Sunteți pe pagina 1din 26

GRUPUL DE LUCRU ARTICOLUL 29 PENTRU PROTECIA DATELOR

16/RO
WP 243 rev.01

Ghid privind Responsabilul cu protecia datelor (DPOs)

Adoptat n data de 13 decembrie 2016

Revizuit i adoptat n data de 5 aprilie 2017

Acest grup de lucru a fost creat n temeiul articolului 29 din Directiva 95/46/CE i este un organ
consultativ european independent care se ocup cu protecia i confidenialitatea datelor. Sarcinile sale
sunt descrise la articolul 30 din Directiva 95/46/CE i la articolul 15 din Directiva 2002/58/CE.

Secretariatul este asigurat de Direcia C (Drepturi fundamentale i cetenia Uniunii) din cadrul
Comisiei Europene, Direcia General Justiie i Consumatori, B- 1049 Bruxelles, Belgia, biroul MO-
59 05/35.

Adresa web: http://ec.europa.eu/justice/data-protection/index_en.htm


GRUPUL DE LUCRU PENTRU PROTECIA PERSOANELOR N CEEA CE PRIVETE
PRELUCRAREA DATELOR CU CARACTER PERSONAL

instituit prin Directiva 95/46/CE a Parlamentului European i a Consiliului din 24 octombrie 1995,

avnd n vedere articolele 29 i 30 din directiva respectiv,

avnd n vedere regulamentul su de procedur,

ADOPT PREZENTUL GHID:

2
Cuprins
1 Introducere ......................................................................................................................................... 4
2 Desemnarea responsabilului cu protecia datelor ........................................................................... 5
2.1. Desemnare obligatorie ..................................................................................................................... 5
2.1.1 Autoritate public sau organism public .................................................................................... 6
2.1.2 Activiti principale .................................................................................................................. 6
2.1.3 Pe scar larg ........................................................................................................................... 7
2.1.4 Monitorizarea periodic i sistematic ..................................................................................... 8
2.1.5 Categorii speciale de date cu caracter personal referitoare
la condamnri penale i infraciuni ........................................................................................................ 9
2.2. Responsabilul cu protecia datelor al persoanei mputernicite ....................................................... 9
2.3. Desemnarea unui singur responsabil cu protecia datelor pentru mai multe organizaii ............... 10
2.4. Accesibilitatea i localizarea responsabilului cu protecia datelor ................................................ 10
2.5. Expertiza i abilitile responsabilului cu protecia datelor ........................................................... 11
2.6. Publicarea i comunicarea datelor de contact ale responsabilului cu protecia datelor ................. 12
3 Poziia responsabilului cu protecia datelor .................................................................................. 13
3.1. Implicarea responsabilului cu protecia datelor n toate aspectele
referitoare la protecia datelor cu caracter personal .............................................................................. 13
3.2. Resursele neceare ........................................................................................................................... 13
3.3. Instruciuni i ndeplinirea atribuiilor i sarcinilor n mod independent ................................. 14
3.4. Demiterea sau sancionarea DPO pentru ndeplinirea sarcinilor sale ............................................ 15
3.5. Conflict de interese ........................................................................................................................ 16
4 Sarcinile DPO ................................................................................................................................... 16
4.1. Monitorizarea respectrii RGPD ................................................................................................... 16
4.2. Rolul DPO n evaluarea impactului operaiulor de prelucrare ...................................................... 17
4.3. Cooperarea cu autoritatea de supraveghere i asumarea rolului de punct de contact .................... 18
4.4. Abordarea bazat pe risc ................................................................................................................ 18
4.5. Rolul DPO n pstrarea evidenei .................................................................................................. 18
5 Anex Ghid DPO: Ce trebuie s tii .......................................................................................... 20
Desemnarea DPO ............................................................................................................................... 20
1 Ce organizaii ce trebuie s numeasc un DPO? ............................................................................... 20
2 Ce nseamn activitate principal? ............................................................................................ 20
3 Ce nseamn pe scar larg ........................................................................................................ 21
4 Ce nseamn monitorizare periodic i sistematic? ...................................................................... 21
5 Mai multe organizaii pot numi un DPO comun? Daca da, n ce condiii? ....................................... 22
6 Unde poate fi localizat DPO? ............................................................................................................ 22
7 Exist posibilitatea desemnrii unui DPO extern? ............................................................................ 23
8 Care sunt calitile profesionale pe care trebuie s le posede un DPO? ............................................ 23
Poziia DPO .......................................................................................................................................... 24
9 Care sunt resurcele ce trebuie prevzute de operator sau persoana mputernicit pentru DPO? ....... 24
10 Care sunt garaniile ce-i permit DPO s-i ndeplineasc sarcinile n mod independent?
Ce nseamn conflict de interese? ..................................................................................................... 24
Sacini DPO ........................................................................................................................................... 25
11 Ce nseamn monitorizarea conformitii? .................................................................................. 25
12 DPO este personal responsabil pentru nerespectarea cerinelor de protecie a datelor? .................. 25
13 Care este rolul DPO n legtur cu DPIA i
pstrarea evidenei operaiunilor de prelucrare? ................................................................................... 25

3
1 Introducere

Regulamentul General privind Protecia Datelor (RGPD)1 ce urmeaz s devin aplicabil la data de 25
mai 2018 ofer un cadru legal modernizat, de conformitate bazat de responsabilitate pentru protecia
datelor n Europa. Responsabilul cu protecia datelor (DPO) va reprezenta centrul acestui nou cadru
juridic pentru multe organizaii, facilitnd respectarea prevederilor RGPD.

Potrivit RGPD, este obligatoriu ca anumii operatori i persoane mputernicite de operatori s


desemneze un DPO2. Aceasta va fi situaia pentru toate autoritile i organismele publice (indiferent
de tipul datelor prelucrate) i pentru celelalte organizaii care ca i activitate principal
monitorizeaz n mod sistematic i pe scar larg persoanele fizice sau prelucreaz categorii speciale
de date cu caracter personal pe scar larg.

Chiar i n situaia n care RGPD nu impune n mod expres numirea unui DPO, organizaiile pot gsi
ca fiind util desemnarea unui DPO n mod voluntar. Grupul de Lucru Articolul 29 (WP29)
ncurajeaz aceste eforturi voluntare.

Conceptul de DPO nu este nou. Cu toate c Directiva 95/46/CE3 nu impune niciunei organizaii s
numeasc un DPO, aceast practic de numire a unui DPO s-a dezvoltat, de-a lungul anilor, n mai
multe state membre.

Anterior adoptrii RGPD, WP29 a susinut c DPO reprezint un punct important al responsabilitii i
c numirea unui DPO poate facilita respectarea i, n plus, poate reprezenta un avantaj competitiv
pentru companii4. Pe lng facilitarea respectrii prin punerea n aplicare a instrumentelor de
responsabilitate (cum ar fi facilitarea evalurilor impactului asupra proteciei datelor i efectuarea sau
facilitarea auditurilor), DPO acioneaz ca intermediar ntre prile interesate relevante (de exemplu
autoritile de supraveghere, persoanele vizate i unitile de afaceri din cadrul unei organizaii).

DPO nu este personal responsabil n caz de nerespectare a RGPD. RGPD spune clar c resposabil este
operatorul sau persoana mputernicit de operator care trebuie s se asigure i s fie n msur s
demonstreze c prelucrarea este efectuat n conformitate cu disponziiile sale (art. 24(1)). Respectarea
normelor de protecie a datelor reprezint responsabilitatea operatorului sau a persoanei mputernicite
de operator.

Operatorul sau persoana mputernicit de operator are de asemenea un rol crucial n a permite
ndeplinirea eficient a atrtibuiilor DPO. Numirea unui DPO reprezint un prim pas, dar trebuie s se
asigure c DPO are autonomie i resurse suficiente pentru ndeplinirea sarcinilor ntr-un mod eficient.


1
Regulamentul (UE) 2016/679 al Parlamentului European i al Consiliului din 27 aprilie 2016 privind protecia persoanelor fizice n ceea ce
privete prelucrarea datelor cu caracter personal i privind libera circulaie a acestor date i de abrogare a Directivei 95/46/CE (Regulamentul
General privind Protecia Datelor) (MO L 119, 4.5.2016). RGPD este relevant i pentru ZEE i va fi aplicabil dup inserarea acestuia n
Acordul ZEE.
2
Numirea unui DPO este obligatori pentru autoritile competente potrivit art. 32 din Directiva (UE) 2016/680 a Parlamentului European i a
Consiliului din 27 aprilie 2016 privind protecia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de ctre autoritile
competente n scopul prevenirii, depistrii, investigrii sau urmririi penale a infraciunilor sau al executrii pedepselor i privind libera
circulaie a acestor date i de abrogare a Decizie-Cadru 2008/977/JAI (MO L 119, 4.5.2016, p. 89131) i legislaia naional de
implementare. n timp ce acest ghid se concentreaz pe DPO potrivit RGPD, acesta este de asemenea relevant i n situaia DPO potrivit
Directivei 2016/680, n ceea ce privete dispoziiile similare.
3
Directiva 95/46/CE a Parlamentului European i a Consiliului din 24 octombrie 1995 privind protecia persoanelor fizice n ceea ce privete
prelucrarea datelor cu caracter personal i libera circulaie a acestor date (MO L 281, 23.11.1995, p. 31).
4
A se vedea http://ec.europa.eu/justice/data-protection/article-29/documentation/other-
document/files/2015/20150617_appendix_core_issues_plenary_en.pdf

4
RGPD recunoate DPO ca un actor-cheie n noul sistem de guvernare al proteciei datelor i stabilete
condiiile pentru numirea sa, poziia i sarcinile sale. Obiectivul acestui ghid este de a clarifica
prevederile relevante din RGPD pentru a ajuta operatorii i persoanele mputernicite de operator n
vederea respectrii legii, dar i pentru a ajuta DPO n ceea ce privete rolul su. Ghidul ofer, de
asemenea, recomandri de bune practici, bazndu-se pe experiena acumulat n unele state membre
UE. WP29 va monitoriza punerea n aplicare a acestor orientri i le va completa cu detalii
suplimentare, dup caz.

