avocatnet.ro 
Continuarea articolului este exclusivă pentru abonații avocatnet.ro premium. Aceștia pot afla mai multe despre motivele pentru care o firmă ar alege un DPO intern sau unul extern, precum și care sunt factorii de luat în considerare aici.
Principalul aspect pe care-l pot lua în considerare cei care se gândesc să folosească pe cineva din companie ca DPO este următorul: angajatul cunoaște deja cel mai bine activitatea firmei și-i poate fi de un real folos din poziția sa. Acesta e motivul pentru care și recrutarea unui candidat pentru funcția de DPO ar putea părea o variantă mai puțin zâmbitoare -- noul angajat va trebui să se familiarizeze cu activitatea firmei, cu ce date sunt prelucrate și pentru ce, iar asta va însemna timp (al celor care s-ar putea să nu îl aibă).
Din altă perspectivă, e posibil ca niciunul dintre angajații firmei să fie capabil să intre în pantofii unui DPO, iar numirea sa ar putea să se transformă în respectarea de formă a unei obligații, fără un real folos și, chiar, cu asumarea unor riscuri privind încălcarea neglijentă a legislației de protecția datelor (e ca și cum s-ar numi un specialist pe probleme juridice fără ca el să fi terminat vreodată facultatea de drept, de exemplu).
Formarea unui angajat propriu în spiritul legislației și principiilor protecției datelor ar putea însemna timp și costuri suplimentare pe care externalizarea acestei responsabilități nu le-ar presupune. De asemenea, la firmele cu puțini angajați e posibil ca niciunul să nu poată fi rupt din poziția sa și pus în cea de responsabil cu protecția datelor (despre necesitățile pe care le va avea DPO-ul salariat, aici).
În orice caz, cine caută să recruteze un DPO pentru a-l angaja în compania sa trebuie măcar să se uite înspre un candidat care să stăpânească legislația de protecția datelor. Specialiștii recomandă companiilor în această situație să se uite întâi la nivelul de expertiză al acestuia și la proporționalitatea acestui nivel cu operațiunile de prelucrare pe care le desfășoară compania și cu sensibilitatea datelor prelucrate (câteva sfaturi apropo de recrutarea unui DPO regăsiți într-un material publicat de firmă de avocatură irlandeză).
O mențiune ar trebui făcută și cu privire la numirea ca DPO a consilierului juridic al firmei. Deși ar putea fi o variantă destul de bună, e foarte important să se evite conflictul de interese în persoana acestuia. "O companie care ia în calcul varianta aceasta trebuie să aibă grijă ca acest consilier să fie exclus din a reprezenta legal firma în orice demersuri legale care ar putea duce la un conflict de interese", recomandă o echipă de avocați germani în acest material.
DPO-ul extern ar putea fi mai ieftin și mai competent
Responsabilul cu protecția datelor poate fi și extern firmei, dar angajat pe bază de contract. Ar putea fi o persoană fizică autorizată, un avocat sau o societate comercială. "Este important însă de menționat că, și în cazul în care contractul se încheie cu o formă de organizare colaborativă (societate de avocați, societate comercială), trebuie în continuare desemnată o persoană anume care va deține funcția de responsabil cu protecția datelor. Acest lucru este necesar pentru că funcția este una unipersonală", ne- explicat în urmă cu ceva timp Andreea Lisievici, avocat PrivacyOne.
"Dacă compania are o activitate restrânsă poate alege un DPO extern pentru că e mai ieftin decât să angajeze pe cineva. În plus, competența unui DPO extern pe anumite subiecte de nișă ar putea fi vitală pentru companie și n-ar putea beneficia de ea compania care alege să formeze un DPO timp de luni, poate chiar ani de zile", punctează Alin Popescu, CEO avocatnet.ro și co-fondator la PrivacyOne.
Chestiunea evitării conflictului de interese este valabilă însă și pentru varianta DPO-ului extern. Astfel de conflicte de interese potențiale se văd cel mai bine în cazul unui avocat sau unei societăți de avocatură, unde e clar că reprezentarea legală pe o chestiune ce ține de protecția datelor ar putea să fie o problemă dacă un avocat de la firma respectivă ar fi DPO-ul companiei reprezentate.
Factori de avut în vedere când se face alegerea
"Atunci când sunt analizați candidații la poziția de DPO extern sau când se decide dacă să externalizeze sau nu responsabilitatea protecției datelor, companiile ar trebui să țină cont de o serie de factori precum dimensiunea și tipul companiei, arhitectura internă a companiei (pentru a se evita conflictele interne), categoriile de date prelucrate, complexitatea operațiunilor de prelucrare, transformările digitale și planurile de automatizare ș.a.m.d. (...) expertiza candidatului, costurile, nivelul serviciilor oferite", potrivit avocaților Tim Wright și Steven Farmer.
Ca fapt divers, Asociația Internațională a Specialiștilor în Prelucrarea Datelor a făcut o estimare preliminară că în jur de 75.000 de DPO ar fi necesari pentru managementul prelucrărilor de date care-i vizează pe cetățenii europeni din toată lumea.
rrramor 
traiflortrans