Irina ALEXE

Principalele noutăți privind responsabilul cu

protecția datelor, incluse în GDPR*
DOCTRINĂ

Dr. Irina ALEXE**

ABSTRACT

A regulation necessity rose in the context of the technological developments

and of the digitalization of the services, including those of the public sector, both
with regards to the novelty of the technological evolution and with regards to
the protection and defense of fundamental rights and freedoms. Considering the
imminent enforcement of the new General Data Protection Regulation (GDPR),
starting with the 25th of May 2018, we would like to emphasize the novelty brought
by this new European legislative act with regards to the institution of the Data
Protection Officer. We would analyze the aspects concerning the nomination,
place, role, attributions and liabilities of the Data Protection Officer and, taking into
account the new sentencing regime, marked by a high degree of severity, we would
like to find the extent of the preparedness for the enforcement of the regulation.

Keywords: Regulation (EU) 2016/679; Personal Data Protection; Data Protection

Officer (DPO); conflict of interest; point of contact; sentencing regime.

REZUMAT

În contextul evoluției tehnologice și al digitalizării serviciilor, inclusiv a celor

publice, a apărut necesitatea reglementării aspectelor care țin de acestea dar și
de respectarea și protejarea drepturilor și libertăților fundamentale ale omului.
Luând în considerare iminenta aplicare, începând cu data de 25 mai 2018, a noului
Regulament general privind protecția datelor (GDPR), evidențiem noutățile aduse
prin acest act legislativ al Uniunii Europene, referitoare la instituția responsabilului
cu protecția datelor. Analizăm astfel aspectele ce vizează numirea, locul,
rolul, atribuțiile și răspunderea responsabilului cu protecția datelor și, luând în
considerare inclusiv aspectele ce vizează noul regim sancționator, foarte sever,

*
Lucrarea a fost prezentată în cadrul Conferinței Naționale cu tema „Comunități virtuale în epoca Regulamentului
General privind protecția datelor”, organizată la Galați, la data de 23 noiembrie 2017, de Universitatea Danubius din
Galați. Informațiile cuprinse în text sunt actualizate la data de 8 februarie 2018, care este și ultima dată la care au fost
consultate site-urile menționate în cuprinsul articolului.
**
Cercetător științific asociat la Institutul de Cercetări Juridice „Acad. Andrei Rădulescu” al Academiei Române. Autor al
unor volume și articole în domeniu, ariile sale de interes vizează dreptul administrativ, dreptul constituțional şi dreptul
european. Adresa: irina_alexe@yahoo.com.

34 | PANDECTELE ROMÂNE NR. 1/2018 | DOSAR

 Principalele noutăți privind responsabilul cu protecția datelor, incluse în GDPR

încercăm să răspundem la întrebarea dacă suntem pregătiți cu adevărat pentru

aplicarea regulamentului.

Cuvinte-cheie: Regulamentul (UE) 2016/679; protecția datelor cu caracter

personal; responsabilul cu protecția datelor (DPO); conflict de interese; punct de
contact; regim sancționator.

Legislaţie relevantă: Regulamentul nr. 2016/679/UE, art. 37

1. Succintă introducere
Noul regulament general privind protecția datelor[1], denumit în continuare regulamentul, sau
GDPR, potrivit acronimului din limba engleză, va fi aplicat în mod direct de către toate statele
membre ale Uniunii Europene, începând cu data de 25 mai 2018. Observăm, chiar din titlul
acestuia, că regulamentul vizează instituirea unor norme aplicabile celor două mari domenii
referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter
personal, respectiv libera circulație a acestor date, precum și asigurarea unui echilibru rezonabil
între acestea. De asemenea, observăm că prin GDPR este abrogată vechea reglementare în
materie, anterioară anului 2016, Directiva nr. 95/46/CE[2], care a fost transpusă de către statele
membre, inclusiv de către România[3], în legislația lor națională.

