GDPR este prescurtarea regulamentului UE nr.

679/2016 aplicabil din 25 mai 2018 la nivelul intregii Uniuni

Europene precum si in orice alt stat din lume unde se folosesc date personale ale cetateniilor UE. Interesul
acestui subiect a devenit de actualitate deoarece amenzile de care sunt pasibile cei care nu il vor respecta sunt de
pana la 20 milioane EURO sau 4% din cifra de afaceri inregistrata in anul precedent. Obiectivul regulamentului
GDPR este protejarea cu strictete a modului in care sunt culese, folosite, transmise si arhivate datele personale
care ajung la operatorii economici.

Orice organizatie, atat publica, cat si privata, care proceseaza date personale ale cetatenilor din UE, va fi direct
afectata de noua legislatie.

Regulamentul are aplicare imediata si obligatorie, fara nicio formalitate, in toate statele Uniunii Europene, pentru
toate persoanele juridice si fizice care prelucreaza (colecteaza, pastreaza, arhiveaza, raporteaza, transfera,
utilizeaza etc) date cu caracter personal indiferent de forma de organizare (SRL, SA, PFA, ONG sau chiar
persoane fizice) sau marimea lor (numarul de salariati).

GDPR aduce o serie de elemente de noutate, dintre care cele mai insemnate ar fi:

• obligativitatea numirii, in anumite conditii, a unui responsabil cu protectia datelor la nivel de companie sau
grup care va avea rolul de a se asigura ca toate procesele si procedurile operatorului sunt conforme cu legea si de
a notifica autoritatea competenta in termen de 72 de ore atunci cand are loc o incalcare a securitatii datelor cu
caracter personal;

• redefinirea unor drepturi si definirea unor drepturi noi pentru persoanele vizate (de exemplu, dreptul de a fi
uitat, dreptul la portabilitatea datelor, etc);

• conditii mult mai stricte pentru o procesare legala in baza consimtamantului persoanei vizate;

• o mai mare raspundere in sarcina persoanelor imputernicite sa proceseze date cu caracter personal in numele
operatorului;

Desfasurarea de evaluari de impact in cazul in care operatorul:

I. prelucreaza automat date cu caracter personal si care produce efecte juridice privind persoana fizica sau care o
afecteaza in mod similar intr-o masura semnificativa (vorbim aici in special de profilarea clientilor);

II. prelucreaza pe scara larga anumite categorii speciale de date (cel mai des intalnit exemplu fiind datele privind
sanatatea, datele genetice si biometrice) sau date cu caracter personal privind condamnari penale si infractiuni
sau

III. monitorizeaza sistematic pe scara larga o zona accesibila publicului.

În Regulamentul nr. 679 din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea
datelor cu caracter personal şi privind libera circulație a acestor date (GDPR) și de abrogare a Directivei
95/46/CE (Regulamentul general privind protecția datelor) se definește rolul DPO (Data Protection Officer) –
Responsabilul cu Protecția Datelor ca fiind persoana de referință și contact în cazul operațiunilor cu date
personale și cu operatorii din acest domeniu.

Aceasta persoana trebuie sa aiba cunostinte de specialitate in materie de protectia datelor (art.37-5). Poate fi un
membru al echipei sau poate sa-si desfasoare activitatea in baza unui contract de prestari servicii (art.37-6), insa
trebuie implicat in mod corespunzator si in timp util in toate aspectele legate de protectia datelor (art.38-1) si nu
poate fi demis sau sanctionat de catre operator pentru indeplinirea sarcinilor sale (art.38-3).

Obligatia de a numi un responsabil cu protectia datelor nu tine de marimea entitatii, ci exclusiv de indeplinirea
conditiilor expres prevazute de articolul 37 din Regulamentul european 2016/679, ceea ce in sectorul privat
inseamna ca activitatea principala sa constea fie in (1) monitorizarea periodica, sistematica si pe scara larga a
persoanelor, fie in (2) prelucrarea pe scara larga a unor categorii speciale de date (originea rasiala sau etnica,
opiniile politice, confesiunea religioasa, convingerile filozofice, apartenenta la sindicate, date genetice, date
biometrice pentru identificarea unica a unei persoane fizice, date privind sanatatea, date privind viata sexuala sau
orientarea sexuala) sau a datelor privind condamnari penale si infractiuni.

Toate entitatile care prelucreaza baze de date ( ex: bancile, firmele de securitate, spitalele, clinicile private,
farmaciile, magazinele online, etc.) vor fi nevoite sa numeasca un responsabil cu protectia datelor.

Ocuparea functiei de DPO in cadrul organizatiilor se va face fie prin desemnarea unui angajat propriu (nou sau
actual), fie prin contractarea unui colaborator extern (solicitati detalii privind seriviciile de consultanta oferite de
firma noastra).