2 Desemnarea DPO

2.1. Desemnarea obligatorie

Art. 37(1) din RGPD solicit desemnarea DPA n trei situaii specifice5:

a) atunci cnd prelucarea este efectuat de o autoritate public sau un organism public6;

b) atunci cnd activitile principale ale operatorului sau ale persoanei mputernicite de operator
constau n operaiuni de prelucrarea care necesit o monitorizare periodic i sistematic a persoanelor
vizate pe scar larg; sau

c) atunci cnd activitile principale ale operatorului sau ale persoanei mputernicite de operator
constau n prelucrarea pe scar larg a unor categorii speciale de date7 sau8 a unor categorii de date cu
caracter personal privind condamnri penale i infraciuni9.

n urmtoarele subseciuni WP29 ofer orientri cu privire la criteriile i terminologia folosit n art.
37(1).

Cu excepia cazului n care este evident faptul c o organizaie nu este obligat s desemneze un DPO,
WP29 recomand ca operatorii i persoanele mputernicite de operator s documenteze evalurile
interne efectuate pentru a determina dac va fi numit un DPO, pentru a fi n msur s demonstreze c
au fost luai n considerare n mod corespunztor factorii relevani10. Aceast analiz reprezint o parte
a documentaiei potrivit principiului responsabilitii. Aceasta poate fi solicitat de autoritatea de
supraveghere i ar trebui actualizat atunci cnd este necesar, de exemplu, n situaia n care operatorii
sau persoanele mputernicite de operatori ntreprind activiti noi sau furnizeaz servicii noi care se pot
ncadra n cazurile enumerate la art. 37(1).

n situaia n care o organizaie numete un DPO n mod voluntar, condiiile de la art. 37-39 se aplic
numirii, poziiei i sarcinilor ca i cum desemnarea ar fi obligatorie.

Nimic nu mpiedic o organizaie, care nu are obligaia legal de a desemna un DPO i nu dorete s
desemneze un DPO n mod voluntar, s angajeze personal sau consultani externi cu sarcini legate de
protecia datelor cu caracter personal. n acest caz, este important s se asigure c nu exist nicio
confuzie n ceea ce privete titlul, statutul, poziia i sarcinile acestora. Prin urmare, trebuie clarificat,


5
Reinei faptul c potrivit art. 37(4), dreptul Uniunii sau dreptul intern poate impune numirea unui DPO i n alte situaii.
6
Cu excepia instanelor care acioneaz n exerciiul funciei. A se vedea art. 32 din Directiva (UE) 2016/680.
7
Potrivit art. 9, acestea includ date cu caracter personal care dezvluie originea rasial sau etnic, opiniile politice, confesiunea religioas sau
convingerile filozofice sau apartenena la sindicate i prelucrarea de date genetice, de date biometrice pentru idntificarea unic a unei
persoanei fizice, de date privind starea de sntate sau de date privind viaa sexual sau orientarea sexual a unei persoane fizice..
8
Art. 37(1)c) folosete cuvntul i. A se vedea Seciunea 2.1.5 de mai jos pentru explicaia privind folosirea cuvntului sau n locul i.
9
Art. 10.
10
A se vedea art. 24(1).

5
n orice comunicare din cadrul companiei, precum i cu autoritile pentru protecia datelor, persoanele
vizate i publicul larg, c titlul acestei persoane sau consultant nu este cel de responsabil cu protecia
datelor (DPO)11.

DPO, obligatoriu sau voluntar, este desemnat pentru toate operaiunile efectuate de operator sau
persoana mputernicit de operator.

2.1.1 Autoritate public sau organism public

RGPD nu definete ce nseamn autoritate public sau organism public. WP29 consider c o
asemenea noiune trebuie stabilit n conformitate cu dreptul intern. n consecin, autoritile i
organismele publice includ autoritile naionale, regionale i locale, dar conceptul, n conformitate cu
legislaia naional aplicabil, include, de asemenea, o serie de alte organisme guvernate de legislaia
n domeniul public12. n astfel de cazuri, desemnarea unui DPO este obligatorie.

O sarcin public poate fi efectuat, iar o autoritate public poate fi exercitat13 nu numai de ctre
autoriti sau organisme publice, ci i de alte persoane fizice sau juridice de drept public sau privat, n
sectoare precum servicii de transport public, furnizare de ap i energie, infrastructura rutier, serviciul
public de radiodifuziune, locuine publice sau organisme disciplinare pentru profesiile reglementate, n
conformitate cu reglementarea naional a fiecrui stat membru.

n aceste cazuri, persoanele vizate pot fi ntr-o situaie foarte asemntoare ca atunci cnd datele lor
sunt prelucrate de o autoritate public sau un organism public. n special, datele pot fi prelucrate n
scopuri similare, iar persoanele fizice au de multe ori la fel de puine posibiliti sau chiar deloc
posibilitatea de a alege dac datele lor vor fi prelucrate i modul n care vor fi prelucrare i pot solicita
astfel protecia suplimentar pe care o poate aduce desemnarea unui DPO.

Chiar dac nu exist nicio obligaie n astfel de cazuri, WP29 recomand, ca bun practic, ca
organizaiile private care ndeplinesc atribuii publice sau exercit o autoritate public s desemneze
un DPO. O astfel de activitatea a DPO acoper toate operaiunile de prelucrare efectuate, inclusiv cele
care nu sunt legate de ndeplinirea unei sarcini publice sau exercitarea ndatoririlor oficiale (de
exemplu, gestionarea unei baze de date a angajailor).

2.1.2 Activiti principale

Art. 37(1)b) i c) din RGPD se refer la activitile principale ale operatorului sau ale persoanei
mputernicite de operator. Considerentul 97 specific faptul c activitile principale ale operatorului
se refer la activitile de baz i nu la prelucrarea datelor cu caracter personal drept activiti
auxiliare. Activitile principale pot fi considerate ca operaiuni cheie necesare pentru ndeplinirea
obiectivelor operatorului sau persoanei mputernicite de operator.

Cu toate acestea, activitile principale nu ar trebui interpretate ca excluznd activitile n care


prelucrarea datelor reprezint o parte indisolubil a activitii operatorului sau persoanei mputernicite
de operator. De exemplu, activitatea principal a unui spital este de a oferi asisten medical. Cu toate

11
Acest lucru este de asemenea relevant pentru responsabilii principali cu protecia datelor (CPO chief privacy officers) sau ali
profesioniti n domeniu din cadrul companiilor care nu respect ntotdeauna cerinele RGPD, spre exemplu, n legtur cu resursele
disponibile sau garaniile de idependen i, dac nu sunt respectate, nu pot fi considerai sau numii DPO.
12
A se vedea, de exemplu definiia pentru organism din sectorul public i organism de drept public n art. 2(1) i (2) din Directiva
2003/98/CE a Parlamentului European i a Consiliului din 17 noiembrie 2003 privind reutilizarea informaiilor din sectorul public (MO L
345, 31.12.2003, p. 90).
13
Art. 6(1)e).

6
acestea, un spital nu poate oferi asisten medical n condiii de siguran i n mod eficient fr
prelucrarea datelor privind starea de sntate, cum ar fi dosarele medicale ale pacienilor. Prin urmare,
prelucrarea acestor date ar trebui s fie considerat a fi una dintre activitile principale n orice spital
i, prin urmare, spitalele trebuie s desemneze un DPO.

Ca un alt exemplu, o companie de securitate privat efectueaz supravegherea unui numr de centre
comerciale private i spaii publice. Supravegherea este activitatea de baz a companiei, care, la rndul
su, este indisolubil legat de prelucrarea datelor cu caracter personal. Prin urmare, aceast societate
trebuie s desemneze, de asemenea, un DPO.

Pe de alt parte, toate organizaii efectueaz anumite activiti, spre exemplu, plata angajailor lor sau
deinerea de activiti standard de suport IT. Acestea sunt exemple de funcii de sprijin necesare pentru
activitatea de baz sau principal a organizaiei. Chiar dac aceste activiti sunt necesare sau
eseniale, acestea sunt de obicei considerate mai degrab funcii auxiliare dect activitate principal.

