Documente Academic
Documente Profesional
Documente Cultură
ABSTRACT
REZUMAT
*
Lucrarea a fost prezentată în cadrul Conferinței Naționale cu tema „Comunități virtuale în epoca Regulamentului
General privind protecția datelor”, organizată la Galați, la data de 23 noiembrie 2017, de Universitatea Danubius din
Galați. Informațiile cuprinse în text sunt actualizate la data de 8 februarie 2018, care este și ultima dată la care au fost
consultate site-urile menționate în cuprinsul articolului.
**
Cercetător științific asociat la Institutul de Cercetări Juridice „Acad. Andrei Rădulescu” al Academiei Române. Autor al
unor volume și articole în domeniu, ariile sale de interes vizează dreptul administrativ, dreptul constituțional şi dreptul
european. Adresa: irina_alexe@yahoo.com.
1. Succintă introducere
Noul regulament general privind protecția datelor[1], denumit în continuare regulamentul, sau
GDPR, potrivit acronimului din limba engleză, va fi aplicat în mod direct de către toate statele
membre ale Uniunii Europene, începând cu data de 25 mai 2018. Observăm, chiar din titlul
acestuia, că regulamentul vizează instituirea unor norme aplicabile celor două mari domenii
referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter
personal, respectiv libera circulație a acestor date, precum și asigurarea unui echilibru rezonabil
între acestea. De asemenea, observăm că prin GDPR este abrogată vechea reglementare în
materie, anterioară anului 2016, Directiva nr. 95/46/CE[2], care a fost transpusă de către statele
membre, inclusiv de către România[3], în legislația lor națională.
Rațiunile care au condus la adoptarea unui regulament în locul unei directive, precum și cele
referitoare la „pachetul legislativ” complex adoptat în materia protecției datelor personale de
către autorităţile competente ale Uniunii Europene au fost deja detaliate în doctrina de dată
recentă[4], așa că nu vom insista asupra acestora. Considerăm însă important să precizăm, în
acest context, faptul că regulamentul instituie reguli noi mai ales pentru operatorii de date
și pentru persoanele împuternicite de aceștia, corelate cu un regim sancționator foarte sever
asociat nerespectării acestor reguli[5], iar aspectele de noutate pe care le vom analiza pe parcursul
studiului se referă la instituția responsabilului cu protecția datelor, cunoscut și sub denumirea de
ofițer pentru protecția datelor sau DPO, potrivit acronimului din limba engleză.
[1]
Regulamentul nr. 2016/679/UE al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecția
persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulație a acestor date şi
de abrogare a Directivei nr. 95/46/CE (JO L119/04.05.2016).
[2]
Directiva nr. 95/46/CE a Parlamentului European şi a Consiliului din 24 octombrie 1995 privind protecția persoanelor
fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulație a acestor date (JO L 281, 23 noiembrie
1995, p. 31, Ediție specială, 13/vol. 17, p. 10).
[3]
Directiva nr. 95/46/CE a fost transpusă în România prin Legea nr.677/2001 pentru protecția persoanelor cu privire
la prelucrarea datelor cu caracter personal și libera circulație a acestor date (M. Of. nr. 790 din 12 decembrie 2001), cu
modificările și completările ulterioare.
[4]
A se vedea, de exemplu, I. Alexe, C.M. Banu, De la directivă la regulament în reglementarea protecției datelor cu caracter
personal la nivelul Uniunii Europene, în volumul I. Alexe, N.D. Ploeșteanu, D.M. Șandru (coord.), Protecția datelor cu
caracter personal, Impactul protecției datelor personale asupra mediului de afaceri. Evaluări ale experiențelor Românești și
noile provocări ale Regulamentului (UE) 2016/679, Ed. Universitară, București, 2017, p. 14-40; D.M. Șandru, Regimul juridic
al protecției datelor cu caracter personal este în proces de regândire, în volumul I. Alexe, N.D. Ploeșteanu, D.M. Șandru
(coord.), op. cit., pp. 272-278; N.D. Ploeșteanu, A. Mariș, Viziunea Regulamentului general privind protecția datelor personale
679/2016(RGDP) într-o societate digitală, în volumul I. Alexe, N.D. Ploeșteanu, D.M. Șandru (coord.), op. cit., pp. 77-127.
Pe larg, despre regimul sancționator, a se vedea I. Alexe, Regimul sancționator prevăzut de Regulamentul (UE) nr. 2016/679
[5]
privind protecția datelor cu caracter personal, Curierul Judiciar nr. 1/2018, pp. 36-42.
