urmare, ar trebui să fie o procedură standard în cadrul guvernării organizației. În plus, este important ca DPO să fie văzut ca un partener de discuție în cadrul organizației și ca acesta să facă parte din grupurile de lucru relevante care se ocupă cu activități de prelucrare a datelor din cadrul organizației", spun experții din grupul de lucru.
Bucătăria prelucrării datelor este dirijată de către acest DPO. Fiecare firmă sau entitate publică ce are un astfel de DPO stabilește cum arată această bucătărie și ce face concret responsabilul, pornind de la rețeta obligatorie din GDPR. "Atunci când este cazul, operatorul sau persoana împuternicită de operator ar putea elabora ghiduri privind protecția datelor sau proceduri care stabilesc situații când DPO trebuie să fie consultat", mai spun cei din grupul de lucru.
Cu toate acestea, așa cum subliniam în acest material, DPO-ul nu ia în spinare răspunderea firmei pentru care lucrează atunci când e vorba de sancțiuni pentru nerespectarea GDPR-ului. Este una dintre chestiunile pe care mulți le-au înțeles greșit, poate și din pricina modului cum a fost tradus regulamentul în limba română (data protection officer a fost tradus ca responsabil cu protecția datelor), iar ideea de responsabil poate duce cu gândul la cineva care răspunde juridic.