2.1.3 Pe scar larg

Art. 37(1)b) i c) impune ca prelucrarea datelor cu caracter personal s fie efectuat pe o scar larg
pentru declanarea activitii de desemnare a unui DPO. RGPD nu definete ce anume constituie
prelucarea pe scar larg, dei Considerentul 91 ofer unele orientri14.

ntr-adevr, nu este posibil s se ofere un numr exact, fie n ceea ce privete volumul de date
prelucrate, fie n ceea ce privete numrul de persoane vizate, care ar fi aplicabil n toate situaiile. Cu
toate acestea, acest lucru nu exclude posibilitatea ca, n timp, o anumit practic standard s se poat
dezvolta astfel nct s identifice n termeni mai specifici i/sau cantitativ ce anume constituie pe
scar larg n ceea ce privete anumite tipuri de activiti comune de prelucrare. WP29 intenioneaz
de asemenea s contribuie la aceast dezvoltare, prin intermediul schimbului de exemple de praguri
relevante pentru desemnarea unui DPO i publicarea acestora.

n orice caz, WP29 recomand ca urmtorii factori s fie luai n considerare atunci cnd se stabilete
dac prelucarea este efectuat pe o scar larg:

numrul persoanelor vizate ori un numr exact ori un procent din populaia relevant

volumul datelor i/sau gama de elemente diferite de date n curs de prelucrare

durata sau permanena activitii de prelucrare a datelor

suprafaa geografic a activitii de prelucrare

Exemple de prelucrri pe scar larg includ:

prelucrarea datelor pacienilor n activitatea regulat a unui spital


14
Potrivit considerentului, ar putea fi incluse, n special, operaiunile de prelucrare pe scar larg care au drept obiectiv prelucrarea unui
volum considerabill de date cu caracter personal la nivel regional, naional sau supranaional i care ar putea afecta un numr mare de
persoane vizate i care sunt susceptibile de a genera un risc ridicat. Pe de alt parte, considerentul prevede n mod expres c prelucrarea
datelor cu caracter personal nu ar trebui considerat a fi la scar larg n cazul n care prelucrarea se refer la date cu caracter personal
de la pacieni sau clieni ai unui anumit medic sau un alt profesionist n domeniul sntii sau un avocat. Este important s se ia n
considerare faptul c, n timp ce considerentul ofer exemple aflate la extremele scalei (prelucrare efectuat de un medic n comparaie cu
prelucrarea datelor dintr-o ar ntreag sau din Europa), exist o zon mare gri ntre aceste extreme. n plus, trebuie amintit faptul c acest
considerent se refer la evalurile impactului asupra proteciei datelor. Acest lucru implic faptul c unele elemente pot fi specifice n acest
context i nu se aplic neaprat la desemnarea DPO n acelai mod.

7
prelucrarea datelor de cltorie a unei persoane fizice ce utilizeaz sistemul de transport public
(spre exemplu urmrire cu ajutorul cardurilor de cltorie)

prelucrarea n timp real a datelor de geolocalizare a clienilor unei reele internaionale de fast
food n scopuri statistice de ctre o persoan mputernicit de operator specializat n
furnizarea serviciilor de acest tip

prelucrarea datelor clienilor n activitatea regulat a unei companii de asigurri sau a unei
bnci

prelucrarea datelor personale de ctre un motor de cutare n scop de publicitate


comportamental

prelucrarea datelor (coninut, trafic, localizare) de ctre furnizorii de telefonie sau servicii de
Internet

Exemple ce nu constituie de prelucrri pe scar larg includ:

prelucrarea datelor pacientului de ctre un medic individual

prelucrarea datelor personale referitoare la condamnrile penale i infraciuni de ctre un


avocat individual

2.1.4 Monitorizarea periodic i sistematic

Noiunea de monitorizare periodic i sistematic a persoanelor vizate nu este definit n RGPD, dar
conceptul de monitorizare a comportamentului persoanelor vizate este menionat n Considerentul
2415 i include n mod clar toate formele de urmrire i profilarea pe Internet, inclusiv n scop de
publicitate comportamental.

Cu toate acestea, noiunea de monitorizare nu este restrictionat n mediul online, iar urmrirea online
ar trebui s fie considerat doar ca un exemplu de monitorizare a comportamentului persoanelor
vizate16.

WP29 interpreteaz periodic ca nsemnnd una sau mai multe din urmtoarele:

n curs de desfurare sau care apare la anumite intervale ntr-o anumit perioad

recurente sau repetate la perioade fixe

constante sau care au loc periodic

WP29 interpreteaz sistematic ca nsemnnd una sau mai multe din urmtoarele:

aprut conform sistemului


15
Pentru a determina dac o activitate de prelucrare poate fi considerat ca monitorizare a comportamentului persoanelor vizate, ar trebui
s se stabileas dac persoanele fizice sunt urmrite pe Internet, inclusiv posibila utilizare ulterioar a unor tehnici de prelucrare a datelor
cu caracter personal care constau n crearea unui profil al persoanei fizice, n special n scopul de a lua decizii cu privire la aceasta sau de
a analiza sau a face previziuni referitoare la preferinele personale, comportamenatel i atitudinile acesteia.
16
Reinei c prin conintului su Considerentul 24 se concentreaz asupra aplicrii extra-teritoriale a RGPD. n plus, exist o diferen ntre
sintagma monitorizarea comportamentului lor (art. 3(2)b) i monitorizarea periodic i sistematic a persoanelor vizate (art. 37(1)b))
care, prin urmare, ar putea fi considerat ca reprezentnd o noiune diferit

8
prearanjat, organizat sau metodic

lund loc ca parte a unui plan general de colectare a datelor

efectuat ca parte a unei strategii

Exemple de activiti care pot constitui o monitorizare periodic i sistematic a persoanelor vizate:
operarea unei reele de telecomunicaii; furnizarea de servicii de telecomunicaii; e-mail de
direcionare repetat; activiti de marketing bazate pe date; profilare i scoring n scopul evalurii
riscurilor (de exemplu, n scopul de credit scoring, stabilirea primelor de asigurare, de prevenire a
fraudelor, detectarea splrii banilor); urmrirea locaiei, spre exemplu, prin aplicaii
mobile; programe de loialitate; publicitate comportamental; monitorizarea wellness, fitness i a
datelor de sntate prin intermediul dispozitivelor portabile; televiziune cu circuit nchis; dispozitive
conectate spre exemplu, contoare inteligente, maini inteligente, automatizare acas, etc.

2.1.5 Categorii speciale de date i date referitoare la condamnrile penale i infraciuni

Art. 37(1)c) se refer la prelucrarea unor categoriilor speciale de date n conformitate cu art. 9, precum
i a datelor cu caracter personal referitoare la condamnrile penale i infraciunie prevzute la art. 10.
Cu toate c prevederea folosete cuvntul i, nu exist un motiv pentru ca cele dou criterii s fie
aplicate simultan. Prin urmare, textul ar trebui s fie citit astfel nct s spun sau.

2.2. DPO al persoanei mputernicite de operator

Art. 37 se aplic att operatorilor17 ct i persoanelor mputernicite de operator18 n ceea ce privete


numirea unui DPO. n funcie de cine ndeplinete criteriile de desemnare obligatorie, n unele cazuri
numai operatorul sau numai persoana mputernicit de operator, iar n alte cazuri att operatorul, ct i
persoana mputernicit de operator sunt obligai s numeasc un DPO (care ar trebui mai apoi s
colaboreze).

Este important s se sublinieze faptul c, chiar dac operatorul ndeplinete criteriile de desemnare
obligatorie, persoana mputernicit de respectivul operatorul nu trebuie neaprat s numeasc un
DPO. Totui, acest lucru poate reprezenta o bun practic.

Exemple:

O mic afacere de familie activ n distribuia de aparate de uz casnic ntr-un singur ora
folosete serviciile unei persoanei mputernicite de operator a crui activitate de baz este de a
oferi servicii de asisten i analiz pe pagina web cu activiti specifice de publicitate i
marketing. Activitile afacerii de familie i clienii si nu genereaza prelucrarea datelor pe
scar larg, avnd n vedere numrul mic de clieni i activitile relativ limitate. Cu toate
acestea, activitile persoanei mputernicite de operator, avnd muli clieni precum aceast
mic ntreprindere, luate mpreun, efectueaz prelucrri de date pe scar larg. Prin urmare,
persoana mputernicit de operator trebuie s desemneze un DPO n temeiul art. 37(1)b). n
acelai timp, afacerea de familie n sine nu are obligaia de a desemna un DPO.


17
Operatorul este definit n art. 4(7) ca fiind persoan fizic sau juridic care stabilete scopurile i mijloacele de prelucrare adatelor cu
caracter personal.
18
Persoana mputernicit de operator este definit n art. 4(8) ca fiind persoana fizic sau juridic care prelucreaz datele cu caracter personal
n numele operatorului.

9
O companie de dimensiune medie ce produce igl subcontracteaz serviciile de sntate ale
unei persoane mputernicite care are un numr mare de clieni. Persoana mputernicit de
operator va desemna un DPO potrivit art. 37(1)c), cu condiia ca prelucrarea s fie pe scar
larg. Cu toate acestea, productorul nu are obligaia de a numi un DPO.

DPO desemnat de o persoan mputernicit supravegheaz, de asemenea, activitile desfurate de


persoana mputernicit atunci cnd aceasta acioneaz n calitate de operator (spre exemplu resurse
umane, IT, logistic).

