1. Nu toți angajatorii au nevoie de un DPO
Angajator e și cel care are un singur salariat, dar asta nu-l face automat entitate obligată să aibă un responsabil cu protecția datelor. Cei care s-au grăbit spre concluzia că orice angajator are nevoie de un DPO s-au gândit, poate, la folosirea Revisalului drept criteriu important în toată această discuție. Deși folosirea acestui registru constituie o prelucrare de date personale, nu acesta e criteriul după care ne uităm. Prelucrarea datelor personale ale salariaților, prin intermediul Revisal și a dosarelor personale, nu reprezintă, în mod obișnuit, o activitate principală pentru o firmă, chiar dacă vorbim de o companie foarte mare. Mai multe pe acest subiect puteți citi aici.
Continuarea articolului este exclusivă pentru abonații avocatnet.ro premium. Aceștia pot afla mai multe despre legătura dintre pragul de 250 de angajați și obligativitatea de a avea un DPO, chestiunea asumării tuturor obligațiilor de către cei care-și iau benevol un DPO și despre răspunderea acestuia.
2. Obligația de a-l numi nu e legată de numărul de salariați
Impune GDPR-ul doar firmelor cu peste 250 de angajați să aibă un DPO? Nu, din reglementarea DPO-ului nu scoatem nicio informație legată de vreun număr minim de salariați de la care acest responsabil e obligatoriu la firmă. Ceea ce contează e ce face firma, activitățile sale de prelucrare și raportarea la obiectul principal de activitate, tipul de date prelucrate ș.a., dar nu dimensiunea firmei. Locul numărului 250 nu este însă în reglementarea obligației de a avea un DPO, ci apare în contextul evidențelor activităților de prelucrare a datelor. Mai multe pe acest subiect, aici.
3. Dacă-l numești de bunăvoie nu trebuie să respecți toate regulile impuse
Problema cu numirea voluntară a unui DPO e că firma își asumă tot ansamblul de reglementări care prevăd desemnarea, sarcinile și activitatea responsabilului ce trebuie numit obligatoriu. Cu alte cuvinte, GDPR-ul nu propune un dublu standard cu privire la DPO: unul pentru cei care sunt obligați să-l aibă și unul pentru cei care-l numesc pentru că așa vor. Cei care își asumă un DPO, deși nu erau obligați, își asumă tot bagajul de obligații: de la notificarea lui autorităților, până la sarcinile, atribuțiile, punerea la dispoziție a resurselor necesare, asigurarea autonomiei funcționale ș.a.m.d. Detalii suplimentare, aici.
4. DPO-ul nu e țapul ispășitor dacă firma/autoritatea e trasă la răspundere
Nimic mai fals, tot compania/autoritatea răspunde. GDPR prevede clar că responsabil legal este operatorul sau persoana împuternicită de operator care trebuie să se asigure și să fie în măsură să demonstreze că prelucrarea este efectuată în conformitate cu dispozițiile legislației privind protecția datelor. "Un DPO din mediul privat este, din multe puncte de vedere, asimilabil avocaților, din perspectiva răspunderii pentru activitatea sa", ne-a explicat Alin Popescu, co-fondator la Academia DPO. Despre acest subiect, mai multe puteți găsi aici.
5. Confuzii în persoana specialistului ce nu e DPO
Mulți dintre cei care nu au nevoie de un DPO, dar își iau un specialist cu protecția datelor sau angajează pe cineva cu aceste competențe, ar putea fi tentați să-l trateze ca pe un DPO. Deși GDPR-ul nu interzice sub nicio formă o astfel de abordare, iar experții recomandă chiar ca fiecare firmă să aibă pe cineva care să se îngrijească de chestiunea prelucrărilor datelor personale, e foarte important să nu se creeze confuzii în persoana acestui specialist -- nici pentru el, nici pentru cei din firmă și, cu atât mai mult, nici pentru cei care vor veni în control. Detalii suplimentare, aici.