Diferențele dintre directivă[7] și ceea ce impune regulamentul pentru instituția analizată sunt
substanțiale și le vom detalia în secțiunile următoare. Pe lângă obligativitatea desemnării unui
DPO, în cazurile expres prevăzute de regulament, sau recomandarea desemnării unui astfel de
responsabil, în celelalte cazuri, sunt detaliate locul, rolul, atribuțiile și răspunderea responsabilului
cu protecția datelor, dar și obligațiile și responsabilitățile pe care operatorul sau persoana
împuternicită de acesta le are în relația sa cu DPO. Pentru a înțelege importanța acestei instituții,
dar și rolul său în arhitectura regulamentului, vom exemplifica, în această primă parte, fără a relua
caracteristicile severe ale noului regim sancționator prevăzut de GDPR, doar faptul că, pentru
nerespectarea obligației de desemnare a DPO, măsura corectivă ce va fi aplicată operatorului sau
persoanei împuternicite, care are această obligație, este impunerea unei amenzi administrative
ce se înscrie în clasa de sancțiuni prevăzută la art. 83 alin. (4) din regulament[8].
De asemenea, subliniem și faptul că, în opinia noastră, pentru a înțelege și aplica în mod corect
normele instituie în textul regulamentului, este necesar să analizăm și considerentele cuprinse
în preambulul acestuia, în strânsă corelare cu articolele analizate și care fundamentează
soluțiile de reglementare alese[9], dar și ghidurile pe care le-a elaborat, de la intrarea în vigoare a
regulamentului și până în acest moment, Grupul de lucru pentru protecția persoanelor în ceea ce
privește prelucrarea datelor cu caracter personal, instituit la nivel european, în temeiul art. 29 din
directiva anterioară, denumit în continuare grupul de lucru. Acest grup de lucru, care își continuă
activitatea și după intrarea în vigoare a regulamentului, acționează independent, are caracter
consultativ și poate face recomandări, din proprie inițiativă, privind orice chestiune legată de
protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal în Uniunea
Europeană, urmând a fi înlocuit, în perioada următoare, de Comitetul european pentru protecția
datelor, instituit în temeiul regulamentului[10].
[6]
A se vedea, de exemplu, art. 18 alin. (2) și art. 20 din Directiva nr. 95/46/CE.
[7]
Pentru o analiză a aplicării Directivei nr. 96/45/CE în România, a se vedea D.M. Șandru, D.A. Călin, C.M. Banu, Aplicarea
şi interpretarea Directivei 95/46 de către instanțe române. Tipologii şi consecințe juridice, în volumul I. Alexe, N.D.
Ploeșteanu, D. M. Șandru (coord.), op. cit., pp. 41-76.
[8]
Cuantumul amenzilor administrative aplicate pentru anumite categorii de încălcări, prevăzute la art. 83 alin. (4), poate
fi de până la 10.000.000 EUR sau, în cazul unei întreprinderi, de până la 2% din cifra de afaceri mondială totală anuală
corespunzătoare exercițiului financiar anterior, luându-se în calcul cea mai mare valoare. Cu toate acestea, trebuie să
observăm că, pentru sectorul public, legislația română nu prevede deocamdată posibilitatea impunerii unor amenzi
administrative, însă apreciem că această posibilitate va fi instituită, în perioada următoare, în legislația națională, în
temeiul dispozițiilor GDRP, tocmai pentru a asigura aplicarea unitară a acestuia în toate statele membre.
[9]
Regulamentul cuprinde 99 articole ce au ca fundament cele 173 de considerente incluse în preambul.
[10]
Pentru instituirea comitetului și descrierea sarcinilor sale, precum și pentru funcționarea sa, a se vedea textele
art. 68-76 din regulament.
„(a) prelucrarea este efectuată de o autoritate sau un organism public, cu excepția instanțelor
care acționează în exercițiul funcției lor jurisdicționale;
(b) activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau
în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o
monitorizare periodică și sistematică a persoanelor vizate pe scară largă; sau
(c) activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în
prelucrarea pe scară largă a unor categorii speciale de date, menționată la articolul 9, sau a unor
date cu caracter personal privind condamnări penale și infracțiuni, menționată la articolul 10.”
Pentru o altă abordare a DPO a se vedea B.P. Mihai, Responsabilul cu protecția datelor, în volumul I. Alexe,
[11]
protecția datelor, la data de 13 decembrie 2016, fiind revizuit ulterior și adoptat la data de 5 aprilie 2017. Textul în limba
engleză, precum și diferitele versiuni în limbile statelor membre (în limba română este folosită denumirea de „orientări”) sunt
disponibile la http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048. Forma ghidului, în limba română,
este disponibilă, în format electronic, începând cu data de 19 noiembrie 2017, pe site-ul oficial al Autorității Naționale de
Supraveghere a Prelucrării Datelor cu Caracter Personal, la adresa www.dataprotection.ro/servlet/ViewDocument?id=1384.
