În situaţii speciale speciale de prelucrare a datelor cu caracter personal, prevăzute

de GDPR sau de Legea 190/2018 privind aplicarea GDPR în România, operatorul

sau persoana împuternicită de operator să prelucreze date personale, trebuie să
desemneze un responsabil cu protecţia datelor – RPD, sau DPO – Data Protection
Officer. 

Acesta poate fi numit din rândul personalului propriu, sau se poate contracta un
serviciu externalizat. 

Pentru asigurarea unei aplicări unitare a Regulamentului

General privind Protecția Datelor, Grupul de Lucru "Art. 29"
de pe lângă Comisia Europeană, a emis Ghidul privind
Responsabilul cu protecța datelor, 
versiunea în lb. română fiind preluată de pe site-
ul ANSPDCP.
 Situaţiile care impun numirea unui responsabil cu protecţia datelor sunt:

 prelucrarea datelor personale este efectuată de o autoritate sau de un organism public,

cu excepţia instanţelor care acţionează în exerciţiul funcţiei lor jurisdicţionale.

Conform Legii 190 din 18.07.2018 privind măsurile de aplicare a GDPR în România, autorități
și organisme publice sunt Camera Deputaților și Senatul, Administrația Prezidențială, Guvernul,
ministerele, celelalte organe de specialitate ale administrației publice centrale, autoritățile și
instituțiile publice autonome, autoritățile administrației publice locale și de la nivel județean,
alte autorități publice, precum și instituțiile din subordinea/coordonarea acestora. De asemenea,
prin aceeași lege, sunt asimilate autorităților/organismelor publice și unitățile de cult și
asociațiile și fundațiile de utilitate publică. 

 activitățile principale ale operatorului sau ale persoanei împuternicite de operator

constau în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau
scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate pe
scară largă. 

ONG-uri sau alte persoane juridice de drept privat care monitorizează anumite categorii de
cetăţeni, în baza apartenenţei lor la o anume categorie socio-profesională, etnică sau culturală, la
nivel naţional, judeţean sau municipal în scopul desfăşurării unor activităţi conform statului lor
de funcţionare, reprezintă un exemplu elocvent privind astfel de situaţii.

 activitățile principale ale operatorului sau ale persoanei împuternicite de

operator constau în prelucrarea periodică, sistematică, pe scară largă:
 a unui număr de identificare național - numărul prin care se identifică o
persoană fizică în anumite sisteme de evidență și care are aplicabilitate
generală, cum ar fi: codul numeric personal, seria și numărul actului de
identitate, numărul pașaportului, al permisului de conducere, numărul de
asigurare socială de sănătate - doar în situația în care sunt prelucrate astfel
de date doar în baza legală a urmăririi interesul legitim al operatorului,

sau

 a unor date cu caracter personal care dezvăluie originea rasială sau etnică,
opiniile politice, confesiunea religioasă sau convingerile filozofice sau
apartenența la sindicate și prelucrarea de date genetice, de date biometrice
pentru identificarea unică a unei persoane fizice, de date privind sănătatea
sau de date privind viața sexuală sau orientarea sexuală ale unei persoane
fizice sau a unor date cu caracter personal privind condamnări penale și
infracțiuni.

Conform paragrafului (91) din Preambulul GDPR, prelucrarea datelor cu caracter

personal nu ar trebui considerată a fi la scară largă în cazul în care prelucrarea se
referă la date cu caracter personal de la pacien ți sau clienți de către un anumit
medic, un alt profesionist în domeniul sănătății sau un avocat. 

Rețineți așadar, că nu orice prelucrare a unui număr de identificare națională

necesită numirea unui DPO, ci numai acele prelucrări care sunt efectuate având ca
temei legal interesul legitim al operatorului, pe scară largă sau prin activități care
presupun monitorizarea sistematică și periodică a persoanelor vizate prin aceste
prelucrări. Nu vă lăsați prinși în capcana furnizorilor de servicii care, din neștiință
sau lipsiți de etică, vă conving că prelucrarea și a unui singur CNP impune
numirea unui Responsabil cu protecția datelor !