Rațiunile care au condus la adoptarea unui regulament în locul unei directive, precum și cele
referitoare la „pachetul legislativ” complex adoptat în materia protecției datelor personale de
către autorităţile competente ale Uniunii Europene au fost deja detaliate în doctrina de dată
recentă[4], așa că nu vom insista asupra acestora. Considerăm însă important să precizăm, în
acest context, faptul că regulamentul instituie reguli noi mai ales pentru operatorii de date
și pentru persoanele împuternicite de aceștia, corelate cu un regim sancționator foarte sever
asociat nerespectării acestor reguli[5], iar aspectele de noutate pe care le vom analiza pe parcursul
studiului se referă la instituția responsabilului cu protecția datelor, cunoscut și sub denumirea de
ofițer pentru protecția datelor sau DPO, potrivit acronimului din limba engleză.
[1]
Regulamentul nr. 2016/679/UE al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecția
persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulație a acestor date şi
de abrogare a Directivei nr. 95/46/CE (JO L119/04.05.2016).
[2]
Directiva nr. 95/46/CE a Parlamentului European şi a Consiliului din 24 octombrie 1995 privind protecția persoanelor
fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulație a acestor date (JO L 281, 23 noiembrie
1995, p. 31, Ediție specială, 13/vol. 17, p. 10).
[3]
Directiva nr. 95/46/CE a fost transpusă în România prin Legea nr.677/2001 pentru protecția persoanelor cu privire
la prelucrarea datelor cu caracter personal și libera circulație a acestor date (M. Of. nr. 790 din 12 decembrie 2001), cu
modificările și completările ulterioare.
[4]
A se vedea, de exemplu, I. Alexe, C.M. Banu, De la directivă la regulament în reglementarea protecției datelor cu caracter
personal la nivelul Uniunii Europene, în volumul I. Alexe, N.D. Ploeșteanu, D.M. Șandru (coord.), Protecția datelor cu
caracter personal, Impactul protecției datelor personale asupra mediului de afaceri. Evaluări ale experiențelor Românești și
noile provocări ale Regulamentului (UE) 2016/679, Ed. Universitară, București, 2017, p. 14-40; D.M. Șandru, Regimul juridic
al protecției datelor cu caracter personal este în proces de regândire, în volumul I. Alexe, N.D. Ploeșteanu, D.M. Șandru
(coord.), op. cit., pp. 272-278; N.D. Ploeșteanu, A. Mariș, Viziunea Regulamentului general privind protecția datelor personale
679/2016(RGDP) într-o societate digitală, în volumul I. Alexe, N.D. Ploeșteanu, D.M. Șandru (coord.), op. cit., pp. 77-127.
Pe larg, despre regimul sancționator, a se vedea I. Alexe, Regimul sancționator prevăzut de Regulamentul (UE) nr. 2016/679
[5]

privind protecția datelor cu caracter personal, Curierul Judiciar nr. 1/2018, pp. 36-42.

DOSAR | PANDECTELE ROMÂNE NR. 1/2018 | 35

 Irina ALEXE

Responsabilul cu protecția datelor nu este o instituție nouă pe care o prevede regulamentul

întrucât referiri la aceasta se regăsesc și în directiva anterioară anului 2016[6]. Astfel, directiva
prevedea existența, în conformitate cu dreptul intern al statelor membre, a instituției
DOCTRINĂ

funcționarului pentru protecția datelor cu caracter personal, ce avea ca principale responsabilități

asigurarea, în mod independent, a aplicării dispozițiilor de drept intern adoptate în temeiul
directivei, păstrarea registrului cu prelucrările efectuate de operator, și garantarea faptului că
acele prelucrări nu aduc atingere drepturilor și libertăților persoanelor vizate. Totodată, în textul
articolului 20 al directivei se regăseau sarcini pentru acest funcționar pentru protecția datelor,
inclusiv în relația sa cu autoritatea de supraveghere.