[13]
Potrivit considerentului (97) „În cazul în care prelucrarea este efectuată de o autoritate publică, cu excepția instanțelor
sau a autorităților judiciare independente atunci când acționează în calitatea lor judiciară, în cazul în care, în sectorul privat,
prelucrarea este efectuată de un operator a cărui activitate principală constă în operațiuni de prelucrare care necesită
o monitorizare regulată și sistematică a persoanelor vizate pe scară largă, sau în cazul în care activitatea principală a
operatorului sau a persoanei împuternicite de operator constă în prelucrarea pe scară largă de categorii speciale de date cu
caracter personal și de date privind condamnările penale și infracțiunile, o persoană care deține cunoștințe de specialitate
în materie de legislație și practici privind protecția datelor ar trebui să acorde asistență operatorului sau persoanei
împuternicite de operator pentru monitorizarea conformității, la nivel intern, cu prezentul regulament. În sectorul privat,
activitățile principale ale unui operator se referă la activitățile sale de bază, și nu la prelucrarea datelor cu caracter personal
drept activități auxiliare. Nivelul necesar al cunoștințelor de specialitate ar trebui să fie stabilit în special în funcție de
operațiunile de prelucrare a datelor efectuate și de nivelul de protecție impus pentru datele cu caracter personal prelucrate
de operator sau de persoana împuternicită de operator. Acești responsabili cu protecția datelor, indiferent dacă sunt sau nu
angajați ai operatorului, ar trebui să fie în măsură să își îndeplinească atribuțiile și sarcinile în mod independent.”
Pentru analiza și înțelegerea textului, considerăm relevante noțiunile: date cu caracter personal;
prelucrare; operator; persoana împuternicită de operator; date genetice; date biometrice; date
privind sănătatea, respectiv autoritate de supraveghere, definite în textul art. 4 din GDPR,
DOCTRINĂ
respectiv detalierile noțiunilor pe care ghidul le include: autoritate publică; organism public;
activități principale; pe scară largă; monitorizare periodică și sistematică; categorii de date
speciale și date referitoare la condamnările penale și la infracțiuni, astfel încât nu considerăm
necesară reluarea acestora sau explicitarea lor.
Vom analiza totuși conceptele de autoritate publică, respectiv de organism public, care diferă în
funcție de legislația internă a fiecăruia dintre statele membre și care nu au fost definite în textul
regulamentului tocmai pentru că noțiunile respective trebuie interpretate în conformitate cu
dreptul intern. Grupul de lucru oferă câteva îndrumări pentru interpretarea acestor noțiuni în cadrul
ghidului, făcând o paralelă, între două categorii: organismele publice, ce includ autorităţile de la nivel
național, regional sau, după caz, local și alte organisme guvernate de legislația din domeniul public,
pe de o parte și, respectiv, alte persoane fizice sau juridice de drept public sau privat care efectuează
o sarcină publică sau care exercită o autoritate publică, pe de altă parte, exemplificând această
ultimă categorie prin serviciile „de transport public, furnizare de apă și energie, infrastructura
rutieră, serviciul public de radiodifuziune, locuințe publice sau organisme disciplinare pentru
profesiile reglementate, în conformitate cu reglementarea națională a fiecărui stat membru”[14].
Dacă pentru organismele sau autoritățile publice este obligatorie desemnarea unui DPO, pentru
categoria organismelor private care îndeplinesc atribuții publice sau exercită o autoritate publică,
grupul de lucru recomandă desemnarea unui responsabil cu protecția datelor, ca bună practică.
De asemenea, sunt relevante și alte situații particulare, prevăzute de textul alin. (4) al art. 37, în
conformitate cu care dreptul intern sau dreptul Uniunii Europene poate impune desemnarea unui
responsabil pentru protecția datelor și în alte cazuri decât cele menționate mai sus, prevăzute la
alin. (1), care să acționeze în favoarea unor operatori sau persoane împuternicite, ori a unor asociații
și alte organisme care reprezintă categorii de operatori sau persoane împuternicite de operatori.
Observăm astfel că nu doar în cele trei situații prevăzute de alin. (1) al art. 37 este obligatorie
desemnarea unui DPO, ci și în alte situații care pot varia de la stat la stat, mai ales în funcție de
dreptul intern aplicabil.