2.3. Desemnarea unui singur DPO pentru mai multe organizaii

Art. 37(2) permite unui grup de ntreprinderi s numeasc un DPO unic, cu condiia ca aceasta s fie
uor accesibil din fiecare ntreprindere. Noiunea de accesibilitate se refer la sarcinile DPO ca
punct de contact n ceea ce privete persoanele vizate19, autoritatea de supraveghere20, dar i pe plan
intern n cadrul organizaiei, avnd n vedere c una dintre sarcinile DPO este de informare i
consiliere a operatorului i persoanei mputernicite de operator, precum i a angajailor care se ocup
de prelucrare cu privire la obligaiile care le revin n temeiul prezentului Regulament.21

Pentru a se asigura c DPO, intern sau extern, este accesibil, este important s se asigure c datele de
contact ale acestuia sunt disponibile n conformitate cu cerinele RGPR.22

El sau ea, cu ajutorul unei echipe, dac este necesar, trebuie s fie n msur s comunice eficient cu
persoanele vizate23 i s coopereze24 cu autoritile de supraveghere implicate. Acest lucru nseamn,
de asemenea, c respectiva comunicare trebuie s aib loc n limba sau limbile utilizate de autoritile
de supraveghere i persoanele vizate. Disponibilitatea unui DPO (fie fizic n acelai sediu cu
angajaii, prin intermediul unei linii telefonice sau prin alte mijloace sigure de comunicare) este
esenial pentru a garanta c persoanele vizate vor fi n msur s contacteze DPO.

Potrivit art. 37(3), DPO unic poate fi desemnat pentru mai multe autoriti sau organisme publice,
lund n considerare structura organizatoric i dimeniunea acestora. Sunt aplicabile aceleai
considerente cu privire la resurse i comunicare. Avnd n vedere c DPO este responsabil pentru o
varietate de atribuii, operatorul sau persoana mputernicit trebuie s se asigure c un DPO unic, cu
ajutorul unei echipe, poate efectua aceste competene n mod eficient n ciuda faptul c este desemnat
pentru mai multe autoriti i organisme publice.

2.4. Accesibilitatea i localizarea DPO

Potrivit Seciunii 4 din RGPD, accesibilitatea DPO trebuie s fie efectiv.

Pentru a se asigura c DPO este accesibil, WP29 recomand ca DPO s fie localizat pe teritoriul UE,
chiar dac operatorul sau persoana mputernicit de operator nu este stabilit pe teritoriul UE.


19
Art. 38(4): persoanele vizate pot contacta responsabilul cu protecia datelor cu privire la toate chestiunile legate de prelucrarea datelor
lor i la exercitarea drepturilor n temeniul prezentului regulament.
20
Art. 39(1)e): i asum rolul de punct de contact petnru autoritatea de supraveghere privind aspectele legate de prelucrare, inclusiv
consultarea prealabil menionat la art. 36, precum i, dac este cazul, consultarea cu privire la orice alt chestiune.
21
Art. 39(1)a).
22
A se vedea Seciunea 2.6 de mai jos.
23
Art. 12(1): Operatorul adopt msuri adecvate pentru a furniza persoanei vizate orice informaii menionate la art. 13 i 14 i orice
comunicri potrivit art. 15-22 i 34 referitoare la prelucrare, ntr-o form concis, transparen, inteligibil i uor accesibil, folosind un
limbaj clar i simplu, n special pentru orice informaii adresate n mod specific unui copil.
24
Art. 39(1)d): cooperarea cu autoritatea de supraveghere

10
Cu toate acestea, nu poate fi exclus faptul c, n anumite situaii n care operatorul sau persoana
mputernicit de operator nu are sediul n UE25, un DPO i poate ndeplini sarcinile ntr-un mod mai
efficient dac este localizat n afara UE.

2.5. Expertiza i abilitile DPO

Art. 37(5) prevede c DPO este desemnat pe baza calitilor profesionale i, n special, a
cunotinelor de specialitate n dreptul i practicile n domeniul proteciei datelor, precum i pe baza
capacitii de a ndeplini sarcinile prevzute la art. 39. Considerentul 97 prevede c nivelul necesar
al cunotinelor de specialitate ar trebuie s fie stabilit n funcie de operaiunile de prelucrare a datelor
efectuate i de nivelul de protecie impus pentru datele cu caracter personal prelucrate.

Nivelul de expertiz

Nivelul de expertiz necesar nu este strict definit, dar trebuie s fie proporional cu sensibilitatea,
complexitatea i volumul de date prelucrate de organizaie. De exemplu, n situaia n care o
operaiune de prelucrare a datelor este deosebit de complex sau n cazul n care este implicat un
volum mare de date speciale, DPO poate necesita un nivel mai ridicat de expertiz i suport. Exist de
asemenea diferene n funcie de faptul dac organizaia transfer n mod sistematic date cu caracter
personal n afara UE sau dac aceste transferuri sunt ocazionale. Astfel, DPO ar trebui ales cu atenie,
innd seama de aspectele de protecie a datelor care apar n cadrul organizaiei.

Calitile profesionale

Cu toate c art. 37(5) nu precizeaz calitile profesionale care ar trebui s fie luate n considerare la
desemnarea unui DPO, un element relevant ar fi ca DPO s aib experien n legislaia i practicile de
protecie a datelor la nivel naional i european, precum i o nelegere complex a RGPD. De
asemenea, ar fi util dac autoritile de supraveghere ar promova o form adecvat i regulat pentru
DPO.

Este util cunoaterea sectorului de afaceri i a organizrii operatorului. DPO ar trebui, de asemenea,
s neleag operaiunile de prelucrare efectuate, precum i sistemele de informaii i necesitile de
securitate i protecie a datelor ale operatorului.

n cazul unei autoriti publice sau a unui organism public, DPO trebuie s aib, de asemenea,
cunotin de regulile i procedurile administrative ale organizaiei.

Capacitatea de a ndeplini sarcinile

Capacitatea de a-i ndeplini sarcinile ce revin DPO trebuie interpretat ca referindu-se att la calitile
lor personale i la cunotine, ct i la poziia lor n cadrul organizaie. Calitile personale trebuie s
includ, spre exemplu, integritatea i etica profesional; principala preocupare a DPO trebuie s fie
respectarea RGPD. DPO joac un rol-cheie n promovarea unei culturi de protecie a datelor n cadrul
organizaiei i ajut la implementarea elementelor eseniale al RGPD, cum ar fi principiile de
prelucrare a datelor26 , drepturile persoanelor vizate27, asigurarea proteciei datelor ncepnd cu


25
A se vedea art. 3 din RGPD privind domeniul de aplicare teritorial.
26
Capitolul II.
27
Capitolul III.

11
momentul conceperii i n mod implicit28, nregistrarea activitilor de prelucrare29, securitatea
prelucrrii30, precum i notificarea i comunicarea nclcrilor de securitate.31

DPO n baza unui contract de prestri servicii

Funcia DPO poate fi, de asemenea, exercitat n baza unui contract de prestri servicii ncheiat cu o
persoan fizic sau o organizaie din afara organizaiei operatorului/persoanei mputernicite de
operator. n acest ultim caz, este esenial ca fiecare membru al organizaiei care exercit funciile unui
DPO s ndeplineasc toate cerinele aplicabile din Seciunea 4 din RGPD (de exemplu, este esenial
ca nicio persoan s se afle n conflict de interese). Este la fel de important ca fiecare membru s fie
protejat prin prevederile RGPD (de exemplu, s nu existe o reziliere abuziv a contractului de prestri
servicii pentru activitile DPO, dar, de asemenea, s nu existe o concediere abuziv a oricrui
membru al organizaiei care ndeplinete sarcinile DPO). n acelai timp, calitile profesionale i
punctele forte pot fi combinate astfel nct mai multe persoane care lucreaz ntr-o echip s poate
servi mai eficient clienii lor.

Din motive de claritate juridic i o bun organizare i pentru a preveni conflictele de interes pentru
membrii echipei, se recomand existena unei alocri clare a sarcinilor n cadrul echipei DPO i
desemnarea unei singure personae ca persoan de contact principal i persoan responsabil pentru
fiecare client. n general, ar fi util s se specifice aceste puncte n contractul de prestri servicii.

2.6. Publicarea i comunicarea datelor de contact ale DPO

Art. 37(7) din RGPD impune operatorului sau persoanei mputernicite de operator:

s publice datele de contact ale DPO

s comunice datele de contact ale DPO autoritilor de supraveghere relevante.

Obiectivul acestor cerine este acela de a garanta c persoanele vizate (att n interiorul ct i n
exteriorul organizaiei) i autoritile de supraveghere pot contacta DPO cu uurin i n mod direct,
fr a fi nevoie s contacteze o alt parte din organizaie. Confidenialitatea este la fel de important:
de exemplu, angajaii pot fi reticeni n a se plnge la DPO n cazul n care confidenialitatea
comunicaiilor lor nu este garantat.

DPO este obligat s pstreze secretul sau confidenialitatea n ceea ce privete ndeplinirea sarcinilor
sale, n conformitate cu dreptul Uniunii sau cu dreptul intern (art. 38(5)).

Datele de contact ale DPO trebuie s includ informaii ce permit persoanelor vizate i autoritile de
supraveghere s contacteze DPO printr-o modalitate uoar (adres potal, num de telefon alocat
special i/sau o adres de email alocat special). Atunci cnd este cazul, n scopul comunicrii cu
publicul ar putea fi, de asemenea, furnizate alte mijloace de comunicare, de exemplu o linie telefonic
special alocat sau un formular de contact adresat DPO de pe pagina web a organizaiei.

Art. 37(7) nu impune ca datele de contact publicate s includ numele DPO. Dei acest lucru ar putea
fi o bun practic, operatorul sau persoana mputernicit de operator decide dac acest lucru este
necesar sau util n anumite situaii.32


28
Art. 25.
29
Art. 30.
30
Art. 32.
31
Art. 33 i 34.

12
Cu toate acestea, comunicarea numelui DPO ctre autoritatea de supraveghere este esenial pentru c
DPO reprezint punctul de contact ntre organizaie i autoritatea de supraveghere (art. 39(1)e)).