Pentru ocuparea functiei de DPO, Regulamentul european 2016/679 nu impune o anumita calificare, persoana
trebuie doar sa aiba cunostinte de specialitate in dreptul si practicile din domeniul protectiei datelor si sa poata
indeplini sarcinile prevazute la articolul 39 din regulament.

CONFLICTE DE INTERESE

Functia de DPO nu poate fi ocupata de persoane cu functii de conducere, cum ar fi cele de:

administrator sau director general (apare un conflict de interese general, avand in vedere si puterea decizionala
generala cu privire la activitatea unei societati);

director financiar (decide in aspectele financiare si poate influenta decizia de a aproba finantarea de masuri de
conformare stabilite de GDPR);

director de resurse umane (poate influenta mecanismele de prelucrare a datelor angajatilor, fostilor angajati sau
potentialilor angajati);
director de marketing (poate influenta mecanismele de prelucrare a datelor clientilor in activitatea de marketing);

Functia de DPO nu poate fi ocupata de persoane care desi nu au functii de conducere, cum ar fi un consilier
juridic, totusi acesta reprezinta societatea in instanta intr-un litigiu pe legalitatea prelucrarii datelor personale.

Este important insa de mentionat ca, si in cazul in care contractul se incheie cu o forma de organizare
colaborativa (societate de avocati, societate comerciala, etc.), trebuie in continuare desemnata o persoana anume
care va detine functia de responsabil cu protectia datelor. Acest lucru este necesar pentru ca functia este una
unipersonala (chiar si acolo unde are in spate un departament) si aceasta persoana va fi cea indicata Autoritatii
Nationale pentru Supravegherea Prelucrarii Datelor cu Caracter Personal, in informarile catre persoanele vizate,
in studiile de impact, etc.

Înainte de intrarea în vigoare a Regulamentului la 25.05.2018, nu exista obligația de a

desemna un ofițer responsabil cu protecția datelor cu caracter personal (DPO). Cu toate
acestea, în viitorul apropiat, această persoană desemnată va juca un rol esențial în activitatea
de business.
Obligația de a desemna un ofițer responsabil cu protecția datelor nu revine doar operatorului
ci și persoanei împuternicite, dacă se circumscrie situațiilor descrise în Regulament.
Această obligație de numire a unui ofițer responsabil cu protecția datelor este strâns legată de
natura activității economice desfășurate și nu de caracteristici cantitative, cum ar fi numărul
de angajați sau cifra de afaceri. Astfel, entitățile publice, dar și unele private sunt obligate să
numească un DPO – intern sau externalizat, în timp ce altele au facultatea de a numi un
responsabil cu protecția datelor. Cu toate acestea, toate societățile care prelucrează date cu
caracter personal cu obligate să își conformeze activitatea conform GDPR.
Un ofițer responsabil cu protecția datelor (DPO) trebuie numit în cazul în care activitățile
de bază ale operatorului sau ale persoanei împuternicite implică „monitorizarea regulată și
sistematică a persoanelor vizate la scară largă „sau în cazul în care entitatea desfășoară
activități la scară largă prelucrarea „categoriilor speciale de date cu caracter personal”.
Chiar dacă apreciați că activitatea economică pe care o desfășurați nu impune obligativitatea
desemnării unui responsabil cu protecția datelor, este recomandat să desemnați unul pentru a
vă ajuta în atingerea și monitorizarea conformității.
Încheierea unui contract de prestări servicii cu societatea noastră pentru externalizarea acestei
poziții de ofițer responsabil cu protecția datelor, vă scutește de costuri de calificare și
certificare a angajaților dumneavoastră, veți beneficia de răspundere contractuală și
profesională din partea noastră și vă veți bucura de expertiza și experiența noastră în legislația
europeană și în dreptul intern. Ne vom implica într-o manieră obiectivă în procesele
operaționale desfășurate și vom asigura menținerea legăturii și reprezentarea în fața
Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal.
Astfel, vă veți bucura de profesionalism reducând din timpul și costurile companiei.

Responsabilul  cu protecția datelor personale

 din perspectiva GDPR
   În situaţii speciale speciale de prelucrare a datelor cu caracter
personal, operatorul sau persoana împuternicită de operator să
prelucreze date personale, trebuie să desemneze un responsabil cu
protecţia datelor, RPD, sau DPO – Data Protection Officer. Acesta
poate fi numit din rândul personalului propriu, sau se poate
contracta un serviciu externalizat. 
Pentru asigurarea unei aplicări unitare a Regulamentului General
privind Protecția Datelor, Grupul de Lucru "Art. 29" de pe lângă
Comisia Europeană, a emis Ghidul privind Responsabilul cu protecța
datelor,
versiunea în lb. română fiind preluată de pe site-ul ANSPDCP.
 Situaţiile care impun numirea unui responsabil cu protecţia datelor sunt:
 

 prelucrarea datelor personale este efectuată

de o autoritate sau de un organism public, cu
excepţia instanţelor care acţionează în
exerciţiul funcţiei lor jurisdicţionale.