Precizăm, așa cum și grupul de lucru o face că, atunci când nu este evident că un operator sau o per
soană împuternicită se încadrează fără dubiu în cazurile în care este obligată să desemneze un DPO,
acesta/aceasta ar trebui să facă o evaluare internă în care, pe baza factorilor relevanți avuți în vedere,
prevăzuți la art. 24 din regulament, să decidă dacă desemnează sau nu un astfel de responsabil.
Pentru situațiile în care nu este obligatorie desemnarea unui DPO, grupul de lucru recomandă
desemnarea acestuia în mod voluntar, urmând a fi obligatorie și în aceste cazuri respectarea
dispozițiilor art. 37 – 39 din regulament.
Mai există o categorie de situații în care o organizație nu este obligată să desemneze un DPO și
nici nu dorește să îl desemneze în mod voluntar, dar angajează personal propriu sau un consultant
extern pentru a efectua anumite sarcini ce vizează protecția datelor cu caracter personal. În
aceste situații, grupul de lucru indică faptul că „este important să se asigure că nu există nicio
[14]
Pentru detalii a se vedea pct. 2.1.1 „Autoritate publică sau organism public” din Ghidul DPO, p. 6.
confuzie în ceea ce privește titlul, statutul, poziția și sarcinile acestora. Prin urmare, trebuie
clarificat în orice comunicare în cadrul companiei, precum și cu autoritățile pentru protecția
datelor, persoanele vizate și publicul larg, că titlul acestei persoane sau consultant nu este cel
de responsabil cu protecția datelor”[15]. De asemenea, este importantă precizarea referitoare la
responsabilii principali cu protecția datelor (CPO – chief privacy officers) sau alți profesioniști în
domeniu din cadrul companiilor care nu respectă întotdeauna cerințele regulamentului, cum ar
fi asigurarea resurselor necesare sau a garanțiilor de independență și, dacă aceste cerințe nu sunt
respectate, persoanele în cauză nu pot fi considerate sau numite DPO, în sensul regulamentului[16].
O altă precizare făcută de grupul de lucru se referă la faptul că, „DPO, obligatoriu sau voluntar, este
desemnat pentru toate operațiunile efectuate de operator sau persoana împuternicită de operator”[17].
Am menționat deja că, potrivit alin. (1) al art. 37 din regulament, dacă se află în una dintre cele trei
situații, obligația de a desemna un responsabil cu protecția datelor, revine operatorului și persoanei
împuternicite de aceasta. Pentru a afla dacă obligația incumbă atât operatorului cât și persoanei
împuternicită de acesta sau numai uneia dintre cele două, grupul de lucru apreciază că trebuie
analizat dacă fiecare dintre acestea sau dacă ambele îndeplinesc criteriile de desemnare obligatorie.
Chiar dacă nu ambele, ci doar una dintre entități îndeplinește respectivele criterii, grupul de lucru
apreciază că desemnarea unui DPO de către operator dar și de către persoana împuternicită poate
să reprezinte o bună practică, iar un alt aspect important se referă la situația în care responsabilul
desemnat de persoana împuternicită supraveghează și acele activități desfășurate de persoana
împuternicită în calitate de operator, mai ales în domeniul IT sau al resurselor umane[18].
Corelând textul art. 37 alin. (2) din GDPR cu ghidul, precizăm că un DPO unic poate fi numit în
cadrul unui grup de întreprinderi, regulamentul instituind în acest caz doar condiția accesibilității
DPO, cu ușurință, din fiecare întreprindere. Grupul de lucru detaliază accesibilitatea DPO în
sensul că aceasta trebuie să fie efectivă și recomandă ca DPO să fie localizat pe teritoriul Uniunii
Europene, admițând totuși că pot exista și situații în care operatorul sau persoana împuternicită
nu își are sediul în Uniunea Europeană[19] și atunci DPO își poate îndeplini sarcinile cu mai multă
eficiență dacă este și el localizat în afara acestui teritoriu.
De asemenea, textul art. 37 alin. (4) reglementează posibilitatea desemnării unui DPO unic pentru
situațiile în care operatorul sau persoana împuternicită este o autoritate sau un organism public,
în aceste cazuri trebuind să fie avute în vedere structura organizatorică și dimensiunea acestora[20].
[15]
Pentru detalii a se vedea pct. 2.1, Desemnarea obligatorie, din Ghidul DPO, pp. 5-6.
