Desemnarea unui responsabil cu protectia datelor (DPO). Prevederi legale, atributii si obligatiile angajatorului

Desemnarea unui responsabil cu protectia datelor - obligatii legale

Desemnarea unui Data Protection Officer (DPO) este obligatorie numai in anumite cazuri, special determinate in Regulament, respectiv daca:

– prelucrarea este efectuata de o autoritate sau un organism public;
– operatiunile de prelucrare sunt periodice si sistematice;
– privesc prelucrarea pe scara larga a unor date speciale;
– constituie activitatea principala a firmei.

 

Legi care reglementeaza postul de responsabil cu protectia datelor

– Regulamentul (UE) 2016/679 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE;
– Legea nr. 190/2018 privind masuri de punere in aplicare a Regulamentului, publicata in Monitorul Oficial nr. 651 din 26 iulie 2018. Astfel, legea face referire in art. 10 la obligatia operatorilor si a persoanelor imputernicite de operator de a desemna un responsabil cu protectia datelor, pentru atributiile acestuia facand trimitere la Regulamentul European.

Responsabilul cu protectia datelor - atributii si sarcini

Activitatile principale reprezinta operatiuni-cheie necesare pentru indeplinirea obiectivelor operatorului sau persoanei imputernicite, dar nu ar trebui interpretate ca excluzand activitatile in care prelucrarea datelor reprezinta o parte indispensabila a activitatii. 

De exemplu: o companie de securitate asigura paza unor spatii publice. Supravegherea este activitatea de baza a companiei care, la randul sau, este indisolubil legata de prelucrarea datelor cu caracter personal. Contrar, pentru plata angajatilor se proceseaza date, dar aceasta este functie auxiliara pentru activitatea de baza.

Prelucrarea pe scara larga reprezinta prelucrarea unui volum considerabil de date cu caracter personal la nivel regional, national sau supranational si care ar putea afecta un numar mare de persoane vizate, susceptibile de a genera un risc ridicat. De exemplu: prelucrarea datelor pacientilor in activitatea regulata a unui spital.

Monitorizarea periodica si sistematica poate fi interpretata ca insemnand una sau mai multe din urmatoarele: in curs de desfasurare sau care apare la anumite intervale intr-o anumita perioada; recurenta sau repetata la perioade fixe; constanta sau care are loc periodic; prearanjata, organizata sau metodica; luand loc ca parte a unui plan general de colectare a datelor; efectuata ca parte a unei strategii. De exemplu: operarea unei retele de telecomunicatii; e-mail de directionare repetata si/sau activitati de marketing bazate pe date (newsletter sau oferte personalizate); profilare si scoring in scopul evaluarii riscurilor; programe de loialitate; publicitate comportamentala; monitorizarea datelor de sanatate prin dispozitive portabile etc.

Totusi, desemnarea unui astfel de responsabil poate fi utila si in celelalte cazuri, pentru a avea in cadrul firmei un consultant specializat pe probleme de protectia datelor si pentru a evita orice risc din acest punct de vedere.

Operatorul sau persoana imputernicita de operator publica datele de contact ale responsabilului cu protectia datelor si le comunica autoritatii de supraveghere.

Art. 39 din Regulamentul european

Potrivit art. 39 din Regulamentul european, responsabilul cu protectia datelor are cel putin urmatoarele sarcini:

(a) informarea si consilierea operatorului, sau a persoanei imputernicite de operator, precum si a angajatilor care se ocupa de prelucrare cu privire la obligatiile care le revin in temeiul Regulamentului european in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si al altor dispozitii de drept al Uniunii sau drept intern referitoare la protectia datelor;