Clinici medicale, case de avocatură sau de mediere care operează şi în domeniul penal al

dreptului, notariate, firme de pază şi securitate – în anumite situaţii în care operează cu date
biometrice de identificare ale clienţilor sau persoanelor autorizate de aceştia, ori asigură sau
participă la monitorizarea unor spații largi, accesibile publicului, sunt doar câteva exemple care
cad sub incidenţa acestor prevederi.

Cine poate fi desemnat Responsabil cu protecţia datelor personale ?

Regulamentul nu impune decât două elemente. În primul rând, responsabilul cu protecția datelor
trebuie să fie desemnat pe baza calităților profesionale și în special, a cunoștințelor de
specialitate în dreptul dar și în practicile din domeniul protecției datelor, precum și pe baza
capacității de a îndeplini sarcinile tehnice prevăzute de Regulament. Întrucât printre aceste
sarcini, Regulamentul impune ca acest responsabil să aibă capacitatea de a consilia evaluarea
impactului asupra protecţiei datelor, precum şi monitorizarea permanentă a acestui impact, este
evident că acesta trebuie să aibă cunoştinţe tehnice temeinice şi în domeniul protecţiei datelor
prelucrate electronic.

O persoană cu dublă specializare, juridică şi IT, ar reprezenta situația ideală pentru o astfel
de desemnare. Serviciile care vă sunt oferite prin intermediul IT Protection oferă garanţia
acestei duble specializări.

Dacă nu poate fi identificată o astfel de persoană, un jurist cu certificări în domeniul protecţiei

datelor sau a confidențialității ori a vieții private (ISO27001, CIPP, CIPM sau CIPT) ar putea fi,
de asemenea o persoană care ar putea fi pregătită suplimentar în domeniul GDPR - DPO.
Varianta unui IT-ist care doar cunoaşte legislaţia în domeniu, este puţin mai riscantă, datorită
faptului că pe de o parte, legislaţia poate suferi modificări, pe de altă parte, este necesară
adeseori interpretarea unei norme în baza principiilor juridice, la care se poate adăuga şi
necesitatea de a avea capacitatea de a corela legislaţia cu care se operează în mod direct, cu alte
norme de drept din alte domenii dar care pot, punctual, să se constituie în izvoare de norme
juridice inclusiv pentru domeniul protecţiei datelor personale. 

Unde poate activa responsabilul cu protecţia datelor personale ?

În Regulament, este menţionat clar că responsabilul cu protecția datelor poate fi un membru al

personalului operatorului sau persoanei împuternicite de operator sau poate să își îndeplinească
sarcinile în baza unui contract de servicii. De asemenea, indiferent unde activează responsabilul,
datele de contact ale acestuia sunt făcute publice (parțial, în funcție de politica organizației) şi
totodată, comunicate şi autorităţii de supraveghere (complet).
Dat fiind faptul că responsabilul cu protecţia datelor nu este obligat să fie membru al
personalului operatorului, acesta poate îndeplini această funcţie pentru un grup de întreprinderi
sau pentru mai multe autorităţi publice ori organisme publice.

Statutul responsabilului cu protecţia datelor personale, faţă de operator.

Operatorul care desemnează un responsabil cu protecţia datelor, trebuie să asigure acestuia

accesul la toate aspectele legate de protecţia datelor cu caracter personal, asigurându-se totodată
de implicarea lui în timp util şi în mod corespunzător.

De asemenea, operatorul trebuie să sprijine responsabilul cu protecţia datelor în îndeplinirea

sarcinilor sale, asigurându-i toate resursele necesare pentru executarea acestora precum şi
accesarea datelor cu caracter personal şi a celor privind operaţiunile de prelucrare. Nu în ultimul
rând, trebuie să i se asigure şi menţinerea cunoştinţelor de specialitate. În acest sens,
regulamentul nu face distincţie între responsabilii desemnaţi din rândul personalului propriu al
operatorului sau în baza unui contract de servicii. Se poate prezuma însă că în această a doua
situaţie, această obligativitate aparţine operatorului numai dacă este menţionată explicit în
contractul de servicii asumat de ambele părţi.