Diferențele dintre directivă[7] și ceea ce impune regulamentul pentru instituția analizată sunt
substanțiale și le vom detalia în secțiunile următoare. Pe lângă obligativitatea desemnării unui
DPO, în cazurile expres prevăzute de regulament, sau recomandarea desemnării unui astfel de
responsabil, în celelalte cazuri, sunt detaliate locul, rolul, atribuțiile și răspunderea responsabilului
cu protecția datelor, dar și obligațiile și responsabilitățile pe care operatorul sau persoana
împuternicită de acesta le are în relația sa cu DPO. Pentru a înțelege importanța acestei instituții,
dar și rolul său în arhitectura regulamentului, vom exemplifica, în această primă parte, fără a relua
caracteristicile severe ale noului regim sancționator prevăzut de GDPR, doar faptul că, pentru
nerespectarea obligației de desemnare a DPO, măsura corectivă ce va fi aplicată operatorului sau
persoanei împuternicite, care are această obligație, este impunerea unei amenzi administrative
ce se înscrie în clasa de sancțiuni prevăzută la art. 83 alin. (4) din regulament[8].

De asemenea, subliniem și faptul că, în opinia noastră, pentru a înțelege și aplica în mod corect
nor­mele instituie în textul regulamentului, este necesar să analizăm și considerentele cuprinse
în pre­am­bulul acestuia, în strânsă corelare cu articolele analizate și care fundamentează
soluțiile de regle­men­tare alese[9], dar și ghidurile pe care le-a elaborat, de la intrarea în vigoare a
regulamentului și până în acest moment, Grupul de lucru pentru protecția persoanelor în ceea ce
privește prelucrarea date­lor cu caracter personal, instituit la nivel european, în temeiul art. 29 din
directiva anterioară, denu­mit în con­tinuare grupul de lucru. Acest grup de lucru, care își continuă
activitatea și după in­tra­rea în vigoare a regulamentului, acționează independent, are caracter
consultativ și poate face re­comandări, din pro­prie inițiativă, privind orice chestiune legată de
protecția persoanelor în ceea ce privește prelucrarea da­telor cu caracter personal în Uniunea
Europeană, urmând a fi înlocuit, în perioada următoare, de Co­mitetul european pentru protecția
datelor, instituit în temeiul regu­la­mentului[10].

[6]
A se vedea, de exemplu, art. 18 alin. (2) și art. 20 din Directiva nr. 95/46/CE.
[7]
Pentru o analiză a aplicării Directivei nr. 96/45/CE în România, a se vedea D.M. Șandru, D.A. Călin, C.M. Banu, Aplicarea
şi interpretarea Directivei 95/46 de către instanțe române. Tipologii şi consecințe juridice, în volumul I. Alexe, N.D.
Ploeșteanu, D. M. Șandru (coord.), op. cit., pp. 41-76.
[8]
Cuantumul amenzilor administrative aplicate pentru anumite categorii de încălcări, prevăzute la art. 83 alin. (4), poate
fi de până la 10.000.000 EUR sau, în cazul unei întreprinderi, de până la 2% din cifra de afaceri mondială totală anuală
corespunzătoare exercițiului financiar anterior, luându-se în calcul cea mai mare valoare. Cu toate acestea, trebuie să
observăm că, pentru sectorul public, legislația română nu prevede deocamdată posibilitatea impunerii unor amenzi
administrative, însă apreciem că această posibilitate va fi instituită, în perioada următoare, în legislația națională, în
temeiul dispozițiilor GDRP, tocmai pentru a asigura aplicarea unitară a acestuia în toate statele membre.
[9]
Regulamentul cuprinde 99 articole ce au ca fundament cele 173 de considerente incluse în preambul.
[10]
Pentru instituirea comitetului și descrierea sarcinilor sale, precum și pentru funcționarea sa, a se vedea textele
art. 68-76 din regulament.

36 | PANDECTELE ROMÂNE NR. 1/2018 | DOSAR

 Principalele noutăți privind responsabilul cu protecția datelor, incluse în GDPR

Astfel, pe parcursul următoarelor secțiuni, analizăm aspectele[11] privind desemnarea DPO,

funcția acestuia, precum și sarcinile pe care le are, în temeiul art. 37 - 39 ale regulamentului,
urmărind în mod constant tripla perspectivă, pentru corelarea dintre textele articolelor cu cele ale
considerentelor și cu recomandările grupului de lucru, incluse în ghidul specific DPO[12], denumit
în continuare ghid, și încheiem analiza prin câteva concluzii care subliniază importanța acestei
instituții pentru respectarea aplicării unitare a regulamentului în toate statele membre și care
reliefează modul, respectiv stadiul pregătirilor pentru această aplicare.

