avocatnet.ro 
Continuarea articolului este exclusivă pentru abonații avocatnet.ro premium. Aceștia pot afla mai multe despre:
- utilitatea unui specialist cu protecția datelor;
- de ce e important să se clarifice pentru toată lumea funcția, atribuțiile și titulatura acestuia.
Grupul de lucru articolul 29 (un organism european independent format din reprezentanții autorităților naționale pentru protecția datelor din statele membre ale Uniunii Europene) transmite firmelor care nu sunt obligate să numească un DPO să se gândească să numească unul în mod voluntar, ca o bună practică și un instrument util pentru respectarea GDPR-ului.
Dar numirea unui DPO de bunăvoie are aceleași consecințe cu numirea lui forțat de GDPR, așa cum punctam într-un material recent. Vor exista cu siguranță firme care nu vor vrea să numească unul voluntar, așa cum o recunoaște și Grupul de lucru, iar astfel de companii vor putea să folosească un angajat specializat pe protecția datelor sau un colaborator extern care să sfătuiască pe probleme de genul acesta. Și care nu va fi numit și tratat ca un DPO.
"Nimic nu împiedică o organizație, care nu are obligația legală de a numi un responsabil cu protecția datelor și care nu dorește să numească un responsabil în mod voluntar, să angajeze personal sau consultanți externi cu sarcini legate de protecția datelor cu caracter personal. În acest caz, este important ca aceasta să se asigure că nu există nicio confuzie în ceea ce privește titlul, statutul, funcția și sarcinile care le revin. Prin urmare, ar trebui clarificat, în orice comunicare din cadrul societății, precum și cu autoritățile pentru protecția datelor, persoanele vizate și publicul, faptul că titlul acestei persoane sau al acestui consultant nu este acela de responsabil cu protecția datelor (...) Acest lucru este relevant și în cazul inspectorilor-șefi pentru protecția confidențialității (IPC) sau al altor profesioniști în domeniul confidențialității care există deja, la ora actuală, în unele societăți, care este posibil să nu poată îndeplini întotdeauna criteriile GDPR, de exemplu, în ceea ce privește resursele disponibile sau garanțiile pentru independență, iar dacă nu reușesc acest lucru, aceștia nu pot fi considerați și numiți drept responsabili cu protecția datelor", punctează Grupul de lucru articolul 29 într-un material cu indicații privind numirea și sarcinile DPO-ului.
Ce punctează experții în cazul specialistului pe probleme de protecția datelor: să nu se creeze, nici în persoana lui, nici în cadrul firmei, nici pentru cei care ar putea veni în control, confuzii cu privire la ocupația lui, cu privire la titlul său și rolul în companie; altfel spus, să nu fie numit DPO, deși el nu se ocupă cu sarcini specifice acestuia, nu a fost notificat autorităților ș.a.m.d.
E clar că, într-o companie, cineva trebuie să aibă habar, cât de cât, de chestiunea prelucrărilor de date personale. Cum GDPR-ul nu a intrat în vigoare la 25 mai ca să dispară din peisajul legislativ european foarte curând, conformarea cu acest regulament și atingerea scopurilor sale e o chestiune de termen lung. O radiografie a activității firmei astăzi poate să difere cu mult față de o radiografie din următorul an, din perspectiva prelucrărilor de date, iar necesitatea de conformare cu unele reguli poate apărea peste câțiva ani, chiar dacă acum nu există. Tocmai în acest sens vin și recomandările Grupului de lucru.
oanaportar