(b) monitorizarea respectarii prezentului regulament, a altor dispozitii de drept al Uniunii sau de drept intern referitoare la protectia datelor si a politicilor operatorului sau ale persoanei imputernicite de operator in ceea ce priveste protectia datelor cu caracter personal, inclusiv alocarea responsabilitatilor si actiunile de sensibilizare si de formare a personalului implicat in operatiunile de prelucrare, precum si auditurile aferente;
(c) furnizarea de consiliere la cerere in ceea ce priveste evaluarea impactului asupra protectiei datelor si monitorizarea functionarii acesteia, in conformitate cu art. 35. Intr-adevar, in art. 35 din Regulament se prevede ca in cazul in care un tip de prelucrare, in special cel bazat pe utilizarea noilor tehnologii, este susceptibil sa genereze un risc ridicat pentru drepturile si libertatile persoanelor fizice, operatorul efectueaza, inaintea prelucrarii, o evaluare a impactului operatiunilor de prelucrare prevazute asupra protectiei datelor cu caracter personal. La realizarea unei evaluari a impactului asupra protectiei datelor, operatorul solicita avizul respon sabilului cu protectia datelor, daca acesta a fost desemnat;
(d) cooperarea cu autoritatea de supraveghere;
(e) asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare, inclusiv consultarea prealabila cu autoritatea de supraveghere pentru a obtine autorizarea din partea acesteia in legatura cu prelucrarea speciala de date, precum si, daca este cazul, consultarea cu privire la orice alta chestiune.

Iata cum sa va protejati firma prin politici si proceduri GDPR inteligente si eficiente!
Profitati de ocazia care vi se ofera de a va pune la punct politicile de GDPR, 2 lucrari de exceptie la un pret imbatabil, vezi OFERTA AICI <<<

RECOMANDARE

O evaluare atenta a cursurilor acreditate de Ministerul Muncii va putea conduce angajatorul la identificarea celor mai potrivite, astfel incat responsabilul cu protectia datelor sa isi poata indeplini aceste atributii, dobandind atestat de Responsabil cu Protectia Datelor cu Caracter Personal – cod COR: 242231. Ca profil, Regulamentul prevede ca responsabilul cu protectia datelor este desemnat pe baza calitatilor profesionale si, in special, a cunostintelor de specialitate in dreptul si practicile din domeniul protectiei datelor, precum si pe baza capacitatii de a-si indeplini sarcinile. Adaugam la acestea si cunostintele tehnice, chiar cand exista posibilitatea ca specialistii IT sa ii ofere, la nevoie, consultanta pentru aspectele ce ii depasesc competenta.

Responsabilul cu protectia datelor are obligatia de a respecta secretul sau confidentialitatea in ceea ce priveste indeplinirea sarcinilor sale, in conformitate cu dreptul Uniunii sau cu dreptul intern.

In indeplinirea sarcinilor sale, responsabilul cu protectia datelor tine seama in mod corespunzator de riscul asociat operatiunilor de prelucrare, luand in considerare natura, domeniul de aplicare, contextul si scopurile prelucrarii. El este cel care va notifica, la nevoie, Autoritatea nationala de supraveghere, orice incident de securitate.

Desemnarea responsabilului cu protectia datelor - procedura

Daca faceti parte din randul angajatorilor care au obligatia de a desemna un responsabil cu protectia datelor sau daca ati hotarat desemnarea acestuia, desi nu aveati obli gatia, veti putea opta intre mai multe modalitati de desemnare a acestuia.

 

Cine poate fi responsabil cu protectia datelor?

 

Astfel, responsabilul cu protectia datelor poate fi (in functie de obiectul de activitate si de dimensiunile companiei):

a) un salariat special angajat cu acest scop

Trebuie observat ca responsabilul cu protectia datelor are o anumita autonomie in cadrul companiei, chiar si cand are calitatea de salariat, cat priveste activitatea de protectie a datelor, neputand fi sanctionat sau concediat pentru indeplinirea sarcinilor sale.

Intr-adevar, potrivit art. 38 alin. (3) din Regulament, responsabilul cu protectia datelor nu primeste niciun fel de instructiuni in ceea ce priveste indeplinirea acestor sarcini. Acesta nu este demis sau sanctionat de catre operator sau de persoana imputernicita de operator pentru indeplinirea sarcinilor sale. Responsabilul cu protectia datelor raspunde direct in fata celui mai inalt nivel al conducerii operatorului sau persoanei imputernicite de operator.