Fie că este desemnat din rândul personalului propriu, fie că aţi apelat la un serviciu externalizat,
persoana desemnată trebuie să răspundă direct celui mai înalt nivel al conducerii operatorului de
date, nu trebuie să fie influenţat în exercitarea atribuţiilor funcţionale şi nici nu poate fi demis
atât timp cât îşi îndeplineşte corect sarcinile pe care le are, doar pentru că nu vă convin planurile
şi procedurile elaborate de acesta.

În cazul în care alegeţi varianta desemnării unei persoane din rândul angajaţilor proprii care va
mai avea şi alte sarcini şi atribuţii, trebuie să vă asiguraţi că niciuna dintre acestea nu generează
un conflict de interese cu funcţia de Responsabil cu protecţia datelor. Ca regulă generală, funcții
din cadrul organizației cu care poate intra în conflict funcția de DPO, pot include funcții de
conducere (cum ar fi director executiv, director operațional, director financiar, șeful serviciului
medical, șeful departamentului de marketing, șef departamentului de resurse umane sau șeful
departamentului IT), dar, în același timp, și alte funcții inferioare dacă acestea au
atribuții asupra scopurilor și mijloacelor de prelucrar ale organizației. De exemplu, un conflict
de interese poate apărea, de asemenea, în situația în care un DPO extern este rugat să reprezinte
operatorul sau persoana împuternicită de operator în instanță, în cazurile care implică probleme
de protecție a datelor. 

 
Regulamentul prevede ca responsabilul desemnat să aibă cel puţin următoarele obligaţii
profesionale:

a. să respecte secretul sau confidențialitatea în ceea ce privește îndeplinirea sarcinilor sale, în

conformitate cu dreptul Uniunii sau cu dreptul intern;

b. să țină seama în mod corespunzător de riscul asociat operațiunilor de prelucrare, luând în

considerare natura, domeniul de aplicare, contextul și scopurile prelucrării.

c. să informeze și să consilieze operatorul sau persoana împuternicită de operator, precum și

angajații care se ocupă de prelucrare, cu privire la obligațiile care le revin în temeiul prezentului
regulament și al altor dispoziții de drept al Uniunii sau drept intern referitoare la protecția
datelor;

d. să monitorizeze respectarea GDPR, a altor dispoziții de drept al Uniunii sau de drept intern
referitoare la protecția datelor și a politicilor operatorului sau ale persoanei împuternicite de
operator în ceea ce privește protecția datelor cu caracter personal, precum şi să stabilească
responsabilitățile și acțiunile care trebuie derulate pentru sensibilizarea și formarea personalului
implicat în operațiunile de prelucrare;

e. să monitorizarea acţiunile de prelucrare a datelor prin intermediul auditării activităţilor

aferente acestora;

f. să furnizeze consiliere la cerere în ceea ce privește evaluarea impactului asupra protecției

datelor și monitorizarea funcționării acesteia, în conformitate cu articolul 35;

g. să coopereze cu autoritatea de supraveghere.

h. să-şi asume rolul de punct de contact pentru autoritatea de supraveghere privind aspectele
legate de prelucrare, inclusiv pentru consultarea prealabilă menționată la articolul 36, precum și,
dacă este cazul, pentru consultarea cu privire la orice altă chestiune.

Aceste responsabilităţi nu trebuie să lipsească din fişa postului (dacă desemnaţi responsabilul din
rândul angajaţilor proprii) sau din contractul de servicii prestate, dacă apelaţi la un serviciu
externalizat. Desigur, acestora li se mai pot adăuga şi altele, dar ceea ce este enumerat mai sus
este prevăzut în mod expres de GDPR. De asemenea, ar fi optim ca instruirile prevăzute la pct.
d., să le poată derula singur, fără a mai fi nevoie să plătiţi servicii în plus. Cu atât mai mult cu cât
el e cel care va elabora planul şi conţinutul instructajelor.