A se vedea și: J. Kaufmann, J.P. Guenther, Germany: Data Protection Officer must not have a conflict of interests,
[16]
Referitor la poziția DPO, în cadrul organizației, internă sau externă acesteia, alin. (6) al art. 37 instituie
posibilitatea ca DPO să fie membru al personalului operatorului sau persoanei împuternicite, respec
tiv să își poată îndeplini sarcinile în baza unui contract de servicii. Rațiunile pentru care nu vom detalia
DOCTRINĂ
în cuprinsul prezentei analize aspectele care decurg din instituirea acestor două posibilități de angajare
a DPO și nici cele ce vizează postul ocupat de DPO, ca poziție singulară, de sine stătătoare, sau în
calitate de conducător al unui compartiment specializat ori, în cazul României, existența a cel puțin
trei statute diferite aplicabile responsabilului cu protecția datelor, sau problemele ce ar putea rezulta
din încheierea unui contract de servicii, inclusiv cele privind conflictele de interese, vizează faptul că
toate aceste aspecte au fost analizate recent cu ocazia unui alt studiu[21] în materie. Menționăm în
context doar faptul că, abia spre finalul lunii noiembrie 2017, ocupația de responsabil pentru protecția
datelor cu caracter personal a fost inclusă în Codul ocupațiilor din România[22], urmând ca în perioada
următoare să fie reglementate și celelalte aspecte ce vizează exercitarea efectivă a acesteia.
Regulamentul nu instituie, pentru DPO, cerințe speciale de pregătire, însă din analiza textului
art. 37 alin. (5), corelat cu textul considerentului (97) și cu cel al ghidului rezultă câteva condiții
pe care trebuie să le îndeplinească o persoană, pentru a fi desemnată ca DPO. Acestea vizează:[23]
a) nivelul de expertiză – nu este o condiție prevăzută de regulament dar este implicită, în funcție
de complexitatea și volumul de date pe care eventualul angajator le prelucrează.
atât de către persoanele vizate cât și de autoritatea de supraveghere, iar grupul de lucru oferă
câteva exemple concrete privind datele de contact și apreciază că ar fi o bună practică inclusiv
comunicarea numelui DPO, mai ales în cadrul unei organizații[24].
Aceste dispoziții trebuie corelate cu cele ale art. 33 și art. 34, care menționează, pe lângă datele
de contact, și numele DPO, care trebuie comunicat autorității de supraveghere, în cazul încălcării
securității datelor cu caracter personal, respectiv persoanei vizate, în cadrul informării acesteia cu
privire la încălcarea securității acestor date, precum și cu cel al art. 38 alin. (5), privind păstrarea
secretului și a confidențialității, în lipsa asigurării cărora persoanele vizate ar putea fi reticente în
a adresa plângeri DPO, sau cu cel al art. 39 alin. (1) lit. e), potrivit căruia, după cum vom menționa
ulterior, DPO reprezintă punctul de contact în legătură cu autoritatea de supraveghere.
Sediul materiei îl constituie dispozițiile art. 38 din regulament, corelate cu cele ale considerentului
(97) al preambulului și cu cele ale pct. 3 al Ghidului DPO. Subliniem și faptul că aspectele ce vor fi
analizate în continuare și care vizează conduita operatorului sau a persoanei împuternicite, vor fi
avute în vedere, în conformitate cu regulamentul, la individualizarea eventualelor măsuri corective
pe care o autoritate de supraveghere le poate impune acestora în caz de încălcare a prevederilor
GDPR[26].
Astfel, în ceea ce privește cerința de implicare a DPO în toate aspectele legate de protecția
datelor[27], care trebuie analizată și înțeleasă în strânsă corelare cu normele ce vizează răspunderea,
atât a operatorului cât și a responsabilului, textul legal indică doar câteva repere ce trebuie avute
în vedere pentru realizarea acestei cerințe, care induc mai ales ideea de prevenție și nu de corectare
ulterioară a erorilor, iar grupul de lucru aduce câteva exemple concrete, pentru înțelegerea acestora:
a) implicarea să aibă loc în mod corespunzător – trebuie asigurat DPO accesul la toate
activitățile dar mai ales, înainte de luarea tuturor deciziilor care vizează protecția datelor,
[24]
Pentru detalii a se vedea pct. 2.6, Publicarea și comunicarea datelor de contact ale DPO, din Ghidul DPO, pp. 12-13.
Pentru analiza detaliată a acestor aspecte a se vedea I. Alexe, Responsabilul cu protecția datelor (DPO) - funcționar
[25]
sancționator prevăzut de Regulamentul (UE) 2016/679 privind protecția datelor cu caracter personal, op. cit., pp. 40-41.