Primării, Şcoli, Spitale, Grădiniţe, Licee, Universităţi de stat, Biblioteci publice, etc.,
sunt o infimă parte a tuturor categoriilor de organisme publice care vor trebui să
desemneze un responsabil cu protecţia datelor. 
 

 activitățile principale ale operatorului sau ale

persoanei împuternicite de operator constau
în operațiuni de prelucrare care, prin natura,
domeniul de aplicare și/sau scopurile lor,
necesită o monitorizare periodică și
sistematică a persoanelor vizate pe scară
largă. 

ONG-uri sau alte persoane juridice de drept privat care monitorizează anumite
categorii de cetăţeni, în baza apartenenţei lor la o anume categorie socio-
profesională, etnică sau culturală, la nivel naţional, judeţean sau municipal în scopul
desfăşurării unor activităţi conform statului lor de funcţionare, reprezintă un exemplu
elocvent privind astfel de situaţii.
 

 activitățile principale ale operatorului sau ale

persoanei împuternicite de operator constau
în prelucrarea pe scară largă a unor date cu
caracter personal care dezvăluie originea
rasială sau etnică, opiniile politice,
confesiunea religioasă sau convingerile
filozofice sau apartenența la sindicate și
prelucrarea de date genetice, de date
 biometrice pentru identificarea unică a unei
persoane fizice, de date privind sănătatea
sau de date privind viața sexuală sau
orientarea sexuală ale unei persoane fizice
sau a unor date cu caracter personal privind
condamnări penale și infracțiuni.

Cabinete medicale, cabinete individuale de avocatură sau de mediere care operează

şi în domeniul penal al dreptului, notariate, firme de pază şi securitate – în anumite
situaţii în care operează cu date biometrice de identificare ale clienţilor sau
persoanelor autorizate de aceştia, sunt câteva exemple care cad sub incidenţa
acestor prevederi.
Cine poate fi desemnat Responsabil cu protecţia datelor personale ?
 
Regulamentul nu impune decât două elemente. În primul rând, responsabilul cu
protecția datelor trebuie să fie desemnat pe baza calităților profesionale și în special,
a cunoștințelor de specialitate în dreptul dar și în practicile din domeniul protecției
datelor, precum și pe baza capacității de a îndeplini sarcinile tehnice prevăzute de
Regulament. Întrucât printre aceste sarcini, Regulamentul impune ca acest
responsabil să aibă capacitatea de a consilia evaluarea impactului asupra protecţiei
datelor, precum şi monitorizarea permanentă a acestui impact, este evident că
acesta trebuie să aibă cunoştinţe tehnice temeinice şi în domeniul protecţiei datelor
prelucrate electronic.
O persoană cu dublă specializare, juridică şi IT, ar reprezenta situația ideală
pentru o astfel de desemnare. Serviciile care vă sunt oferite prin intermediul IT
Protection oferă garanţia acestei duble specializări.
 
Dacă nu poate fi identificată o astfel de persoană, un jurist cu certificări în domeniul
protecţiei datelor sau a confidențialității ori a vieții private (ISO27001, CIPP, CIPM
sau CIPT) ar putea fi, de asemenea o persoană care ar putea fi pregătită suplimentar
în domeniul GDPR - DPO. Varianta unui IT-ist care doar cunoaşte legislaţia în
domeniu, este puţin mai riscantă, datorită faptului că pe de o parte, legislaţia poate
suferi modificări, pe de altă parte, este necesară adeseori interpretarea unei norme
în baza principiilor juridice, la care se poate adăuga şi necesitatea de a avea
capacitatea de a corela legislaţia cu care se operează în mod direct, cu alte norme
de drept din alte domenii dar care pot, punctual, să se constituie în izvoare de norme
juridice inclusiv pentru domeniul protecţiei datelor personale. 
 
Unde poate activa responsabilul cu protecţia datelor personale ?
 
În Regulament, este menţionat clar că responsabilul cu protecția datelor poate fi un
membru al personalului operatorului sau persoanei împuternicite de operator sau
poate să își îndeplinească sarcinile în baza unui contract de servicii. De asemenea,
indiferent unde activează responsabilul, datele de contact ale acestuia sunt făcute
publice şi totodată, comunicate şi autorităţii de supraveghere.
Dat fiind faptul că responsabilul cu protecţia datelor nu este obligat să fie membru al
personalului operatorului, acesta poate îndeplini această funcţie pentru un grup de
întreprinderi sau pentru mai multe autorităţi publice ori organisme publice.
 
Statutul responsabilului cu protecţia datelor personale, faţă de operator.
 
