Ce ar trebui să știi dacă vrei să devii

responsabil cu protecția datelor la o

companie
în Relații de muncă & Asigurări sociale, 6 Iulie 2017

Alexandru Boiciuc Redactor-șef, avocatnet.ro

Companiile care se ocupă în principal cu prelucrarea datelor personale vor avea obligația de a
desemna, începând din mai 2018, un responsabil cu protecția datelor. În acest sens, legislația
este destul de permisivă, astfel că funcția va putea fi acoperită de un salariat sau de un
consultant extern, iar studii de specialitate și experiență profesională în domeniul protecției
datelor nu vor fi necesare.

Desemnarea obligatorie a unui responsabil cu protecția datelor personale la firmele care

se ocupă în principal cu prelucrarea datelor este prevăzută de Regulamentul european
2016/679. Documentul se va aplica, începând cu data de 25 mai 2018, direct în România și în
celelalte state membre ale Uniunii Europene.

În esență, responsabilul cu protecția datelor va putea să fie ori un salariat al firmei, ori un
consultant extern. „Responsabilul cu protecția datelor poate fi un membru al personalului
operatorului (adică al societății - n. red.) sau persoanei împuternicite de operator sau poate
să își îndeplinească sarcinile în baza unui contract de servicii”, prevede regulamentul
european.

Dacă în privința desemnării unui salariat lucrurile sunt destul de clare, actul normativ lasă o
libertate destul de mare atunci când vine vorba de contractarea unui consultant extern.
Concret, acesta ar putea fi o persoană fizică autorizată (PFA), un avocat sau chiar o
societate.

„Un responsabil cu protecția datelor poate fi salariat (deși astăzi în România nu există un
cod COR dedicat), dar poate fi și extern - PFA, avocat, societate comercială. Este important
însă de menționat că, și în cazul în care contractul se încheie cu o formă de organizare
colaborativă (societate de avocați, societate comercială), trebuie în continuare desemnată o
persoană anume care va deține funcția de responsabil cu protecția datelor. Acest lucru este
necesar pentru că funcția este una unipersonală (chiar și acolo unde are în spate un
departament) și această persoană va fi cea indicată Autorității Nationale pentru
Supravegherea Prelucrării Datelor cu Caracter Personal, în informările către persoanele
vizate, în studiile de impact etc.”, a lămurit, la solicitarea redacției AvocatNet.ro, Andreea
Lisievici, avocat PrivacyOne.

Important! Legislația europeană permite ca un grup de companii să poată numi un

responsabil cu protecția datelor unic. Singura condiție va fi ca această persoană să fie ușor
accesibilă din fiecare firmă a grupului.

Sunt necesare doar unele cunoștințe de specialitate

Cei care vor dori să ocupe funcția de responsabil cu protecția datelor nu vor avea nevoie de
studii în domeniu și nici de vreo experiență profesională anterioară specifică. Singura
precizare inclusă în Regulamentul european 2016/679 este ca aceste persoane să aibă
cunoștințe de specialitate în dreptul și practicile din domeniul protecției datelor.

„Nu este necesar ca responsabilul să fie avocat, însă este de așteptat ca majoritatea să
provină din acest domeniu datorită nevoii de a cunoaște practica și jurisprudența anterioară
dezvoltate în aplicarea Directivei 95/46/CE și a Legii nr. 677/2001. Un responsabil poate
avea formare, de exemplu, în IT sau în managementul proiectelor, cu condiția să fie instruit
în chestiunile juridice care îi lipsesc. Și invers, un avocat responsabil cu protecția datelor are
nevoie de o sumedenie de cunoștințe de ordin tehnic, pe care poate în mod normal nu le-ar
dobândi (în special pe partea de securitate, dar și chestiuni adaptate domeniului în care
activează operatorul de date, un bun exemplu fiind entitățile implicate în publicitatea
comportamentală)”, ne-a spus Andreea Lisievici.

Totuși, specialista a punctat că persoanele care vor dori să devină responsabile cu protecția
datelor la o firmă vor trebui să facă eforturi de instruire pe cont propriu. Asta din moment
ce actualmente nu prea există cursuri dedicate exclusiv protecției datelor, iar resursele din
biblioteci sunt destul de limitate.

Responsabilul va avea un grad mare de independență

Persoanele care vor ocupa funcția de responsabil cu protecția datelor se vor bucura de un grad
mare de independență în desfășurarea activității lor, reiese din regulamentul european citat.
Lucru scos în evidență și de avocata contactată de redacția noastră.

„De asemenea, o altă chestiune importantă este că, indiferent de forma aleasă, contractul cu
responsabilul nu va putea fi încetat de firmă pe motivul că acesta își îndeplinește atribuțiile.
Este o chestiune de avut în vedere, pentru că responsabilul cu protecția datelor va avea un
mare grad de independență, deciziile și analizele sale neputând fi invalidate, ci doar luată o
decizie de afaceri în sensul asumării riscurilor și neîndeplinirii măsurilor indicate. Însă
indiferent cât de costisitoare sau neplăcute vor fi concluziile responsabilului cu protecția
datelor pe anumite chestiuni, contractul acestuia nu va putea fi încetat pe acest motiv. Asta
însă nu elimină posibilitatea încetării contractului pe motiv de culpă profesională sau chiar
încetarea fără motiv, dar cu preaviz”, a explicat specialista de la PrivacyOne.

Potrivit reglementărilor aplicabile din 25 mai 2018, responsabilul cu protecția datelor va

trebui să fie sprijinit de firmă în îndeplinirea sarcinilor sale, asigurându-i-se resursele
necesare pentru executarea lor și pentru menținerea cunoștințelor de specialitate pe care le are.
Mai exact, responsabilul cu protecția datelor va avea cel puțin sarcinile detaliate în cadrul
regulamentului european, după cum urmează:

 informarea și consilierea companiei și a angajaților care se ocupă de prelucrare cu

privire la obligațiile care le revin conform legislației protecției datelor;
 monitorizarea respectării legislației protecției datelor și a politicilor companiei în ceea
ce privește protecția datelor cu caracter personal, inclusiv alocarea responsabilităților
și acțiunile de sensibilizare și de formare a personalului implicat în operațiunile de
prelucrare, precum și auditurile aferente;
 furnizarea de consiliere la cerere în ceea ce privește evaluarea impactului asupra
protecției datelor și monitorizarea funcționării acesteia;
 cooperarea cu autoritatea de supraveghere a țării;
 asumarea rolului de punct de contact pentru autoritatea de supraveghere a țării privind
aspectele legate de prelucrare, inclusiv consultarea prealabilă, precum și consultarea
cu privire la orice altă chestiune.