2. Desemnarea responsabilului cu protecția datelor

Sediul materiei privind desemnarea responsabilului cu protecția datelor se regăsește în textul
art. 37 din GDPR, corelat cu textul considerentului (97) din preambul[13] și cu precizările oferite
de grupul de lucru în cuprinsul ghidului privind DPO (paginile 5-13 din ghid, respectiv paginile
20 - 23 din anexa la ghid).

Astfel, în conformitate cu dispozițiile invocate mai sus, au obligația de a desemna un responsabil

cu protecția datelor, atât operatorul cât și persoana împuternicită care se află în una dintre cele
trei situații prevăzute la alin. (1) al art. 37, identificate după cum urmează:

„(a) prelucrarea este efectuată de o autoritate sau un organism public, cu excepția instanțelor
care acționează în exercițiul funcției lor jurisdicționale;

(b) activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau
în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o
monitorizare periodică și sistematică a persoanelor vizate pe scară largă; sau

(c) activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în
prelucrarea pe scară largă a unor categorii speciale de date, menționată la articolul 9, sau a unor
date cu caracter personal privind condamnări penale și infracțiuni, menționată la articolul 10.”

Pentru o altă abordare a DPO a se vedea B.P. Mihai, Responsabilul cu protecția datelor, în volumul I. Alexe,
[11]

N.D. Ploeșteanu, D.M. Șandru (coord.), op. cit., pp. 218-227.

Ghidul privind responsabilul cu protecția datelor („DPOs”) a fost adoptat de Grupul de lucru „Articolul 29” pentru
[12]

protecția datelor, la data de 13 decembrie 2016, fiind revizuit ulterior și adoptat la data de 5 aprilie 2017. Textul în limba
engleză, precum și diferitele versiuni în limbile statelor membre (în limba română este folosită denumirea de „orientări”) sunt
disponibile la http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048. Forma ghidului, în limba română,
este disponibilă, în format electronic, începând cu data de 19 noiembrie 2017, pe site-ul oficial al Autorității Naționale de
Supraveghere a Prelucrării Datelor cu Caracter Personal, la adresa www.dataprotection.ro/servlet/ViewDocument?id=1384.
[13]
Potrivit considerentului (97) „În cazul în care prelucrarea este efectuată de o autoritate publică, cu excepția instanțelor
sau a autorităților judiciare independente atunci când acționează în calitatea lor judiciară, în cazul în care, în sectorul privat,
prelucrarea este efectuată de un operator a cărui activitate principală constă în operațiuni de prelucrare care necesită
o monitorizare regulată și sistematică a persoanelor vizate pe scară largă, sau în cazul în care activitatea principală a
operatorului sau a persoanei împuternicite de operator constă în prelucrarea pe scară largă de categorii speciale de date cu
caracter personal și de date privind condamnările penale și infracțiunile, o persoană care deține cunoștințe de specialitate
în materie de legislație și practici privind protecția datelor ar trebui să acorde asistență operatorului sau persoanei
împuternicite de operator pentru monitorizarea conformității, la nivel intern, cu prezentul regulament. În sectorul privat,
activitățile principale ale unui operator se referă la activitățile sale de bază, și nu la prelucrarea datelor cu caracter personal
drept activități auxiliare. Nivelul necesar al cunoștințelor de specialitate ar trebui să fie stabilit în special în funcție de
operațiunile de prelucrare a datelor efectuate și de nivelul de protecție impus pentru datele cu caracter personal prelucrate
de operator sau de persoana împuternicită de operator. Acești responsabili cu protecția datelor, indiferent dacă sunt sau nu
angajați ai operatorului, ar trebui să fie în măsură să își îndeplinească atribuțiile și sarcinile în mod independent.”

