DPO-ul este o persoană desemnată de către o organizație pentru a monitoriza respectarea regulilor GDPR, pentru a informa și consilia organizația în ceea ce privește obligațiile acesteia privind protecția datelor și pentru a colabora cu autoritățile de supraveghere - la noi, ANSPDCP.
Responsabilitățile unui DPO includ informarea și consilierea organizației și angajaților cu privire la obligațiile lor în temeiul GDPR, monitorizarea conformității cu regulamentul, inclusiv atribuirea responsabilităților, sensibilizarea și instruirea personalului implicat în operațiuni de prelucrare și verificările aferente, oferirea de consultanță, atunci când este solicitat, în ceea ce privește evaluările impactului asupra protecției datelor și monitorizarea performanței acestora, cooperarea cu autoritatea de supraveghere și acționarea ca punct de contact pentru aceasta în probleme legate de prelucrarea datelor, inclusiv consultarea prealabilă menționată la articolul 36 din GDPR.
DPO-ul trebuie să fie implicat în toate aspectele legate de protecția datelor într-o organizație, să aibă resursele necesare pentru a-și îndeplini sarcinile și să nu primească instrucțiuni privind exercitarea acestor sarcini, garantându-se astfel independența sa.
În măsura în care prelucrează datele personale ale cetățenilor, instituțiile și autoritățile statului, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale, au nevoie de DPO. În companiile private, DPO-ul e cerut de GDPR doar în anumite cazuri: atunci când se monitorizează sistematic persoanele la scară largă și când se prelucrează categorii speciale de date pe scară largă (într-unul dintre considerentele din preambulul GDPR-ului, operațiunile de prelucrare pe scară largă sunt caracterizate astfel: "au drept obiectiv prelucrarea unui volum considerabil de date cu caracter personal la nivel regional, național sau supranațional, care ar putea afecta un număr mare de persoane vizate și care sunt susceptibile de a genera un risc ridicat").
Câteva exemple de companii care au nevoie de un DPO - unitățile medicale, farmaciile, firmele de securitate și de asigurări, companiile de transport public, băncile sau furnizorii de internet și telefonie, ONG-uri de suport pentru persoanele dependente de droguri, pentru victimele violenței domestice etc., dar și partidele politice. Activitățile de profilare pe scară largă presupun necesitatea de a avea un DPO, iar magazinele online și offline care profilează utilizatorii prin intermediul istoricului de cumpărături (carduri de fidelitate) sunt un exemplu.
Spre deosebire de alte situații reglementate la nivel european, la obligația de a numi un DPO nu ne interesează numărul de angajați pe care îi are o companie. Într-o discuție cu un specialist pe tema prelucrării datelor de către angajatori, se puncta faptul că o companie de payroll ar putea fi obligată să aibă un atare responsabil.
Însă nevoia de a avea un DPO apare uneori și în alte tipuri de structuri organizaționale - în primăvara lui 2018, UNBR-ul oferea indicii societăților de avocatură în ceea ce privește necesitatea de a avea un DPO, concluzionând că nu e exclusă de plano necesitatea de a avea un DPO în cazul formelor de exercitare a profesiei.
Cert e că cei care numesc un DPO, fie că e un angajat din companie, fie un terț, trebuie să-l anunțe la ANSPDCP.
Mai departe, DPO poate fi ori un angajat al operatorului de date / împuternicitului ori un consultant extern. GDPR prevede standarde de profesionalism în numirea acestui responsabil și nu lasă de înțeles că ar fi nevoie de o acreditare specifică pentru îndeplinirea funcției. Totodată, DPO-ul poate ocupa mai multe funcții în cadrul unei firme, dar este foarte important să se evite conflictul de interese.
GDPR interzice concedierea DPO-ului pentru faptul că își îndeplinește atribuțiile în domeniul protecției datelor. Mai mult, inclusiv sancțiuni pentru astfel de fapte sunt interzise.
Numești un responsabil, deși nu erai obligat
Problema cu numirea voluntară a unui DPO e că firma își asumă tot ansamblul de reglementări care prevăd desemnarea, sarcinile și activitatea responsabilului ce trebuie numit obligatoriu. Cu alte cuvinte, GDPR-ul nu propune un dublu standard cu privire la DPO: unul pentru cei care sunt obligați să-l aibă și unul pentru cei care-l numesc pentru că așa vor.
Ca atare, e de evitat folosirea denumirii de „responsabil cu protecția datelor” și utilizarea, în schimb, a unei alte terminologii pentru postul dorit - specialist prelucrarea datelor personale, de exemplu. Orice companie poate avea un specialist pe protecția datelor, fie ca angajat propriu, fie ca un colaborator extern, care nu are funcția de DPO și nici sarcinile acestuia, dar care poate ajuta firma cu expertiza sa pe protecția datelor. E important însă ca aceasta să se asigure că nu există nicio confuzie în ceea ce privește titlul, statutul, funcția și sarcinile care le revin.