Documente Academic
Documente Profesional
Documente Cultură
Acesta poate fi numit din rândul personalului propriu, sau se poate contracta un
serviciu externalizat.
Conform Legii 190 din 18.07.2018 privind măsurile de aplicare a GDPR în România, autorități
și organisme publice sunt Camera Deputaților și Senatul, Administrația Prezidențială, Guvernul,
ministerele, celelalte organe de specialitate ale administrației publice centrale, autoritățile și
instituțiile publice autonome, autoritățile administrației publice locale și de la nivel județean,
alte autorități publice, precum și instituțiile din subordinea/coordonarea acestora. De asemenea,
prin aceeași lege, sunt asimilate autorităților/organismelor publice și unitățile de cult și
asociațiile și fundațiile de utilitate publică.
ONG-uri sau alte persoane juridice de drept privat care monitorizează anumite categorii de
cetăţeni, în baza apartenenţei lor la o anume categorie socio-profesională, etnică sau culturală, la
nivel naţional, judeţean sau municipal în scopul desfăşurării unor activităţi conform statului lor
de funcţionare, reprezintă un exemplu elocvent privind astfel de situaţii.
sau
a unor date cu caracter personal care dezvăluie originea rasială sau etnică,
opiniile politice, confesiunea religioasă sau convingerile filozofice sau
apartenența la sindicate și prelucrarea de date genetice, de date biometrice
pentru identificarea unică a unei persoane fizice, de date privind sănătatea
sau de date privind viața sexuală sau orientarea sexuală ale unei persoane
fizice sau a unor date cu caracter personal privind condamnări penale și
infracțiuni.
Regulamentul nu impune decât două elemente. În primul rând, responsabilul cu protecția datelor
trebuie să fie desemnat pe baza calităților profesionale și în special, a cunoștințelor de
specialitate în dreptul dar și în practicile din domeniul protecției datelor, precum și pe baza
capacității de a îndeplini sarcinile tehnice prevăzute de Regulament. Întrucât printre aceste
sarcini, Regulamentul impune ca acest responsabil să aibă capacitatea de a consilia evaluarea
impactului asupra protecţiei datelor, precum şi monitorizarea permanentă a acestui impact, este
evident că acesta trebuie să aibă cunoştinţe tehnice temeinice şi în domeniul protecţiei datelor
prelucrate electronic.
O persoană cu dublă specializare, juridică şi IT, ar reprezenta situația ideală pentru o astfel
de desemnare. Serviciile care vă sunt oferite prin intermediul IT Protection oferă garanţia
acestei duble specializări.
Fie că este desemnat din rândul personalului propriu, fie că aţi apelat la un serviciu externalizat,
persoana desemnată trebuie să răspundă direct celui mai înalt nivel al conducerii operatorului de
date, nu trebuie să fie influenţat în exercitarea atribuţiilor funcţionale şi nici nu poate fi demis
atât timp cât îşi îndeplineşte corect sarcinile pe care le are, doar pentru că nu vă convin planurile
şi procedurile elaborate de acesta.
În cazul în care alegeţi varianta desemnării unei persoane din rândul angajaţilor proprii care va
mai avea şi alte sarcini şi atribuţii, trebuie să vă asiguraţi că niciuna dintre acestea nu generează
un conflict de interese cu funcţia de Responsabil cu protecţia datelor. Ca regulă generală, funcții
din cadrul organizației cu care poate intra în conflict funcția de DPO, pot include funcții de
conducere (cum ar fi director executiv, director operațional, director financiar, șeful serviciului
medical, șeful departamentului de marketing, șef departamentului de resurse umane sau șeful
departamentului IT), dar, în același timp, și alte funcții inferioare dacă acestea au
atribuții asupra scopurilor și mijloacelor de prelucrar ale organizației. De exemplu, un conflict
de interese poate apărea, de asemenea, în situația în care un DPO extern este rugat să reprezinte
operatorul sau persoana împuternicită de operator în instanță, în cazurile care implică probleme
de protecție a datelor.
Regulamentul prevede ca responsabilul desemnat să aibă cel puţin următoarele obligaţii
profesionale:
d. să monitorizeze respectarea GDPR, a altor dispoziții de drept al Uniunii sau de drept intern
referitoare la protecția datelor și a politicilor operatorului sau ale persoanei împuternicite de
operator în ceea ce privește protecția datelor cu caracter personal, precum şi să stabilească
responsabilitățile și acțiunile care trebuie derulate pentru sensibilizarea și formarea personalului
implicat în operațiunile de prelucrare;
h. să-şi asume rolul de punct de contact pentru autoritatea de supraveghere privind aspectele
legate de prelucrare, inclusiv pentru consultarea prealabilă menționată la articolul 36, precum și,
dacă este cazul, pentru consultarea cu privire la orice altă chestiune.
Aceste responsabilităţi nu trebuie să lipsească din fişa postului (dacă desemnaţi responsabilul din
rândul angajaţilor proprii) sau din contractul de servicii prestate, dacă apelaţi la un serviciu
externalizat. Desigur, acestora li se mai pot adăuga şi altele, dar ceea ce este enumerat mai sus
este prevăzut în mod expres de GDPR. De asemenea, ar fi optim ca instruirile prevăzute la pct.
d., să le poată derula singur, fără a mai fi nevoie să plătiţi servicii în plus. Cu atât mai mult cu cât
el e cel care va elabora planul şi conţinutul instructajelor.