DPO, sau Data Protection Officer, este o funcție despre care am auzit cu toții extrem de des în ultima perioadă, deși foarte puțini dintre cei care au auzit de DPO știu care sunt atribuțiile acestei persoane. De aceea, în materialul de azi ne-am propus să explicăm pe înțelesul tuturor ce este un DPO, ce cerințe trebuie să îndeplinească o persoană pentru a fi numit ca DPO și ce responsabilități are această persoană în raport cu protecția datelor cu caracter personal, așa cum este ea stipulată în GDPR, Regulamentul European aferent.

DPO – Data Protection Officer – cine poate fi numit pe această funcție?

DPO, acronimul pentru Data Protection Officer, este, așa cum spune și denumirea, responsabilul cu protecția datelor din interiorul unei companii. Articolul 37 alin. 5 din GDPR spune că această funcție trebuie să fie ocupată de către o persoană, numită de către operator, persoană care îndeplinește anumite calități profesionale și care deține cunoștințele de specialitate necesare pentru a ocupa o asemenea poziție de responsabilitate în cadrul oricărei companii.

GDPR, Regulamentul European pentru Protecția Datelor, stipulează că DPO poate fi numit și unul dintre angajații companiei, cu precizarea ca atribuțiile acestuia în cadrul respectivei companii să nu vină în contradicțiile cu principiile care trebuie respectate în materie de protecție a datelor – astfel, DPO nu poate fi directorul executiv, directorul de resurse umane, directorul de marketing sau directorul de IT întrucât atribuțiile lor vin în contradicție cu echidistanța de care trebuie să se bucure un DPO atunci când își asumă responsabilitatea prelucrării conforme a datelor în cadrul companiei.

Conform unui Ghid orientativ despre calitățile și atribuțiile unui DPO (Data Protection Officer) emis de Autoritatea Națională, calitățile și competențele unui DPO ar trebui să fie următoarele:

  • Trebuie să aibă capacitatea de a îndeplini sarcinile. În acest sens sunt necesare anumite calități personale (ex: integritate și etica profesională), cunoștințe, dar și o anumită poziție în cadrul organizației.
  • Trebuie să aibă anumite calități profesionale, astfel:
  1. experiență în legislația și practicile de protecție a datelor la nivel național și european, precum și o înțelegere adecvată a RGPD;
  2. nivelul necesar de cunoștințe în domeniul protecției datelor în funcție de operațiunile de prelucrare a datelor efectuate și de nivelul de protecție necesar pentru datele cu caracter personal prelucrate;
  3. să înțeleagă operațiunile de prelucrare efectuate, precum și sistemele de informații și necesitățile de securitate și protecție a datelor prelucrate de operator;
  4. în cazul unei autorități sau instituții publice, responsabilul cu protecția datelor trebuie să dețină, de asemenea, cunoștințe privind reglementările legale referitoare la organizarea și funcționarea acestora, precum și a procedurilor interne administrative ce vizează desfășurarea activității.
Tu ești pregătit pentru un control al ANSPDCP pe modalitatea implementarii GDPR in cadrul companiei tale?

 

DPO – Data Protection Office – toate companiile au nevoie de un astfel de ofițer de protecție a datelor?

Regulamentul European pentru Protecția Datelor precizează că nu toate companiile au nevoie de un astfel de DPO ci doar cele care se află într-una dintre următoarele situații:

  • sunt autorități publice;
  • monitorizează sistemic, la scara largă, date personale – aici Regulamentul pare a lăsa loc de interpretabilitate în sensul definirii dimensiunii prelucrării datelor personale, însă fără îndoială că Autoritatea Națională va oferi precizări în acest sens;
  • prelucrează, la scară largă, date sensibile și categorii speciale de date precum etnie, credință religioasă, apartenență la sindicate, date genetice, biometrie, orientare sexuală, infracțiuni și condamnări.

Pe de altă parte, autoritățile europene și naționale încurajează companiile, chiar și cele mici, să numească un DPO pentru a se asigura că datele cu caracter personal sunt prelucrate în conformitate cu Regulamentul European. Din acest punct de vedere suntem și noi de acord, întrucât Regulamentul European protejează orice fel de date cu caracter personal iar o pierdere a acestora sau o dezvăluire se poate întâmpla atât la firmele mari cât și la cele mici. Astfel, un DPO ar putea veni ca un supervizor și ca un garant al conformității activităților de prelucrare a acestor date în cadrul companiilor, indiferent de mărimea acestora.

 

DPO – ce atribuții are un Data Protection Officer?

Regulamentul European pentru Protecția Datelor menționează că un DPO trebuie să îndeplinească următoarele activități:

  • informarea și consilierea operatorului, sau a persoanei împuternicite de operator, precum și a angajaților care se ocupă de prelucrare cu privire la obligațiile care le revin în temeiul Regulamentului și al altor dispoziții de drept ale Uniunii sau drept intern referitoare la protecția datelor;
  • monitorizarea respectării Regulamentului, a altor dispoziții de drept ale Uniunii sau de drept intern referitoare la protecția datelor și a politicilor operatorului sau ale persoanei împuternicite de operator în ceea ce privește protecția datelor cu caracter personal, inclusiv alocarea responsabilităților și acțiunile de sensibilizare și de formare a personalului implicat în operațiunile de prelucrare, precum și auditurile aferente;
  • furnizarea de consiliere la cerere în ceea ce privește evaluarea impactului asupra protecției datelor și monitorizarea funcționării protecției datelor;
  • cooperarea cu Autoritatea Națională de Supraveghere;
  • asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare, inclusiv consultarea prealabilă, precum și, dacă este cazul, consultarea cu privire la orice altă chestiune.
Apelează cu încredere la specialiștii în protecția datelor cu caracter personal – Data Protection Group