Ca o chestiune de bun practic, WP29 recomand, de asemenea, ca o organizaie s informeze


angajaii si n legtur cu numele i datele de contact ale DPO. De exemplu, numele i datele de
contact ale DPO ar putea fi publicate intern pe Intranet-ul organizaiei, n directorul de telefon intern,
i n organigrame.

3 Poziia DPO

3.1. Implicarea DPO n toate aspectele referitoare la protecia datelor cu caracter personal

Art. 38 din RGPD prevede c operatorul i persoana mputernicit de operator se asigur c DPO este
implicat n mod corespunztor i n timp util n toate aspectele legate de protecia datelor cu caracter
personal.

Este important ca DPO sau echipa sa, s fie implicat, ct mai devreme posibil, n toate aspectele legate
de protecia datelor. n ceea ce privete evalurile impactului asupra proteciei datelor, RGPD prevede
n mod explicit implicarea timpurie a DPO i precizeaz c operatorul solicit avizul DPO atunci cnd
se efectueaz o astfel de evaluare a impactului.33 Asigurarea c DPO este informat i consultat de la
bun nceput va facilita respectarea RGPD, va promova o abordare privacy by design i, prin urmare, ar
trebui s fie o procedur standard n cadrul guvernrii organizaiei. n plus, este important ca DPO s
fie vzut ca un partener de discuie n cadrul organizaiei i ca acesta s fac parte din grupurile de
lucru relevante care se ocup cu activiti de prelucrare a datelor din cadrul organizaiei.

n consecin, organizaia ar trebui s se asigure, de exemplu, c:

DPO este invitat s participe n mod regulat la edinele conducerii la nivel nalt i la nivel
mediu.

Prezena DPO este recomandat n cazul n care se iau decizii cu implicaii asupra proteciei
datelor. Toate informaiile relevante trebuie s fie transmise DPO n timp util pentru a permite
ca acesta s ofere o consiliere corespunztoare.

Avizului DPO trebuie s i se acorde ntotdeauna o importan deosebit. n caz de dezacord,


WP29 recomand, ca bun practic, documentarea motivelor pentru care nu a fost urmat
avizul DPO.

DPO trebuie s fie consultat cu promptitudine imediat ce a avut loc o nclcare a securitii
datelor sau un alt incident.

Atunci cnd este cazul, operatorul sau persoana mputernicit de operator ar putea elabora ghiduri
privind protecia datelor sau proceduri care stabilesc situaii cnd DPO trebuie s fie consultat.

3.2. Resursele necesare

Art. 38(2) din RGPD impune ca organizaia s sprijine DPO prin asigurarea resurselor necesare
pentru exercitarea sarcinilor sale, precum i accesarea datelor cu character personal i a

32
Este de remarcat faptul c art. 33(3)b), care descrie informaiile care trebuie furnizate autoritii de supraveghere i persoanelor vizate n
cazul unei nclcri a securitii datelor cu caracter personal, spre deosebire de art. 37(7), impune n mod expres i comunicarea numelui
DPO (i nu numai datele de contact).
33
Art. 35(2).

13
operaiunilor de prelucrare, i pentru meninerea cunotinelor sale de specialitate. Trebuie avute n
vedere, n special, urmtoarele aspecte:

Spijin activ al funciei DPO din partea managementului superior (cum ar fi la nivelul
consiliului de conducere).

Timp suficient pentru DPO n vederea ndeplinirii atribuiilor sale. Acest lucru este deosebit
de important n cazul n care un DPO intern este numit part-time sau n cazul n care DPO
extern realizeaz protecia datelor n plus fa de alte atribuii. n caz contrar, conflictul de
prioriti poate rezulta n neglijarea sarcinilor DPO. Este extrem de important s existe
suficient timp pentru a se dedica sarcinilor DPO. Stabilirea unui procent de timp pentru funcia
DPO atunci cnd aceasta nu este realizat full-time reprezint o bun practic. De asemenea, o
bun practic poate fi i determinarea timpului necesar pentru ndeplinirea funciei, nivelul
corespunztor de prioritate pentru sarcinile DPO, ct i pentru DPO (sau organizaie) s
elaboreze un plan de lucru.

Sprijin corespunztor n ceea ce privete resursele financiare, infrastructur (sediu, faciliti,


echipament) i personal, dup caz.

Comunicare oficial ctre toi angajaii cu privire la desemnarea DPO astfel nct s se asigure
c este cunoscut existena i funcionarea DPO.

Accesul necesar la alte servicii precum resurse umane, juridic, IT, securitate etc. astfel nct
DPO s beneficieze de un sprijin esenial, reacii i informaii din partea altor servicii.

Pregtire continu. DPO trebuie s aib posibilitatea de a rmne la curent cu evoluiile n


domeniul proteciei datelor. Obiectivul ar trebui s fie de a crete n mod constant nivelul de
expertiz al DPO, iar acesta ar trebui ncurajat s participe la cursuri de formare n legtur cu
protecia datelor i la alte forme de dezvoltare profesional, cum ar fi parciparea la foruri
privind protecia vieii private, seminarii etc.

Avnd n vedere mrimea i structura organizaiei, ar putea fi necesar crearea unei echipe
DPO (un DPO i personalul su). n astfel de cazuri, structura intern a echipei i sarcinile i
responsabilitile fiecrui membru ar trebui s fie n mod clar elaborate. n mod similar, atunci
cnd funcia de DPO este exercitat de un furnizor extern de servicii, o echip de persoane
fizice care lucreaz pentru respectiva entitate poate ndeplini n mod eficient sarcinile unui
DPO ca o echip, sub responsabilitatea unui punct de contact principal desemnat pentru client.

n general, cu ct operaiunile de prelucrare sunt mai complexe sau/i mai sensibile, cu att mai mult
DPO trebuie s beneficieze de resurse. Funcia de protecie a datelor trebuie s fie finanat n mod
eficient i suficient n ceea ce privete prelucrarea datelor efectuat.

3.3. Instruciuni i ndeplinirea atribuiilor i sarcinilor n mod independent

Art. 38(3) stabilete anumite garanii de baz pentru a se asigura c DPO este n msur s-i
ndeplineasc sarcinile cu un grad suficient de autonomie n cadrul organizaiei. n special,
operatorii/persoanele mputernicite de operator trebuie s se asigure c DPO nu primete niciun fel de
instruciuni n ceea ce privete ndeplinirea sarcinilor sale. Considerentul 97 adaug faptul c DPO
indiferent dac este sau nu angajat al operatorului, ar trebui s fie n msur s i ndeplineasc
atribuiile i sarcinile n mod independent.

14
Acest lucru nseamn c, ndeplinirea sarcinilor ce revin n temeiul art. 39, DPO nu trebuie s fie
instruit cum s se ocupe de o problem, de exemplu, ce rezultat ar trebui atins, cum s fie investigat o
plngere sau dac s consulte autoritatea de supraveghere. Mai mult, acesta nu trebuie s fie instruit s
adopte o anumit perspectiv a problemei legat de legislaia privind protecia datelor, de exemplu, o
anumit interpretare a legii.

Cu toate acestea, autonomia DPO nu nseamn c acesta are competene de luare a deciziilor care se
extind dincolo de sarcinile sale, potrivit art. 39.

Operatorul sau persoana mputernicit de operator este responsabil pentru respectarea legislaiei
privind protecia datelor i trebuie s poat demonstra conformitatea.34 Dac operatorul sau persoana
mputernicit de operator ia decizii care sunt incompatibile cu RGPD i cu opinia DPO, DPO ar trebui
s aib posibilitatea de a-i exprima clar opinia sa divergent la cel mai nalt nivel de management i
persoanelor implicate n luarea deciziilor. n acest sens, art. 38(3) prevede c DPO rspunde direct n
faa celui mai nalt nivel al conducerii operatorului sau persoanei mputernicite de operator. O
asemenea raportare direct asigur c managementul superior (consiliul de conducere) este contient
de consilierea i recomandrile DPO ca parte a misiunii DPO de a informa i a consilia operatorul sau
persoana mputernicit de operator. Un alt exemplu de raportare direct este elaborarea unui raport
annual al activitilor DPO oferit la cel mai nalt nivel de management.

3.4. Demiterea sau sancionarea DPO pentru ndeplinirea sarcinilor sale

Art. 38(3) impune ca DPO s nu fie demis sau sancionat de operator sau persoana mputernicit de
operator pentru ndeplinirea sarcinilor sale.

Aceast cerin ntrete autonomia DPO i ajut la asigurarea c acesta acioneaz n mod
independent i se bucur de o protecie suficient n ndeplinirea sarcinilor sale n ceea ce privete
protecie a datelor.

Sanciunile sunt interzise potrivit RGPR numai n cazul n care acestea sunt impuse ca urmare a
ndeplinirea sarcinilor DPO n calitate de DPO. De exemplu, un DPO poate considera c o anumit
prelucrare este de natur s conduc la un risc ridicat i s consilieze operatorul sau persoana
mputernicit de operator s efectueze o evaluare a impactului asupra proteciei datelor, dar operatorul
sau persoana mputernicit de operator nu este de acord cu evaluarea DPO. ntr-o astfel de situaie,
DPO nu poate fi demis pentru oferirea acestui sfat.

