, ">

(   0770 727 088 , 031 333 4578
HOME | LEGISLATIE | CONTACT

Responsabil cu protecţia datelor
Data Protection Officer

În situaţii speciale speciale de prelucrare a datelor cu caracter personal, operatorul sau persoana împuternicită de operator să prelucreze date personale, trebuie să desemneze un responsabil cu protecţia datelor, RPD, sau DPO – Data Protection Officer. Acesta poate fi numit din rândul personalului propriu, sau se poate contracta un serviciu externalizat.

Pentru asigurarea unei aplicări unitare a Regulamentului General privind Protecția Datelor, Grupul de Lucru "Art. 29" de pe lângă Comisia Europeană, a emis Ghidul privind Responsabilul cu protecța datelor,


Situaţiile care impun numirea unui responsabil cu protecţia datelor sunt:



prelucrarea datelor personale este efectuată de o autoritate sau de un organism public, cu excepţia instanţelor care acţionează în exerciţiul funcţiei lor jurisdicţionale.
Primării, Şcoli, Spitale, Grădiniţe, Licee, Universităţi de stat, Biblioteci publice, etc., sunt o infimă parte a tuturor categoriilor de organisme publice care vor trebui să desemneze un responsabil cu protecţia datelor.



activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă.
ONG-uri sau alte persoane juridice de drept privat care monitorizează anumite categorii de cetăţeni, în baza apartenenţei lor la o anume categorie socio-profesională, etnică sau culturală, la nivel naţional, judeţean sau municipal în scopul desfăşurării unor activităţi conform statului lor de funcţionare, reprezintă un exemplu elocvent privind astfel de situaţii.



activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice sau a unor date cu caracter personal privind condamnări penale și infracțiuni.
Cabinete medicale, cabinete individuale de avocatură sau de mediere care operează şi în domeniul penal al dreptului, notariate, firme de pază şi securitate – în anumite situaţii în care operează cu date biometrice de identificare ale clienţilor sau persoanelor autorizate de aceştia, sunt câteva exemple care cad sub incidenţa acestor prevederi.

Cine poate fi desemnat Responsabil cu protecţia datelor personale ?



Regulamentul nu impune decât două elemente. În primul rând, responsabilul cu protecția datelor trebuie să fie desemnat pe baza calităților profesionale și în special, a cunoștințelor de specialitate în dreptul dar și în practicile din domeniul protecției datelor, precum și pe baza capacității de a îndeplini sarcinile tehnice prevăzute de Regulament. Întrucât printre aceste sarcini, Regulamentul impune ca acest responsabil să aibă capacitatea de a consilia evaluarea impactului asupra protecţiei datelor, precum şi monitorizarea permanentă a acestui impact, este evident că acesta trebuie să aibă cunoştinţe tehnice temeinice şi în domeniul protecţiei datelor prelucrate electronic.

O persoană cu dublă specializare, juridică şi IT, ar reprezenta situația ideală pentru o astfel de desemnare. Serviciile care vă sunt oferite prin intermediul IT Protection oferă garanţia acestei duble specializări.



Dacă nu poate fi identificată o astfel de persoană, un jurist cu certificări în domeniul protecţiei datelor sau a confidențialității ori a vieții private (ISO27001, CIPP, CIPM sau CIPT) ar putea fi, de asemenea o persoană care ar putea fi pregătită suplimentar în domeniul GDPR - DPO. Varianta unui IT-ist care doar cunoaşte legislaţia în domeniu, este puţin mai riscantă, datorită faptului că pe de o parte, legislaţia poate suferi modificări, pe de altă parte, este necesară adeseori interpretarea unei norme în baza principiilor juridice, la care se poate adăuga şi necesitatea de a avea capacitatea de a corela legislaţia cu care se operează în mod direct, cu alte norme de drept din alte domenii dar care pot, punctual, să se constituie în izvoare de norme juridice inclusiv pentru domeniul protecţiei datelor personale.



Unde poate activa responsabilul cu protecţia datelor personale ?



În Regulament, este menţionat clar că responsabilul cu protecția datelor poate fi un membru al personalului operatorului sau persoanei împuternicite de operator sau poate să își îndeplinească sarcinile în baza unui contract de servicii. De asemenea, indiferent unde activează responsabilul, datele de contact ale acestuia sunt făcute publice şi totodată, comunicate şi autorităţii de supraveghere.