Potrivit art. 38 alin. (1) „Operatorul și persoana împuternicită de operator se asigură că responsabilul cu protecția
[27]
datelor este implicat în mod corespunzător și în timp util în toate aspectele legate de protecția datelor cu caracter
personal.”
b) implicarea să fie în timp util – acest reper presupune ca, înainte de luarea deciziilor care
au implicații asupra protecției datelor, DPO să fie informat, oferindu-i-se accesul și toate
datele necesare, inclusiv prin participarea sa atunci când se iau deciziile respective; în cazul
în care avizul DPO este în dezacord cu decizia ce urmează a fi luată de operator sau persoana
împuternicită, grupul de lucru recomandă, ca bună practică, documentarea motivelor pentru
care avizul DPO nu a fost urmat; este importantă implicarea în timp util tocmai pentru a se
evita luarea unor decizii neconforme cu dispozițiile regulamentului, ce ar trebui apoi anulate
sau corectate sau, în situaţia în care s-a produs deja o încălcare, este importantă informarea
imediată și consultarea DPO tocmai pentru ca acesta să își poată exercita cu promptitudine
sarcinile prevăzute de regulament; și
c) implicarea să vizeze toate aspectele legate de protecția datelor - trebuie asigurat DPO accesul
la toate activitățile care vizează protecția datelor și care se derulează în cadrul unei organizații;
am reliefat deja, anterior, rolul pe care un DPO ar trebui, potrivit regulamentului, să îl aibă
inclusiv în evaluarea impactului activităților de prelucrare, cât și a celorlalte operațiuni care
vizează protecția datelor, însă acest reper trebuie analizat nu exhaustiv, ci doar prin prisma
atribuțiilor DPO, conferite de regulament; grupul de lucru apreciază că este la fel de importantă
și elaborarea unor ghiduri sau a unor proceduri interne în care fiecare organizație să stabilească
care sunt situațiile în care este obligatorie, respectiv facultativă, consultarea ori avizul DPO.
În ceea ce privește sprijinul acordat DPO de către angajator, inclusiv prin alocarea resurselor[28],
acesta ar trebui dimensionat, de la caz la caz, în funcție de complexitatea rolului pe care DPO
îl are în cadrul unei organizații. Poate apărea și situația în care, în funcție de complexitatea
activității, să fie necesară nu doar angajarea unui DPO, ci chiar a mai multor persoane specializate,
a căror activitate să fie coordonată de DPO, precum și de alocarea resurselor financiare și
logistice necesare. Cerințele legale vizează sprijinul ce trebuie acordat DPO pentru îndeplinirea
sarcinilor sale, și aici este vorba nu numai, așa cum am arătat anterior, de sprijin din partea
conducerii organizației ci și din partea structurilor componente ale acestora cu care DPO trebuie
să colaboreze pentru îndeplinirea sarcinilor sale, de asigurarea informațiilor în timp util dar și
de alocarea unui timp suficient pentru ca DPO să își poată îndeplini sarcinile, mai ales când
este parte a unui contract de servicii ori nu este angajat permanent sau cu normă întreagă în
cadrul organizației. O altă cerință legală, ce vizează sprijinul pentru menținerea cunoștințelor de
specialitate, este foarte importantă mai ales având în vedere evoluția continuă a noilor tehnologii
dar și, la începutul activității unui DPO, nevoia de formare continuă și, ulterior, de dezvoltare a
nivelului propriu de expertiză în domeniile de aplicare a regulamentului.
De asemenea, asigurarea independenței DPO[29] este foarte importantă și trebuie strâns corelată
cu sarcinile descrise la art. 39 dar și cu fundamentele incluse în textul considerentului (97)
Potrivit art. 38 alin. (2) „Operatorul și persoana împuternicită de operator sprijină responsabilul cu protecția datelor în
[28]
îndeplinirea sarcinilor menționate la articolul 39, asigurându-i resursele necesare pentru executarea acestor sarcini, precum și
accesarea datelor cu caracter personal și a operațiunilor de prelucrare, și pentru menținerea cunoștințelor sale de specialitate.”
În conformitate cu art. 38 alin. (3) „Operatorul și persoana împuternicită de operator se asigură că responsabilul cu
[29]
protecția datelor nu primește niciun fel de instrucțiuni în ceea ce privește îndeplinirea acestor sarcini. Acesta nu este
din preambulul GDPR, potrivit cărora această independență trebuie asigurată indiferent dacă
DPO este sau nu angajat al operatorului sau al persoanei împuternicite. Este util, totodată, ca
independența să fie privită și prin prisma evitării conflictelor de interese[30], mai ales în cazul
cumulului de funcții, permis de regulament, și al contractelor de servicii, dar și prin prisma angajării
răspunderii, în condițiile regulamentului și ale dreptului intern aplicabil, în fața celui mai înalt
nivel al conducerii, doar pentru neîndeplinirea sarcinilor și nu pentru îndeplinirea acestora. În ceea
ce privește răspunderea, textul art. 24 precizează în mod expres responsabilitatea operatorului,
nu a DPO, pentru respectarea prevederilor regulamentului. Revenind la textul art. 39, acesta nu
trebuie interpretat în sensul că DPO nu răspunde pentru neîndeplinirea obligațiilor pe care le
are ci tocmai în sensul că, dacă DPO își îndeplinește obligațiile legale, el nu poate fi amenințat,
sancționat, sau demis din funcție, dar că răspunderea lui este atrasă, în conformitate cu dreptul
intern aplicabil, pentru neîndeplinirea sarcinilor, obligațiilor și responsabilităților pe care le are.