Sanciunile pot lua o varietate de forme i pot fi directe sau indirecte. Acestea ar putea consta, de
exemplu, n lipsa sau ntrzierea promovrii; prevenirea de la avansarea n carier; negare de beneficii
pe care ali angajai le primesc. Nu este necesar ca aceste sanciuni s fie realizate efectiv, o simpl
ameninare este suficient att timp ct acestea sunt folosite pentru a sanciona DPO pe motive legate
de activitile sale de DPO.

Ca o regul normal de management i cum ar fi cazul pentru orice alt angajat sau contractant n
conformitate cu, i sub rezerva, dreptul intern n domeniul muncii sau contractelor i cel penal
aplicabil, un DPO ar putea fi totui demis, n mod legal, din alte motive dect cele privind ndeplinirea
sarcinilor sale n calitate de DPO (de exemplu, n caz de furt, hruire fizic, psihologic sau sexual
sau abatere grav similar).


34
Art. 5(2).

15
n acest context, trebuie remarcat faptul c RGPD nu specific modul n care i cnd un DPO poate fi
demis sau nlocuit de ctre o alt persoan. Cu toate acestea, cu ct contractul unui DPO este mai
stabil i exist mai multe garanii mpotriva a concedierii abuzive, cu att mai probabil DPO va fi n
msur s acioneze n mod independent. Prin urmare, WP29 ar saluta eforturile organizaiilor n acest
sens.

3.5. Conflict de interese

Art. 38(6) permite DPO s ndeplineasc i alte sarcini i atribuii. Cu toate acestea, este nevoie ca
organizaia s se asigure c niciuna dintre aceste sarcini i atribuii nu genereaz un conflict.

Absena conflictului de interese este strns legat de obligaia de a aciona n mod independent. Cu
toate c i este permis s aib i alte funcii, acestuia i pot fi ncredinate alte sarcini i atribuii cu
condiia ca acestea s nu dea natere unor conflicte de interese. Acest lucru presupune, n special,
faptul c DPO nu poate deine o poziie n cadrul organizaiei care ar conduce la posibilitatea ca DPO
s stabileasc scopurile i mijloacele de prelucrare a datelor cu caracter personale. Acest lucru trebuie
luat n considerare de la caz la caz, inndu-se cont de structura organizaional specific fiecrei
organizaii.

Ca regul general, funcii din cadrul organizaiei cu care poate intra n conflict pot include funcii de
conducere (cum ar fi director executiv, director operaional, director financiar, eful serviciului
medical, eful departamentului de marketing, ef departamentului de resurse umane sau eful
departamentului IT), dar, n acelai timp, i alte funcii inferioare dac acestea conduc la posibilitatea
de a stabili scopurile i mijloacelor de prelucrare. n plus, un conflict de interese poate aprea, de
asemenea, de exemplu, n situaia n care un DPO extern este rugat s reprezinte oporatorul sau
persoana mputernicit de operator n instan, n cazurile care implic probleme de protecie a datelor.

n funcie de activitile, dimensiunea i structura organizaiei, o bun practic pentru operatori i


persoanele mputernicite de operatori ar putea fi:

s identifice funciile ce ar fi incompatibile cu funcia de DPO

s elaboreze norme interne n acest sens pentru a evita conflictele de interese

s includ o explicaie mai general cu privire la conflictele de interese

s declare c DPO lor nu are niciun conflict de interese n ceea ce privete funcia sa ca i
DPO, ca i modalitate de cretere a gradului de contientizare a acestei cerine

s includ garanii n normele interne ale organizaiei i s se asigure c anunul de post vacant
pentru funcia de DPO sau contractul de prestri servicii este suficient de precis i detaliat
pentru a evita conflictul de interese. n acest context, trebuie avut n vedere faptul c
respectivele conflicte de interese pot lua diverse forme n funcie de faptul dac DPO este
recrutat intern sau extern.

4 Sarcinile DPO

4.1. Monitorizarea respectrii RGPD

Art. 39(1)b) ncredineaz DPO, printre alte sarcini, obligaia de a monitoriza respectarea
RGPD. Considerentul 97 precizeaz n continuare c DPO ar trebui s acorde asisten operatorului

16
sau persoanei mputernicite de operator pentru monitorizarea conformitii cu prezentul
Regulament.

Ca parte a acestor sarcini de monitorizare a conformitii, DPO poate, n special:

s colecteze informaii pentru a indentifica operaiunilor de prelucrare

s analizeze i s verifice conformitatea operaiunilor prelucrare

s informeze, s consilieze i s emit recomandri operatorului sau persoanei mputernicite


de operator.

Monitorizarea conformitii nu nseamn c DPO este personal responsabil n situaia n care exist un
caz de nerespectare. RGPD spune clar c operatorul, i nu DPO, are obligaia de a pune n aplicare
msuri tehnice i orgnizatorice adecvate pentru a garanta i a fi n msur s demonstreze c
prelucrarea se efectueaz n conformitate cu prezentul Regulament (art. 24(1)). Respectarea
normelor de proteciei a datelor este o responsabilitate corporativ a operatorului i nu a DPO.

4.2. Rolul DPO n evaluarea impactului operaiunilor de prelucrare

Potrivit art. 35(1), operatorul i nu DPO efectueaz, atunci cnd este necesar, o evaluare a impactului
operaiunilor de prelucrare (DPIA). Cu toate acestea, DPO poate avea un rol foarte important i util
n asistarea operatorului. Potrivit principiului protecia datelor ncepnd cu momentul conceperii, art.
35(2) prevede n mod expres ca operatorul s solicite avizul DPO la realizarea DPIA. La rndul su,
art. 39(1)c) prevede ca i sarcin pentru DPO s ofere consiliere la cerere n ceea ce privete DPIA i
s monitorizese funcionarea acesteia, n conformitate cu art. 35.

WP29 recomand ca operatorul s solicite avizul DPO n legtur cu urmtoarele aspecte, printre
care35:

dac s efectueze sau nu DPIA

ce metodologie s fie folosit la efectuarea DPIA

dac s efectueze DPIA intern sau s externalizeze

ce garanii (inclusiv msuri tehnice i organizaionale) s pun n aplicare pentru reducerea


oricror riscuri la adresa drepturilor i intereselor persoanelor vizate

dac DPIA a fost sau nu efectuat corect i dac respectivele concluzii (dac s continue sau
nu prelucrarea i ce garanii s pun n aplicare) respect RGPD.

n situaia n care operatorul nu este de acord cu opinia DPO, documentaia DPIA ar trebui s justifice
n mod specific n scris motivul pentru care nu a fost urmat avizul36.


35
Art 39(1) precizeaz sarcinile DPO i indic faptul c DPO trebuie s aib cel puin urmtoarele atribuii. Prin urmare, nimic nu
mpiedic operatorul s atribuie DPO alte sarcini dect cele menionate n mod expres n art. 39(1) sau s specifice respectivele atribuii ntr-
un mod detaliat.
36
Art. 24(1) prevede c innd seama de natura, domeniul de aplicare, contextul i sopurile prelucrrii, precum i de riscurile cu grade
diferite de probabilitate i gravitate pentru drepturile i libertile persoanelor fizice, operatorul pune n aplicare msuri tehnice i
organizatorice adecvate pentru a garanta i a fi n msur s demonstreze c prelucrarea se efectueaz n conformitate cu prezentul
Regulament. Respectivele msuri se revizuiesc i de actualizeaz dac este necesar.

17
WP29 recomand n continuare ca operatorul s sublinieze n mod clar, de exemplu n contractul cu
DPO, dar i n informaiile furnizate angajailor, conducerii (i celorlali acionari, dup caz), sarcinile
concrete ale DPO i obiectivul acestora, n special n ceea ce privete efectuarea DPIA.

4.3. Cooperarea cu autoritatea de supraveghere i asumarea rolului de punct de contact

Potrivit art. 39(1)d) i c), DPO ar trebui s coopereze cu autoritatea de supraveghere i s-i
asume rolul de punct de contact petnru autoritatea de supraveghere privind aspectele legate de
prelucrare, inclusive consultarea prealabil menional la art. 36, precum i, dac este cazul,
consultarea cu privire la orice alt chestiune.

Aceste sarcini se refer rolul de persoan care faciliteaz al DPO menionat n cuprinsul intruducerii
acestui Ghid. DPO acioneaz ca punct de contract pentru a facilita accesul autoritii de supraveghere
la documente i informaii pentru ndeplinirea atribuiilor menionate la art. 57, precum i pentru
exercitarea competenelor de investigarea, corectare, autorizare i consultare menionate la art. 58. Aa
cum a fost deja menionat, DPO are obligaia de a respecta secretul sau confidenialitatea n ceea ce
privete ndeplinirea sarcinilor sale, n conformitate cu dreptul Uniuniii sau cu dreptul intern (art.
38(5)). Cu toate acestea, obligaia secretului/confidenialitii nu nterzice DPO s contacteze i s
solicite consiliere din partea autoritii de supraveghere. Art. 39(1)e) prevede c DPO poate consulta
autoritatea de supraveghere cu privire la orice alt chestiune, dup caz.

4.4. Abordare bazat pe risc

Art. 39(2) impune ca DPO s in seam n mod corespunztor de riscul asociat operaiunilor de
prelucrare, lund n considerare natura, domeniul de aplicare, contextul i scopurile prelucrrii.

