În privința întrebărilor referitoare la DPO, probabil că cele mai importante sunt cele legate de cine are nevoie de DPO. Din start, trebuie menționat că nu oricine are obligația numirii unui DPO, însă, în orice caz, e foarte important să se știe când e obligatorie numirea lui.
Înainte de toate, merită amintit faptul că anul acesta am putea vedea adoptată în Parlament o lege a DPO-ului. Mai exact, în 2020 a fost depus la Parlament un proiect de lege ce va reglementa profesia de responsabil pentru protecția datelor. Proiectul este detaliat de redacția noastră în acest material, unde veți regăsi și opiniile exprimate de mai multe voci pe seama conținutului acestuia.
Când e obligatorie numirea unui DPO
În primul rând, de DPO au nevoie cei care au ca activitate de bază monitorizarea persoanelor în mod sistematic și pe scară largă ori cei care prelucrează categorii speciale de date personale la scară largă. De exemplu, prelucrează date, pe scară largă, o societate de asigurări. Un alt exemplu relevant ar fi activitatea de profilare, pe scară largă - puteți citi mai multe, aici.
Mai multe exemple concrete de companii care au nevoie de DPO puteți găsi aici și aici.
Însă e important de reținut că obligația de a numi un DPO nu are legătură cu numărul de angajați pe care îi are o companie, cum se zvonea.
De asemenea, puteți citi aici o serie de analize specifice cu privire la anumite instituții/categorii profesionale/domenii și când ar avea acestea nevoie de DPO: instituții ale statului, avocați, angajatori, magazine online.
În final, trebuie menționat că, în cazurile în care există atât un operator de date cu caracter personal, cât și un împuternicit, obligațiile de a numi DPO nu sunt influențate de relațiile dintre aceștia.
Atenție! Chiar dacă nu sunteți obligați să numiți un DPO, dar alegeți, totuși, numirea unuia, nu veți beneficia de un regim mai favorabil, în privința acestuia, față de cei care au o obligație de numire. Astfel, dacă hotărâți să numiți un DPO, veți avea și responsabilități specifice, nu doar beneficii.
Totuși, în acest context, puteți angaja un specialist în protecția datelor, care este diferit de DPO. În acest context, puteți evita anumite obligații specifice DPO-ului, însă puteți beneficia de avantajele pe care le oferă cineva care e specialist în domeniu.
Important! Dacă ai un DPO trebuie să notifici Autoritatea de Supraveghere în acest sens - detalii, aici.
Cine poate fi DPO? Ce calități trebuie să aibă și ce statut poate avea în firmă
În primul rând, trebuie început cu calificările pe care trebuie să le îndeplinească un DPO. GDPR nu prevede decât standarde de profesionalism, dar, din interpretarea acestuia, nu se înțelege că ar fi nevoie de o acreditare specifică, pentru îndeplinirea funcției de DPO. Totuși, în România, standardul ocupațional DPO prevede o serie de condiții formale, printre care și absolvirea unui număr minim de ore de curs de specialitate.
În privința statutului DPO-ului, acesta poate fi ori un angajat al firmei ori un consultant extern - pentru o analiză a lucrurilor care trebuie luate în considerare când faceți alegerea, puteți citi acest articol. În acest context, puteți vedea, aici, o listă de exemple cu privire la competențele pe care le-ar avea un DPO.
Atenție! DPO-ul poate ocupa mai multe funcții, în cadrul unei firme, dar este foarte important să se evite conflictul de interese.
După aceea, este de dorit ca DPO-ul să cunoască bine activitatea firmei pentru care lucrează. Mai mult, este necesar, pentru buna îndeplinire a funcției, ca DPO-ul să beneficieze de independență și de resurse adecvate.
Mai mult, puteți citi aici care sunt recomandările privind consultarea DPO-ului și cum trebuie implicat acesta în activitatea companiei.
Este DPO-ul singura persoană care poate fi trasă la răspundere pentru chestiuni privind protecția datelor?
Răspunsul este nu. Chiar dați vina pe DPO pentru anumite fapte care sunt contrare GDPR-ului, în exterior nu tot compania este ținută responsabilă pentru încălcări - nefăcând referire la o eventuală acțiune în regres, aici. Cu alte cuvinte, DPO-ul nu vă poate exonera de responsabilitate privind astfel de încălcări.
Cum poate fi concediat un DPO
Spuneam, mai sus, că un DPO trebuie să se bucure de independență. Astfel, apar întrebări legate de cum poate fi concediat acesta. În acest context, GDPR interzice concedierea DPO-ului pentru faptul că își îndeplinește atribuțiile în domeniul protecției datelor. Mai mult, inclusiv sancțiuni pentru astfel de fapte sunt interzise.
În rest, puteți afla mai multe detalii despre evaluarea activității DPO-ului, aici.