Operatorul care desemnează un responsabil cu protecţia datelor, trebuie să asigure
acestuia accesul la toate aspectele legate de protecţia datelor cu caracter personal,
asigurându-se totodată de implicarea lui în timp util şi în mod corespunzător.
De asemenea, operatorul trebuie să sprijine responsabilul cu protecţia datelor în
îndeplinirea sarcinilor sale, asigurându-i toate resursele necesare pentru executarea
acestora precum şi accesarea datelor cu caracter personal şi a celor privind
operaţiunile de prelucrare. Nu în ultimul rând, trebuie să i se asigure şi menţinerea
cunoştinţelor de specialitate. În acest sens, regulamentul nu face distincţie între
responsabilii desemnaţi din rândul personalului propriu al operatorului sau în baza
unui contract de servicii. Se poate prezuma însă că în această a doua situaţie,
această obligativitate aparţine operatorului numai dacă este menţionată explicit în
contractul de servicii asumat de ambele părţi.
Fie că este desemnat din rândul personalului propriu, fie că aţi apelat la un serviciu
externalizat, persoana desemnată trebuie să răspundă direct celui mai înalt nivel al
conducerii operatorului de date, nu trebuie să fie influenţat în exercitarea atribuţiilor
funcţionale şi nici nu poate fi demis atât timp cât îşi îndeplineşte corect sarcinile pe
care le are, doar pentru că nu vă convin planurile şi procedurile elaborate de acesta.
 
În cazul în care alegeţi varianta desemnării unei persoane din rândul angajaţilor
proprii care va mai avea şi alte sarcini şi atribuţii, trebuie să vă asiguraţi că niciuna
dintre acestea nu generează un conflict de interese cu funcţia de Responsabil cu
protecţia datelor.
 
Regulamentul prevede ca responsabilul desemnat să aibă cel puţin
următoarele obligaţii profesionale:
 
a. să respecte secretul sau confidențialitatea în ceea ce privește îndeplinirea
sarcinilor sale, în conformitate cu dreptul Uniunii sau cu dreptul intern;
b. să țină seama în mod corespunzător de riscul asociat operațiunilor de prelucrare,
luând în considerare natura, domeniul de aplicare, contextul și scopurile prelucrării.
c. să informeze și să consilieze operatorul sau persoana împuternicită de operator,
precum și  angajații care se ocupă de prelucrare, cu privire la obligațiile care le revin
în temeiul prezentului regulament și al altor dispoziții de drept al Uniunii sau drept
intern referitoare la protecția datelor;
d. să monitorizeze respectarea GDPR, a altor dispoziții de drept al Uniunii sau de
drept intern referitoare la protecția datelor și a politicilor operatorului sau ale
persoanei împuternicite de operator în ceea ce privește protecția datelor cu caracter
personal, precum şi să stabilească responsabilitățile și acțiunile care trebuie derulate
pentru sensibilizarea și formarea personalului implicat în operațiunile de prelucrare;
e. să monitorizarea acţiunile de prelucrare a datelor prin intermediul auditării
activităţilor aferente acestora;
f. să furnizeze consiliere la cerere în ceea ce privește evaluarea impactului asupra
protecției datelor și monitorizarea funcționării acesteia, în conformitate cu articolul 35;
g. să coopereze cu autoritatea de supraveghere.
h. să-şi asume rolul de punct de contact pentru autoritatea de supraveghere privind
aspectele legate de prelucrare, inclusiv pentru consultarea prealabilă menționată la
articolul 36, precum și, dacă este cazul, pentru consultarea cu privire la orice altă
chestiune.
 
Aceste responsabilităţi nu trebuie să lipsească din fişa postului (dacă desemnaţi
responsabilul din rândul angajaţilor proprii) sau din contractul de servicii prestate,
dacă apelaţi la un serviciu externalizat. Desigur, acestora li se mai pot adăuga şi
altele, dar ceea ce este enumerat mai sus este prevăzut în mod expres de GDPR.
De asemenea, ar fi optim ca instruirile prevăzute la pct. d., să le poată derula singur,
fără a mai fi nevoie să plătiţi servicii în plus. Cu atât mai mult cu cât el e cel care va
elabora planul şi conţinutul instructajelor.
IT Protection vă oferă posibilitatea să achiziţionaţi serviciul de Responsabil cu
protecţia datelor. Persoana care va îndeplini această funcţie, este licenţiată
prin cursuri universitare de 5 ani atât în domeniul IT cât şi în domeniul juridic,
având totodată 20 de ani de experienţă în protecţia datelor clasificate
prelucrate prin intermediul sistemelor de calcul. Puteţi estima costurile aici. La
acestea se pot  pot adăuga costuri suplimentare dacă solicitaţi şi alte servicii
suplimentar celor descrise.