Dat fiind faptul că responsabilul cu protecţia datelor nu este obligat să fie membru al personalului operatorului, acesta poate îndeplini această funcţie pentru un grup de întreprinderi sau pentru mai multe autorităţi publice ori organisme publice.



Statutul responsabilului cu protecţia datelor personale, faţă de operator.



Operatorul care desemnează un responsabil cu protecţia datelor, trebuie să asigure acestuia accesul la toate aspectele legate de protecţia datelor cu caracter personal, asigurându-se totodată de implicarea lui în timp util şi în mod corespunzător.

De asemenea, operatorul trebuie să sprijine responsabilul cu protecţia datelor în îndeplinirea sarcinilor sale, asigurându-i toate resursele necesare pentru executarea acestora precum şi accesarea datelor cu caracter personal şi a celor privind operaţiunile de prelucrare. Nu în ultimul rând, trebuie să i se asigure şi menţinerea cunoştinţelor de specialitate. În acest sens, regulamentul nu face distincţie între responsabilii desemnaţi din rândul personalului propriu al operatorului sau în baza unui contract de servicii. Se poate prezuma însă că în această a doua situaţie, această obligativitate aparţine operatorului numai dacă este menţionată explicit în contractul de servicii asumat de ambele părţi.

Fie că este desemnat din rândul personalului propriu, fie că aţi apelat la un serviciu externalizat, persoana desemnată trebuie să răspundă direct celui mai înalt nivel al conducerii operatorului de date, nu trebuie să fie influenţat în exercitarea atribuţiilor funcţionale şi nici nu poate fi demis atât timp cât îşi îndeplineşte corect sarcinile pe care le are, doar pentru că nu vă convin planurile şi procedurile elaborate de acesta.



În cazul în care alegeţi varianta desemnării unei persoane din rândul angajaţilor proprii care va mai avea şi alte sarcini şi atribuţii, trebuie să vă asiguraţi că niciuna dintre acestea nu generează un conflict de interese cu funcţia de Responsabil cu protecţia datelor.



Regulamentul prevede ca responsabilul desemnat să aibă cel puţin următoarele obligaţii profesionale:



a. să respecte secretul sau confidențialitatea în ceea ce privește îndeplinirea sarcinilor sale, în conformitate cu dreptul Uniunii sau cu dreptul intern;

b. să țină seama în mod corespunzător de riscul asociat operațiunilor de prelucrare, luând în considerare natura, domeniul de aplicare, contextul și scopurile prelucrării.

c. să informeze și să consilieze operatorul sau persoana împuternicită de operator, precum și angajații care se ocupă de prelucrare, cu privire la obligațiile care le revin în temeiul prezentului regulament și al altor dispoziții de drept al Uniunii sau drept intern referitoare la protecția datelor;

d. să monitorizeze respectarea GDPR, a altor dispoziții de drept al Uniunii sau de drept intern referitoare la protecția datelor și a politicilor operatorului sau ale persoanei împuternicite de operator în ceea ce privește protecția datelor cu caracter personal, precum şi să stabilească responsabilitățile și acțiunile care trebuie derulate pentru sensibilizarea și formarea personalului implicat în operațiunile de prelucrare;

e. să monitorizarea acţiunile de prelucrare a datelor prin intermediul auditării activităţilor aferente acestora;

f. să furnizeze consiliere la cerere în ceea ce privește evaluarea impactului asupra protecției datelor și monitorizarea funcționării acesteia, în conformitate cu articolul 35;

g. să coopereze cu autoritatea de supraveghere.

h. să-şi asume rolul de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare, inclusiv pentru consultarea prealabilă menționată la articolul 36, precum și, dacă este cazul, pentru consultarea cu privire la orice altă chestiune.



Aceste responsabilităţi nu trebuie să lipsească din fişa postului (dacă desemnaţi responsabilul din rândul angajaţilor proprii) sau din contractul de servicii prestate, dacă apelaţi la un serviciu externalizat. Desigur, acestora li se mai pot adăuga şi altele, dar ceea ce este enumerat mai sus este prevăzut în mod expres de GDPR. De asemenea, ar fi optim ca instruirile prevăzute la pct. d., să le poată derula singur, fără a mai fi nevoie să plătiţi servicii în plus. Cu atât mai mult cu cât el e cel care va elabora planul şi conţinutul instructajelor.

   
   

 

HOME | LEGISLATIE | CONTACT