DPO-ul poate ocupa, concomitent, și altă

funcție la firmă, dar trebuie evitate

conflictele de interese
în Resurse umane, 5 Aprilie 2018

Alexandru Boiciuc Redactor-șef, avocatnet.ro

Responsabilul cu protecția datelor („data protection officer” sau DPO, pe scurt), de care vor
avea nevoie companiile ce se ocupă în principal cu prelucrarea datelor personale, va putea să
ocupe, în același timp, și altă funcție. Practic, DPO-ului nu-i va fi interzis să îndeplinească
alte sarcini și atribuții în afară de cele specifice funcției sale, dar firmele vor trebui să se
asigure că nu apar conflicte de interese. Obligația numirii DPO-ului este prevăzută de un act
normativ european care se va aplica din primăvară și României, în mod direct.

Obligația desemnării unui DPO apare în Regulamentul general privind protecția datelor
(GDPR), act normativ care se va aplica, în mod direct, în toate statele membre ale Uniunii
Europene, începând cu data de 25 mai 2018. În esență, vor trebui să numească un DPO
firmele care se ocupă în principal de prelucrarea datelor personale.

GDPR prevede în mod expres că responsabilul cu protecția datelor va putea ocupa,

concomitent, și altă funcție în cadrul firmei, însă numai în măsura în care nu există
conflicte de interese. „Responsabilul cu protecția datelor poate îndeplini și alte sarcini și
atribuții. Operatorul sau persoana împuternicită de operator se asigură că niciuna dintre
aceste sarcini și atribuții nu generează un conflict de interese”, dispune regulamentul amintit.

De principiu, DPO-ul nu poate ocupa, în același timp, și o funcție de decizie, ajungându-se

în situația în care acesta își evaluează propria activitate privind prelucrarea datelor personale.
„[Conflictul de interese apare în] orice situație în care DPO-ul ar fi chemat să analizeze o
chestiune în care el a decis sau pe care el a implementat-o în cadrul altei funcții. Sau în care
chiar DPO-ul stabilește scopul și mijloacele prelucrării de date”, a lămurit, la solicitarea
redacției noastre, Andreea Lisievici, avocat la PrivacyOne.

Specialista a dat ca exemplu o situație din Germania, țară de unde vine conceptul de DPO,
acolo unde o firmă a fost amendată pentru conflict de interese după ce managerul IT a fost
desemnat și responsabil cu protecția datelor.

În opinia autorităților de acolo, poziția de manager IT este incompatibilă cu cea de DPO,

deoarece acesta din urmă ar trebui să se monitorizeze pe el însuși, ceea ce ar fi în contradicție
cu independența necesară responsabilului cu protecția datelor. În plus, autoritățile au subliniat
că există conflict de interese dacă DPO-ul este șef al oricărui departament implicat serios în
prelucrarea de date personale, cum ar fi cele de HR, juridic sau marketing.

„Conflictul de interese este indisolubil legat de cerința independenței DPO-ului. Orice funcții
sau sarcini suplimentare încredințate DPO-ului care generează o presiune din zona de
business (de exemplu, puteri de decizie sau chiar de execuție în legătură cu scopurile și
mijloacele de prelucrare a datelor), contrară atribuțiilor legale ale DPO-ului, sunt surse ale
conflictului de interese. Nu există o listă a unor astfel de funcții, ci acestea trebuie
determinate de la caz la caz, întrucât structurile organizatorice și procesele decizionale
interne variază de la o societate la alta”, ne-a explicat și Horia Ispas, partener la Țuca
Zbârcea & Asociații.

Horia Ispas a venit și el cu niște exemple concrete de conflicte de interese, care pot fi
rezumate astfel:

 funcția de DPO e ocupată de persoane cu funcții de conducere, cum ar fi cele de:

o administrator sau director general (apare un conflict de interese general,
având în vedere și puterea decizională generală cu privire la activitatea unei
societăți);
o director financiar (decide în aspectele financiare și poate influența decizia de
a aproba finanțarea de măsuri de conformare stabilite de GDPR);
o director de resurse umane (poate influența mecanismele de prelucrare a
datelor angajaților, foștilor angajați sau potențialilor angajați);
o director de marketing (poate influența mecanismele de prelucrare a datelor
clienților în activitatea de marketing);
 funcția de DPO e ocupată de persoane care n-au funcții de conducere, cum ar fi un
consilier juridic ce reprezintă societatea în instanță într-un litigiu pe legalitatea
prelucrării datelor personale.

Ocuparea funcției de DPO la firme se va face fie prin desemnarea unui angajat propriu (nou
sau actual), fie prin contractarea unui colaborator extern (avocat, persoană fizică autorizată,
altă firmă etc.). Informații mai multe despre opțiuni sunt aici. În altă oridine de idei, mai nou,
responsabilul cu protecția datelor figurează și în Clasificarea ocupațiilor din România.

Obligația de a avea un DPO va apărea, din 25 mai 2018, în cazul societăților care se ocupă în
principal cu prelucrarea datelor personale. De exemplu, vorbim de bănci, spitale, clinici
private, farmacii sau magazine online. Chiar dacă poate părea probabil ca doar societățile de
dimensiuni medii și mari să fie vizate de obligație, aceasta poate apărea și la cele de
dimensiuni mici.