Despre responsabilul cu protecția datelor s-a tot vorbit în ultimele luni de zile din mai multe perspective, dar, în principal, din perspectiva cui îi revine obligația de a numi un astfel de angajat, conform Regulamentului general privind protecția datelor (GDPR).
Că vorbim de DPO-ul autorității publice, care e obligatoriu totdeauna, că vorbim de DPO-ul în rândul entităților private, există două variante pentru numirea lui: un salariat propriu, dar în persoana căruia nu trebuie să se nască vreun conflict de interese, ori un terț contractat în acest scop. Sarcinile sale principale sunt arătate chiar prin GDPR, dar tipologia lui și fișa exactă a postului poate să difere mult de la o entitate la alta.
Continuarea articolului este exclusivă pentru abonații avocatnet.ro premium. Aceștia pot afla mai multe despre:
- cele două chestiuni pe care orice DPO ar trebui să le întrunească pentru a deservi scopului său în companie sau autoritate;
- ce trebuie să caute fiecare entitate obligată să aibă un DPO în persoana acestuia;
- ce cunoștințe ar trebui să aibă un DPO.
DPO-ul trebuie croit pe tiparul companiei
Conform GDPR-ului, DPO-ul "este desemnat pe baza calităților profesionale și, în special, a cunoștințelor de specialitate în dreptul și practicile din domeniul protecției datelor, precum și pe baza capacității de a îndeplini sarcinile prevăzute la articolul 39 (din GDPR -- sarcinile sunt detaliate aici - n.red.)".
Mai departe, între considerentele de la începutul prevederilor din GDPR, găsim următoarele sublinieri apropo de "tiparul unui candidat" la funcția de DPO:
- nivelul necesar al cunoștințelor de specialitate ar trebui să fie stabilit în special în funcție de operațiunile de prelucrare a datelor efectuate și de nivelul de protecție impus pentru datele cu caracter personal prelucrate;
- DPO-ul ar trebui să fie în măsură să își îndeplinească atribuțiile și sarcinile în mod independent.
Aici, tot Grupul de lucru articolul 29 vine cu câteva lămuriri utile pentru companiile care nu știu încotro să se îndrepte. De pildă, ca nivel de expertiză, Grupul recomandă proporționalitatea cu complexitatea prelucrărilor, cu cantitatea de date și cu eventuala sensibilitate a datelor prelucrate. O entitate care prelucrează masiv date sensibile (cum sunt cele legate de sănătatea persoanei) nu are aceleași nevoi în persoana DPO-ului ca una care prelucrează datele de geolocalizare ale clienților săi, să zicem.
"Spre exemplu, în cazul în care o activitate de prelucrare a datelor este deosebit de complexă, sau în cazul în care este vorba despre un volum mare de date sensibile, este posibil ca RPD să aibă nevoie de un nivel mai ridicat de specializare și de sprijin. De asemenea, există o diferență în funcție de problema dacă organizația transferă în mod sistematic date cu caracter personal în afara Uniunii Europene sau dacă astfel de transferuri sunt ocazionale. Astfel, RPD ar trebui să fie ales cu atenție, ținându-se seama în mod corespunzător de aspectele legate de protecția datelor care apar în cadrul organizației", punctează experții din Grupul de lucru.
Apoi, ar trebui ca fiecare organizație să se uite în direcția capacității de îndeplinire a sarcinilor de către cel pe care îl numesc DPO. Integritatea și un înalt nivel de etică profesională sunt două chestiuni pe care le subliniază Grupul de lucru. Are salariatul pe care compania îl numește DPO aceste calități?
Cunoașterea legislației, înțelegerea GDPR-ului și a domeniului de activitate al firmei
Încercarea disperată de a numi un salariat oarecare, numai de dragul conformării cu o obligație impusă prin acest regulament european (mânată de teama unor sancțiuni viitoare) ar trebui să fie barată de următoarea întrebare: chiar vreau să las chestiunea datelor personale și toate problemele care vin în legătură cu prelucrările de date pe mâna unui nepriceput?
E adevărat că GDPR-ul nu menționează ce calități profesionale trebuie să aibă DPO-ul, nu e prevăzut nicăieri că trebuie să aibă un anumit nivel de pregătire profesională, un doctorat în protecția datelor sau calități de manager, dar asta tocmai pentru că rețeta unui DPO nu este aceeași pentru toate companiile și autoritățile publice, dar și pentru că ar trebui să reiasă dintr-o logică simplă că nu e indicată punerea în sarcina unui neștiutor o chestiune importantă.
"Este relevant faptul că responsabilul cu protecția datelor trebuie să aibă experiență în legislația și practicile din domeniul protecției datelor la nivel național și european și să dețină cunoștințe aprofundate despre GDPR (...) Cunoașterea domeniului de activitate și a organizației operatorului este utilă. De asemenea, DPO ar trebui să înțeleagă bine operațiunile de prelucrare desfășurate și sistemele informatice, precum și cerințele operatorului legate de securitatea și protecția datelor. În cazul unei autorități sau al unui organism public, DPO ar trebui să aibă, de asemenea, cunoștințe bune despre regulile și procedurile administrative ale organizației", punctează experții din Grupul de lucru.