O privire specială trebuie acordată răspunderii DPO mai ales în cazul în care acesta nu este
angajat ci este parte a unui contract de servicii[31].
Referitor la asigurarea relației și conduitei pe care DPO trebuie să o aibă cu persoanele vizate
sau cu operatorul ori cu persoana împuternicită[32] reiterăm obligația DPO de respectare a
confidențialității și a secretului profesional, precum și rolul important pe care regulamentul îl
conferă acestui responsabil, pentru îndeplinirea sarcinilor sale, în relația cu persoanele vizate și,
după cum vom preciza și în secțiunea următoare, cu autoritatea de supraveghere.
demis sau sancționat de către operator sau de persoana împuternicită de operator pentru îndeplinirea sarcinilor sale.
Responsabilul cu protecția datelor răspunde direct în fața celui mai înalt nivel al conducerii operatorului sau persoanei
împuternicite de operator.”
Potrivit art. 38 alin. (6) „Responsabilul cu protecția datelor poate îndeplini și alte sarcini și atribuții. Operatorul sau
[30]
persoana împuternicită de operator se asigură că niciuna dintre aceste sarcini și atribuții nu generează un conflict de
interese.”
Pentru analiza detaliată a acestor aspecte a se vedea I. Alexe, Responsabilul cu protecția datelor (DPO) - funcționar
[31]
datelor cu privire la toate chestiunile legate de prelucrarea datelor lor și la exercitarea drepturilor lor în temeiul
prezentului regulament. (5) Responsabilul cu protecția datelor are obligația de a respecta secretul sau confidențialitatea
în ceea ce privește îndeplinirea sarcinilor sale, în conformitate cu dreptul Uniunii sau cu dreptul intern.”
În conformitate cu dispozițiile alin. (2) al art. 39 „În îndeplinirea sarcinilor sale, responsabilul cu protecția datelor
[33]
ține seama în mod corespunzător de riscul asociat operațiunilor de prelucrare, luând în considerare natura, domeniul de
aplicare, contextul și scopurile prelucrării.”
A se vedea și: W.G. Voss, Internal Compliance Mechanisms for Firms in the EU General Data Protection Regulation,
[34]
Revue juridique Thémis de l’Université de Montréal (RJTUM), vol. 50 (3), p. 783-820 (pre-print; the final version will be
available on the Thémis. Disponibil în SSRN: https://ssrn.com/abstract=3104800, p. 18.
Chiar dacă regulamentul prevede sarcini minimale pentru DPO, nu rezultă de nicăieri că
angajatorul, în sensul consacrat, sau parte a unui contract de servicii, nu poate stabili în sarcina
responsabilului și alte atribuții care să aibă legătură cu regulamentul sau care să îl ajute să își
DOCTRINĂ
îndeplinească obligațiile, însă, de fiecare dată, considerăm că trebuie avute în vedere asigurarea
garanțiilor, de exemplu independența și evitarea conflictului de interese, precum și asigurarea
unui echilibru între resursele alocate și cerințele, respectiv noile sarcini pe care DPO ar trebui să le
îndeplinească, mai ales în contextul în care am precizat deja că DPO ar trebui să aibă o abordare
bazată pe risc, ce presupune ca activitatea acestuia să fie concentrată în zonele cu riscul cel mai
ridicat de încălcare a regulamentului sau de producere a incidentelor.
Revenind la textul alin. (1) al art. 39, identificăm trei categorii de sarcini, după cum urmează:
a) informare și consiliere, din oficiu[35] sau la cerere[36] - această categorie de sarcini vizează atât
organismul public sau privat, în ansamblul său, dar și angajații, pentru a se asigura respectarea
de către aceștia a obligațiilor ce le revin în materia protecției datelor;
operator, precum și a angajaților care se ocupă de prelucrare cu privire la obligațiile care le revin în temeiul prezentului
regulament și al altor dispoziții de drept al Uniunii sau drept intern referitoare la protecția datelor”.
[36]
Textul art. 39 alin. (1) lit. c) instituie „furnizarea de consiliere la cerere în ceea ce privește evaluarea impactului asupra
protecției datelor și monitorizarea funcționării acesteia, în conformitate cu articolul 35”.