Fisa postului in cazul responsabilului cu protectia datelor se va intocmi pornindu-se de la atributiile acestuia, enumerate in art. 39 din Regulamentul european. 

b) un salariat pre-existent, caruia i s-au adaugat in fisa postului responsabilitati in sfera protectiei datelor.

DPO poate indeplini si alte sarcini si atributii, dar niciuna dintre acestea nu trebuie sa genereze conflict de interese. Exista un astfel de conflict cand angajatul este apt sa ia decizii chiar in domeniul colectarii de date, indiferent ce denumire poarta functia efectiv in organigrama. Ca regula generala, functiile din cadrul organizatiei cu care poate intra in conflict includ functiile de conducere (directorul executiv, operational, financiar; seful departamentului de marketing, resurse umane, IT etc.), dar, in acelasi timp, si alte functii inferioare daca, in fapt, au posibilitatea de a stabili scopurile si mijloacele de prelucrare, precum administratorul IT.

Reprezentantul angajatilor este si el in conflict de interese, deoarece are posibilitatea de a influenta prelucrarile de date din organizatie, spre exemplu cand i se supune atentiei posibilitatea instalarii unei camere video in incinta societatii.

In cazul in care atributiile responsabilului cu protectia datelor sunt preluate de catre un angajat pre-existent:

– fie se modifica contractul individual de munca al acestuia, adaugandu-se in fisa postului atributiile corespunzatoare. Este necesar acordul salariatului in discutie;
– fie se desemneaza salariatul prin decizie interna (act unilateral).

c) un prestator de servicii, cu care s-a incheiat contract civil. Astfel, potrivit art. 37 alin. (6) din Regulament, responsabilul cu protectia datelor poate fi un membru al personalului operatorului sau persoanei imputernicite de operator sau poate sa isi indeplineasca sarcinile in baza unui contract de servicii;

d) un salariat sau un colaborator „partajat” de mai multe institutii. Astfel, Regulamentul prevede ca un grup de intreprinderi poate numi un responsabil cu protec tia datelor unic, cu conditia ca responsabilul cu protectia datelor sa fie usor accesibil din fiecare intreprindere.

In cazul in care operatorul sau persoana imputernicita de operator este o autoritate publica sau un organism public, poate fi desemnat un responsabil cu protectia datelor unic pentru mai multe dintre aceste autoritati sau organisme, luand in considerare structura organizatorica si dimensiunea acestora.

Din punct de vedere juridic, acest tip de contract se numeste „job sharing”; el nu este reglementat la noi. Ca urmare, modul concret prin care responsabilul cu protectia datelor va fi partajat intre mai multe firme sau institutii publice va putea fi desfasurarea unui contract cu fractiune de norma pentru fiecare dintre ele.
De mentionat ca aceasta posibilitate de desemnare a responsabilului de catre mai multe institutii publice este prevazuta si in dreptul intern, respectiv in art. 10 din Legea nr. 190/2018.

ATENTIE!

Rolul DPO este unul strict consultativ: el va analiza activitatea operatorului si va determina conformitatea cu legea, neputand, practic, oferi o solutie de conciliere pentru a nu se pune in situatia de a fi in conflict de interese cu organizatia. Ramane la discretia si obligatia agentului economic/angajatorului sa ia si sa implementeze masurile necesare pentru conformare.

Ca atare, el NU trebuie: sa elaboreze, gestioneze, imbunatateasca sau sa actualizeze procedurile interne privind protectia datelor; sa elaboreze sau sa revizuiasca acordurile de prelucrare de date; sa gestioneze incidentele de securitate; sa ofere asistenta efectiva la implementarea de masuri corective; sa tina cont de strategiile si obiectivele de business ale companiei.

...mai multe in CodulMunciiComentat.ro, unde informatiile sunt actualizate permanent. Orice modificare legislativa este prezentata cu promptitudine, insotite de comentarii din partea specialistilor care gestioneaza platforma, astfel incat sa beneficiati intotdeauna de informatii la zi, pe care sa va puteti baza 100%.

Problema cu care va confruntati este una foarte specifica sau mai complexa? Apelati la serviciul de consultanta, marca Rentrop & Straton, vezi AICI <<<