DOSAR | PANDECTELE ROMÂNE NR. 1/2018 | 37

 Irina ALEXE

Pentru analiza și înțelegerea textului, considerăm relevante noțiunile: date cu caracter personal;
prelucrare; operator; persoana împuternicită de operator; date genetice; date biometrice; date
privind sănătatea, respectiv autoritate de supraveghere, definite în textul art. 4 din GDPR,
DOCTRINĂ

respectiv detalierile noțiunilor pe care ghidul le include: autoritate publică; organism public;
activități principale; pe scară largă; monitorizare periodică și sistematică; categorii de date
speciale și date referitoare la condamnările penale și la infracțiuni, astfel încât nu considerăm
necesară reluarea acestora sau explicitarea lor.

Vom analiza totuși conceptele de autoritate publică, respectiv de organism public, care diferă în
funcție de legislația internă a fiecăruia dintre statele membre și care nu au fost definite în textul
regulamentului tocmai pentru că noțiunile respective trebuie interpretate în conformitate cu
dreptul intern. Grupul de lucru oferă câteva îndrumări pentru interpretarea acestor noțiuni în cadrul
ghidului, făcând o paralelă, între două categorii: organismele publice, ce includ autorităţile de la nivel
național, regional sau, după caz, local și alte organisme guvernate de legislația din domeniul public,
pe de o parte și, respectiv, alte persoane fizice sau juridice de drept public sau privat care efectuează
o sarcină publică sau care exercită o autoritate publică, pe de altă parte, exemplificând această
ultimă categorie prin serviciile „de transport public, furnizare de apă și energie, infrastructura
rutieră, serviciul public de radiodifuziune, locuințe publice sau organisme disciplinare pentru
profesiile reglementate, în conformitate cu reglementarea națională a fiecărui stat membru”[14].
Dacă pentru organismele sau autoritățile publice este obligatorie desemnarea unui DPO, pentru
categoria organismelor private care îndeplinesc atribuții publice sau exercită o autoritate publică,
grupul de lucru recomandă desemnarea unui responsabil cu protecția datelor, ca bună practică.

De asemenea, sunt relevante și alte situații particulare, prevăzute de textul alin. (4) al art. 37, în
conformitate cu care dreptul intern sau dreptul Uniunii Europene poate impune desemnarea unui
responsabil pentru protecția datelor și în alte cazuri decât cele menționate mai sus, prevăzute la
alin. (1), care să acționeze în favoarea unor operatori sau persoane împuternicite, ori a unor asociații
și alte organisme care reprezintă categorii de operatori sau persoane împuternicite de operatori.

Observăm astfel că nu doar în cele trei situații prevăzute de alin. (1) al art. 37 este obligatorie
desemnarea unui DPO, ci și în alte situații care pot varia de la stat la stat, mai ales în funcție de
dreptul intern aplicabil.

Precizăm, așa cum și grupul de lucru o face că, atunci când nu este evident că un operator sau o per­
soană împuternicită se încadrează fără dubiu în cazurile în care este obligată să desemneze un DPO,
acesta/aceasta ar trebui să facă o evaluare internă în care, pe baza factorilor relevanți avuți în vedere,
prevăzuți la art. 24 din regulament, să decidă dacă desemnează sau nu un astfel de responsabil.

Pentru situațiile în care nu este obligatorie desemnarea unui DPO, grupul de lucru recomandă
desemnarea acestuia în mod voluntar, urmând a fi obligatorie și în aceste cazuri respectarea
dispozițiilor art. 37 – 39 din regulament.

Mai există o categorie de situații în care o organizație nu este obligată să desemneze un DPO și
nici nu dorește să îl desemneze în mod voluntar, dar angajează personal propriu sau un consultant
extern pentru a efectua anumite sarcini ce vizează protecția datelor cu caracter personal. În
aceste situații, grupul de lucru indică faptul că „este important să se asigure că nu există nicio

[14]
Pentru detalii a se vedea pct. 2.1.1 „Autoritate publică sau organism public” din Ghidul DPO, p. 6.