[37]
Potrivit art. 39 alin. (1) lit. b) este în sarcina responsabilului cu protecția datelor „monitorizarea respectării prezentului
regulament, a altor dispoziții de drept al Uniunii sau de drept intern referitoare la protecția datelor și a politicilor
operatorului sau ale persoanei împuternicite de operator în ceea ce privește protecția datelor cu caracter personal,
inclusiv alocarea responsabilităților și acțiunile de sensibilizare și de formare a personalului implicat în operațiunile de
prelucrare, precum și auditurile aferente”.
În conformitate cu textul art. 39 alin. (1) lit. d) responsabilul cu protecția datelor are ca sarcină „cooperarea cu
[38]
autoritatea de supraveghere”.
Potrivit art. 39 alin. (1) lit. e) este în sarcina responsabilului cu protecția datelor „asumarea rolului de punct de contact
[39]
pentru autoritatea de supraveghere privind aspectele legate de prelucrare, inclusiv consultarea prealabilă menționată la
articolul 36, precum și, dacă este cazul, consultarea cu privire la orice altă chestiune”.
5. Concluzii
Începând cu data de 25 mai 2018 regulamentul se va aplica, în mod direct, în toate statele
membre ale Uniunii Europene. Cu toate că statele membre au avut la dispoziție un termen de doi
ani pentru a se pregăti, în vederea aplicării, există îngrijorări serioase la nivelul Uniunii Europene,
deoarece, din raportările efectuate la începutul anului 2018, rezultă că marea majoritate a
statelor membre, cu excepția Germaniei și Austriei, nu a adoptat încă măsurile interne necesare
aplicării uniforme a dispozițiilor regulamentului[40].
Cu toate acestea, obligativitatea numirii unui responsabil pentru protecția datelor la nivelul
fiecărui operator de date sau a persoanei împuternicite, dintre cei care fac parte din categoriile
prevăzute de regulament incumbă acestora, începând cu data de 25 mai 2018, împreună cu
asigurarea tuturor condițiilor necesare derulării, de către DPO, a sarcinilor prevăzute de GDPR.
Nerespectarea obligației legale de desemnare a unui responsabil pentru protecția datelor atrage
una dintre cele mai severe măsuri corective, amenda administrativă, însă în cazul României, până
la adoptarea unui act normativ care să permită aplicarea amenzilor administrative autorităţilor
sau organismelor publice, acestea ar putea fi aplicate doar operatorilor privați.
Sunt așteptate, inclusiv în România, norme clare și previzibile, din partea autorităților competente
și mai ales la inițiativa autorității de supraveghere, pentru a se asigura aplicarea unitară a GDPR și
pentru a se asigura formarea profesională a viitorilor responsabili cu protecția datelor[41]. Am precizat
deja că această ocupație există în România din luna noiembrie 2017, ca un prim pas făcut deja, dar
nu existau standardele ocupaționale și nici nu puteau fi identificate, în condițiile legii, organismele
abilitate să realizeze formarea persoanelor care vor fi desemnate DPO. Un alt pas înainte, în același
sens, a fost făcut recent prin validarea, de către Comitetul Sectorial Administrație și Servicii Publice
din cadrul Autorității Naţionale pentru Calificări, a standardului ocupațional aferent DPO[42].
Apreciem că, respectând proporțiile, rolul DPO într-o organizație publică sau privată este unul
asemănător cu cel al autorității de supraveghere într-un stat membru, cu excepția, evident, mai
ales a aplicării unora dintre măsurile corective.
Răspunsul la întrebarea inițială, dacă suntem pregătiți pentru aplicarea regulamentului, a fost
deja schițat și, în final, este unul negativ, cu precizarea că fiecare dintre cei implicați face eforturi
pentru ca, la 25 mai 2018, acest răspuns să fie unul pozitiv.
[40]
Pentru detalii a se vedea https://euobserver.com/justice/140683.
Semnalăm, în context, și faptul că autoritatea spaniolă pentru protecția datelor este prima din Uniunea Europeană
[41]
care a instituit reglementări pentru sistemele de certificare a responsabililor cu protecția datelor, ce pot fi consultate la
adresa http://www.agpd.es/portalwebAGPD/temas/certificacion/common/pdf/SCHEME_AEPD_DPD.pdf.
În perioada scursă de la data predării articolului pentru publicare și până la data publicării sale, Standardul ocupațional
[42]
pentru educație și formare profesională a Responsabilului cu protecția datelor cu caracter personal – cod COR 242231 a
fost aprobat de Autoritatea Națională pentru Calificări, prin Decizia nr. 74 din 19 martie 2018.