Trebuie un DPO să facă, efectiv, și prelucrarea datelor cu caracter personal sau doar să supervizeze această prelucrare din perspectiva obligațiilor impuse de GDPR?
Articolul 39 al GDPR construiește un schelet pentru fișa postului unui DPO. Astfel, printre sarcinile pe care le are un responsabil cu protecția datelor se află și următoarele puncte:
- informarea și consilierea operatorului, sau a persoanei împuternicite de operator, precum și a angajaților care se ocupă de prelucrare cu privire la obligațiile care le revin în temeiul prezentului regulament și al altor dispoziții de drept al Uniunii sau drept intern referitoare la protecția datelor;
- monitorizarea respectării GDPR, a altor dispoziții de drept al Uniunii sau de drept intern referitoare la protecția datelor și a politicilor operatorului sau ale persoanei împuternicite de operator în ceea ce privește protecția datelor cu caracter personal, inclusiv alocarea responsabilităților și acțiunile de sensibilizare și de formare a personalului implicat în operațiunile de prelucrare, precum și auditurile aferente;
- furnizarea de consiliere la cerere în ceea ce privește evaluarea impactului asupra protecției datelor și monitorizarea funcționării acesteia, în conformitate cu articolul 35 din GDPR;
- cooperarea cu autoritatea de supraveghere;
- asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare, inclusiv consultarea prealabilă menționată la articolul 36 din GDPR, precum și, dacă este cazul, consultarea cu privire la orice altă chestiune.
Autoritățile de Supraveghere din Europa au dezvoltat, însă, această fișă a postului și au construit adevărate ghiduri menite să ajute organizațiile și responsabilii să înțeleagă ce anume cuprinde fișa postului unui DPO și care sunt obligațiile acestuia.
Exemplu relevant de fișă a postului
Un exemplu foarte bun de fișă a postului (vezi pagina 7 a documentului) este dezvoltat de Autoritatea Spaniolă de protecție a datelor, care prevede că un DPO este responsabil de următoarele:
1. Respectarea principiilor legate de prelucrare, cum ar fi limitarea scopului, minimizarea datelor sau acuratețea acestora;
2. Identificarea bazei juridice pentru prelucrarea datelor;
3. Evaluarea compatibilității altor scopuri decât cele care au stat inițial la baza operațiunilor de prelucrare;
4. Determinarea impactului unei reglementări sectoriale asupra condițiilor de prelucrare a datelor;
5. Elaborarea și punerea în aplicare a măsurilor de furnizare a informării persoanelor vizate;
6. Stabilirea de mecanisme pentru primirea și gestionarea cererilor de exercitare a drepturilor persoanelor vizate;
7. Evaluarea cererilor de exercitare a drepturilor persoanelor vizate;
8. Supervizarea acordurilor de protecție a datelor sau documentelor juridice care reglează relația operator - împuternicit;
9. Identificarea instrumentelor internaționale de transfer de date care să corespundă nevoilor și necesităților caracteristicile organizației și motivelor care justifică transferul;
10. Elaborarea și punerea în aplicare a politicilor de protecție a datelor;
11. Supervizarea unor proceduri de audit privind protecția datelor;
12. Stabilirea și gestionarea unui registru al activităților de prelucrare;
13. Analiza de risc a operațiunilor de prelucrare efectuate;
14. Punerea în aplicare a măsurilor de protecție a datelor respectând principiile data protection by design / by default, adaptate riscurile și natura operațiunilor de prelucrare;
15. Implementarea măsurilor de securitate adecvate riscurilor și naturii operațiunilor de prelucrare;
16. Stabilirea procedurilor de gestionare a încălcărilor securității datelor, inclusiv evaluarea riscului la drepturile și libertățile persoanelor vizate și la procedurile de notificare către Autoritatea de Supraveghere / persoanele vizate;
17. Determinarea necesității de a efectua evaluări de impact privind protecția datelor;
18. Supervizarea procedurilor de efectuare a evaluărilor de impact privind protecția datelor;
19. Gestionarea relației cu autoritățile de supraveghere;
20. Implementarea programelor de instruire și sensibilizare a personalului cu privire la protecția datelor.
Aceste funcții generice ale DPO pot fi rezumate ca sarcini de consiliere și supraveghere.