Acest articol reamintete de un principiu general i de bun sim care poate fi relevant pentru mai multe
aspecte din activitatea zilnic a DPO. n esen, este nevoie ca DPO s prioritizeze activitile sale i
s-i concentreze eforturile asupra problemelor care prezint riscuri mai mari pentru protecia datelor.
Acest lucru nu nseamn c ar trebui s-i neglijeze monitorizarea conformitii operaiunilor de
prelucrare a datelor care au un nivel relativ mai sczut de risc, ci indic faptul c ar trebui s se
concentreze, n primul rnd, pe zonele cu risc mai mare.

Aceast abordare selectiv i pragmatic ar trebui s ajute DPO n consilierea operatorului cu privire la
metodologia folosit la efectuarea DPIA, ce zone ar trebui s fac obiectul unui audit intern sau extern
privind protecia datelor, ce activiti interne de pregtire s fie oferite personalului sau
managementului responsabil cu activitile de prelucrarea i ce operaiuni de prelucrare necesit mai
mult timp i resurse.

4.5. Rolul DPO n pstrarea evidenei

Potrivit art. 30(1) i (2) operatorul sau persoana mputernicit de operator, i nu DPO, are obligaia de
a pstra o eviden a operaiunilor de prelucrare desfurate sub resbonsabilitatea sa sau de
pstra o eviden a tuturor categoriilor de operaiuni de prelucrare efectuate n numele
operatorului.

n practic, DPO creaz adesea inventare i deine un registru al operaiunilor de prelucrare pe baza
informaiilor furnizate de diferitele departamente din cadrul organizaiei responsabile cu prelucrarea
datelor cu caracter personal. Aceast practic a fost stabilit n conformitate cu diverse legislaii

18
naionale curente i n conformitate cu normele de protecie a datelor aplicabile instituiilor i
organismelor UE.37

Art. 39(1) prevede o list minim a sarcinilor DPO. Prin urmare, nimic nu mpiedic operatorul sau
persoana mputernicit de operator s atribuie DPO sarcina de a pstra o eviden a operaiunilor de
prelucrare n numele operatorului sau persoanei mputernicite de operator. O astfel de eviden trebuie
s fie considerat ca fiind unul dintre instrumentele care permit DPO s-i ndeplineasc sarcinile de
monitorizare a conformitii, informare i consiliere a operatorului sau persoanei mputernicite de
operator.

n orice caz, evidena pstrat potrivit art. 30 trebuie vzut i ca un instrument care permite
operatorului i autoritii de supraveghere, la cerere, s aib o imagine de ansamblu asupra tuturor
operaiunile de prelucrare a datelor cu caracter personal efectuate de o organizaie. Astfel, este o
condiie prealabil pentru conformitate i, ca atare, o msur eficient de responsabilizare.


37
Art. 24(1)d), Regulamentul (CE) 45/2001.

19
5 ANEX GHID DPO: CE TREBUIE S TII

Obiectivul prezentei anexe este de a oferi un rspuns, ntr-o form simpl i uor de citit, la
ntrebrile cheie pe care organizaiile le pot avea n legtur cu noile cerine potrivit Regulamentului
General privind Protecia Datelor (RGPD) de a desemna un DPO.

Desemnarea DPO

1 Ce organizaii trebuie s numeasc un DPO?

Numirea unui DPO este o obligaie:

dac prelucrarea este efectuat de o autoritatea public sau un organism public (indiferent de
datele prelucrate)

dac activitile principale ale operatorului sau ale persoanei mputernicite de operator constau
n operaiuni de prelucrare care necesit o monitorizare periodic i sistematic a persoanelor
vizate pe scar larg

dac activiti principale ale operatorulu sau persoanei mputernicite de operator constau n
prelucrarea pe scar larg a unor categorii speciale de date personale privind condamnrile
penale i infraciuni.

Avei n vedere faptul c dreptul Uniunii sau dreptul intern poate impune numirea unui DPO i n alte
situaii.

n cele din urm, chiar i n cazul n care desemnarea unui DPO nu este obligatorie, organizaiile pot
considera, uneori, ca fiind util desemnarea unui DPO n mod voluntar. Grupul de Lucru Articolul 29
n domeniul proteciei datelor (WP29) ncurajeaz aceste eforturi voluntare. Atunci cnd o
organizaie desemneaz un DPO n mod voluntar, sunt aplicabile aceleai cerine privind numirea,
poziia i sarcinile ca i cum desemnarea ar fi obligatorie.

Sursa: Art. 37(1) din RGPD

2 Ce nseamn activitate principal?

Activitile principale pot fi considerate ca operaiuni cheie necesare pentru ndeplinirea obiectivelor
operatorului sau persoanei mputernicite de operator. Acestea includ, de asemenea, toate activitile n
care prelucrarea de date reprezint o parte indisolubil a activitii operatorului sau persoanei
mputernicite de operator. De exemplu, prelucrarea datelor privind starea de sntate, cum ar fi
dosarele medicale ale pacientului ar trebui s fie considerat a fi una dintre activitile principale n
orice spital i, prin urmare, spitalele trebuie s desemneze un DPO.

Pe de alt parte, toate organizaii efectueaz anumite activiti, spre exemplu, plata angajailor lor sau
deinerea de activiti standard de suport IT. Acestea sunt exemple de funcii de sprijin necesare pentru
activitatea de baz sau principal a organizaiei. Chiar dac aceste activiti sunt necesare sau
eseniale, acestea sunt de obicei considerate mai degrab funcii auxiliare dect activitate principal.

Sursa: Art. 37(1)b) i c) din RGPD

20
3 Ce nseamn pe scar larg

RGPD nu definete ce constituie prelucarea pe scar larg. WP29 recomand ca urmtorii factori s fie
luai n considerare atunci cnd se stabilete dac prelucarea este efectuat pe o scar larg:

numrul persoanelor vizate ori un numr exact ori un procent din populaia relevant

volumul datelor i/sau gama de elemente diferite de date n curs de prelucrare

durata sau permanena activitii de prelucrare a datelor

suprafaa geografic a activitii de prelucrare

Exemple de prelucrri pe scar larg includ:

prelucrarea datelor pacienilor n activitatea regulat a unui spital

prelucrarea datelor de cltorie a unei persoane fizice ce utilizeaz sistemul de transport public
(spre exemplu urmrire cu ajutorul cardurilor de cltorie)

prelucrarea n timp real a datelor de geolocalizare a clienilor unei reele internaionale de fast
food n scopuri statistice de ctre o persoan mputernicit de operator specializat n
furnizarea serviciilor de acest tip

prelucrarea datelor clienilor n activitatea regulat a unei companii de asigurri sau a unei
bnci

prelucrarea datelor personale de ctre un motor de cutare n scop de publicitate


comportamental

prelucrarea datelor (coninut, trafic, localizare) de ctre furnizorii de telefonie sau servicii de
Internet

Exemple ce nu constituie de prelucrri pe scar larg includ:

prelucrarea datelor pacientului de ctre un medic individual

prelucrarea datelor personale referitoare la condamnrile penale i infraciuni de ctre un


avocat individual

Sursa: Art. 37(1)b) i c) din RGPD

4 Ce nseamn monitorizare periodic i sistematic?

Noiunea de monitorizare periodic i sistematic nu este definit n RGPD, dar include n mod clar
toate formele de urmrire i profilarea pe Internet, inclusiv n scop de publicitate comportamental. Cu
toate acestea, noiunea de monitorizare nu este restrictionat n mediul online.

Exemple de activiti care pot constitui o monitorizare periodic i sistematic a persoanelor vizate:
operarea unei reele de telecomunicaii; furnizarea de servicii de telecomunicaii; e-mail de
direcionare repetat; activiti de marketing bazate pe date; profilare i scoring n scopul evalurii
riscurilor (de exemplu, n scopul de credit scoring, stabilirea primelor de asigurare, de prevenire a
fraudelor, detectarea splrii banilor); urmrirea locaiei, spre exemplu, prin aplicaii

21
mobile; programe de loialitate; publicitate comportamental; monitorizarea wellness, fitness i a
datelor de sntate prin intermediul dispozitivelor portabile; televiziune cu circuit nchis; dispozitive
conectate spre exemplu, contoare inteligente, maini inteligente, automatizare acas, etc.

WP29 interpreteaz periodic ca nsemnnd una sau mai multe din urmtoarele:

n curs de desfurare sau care apare la anumite intervale ntr-o anumit perioad

recurente sau repetate la perioade fixe

constante sau care au loc periodic

WP29 interpreteaz sistematic ca nsemnnd una sau mai multe din urmtoarele:

aprut conform sistemului

prearanjat, organizat sau metodic

lund loc ca parte a unui plan general de colectare a datelor

efectuat ca parte a unei strategii

Sursa: Art.37(1)b) din RGPD

5 Mai multe organizaii pot numi un DPO comun? Daca da, n ce condiii?

Da. Un grup de ntreprinderi poate numi DPO unic, cu condiia ca aceasta s fie uor accesibil din
fiecare ntreprindere. Noiunea de accesibilitate se refer la sarciinile DPO ca punct de contact n ceea
ce privete persoanele vizate, autoritatea de supraveghere, dar i pe plan intern n cadrul organizaiei.
Pentru a se asigura c DPO, intern sau extern, este accesibil, este important s se asigure c datele de
contact ale acestuia sunt disponibile.

