avocatnet.ro 
Continuarea articolului este exclusivă pentru abonații avocatnet.ro premium. Aceștia pot afla mai multe despre rigorile impuse de GDPR privind numirea unui DPO în mod voluntar, precum și recomandările oferite de experții de la nivelul Uniunii Europene.
Problema cu numirea voluntară a unui DPO e că firma își asumă tot ansamblul de reglementări care prevăd desemnarea, sarcinile și activitatea responsabilului ce trebuie numit obligatoriu. Cu alte cuvinte, GDPR-ul nu propune un dublu standard cu privire la DPO: unul pentru cei care sunt obligați să-l aibă și unul pentru cei care-l numesc pentru că așa vor.
"Atunci când o organizație numește un responsabil de protecția datelor în mod voluntar se vor aplica cerințele prevăzute la articolele 37 și 39 (din GDPR - n.red.) la numire, precum și la stabilirea funcției și a sarcinilor, ca și când numirea ar fi fost obligatorie (...) Responsabilul cu protecția datelor, indiferent dacă este obligatoriu sau voluntar, este numit pentru toate operațiunile de prelucrare desfășurate de operator sau de persoana împuternicită de operator", atenționează Grupul de lucru articolul 29 (un organism european independent format din reprezentanții autorităților naționale pentru protecția datelor din statele membre ale Uniunii Europene).
De la început, DPO-ul voluntar trebuie anunțat la Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (formularul de declarare a DPO-ului la Autoritate se găsește chiar pe prima pagină a site-ului instituției). DPO-ul voluntar poate fi un angajat propriu sau un colaborator extern, cu care firma încheie un contract, are aceleași sarcini ca cel numit obligatoriu, trebuie să beneficieze de independență și să aibă la dispoziție resursele necesare, trebuie să se evite conflictele de interese în persoana lui și nu poate fi dat afară pentru că-și îndeplinește sarcinile, iar conducerea companiei nu e de acord cu recomandările sale.
Grupul de lucru articolul 29 recomandă companiilor să-și ia un DPO chiar dacă nu ar avea nevoie de el conform regulamentului european. "Pe lângă facilitarea conformității prin punerea în aplicare a unor instrumente în materie de responsabilitate (cum ar fi facilitarea evaluărilor privind impactul asupra protecției datelor și desfășurarea sau facilitarea de audituri), responsabilul cu protecția datelor acționează ca intermediari între părțile interesate relevante (de exemplu, autoritățile de supraveghere, persoanele vizate și unitățile operaționale din cadrul unei organizații)", spun experții.
În fine, e important de menționat că mai există și o a treia variantă pentru cei care nu au nevoie de un DPO și nici nu vor să numească unul voluntar, asumându-și tot bagajul de obligații al responsabilului: orice companie poate avea un specialist pe protecția datelor, fie ca angajat propriu, fie ca un colaborator extern, care nu are funcția de DPO și nici sarcinile acestuia, dar care poate ajuta firma cu expertiza sa pe protecția datelor.
Atenție! Numirea obligatorie a unui DPO nu e legată de numărul de salariați ai unei companii. Mai multe despre această neînțelegere creată în jurul responsabilului cu protecția datelor puteți citi aici.
rrramor 
MariaRamona
Comentarii articol (0)