Cum trebuie să fie DPO (responsabilul cu

protecția datelor)
23 februarie 2018 | Andrei SĂVESCU

0
inShare

Andrei Săvescu

Responsabilul cu protecția datelor cu caracter personal, la care ne vom referi în continuare cu

acronimul DPO (Data Protection Officer), trebuie să fie desemnat de către operator, potrivit
art. 37 alin. 5 din Regulament, pe baza calităților profesionale și, în special, a cunoștințelor de
specialitate în dreptul și practicile din domeniul protecției datelor, precum și pe baza
capacității de a îndeplini următoarele sarcini, menționate expres de art. 39 alin. 1: (i)
informarea și consilierea operatorului, sau a persoanei împuternicite de operator, precum și a
angajaților care se ocupă de prelucrare cu privire la obligațiile care le revin în temeiul
Regulamentului și al altor dispoziții de drept ale Uniunii sau drept intern referitoare la
protecția datelor; (ii) monitorizarea respectării Regulamentului, a altor dispoziții de drept ale
Uniunii sau de drept intern referitoare la protecția datelor și a politicilor operatorului sau ale
persoanei împuternicite de operator în ceea ce privește protecția datelor cu caracter personal,
inclusiv alocarea responsabilităților și acțiunile de sensibilizare și de formare a personalului
implicat în operațiunile de prelucrare, precum și auditurile aferente; (iii) furnizarea de
consiliere la cerere în ceea ce privește evaluarea impactului asupra protecției datelor și
monitorizarea funcționării protecției datelor; (iv) cooperarea cu autoritatea națională de
supraveghere; (v) asumarea rolului de punct de contact pentru autoritatea de supraveghere
privind aspectele legate de prelucrare, inclusiv consultarea prealabilă, precum și, dacă este
cazul, consultarea cu privire la orice altă chestiune.

Cu titlul de observație semantică precizăm că „responsabilul” cu protecția datelor cu caracter

personal nu este persoana care preia responsabilitatea protecției datelor, ci această
responsabilitate rămâne în sarcina operatorului. Responsabilul este denumit așa în virtutea
atribuțiilor sale, nu în virtutea obligațiilor sale.

În orice caz, desemnarea DPO se poate face nu doar în situațiile în care este obligatorie,
potrivit Regulamentului, ci orice operator poate să-și desemneze un DPO. Având în vedere
importanța crucială a DPO în privința protecției datelor cu caracter personal, opinia noastră
este că pentru o organizație prudentă și diligentă, care se preocupă de respectarea dispozițiilor
Regulamentului, desemnarea unui DPO, chiar dacă nu ar fi obligatorie, reprezintă o opțiune
demnă să fie analizată cu seriozitate.

Regulamentul nu cere o calificare specială pentru DPO, iar coduri oficiale de bune practici
încă nu există. După părerea noastră, operatorii se vor orienta către desemanrea unor DPO
care întrunesc trei calități. (i) DPO ar trebui să fie o persoană cu studii juridice, care să fie
bine conectat la noutățile în domeniu, căci vor fi multe în următorii ani. (ii) Deopotrivă, DPO
ar trebui să fie o persoană foarte organizată, care cunoaște foarte bine procedurile companiei,
și care are și abilități tehnice, care înțelege ușor procesele. (iii) În plus, și foarte important,
DPO trebuie să aibă foarte bune abilități de comunicare, atât cu persoanele vizate cât și, mai
ales, cu Autoritatea națională (ANSPDCP).

Responsabilul cu protecția datelor poate fi un membru al personalului operatorului sau

persoanei împuternicite de operator sau poate să își îndeplinească sarcinile în baza unui
contract de servicii (art. 37 alin. 6). În ambele situații este imperios necesar ca îndeplinirea
sarcinilor sale de către DPO să nu nască un conflict de interese.

Un DPO poate sa îndeplinească această funcție pentru mai mulți operatori concomitent, însă
cu condiția ca el să fie ușor accesibil din fiecare întreprindere. În cazul în care prelucrarea este
efectuată de un grup de întreprinderi, sediul principal al întreprinderii care exercită controlul
ar trebui considerat drept sediul principal al grupului de întreprinderi, cu excepția cazului în
care scopurile și mijloacele aferente prelucrării sunt stabilite de o altă întreprindere.

Principala chestiune care suscită discuții este dacă ar fi mai bine ca DPO să fie un salariat
sau serviciile specifice are trebui externalizate către un avocat sau alt consultant.

Având în vedere cerințele art. 37 alin. (5) din Regulament, potrivit cărora DPO va fi desemnat
pe baza calităților profesionale și, în special, a cunoștințelor de specialitate în dreptul și
practicile în domeniul protecției datelor, precum și pe baza capacității de a îndeplini sarcinile
specifice activității, pare că DPO se cuvine să fie o persoană cu o înaltă calificare, dar care să
nu facă parte din managementul operatorului. Pe de altă parte, dislocarea unei persoane înalt
calificate pentru serviciile DPO presupune renunțarea la utilizarea aptitudinilor acesteia
pentru alte activități necesare în cadrul operatorului. Totuși, trebuie să remarcăm că, potrivit
pct. 97 din Expunerea de motive a Regulamentului, nivelul necesar al cunoștințelor de
specialitate ar trebuie să fie stabilit în funcție de operațiunile de prelucrare a datelor efectuate
și de nivelul de protecție impus pentru datele cu caracter personal prelucrate.

Așa după cum se subliniază și în Ghidul privind Responsabilul cu protecția datelor, publicat
de ANSPDCP, nivelul de expertiză necesar al responsabilului cu protecția datelor nu este
strict definit, dar trebuie să fie proporțional cu sensibilitatea, complexitatea și volumul de date
prelucrate de organizație. De exemplu, în situația în care o operațiune de prelucrare a datelor
este deosebit de complexă sau în cazul în care este implicat un volum mare de date speciale,
DPO poate necesita un nivel mai ridicat de expertiză și suport.

Deopotrivă, potrivit Ghidului, este utilă cunoașterea mediului în care operatorul activează
afaceri și cunoașterea organizării operatorului. DPO ar trebui, de asemenea, să înțeleagă
operațiunile de prelucrare efectuate, precum și sistemele informatice și necesitățile de
securitate și protecție a datelor din cadrul operatorului, iar calitățile personale trebuie să
includă integritatea și etica profesională. Având în vedere că principala preocupare a DPO
trebuie să fie respectarea Regulamentului, acesta ar trebui să fie în măsură să promoveze în
cadrul culturii organizaționale valorile care se degajă din Carta Drepturilor Fundamentale a
Uniunii Europene și din Regulament.

Pe de altă parte, în cazul desemnării DPO din rândul salariaților, acesta se poate dovedi o
nucă tare. Principala problema cu care managementul operatorului se confruntă este
reglementarea raportului de muncă a acestuia, stabilirea indicatorilor de performanță și a
criteriilor și metodologiei de evaluare profesională a DPO.

Ideea pe care încercăm să o subliniem este că DPO ocupă o poziție cheie în organizație,
natura poziției sale fiind de placă turnată între obiectivele managementului operatorului,
aspirațiile legitime ale persoanelor vizate și obiectivele Autorității Naționale de Supraveghere
și a Prelucrării Datelor cu Caracter Personal. În acest context, este firesc ca managementul
operatorului să dorească să aibă în DPO o persoană de încredere.

Av. dr. Andrei Săvescu

Managing Partner SĂVESCU & ASOCIAȚII, coordonator JURIDICE.ro