Recomandari


Regulamentul General privind Protectia Datelor (GDPR) intrat in vigoarela data de 25 mai 2018 ofera un cadru legal modernizat, de conformitate, bazat pe responsabilitatea pentru protectia datelor in Europa. Responsabilul cu protectia datelor (DPO) va reprezenta centrul acestui nou cadru juridic pentru multe organizatii, facilitand respectarea prevederilor GDPR.


Potrivit GDPR, este obligatoriu ca anumiti operatori si persoane imputernicite de operatori sa desemneze un DPO.  Aceasta va fi situatia pentru toate autoritatile si organismele publice (indiferent de tipul datelor prelucrate) si pentru celelalte organizatii care, ca si activitate principala, monitorizeaza in mod sistematic si pe scara larga persoanele fizice sau prelucreaza categorii speciale de date cu caracter personal pe scara larga. Chiar si in situatia in care GDPR nu impune in mod expres numirea unui DPO, o societate este obligata sa desemneze macar o persoana care sa supervizeze aspectele legate de prelucrarea datelor cu caracter personal.

Daca societatea nu a numit un DPO (numire obligatorie in anumite cazuri detaliate mai jos), atunci va alege un angajat din cadrul companiei desemnat pentru activitatile de prelucrare. Aceasta persoana desemnata este o persoana care are cunostinte in protectia datelor, care va fi contactata in legatura cu aspecte ce tin de prelucrarea si protectia datelor, si care indeplineste anumite sarcini ale DPO, fara insa a fi DPO.

Angajarea unui DPO este obligatorie legal conform Art. 37.1., alineatele b. si c. din Regulament pentru:
1. autoritatile si institutiile publice, cu exceptia instantelor
2. companiile a caror activitate principala presupune prelucrarea pe scara larga a datelor cu caracter personal si care necesita o monitorizare periodica si sistematica a persoanelor vizate
3. companiile a caror activitate principala presupune prelucrarea pe scara larga a unor categorii speciale de date sau a unor date cu caracter personal privind condamnari penale si infractiuni


Ce presupune prelucrarea de date "pe scara larga"
Regulamentul recomanda ca urmatorii factori sa fie luati in considerare atunci cand se stabileste daca prelucarea este efectuata pe o scara larga:
  • numarul persoanelor vizate: ori un numar exact ori un procent din populatia relevanta
  • volumul datelor si/sau gama de elemente diferite de date in curs de prelucrare
  • durata sau permanenta activitatii de prelucrare a datelor
  • suprafata geografica a activitatii de prelucrare

Exemplele de prelucrari pe scara larga includ:

  • prelucrarea datelor pacientilor in activitatea regulata a unui spital
  • prelucrarea datelor de calatorie ale unei persoane fizice ce utilizeaza sistemul de transport public (spre exemplu urmarire cu ajutorul cardurilor de calatorie)
  • prelucrarea in timp real a datelor de geolocalizare a clientilor unei retele internationale in scopuri statistice de catre o persoana imputernicita de operator specializata in furnizarea serviciilor de acest tip
  • prelucrarea datelor clientilor in activitatea regulata a unei companii de asigurari sau a unei banci
  • prelucrarea datelor personale de catre un motor de cautare in scop de publicitate comportamentala
  • prelucrarea datelor (continut, trafic, localizare) de catre furnizorii de telefonie sau servicii de Internet


Exemplele ce NU constituie prelucrari pe scara larga includ:
  • prelucrarea datelor pacientului de catre un medic individual
  • prelucrarea datelor personale referitoare la condamnarile penale si infractiuni de catre un avocat individual

Vom numi “Responsabil cu Protectia Datelor” doar DPO-ul.
Daca societatea nu are desemnat un DPO, atunci persoanei care se ocupa de prelucrarea datelor ii vom spune “Persoana Desemnata cu Activitatile de Prelucrare”.


DPO (Data Protection Officer)
DPO poate fi membru al personalului (angajat) sau contractant extern (resursa internalizata). DPO poate fi numit dintre angajatii deja existenti (se recomanda incheierea unui act aditional la contractul individual de munca pentru aceasta functie, precum si modificarea corespunzatoare a fisei postului, corelat si cu o rectificare salariala eventual) sau un angajat special pentru aceasta functie (DPO este o functie inscrisa in COR – Clasificarea ocupatiilor din Romania).


DPO trebuie sa fie un specialist in protectia datelor, desemnat pe baza calitatilor profesionale, a cunostintelor privind legislatia si practicile de protectie a datelor, a capacitatii de a indeplini sarcinile prevazute de art. 39 din GDPR.

DPO trebuie sa ramana independent in activitatea de monitorizare pe care o desfasoara, chiar daca este angajat. Independenta DPO se asigura prin faptul ca acesta raporteaza in mod direct managementului de pe cel mai inalt nivel ierarhic al organizatiei, are mijloacele tehnice si materiale pentru a-si indeplini obligatiile, fara a putea fi constrans in privinta modului in care isi desfasoara atributiunile. DPO nu primeste niciun fel de instructiuni in ceea ce priveste indeplinirea acestor sarcini. DPO nu este demis sau sanctionat pentru indeplinirea sarcinilor sale.

DPO trebuie sa fie implicat in mod corespunzator si in timp util in toate aspectele legate de protectia datelor cu caracter personal.

DPO nu trebuie sa aiba un alt rol cheie in prelucrarea datelor, pentru a nu fi in incompatibilitate. Astfel, rolul DPO poate fi combinat cu alte sarcini si atributii ale unui angajat al companiei, in masura in care acestea nu sunt in conflict de interese cu rolul de DPO, respective in sensul de a putea decide in ce scop sau cum pot fi procesate date cu caracter personal.

De principiu, DPO-ul nu poate ocupa, in acelasi timp si o functie de decizie, ajungandu-se in acest caz in situatia in care isi evalueaza propria activitate privind prelucrarea datelor personale. De exemplu, DPO nu poate fi administrator, director general, director executiv, director operational, director financiar, seful departamentului de marketing sau IT ori resurse umane. De asemenea, nu poate fi DPO consilierul juridic care reprezinta societatea in instanta in litigii vizand legalitatea prelucrarii datelor.


Persoana desemnata
Persoana desemnata pentru activitatile de prelucrare si protectie a datelor este un angajat al societatii, care cunostinte in aceasta materie, este recunoscuta intern ca avand astfel de cunostinte si din acest motiv, i se recunosc si anumite atributii in legatura cu protectia datelor (cum ar fi sa fie contactata, intern ori extern – persoane vizate, autoritati - in legatura cu protectia datelor), insa, spre deosebire de DPO, aceste atributii nu au particularitatile functiei DPO-ului si nici independenta de care se bucura DPO (astfel cum sunt aratate mai sus). De exemplu, aceasta persoana nu va fi implicata in toate aspectele legale de protectia datelor, nu ia decizii in mod independent in legatura cu protectia datelor. Atributiile referitoare la protectia datelor sunt atributii de serviciu ca si celelalte sarcini pe care le are in virtutea pozitiei pe care o ocupa in companie si nu este independent in exercitarea acestora.

Administratorul nu poate fi DPO. Administratorul poate fi persoana desemnata pentru activitatile de prelucrare.


In sectiunea DOCUMENTE COMPANIE a platformei gasiti atributiile atat pentru DPO, cat si pentru Persoana Desemnata, precum si deciziile de numire ale celor doua functii, unde este cazul, in societatea dumneavoastra.