DPO, cu ajutorul unei echipe, dac este necesar, trebuie s fie n msur s comunice eficient cu
persoanele vizate i s coopereze cu autoritile de supraveghere implicate. Acest lucru nseamn c
respectiva comunicare trebuie s aib loc n limba sau limbile utilizate de autoritile de supraveghere
i persoanele vizate. Disponibilitatea unui DPO (fie fizic n acelai sediu cu angajaii, prin
intermediul unei linii telefonice sau prin alte mijloace sigure de comunicare) este esenial pentru a
garanta c persoanele vizate vor fi n msur s contacteze DPO.

Se poate desemna un singur DPO pentru mai multe autoriti sau organisme publice, lund n
considerare structura organizatoric i dimeniunea acestora. Sunt aplicabile aceleai considerente cu
privire la resurse i comunicare. Avnd n vedere c DPO este responsabil pentru o varietate de
atribuii, operatorul sau persoana mputernicit de operator trebuie s se asigure c un DPO unic, cu
ajutorul unei echipe, poate efectua aceste competene n mod eficient n ciuda faptul c este desemnat
pentru mai multe autoriti i organisme publice.

Sursa: Art. 37(2) i (3) din RGPD

6 Unde poate fi localizat DPO?

Pentru a se asigura c DPO este accesibil, WP29 recomand ca DPO s fie localizat pe teritoriul UE,
chiar dac operatorul sau persoana mputernicit de operator nu este stabilit pe teritoriul UE. Cu toate
acestea, nu poate fi exclus faptul c, n anumite situaii n care operatorul sau persoana mputernicit

22
de operator nu are sediul n UE, un DPO i poate ndeplini sarcinile ntr-un mod mai eficient dac este
localizat n afara UE.

7 Exist posibilitatea desemnrii unui DPO extern?

Da. DPO poate fi membru al personalului operatorului sau persoanei mputernicite de operator (DPO
intern) sau i poate ndeplini sarcinile n baza unui contract de prestri servicii. Acest lucru nseamn
c DPO poate fi extern i, n acest caz, funcia sa poate fi exercitat n baza unui contract de prestri
servicii ncheiat cu o persoan fizic sau o organizaie.

n situaia n care funcia DPO este exercitat de un furnizor de servicii extern, o echip de persoane
fizice angajate ale respectivei entiti poate ndeplini eficient sarcinile DPO ca o echip, sub
responsabilitatea unei singure persoane desemnate ca persoan de contact principal i persoan
responsabil pentru client. n aceast situaie, este esenial ca fiecare membru al organizaiei care
exercit funciile unui DPO s ndeplineasc toate cerinele aplicabile potrivit RGPD.

Din motive de claritate juridic i o bun organizare i pentru a preveni conflictele de interes pentru
membrii echipei, Ghidul recomand existena unei alocri clare a sarcinilor n cadrul echipei DPO i
desemnarea unei singure persoane ca persoan de contact principal i persoan responsabil pentru
fiecare client.

Sursa: Art. 37(6) din RGPD

8 Care sunt calitile profesionale pe care trebuie s le posede un DPO?

DPO trebuie desemnat pe baza calitilor profesionale i, n special a cunotinelor de specialitate n


dreptul i practicile n domeniul proteciei datelor, precum i pe baza capacitii de a-i ndeplini
sarcinile.

Nivelul de expertiz necesar ar trebui determinat pe baza operaiunilor de prelucrare efectuate i a


proteciei necesare pentru datele cu caracter personal prelucrate. De exemplu, n situaia n care o
operaiune de prelucrare a datelor este deosebit de complex sau n cazul n care este implicat un
volum mare de date speciale, DPO poate necesita un nivel mai ridicat de expertiz i suport.

Aptitudinile i expertiza relevante includ:

experien n legislaia i practicile de protecie a datelor la nivel naional i european, precum


i o nelegere complex a RGPD

nelegerea operaiunilor de prelucrare efectuate

nelegerea tehnologiilor de informaii i de securitate a datelor

cunoaterea sectorului de afaceri i a organizaiei

abilitatea de a promova protecia datelor n cadrul organizaiei

Sursa: Art. 37(5) din RGPD

23
Poziia DPO

9 Care sunt resurcele ce trebuie prevzute de operator sau persoana mputernicit pentru DPO?

DPO trebuie s beneficieze de resursele necesare pentru ndeplinirea sarcinilor sale.

n funcie de natura operaiunilor de prelucrare i a activitilor i dimensiunii organizaiei, trebuie


asigurate urmtoarele resurse pentru DPO:

spijin activ al funciei DPO din partea managementului superior

timp suficient pentru DPO n vederea ndeplinirii atribuiilor sale

sprijin corespunztor n ceea ce privete resursele financiare, infrastructur (sediu, faciliti,


echipament) i personal, dup caz

comunicare oficial ctre toi angajaii cu privire la desemnarea DPO

accesul necesar la alte servicii precum resurse umane, juridic, IT, securitate etc. astfel nct
DPO s beneficieze de un sprijin esenial, reacii i informaii din partea altor servicii

pregtire continu

Sursa: Art. 38(2) din RGPD

10 Care sunt garaniile ce-i permit DPO s-i ndeplineasc sarcinile n mod independent? Ce
nseamn conflict de interese?

Exist anumite garanii ce-i permit DPO s acioneze n mod independent:

nu primete instruciuni de la operator sau persoana mputernicit de operator n ceea ce


privete ndeplinirea sarcinilor sale

nu este demis sau sancionat de operator pentru ndeplinirea sarcinilor sale

nu exist conflict de interese cu alte posibile sarcini sau atribuii.

Celelalte sarcini sau atribuii ale DPO nu trebuie s genereze un conflic de interese. Acest lucru
presupune, n special, faptul c DPO nu poate deine o poziie n cadrul organizaiei care ar conduce la
posibilitatea ca DPO s stabileasc scopurile i mijloacele de prelucrare a datelor cu caracter
personale. Acest lucru trebuie luat n considerare de la caz la caz, inndu-se cont de structura
organizaional specific fiecrei organizaii.

Ca regul general, funcii din cadrul organizaiei cu care poate intra n conflict pot include funcii de
conducere (cum ar fi director executiv, director operaional, director financiar, eful serviciului
medical, eful departamentului de marketing, ef departamentului de resurse umane sau eful
departamentului IT), dar, n acelai timp, i alte funcii inferioare dac acestea conduc la posibilitatea
de a stabili scopurile i mijloacelor de prelucrare. n plus, un conflict de interese poate aprea, de
asemenea, de exemplu, n situaia n care un DPO extern este rugat s reprezinte oporatorul sau
persoana mputernicit de operator n instan, n cazurile care implic probleme de protecie a datelor.

Sursa: Art. 38(3) i 38(6) din RGPD

24
Sarcini DPO

11 Ce nseamn monitorizarea conformitii?

Ca parte a acestor sarcini de monitorizare a conformitii, DPO poate, n special:

s colecteze informaii pentru a indentifica operaiunilor de prelucrare

s analizeze i s verifice conformitatea operaiunilor prelucrare

s informeze, s consilieze i s emit recomandri operatorului sau persoanei mputernicite


de operator.

Sursa: Articolul 39(1)b) din RGPD

12 DPO este personal responsabil pentru nerespectarea cerinelor de protecie a datelor?

Nu. DPO nu este personal responsabil n situaia n care exist un caz de nerespectare a cerinelor de
protecie a datelor. Operatorul sau persoana mputernicit de operator are obligaia de a pune n
aplicare msuri tehnice i orgnizatorice adecvate pentru a garanta i a fi n msur s demonstreze c
prelucrarea se efectueaz n conformitate cu prezentul Regulament. Respectarea normelor de proteciei
a datelor este o responsabilitate a operatorului sau a persoanei mputernicite de operator.

13 Care este rolul DPO n legtur cu DPIA i pstrarea evidenei operaiunilor de prelucrare?

n ceea ce privete evaluarea impactului operaiunilor de prelucrare (DPIA), operatorul sau persoana
mputernicit de operator solicit avizul DPO n legtur cu urmtoarele aspecte, printre care

dac s efectueze sau nu DPIA

ce metodologie s fie folosit la efectuarea DPIA

dac s efectueze DPIA intern sau s externalizeze

ce garanii (inclusiv msuri tehnice i organizaionale) s pun n aplicare pentru reducerea


oricror riscuri la adresa drepturilor i intereselor persoanelor vizate

dac DPIA a fost sau nu efectuat corect i dac respectivele concluzii (dac s continue sau
nu prelucrarea i ce garanii s pun n aplicare) respect RGPD.

n ceea ce privete pstrarea unei evidene a operaiunilor de prelucrare, operatorul sau persoana
mputernicit de operator, i nu DPO, are obligaia de a pstra o eviden a operaiunilor de prelucrare.
Cu toate acestea, nimic nu mpiedic operatorul sau persoana mputernicit de operator s atribuie
DPO sarcina de a pstra o eviden a operaiunilor de prelucrare n numele operatorului sau persoanei
mputernicite de operator. O astfel de eviden trebuie s fie considerat ca fiind unul dintre
instrumentele care permit DPO s-i ndeplineasc sarcinile de monitorizare a conformitii, informre
i consiliere a operatorului sau persoanei mputernicite de operator.

Sursa: Art.39(1)c) i Art. 30 din RGPD

25
Adoptat la Bruxelles, la 13 decembrie 2016

Pentru Grupul de Lucru,

Preedintele

Isabelle FARQUE-PIERROTIN

Revizuit i adoptat la 5 aprilie 2017

Pentru Grupul de Lucru,

Preedintele

Isabelle FARQUE-PIERROTIN

26