38 | PANDECTELE ROMÂNE NR. 1/2018 | DOSAR

 Principalele noutăți privind responsabilul cu protecția datelor, incluse în GDPR

confuzie în ceea ce privește titlul, statutul, poziția și sarcinile acestora. Prin urmare, trebuie
clarificat în orice comunicare în cadrul companiei, precum și cu autoritățile pentru protecția
datelor, persoanele vizate și publicul larg, că titlul acestei persoane sau consultant nu este cel
de responsabil cu protecția datelor”[15]. De asemenea, este importantă precizarea referitoare la
responsabilii principali cu protecția datelor (CPO – chief privacy officers) sau alți profesioniști în
domeniu din cadrul companiilor care nu respectă întotdeauna cerințele regulamentului, cum ar
fi asigurarea resurselor necesare sau a garanțiilor de independență și, dacă aceste cerințe nu sunt
respectate, persoanele în cauză nu pot fi considerate sau numite DPO, în sensul regulamentului[16].

O altă precizare făcută de grupul de lucru se referă la faptul că, „DPO, obligatoriu sau voluntar, este
de­semnat pentru toate operațiunile efectuate de operator sau persoana împuternicită de operator”[17].

Am menționat deja că, potrivit alin. (1) al art. 37 din regulament, dacă se află în una dintre cele trei
situații, obligația de a desemna un responsabil cu protecția datelor, revine operatorului și persoanei
împuternicite de aceasta. Pentru a afla dacă obligația incumbă atât operatorului cât și persoanei
împuternicită de acesta sau numai uneia dintre cele două, grupul de lucru apreciază că trebuie
analizat dacă fiecare dintre acestea sau dacă ambele îndeplinesc criteriile de desemnare obligatorie.
Chiar dacă nu ambele, ci doar una dintre entități îndeplinește respectivele criterii, grupul de lucru
apreciază că desemnarea unui DPO de către operator dar și de către persoana împuternicită poate
să reprezinte o bună practică, iar un alt aspect important se referă la situația în care responsabilul
desemnat de persoana împuternicită supraveghează și acele activități desfășurate de persoana
împuternicită în calitate de operator, mai ales în domeniul IT sau al resurselor umane[18].

Corelând textul art. 37 alin. (2) din GDPR cu ghidul, precizăm că un DPO unic poate fi numit în
cadrul unui grup de întreprinderi, regulamentul instituind în acest caz doar condiția accesibilității
DPO, cu ușurință, din fiecare întreprindere. Grupul de lucru detaliază accesibilitatea DPO în
sensul că aceasta trebuie să fie efectivă și recomandă ca DPO să fie localizat pe teritoriul Uniunii
Europene, admițând totuși că pot exista și situații în care operatorul sau persoana împuternicită
nu își are sediul în Uniunea Europeană[19] și atunci DPO își poate îndeplini sarcinile cu mai multă
eficiență dacă este și el localizat în afara acestui teritoriu.

De asemenea, textul art. 37 alin. (4) reglementează posibilitatea desemnării unui DPO unic pentru
situațiile în care operatorul sau persoana împuternicită este o autoritate sau un organism public,
în aceste cazuri trebuind să fie avute în vedere structura organizatorică și dimensiunea acestora[20].

[15]
Pentru detalii a se vedea pct. 2.1, Desemnarea obligatorie, din Ghidul DPO, pp. 5-6.
A se vedea și: J. Kaufmann, J.P. Guenther, Germany: Data Protection Officer must not have a conflict of interests,
[16]

21 noiembrie 2017, disponibil la adresa https://globalcompliancenews.com/germany-data-protection-officer-conflict-

of-interest-20161121/; J. Kaufmann, J.P. Guenther, Data Protection Officers Must Not Have a Conflict of Interest, 9 ianuarie
2018, disponibil la adresa https://globalcompliancenews.com/data-protection-officers-conflict-interest-20180109/.
[17]
Pentru detalii a se vedea pct. 2.1, Desemnarea obligatorie, din Ghidul DPO, p. 6.
[18]
Pentru detalii a se vedea pct. 2.2, DPO al persoanei împuternicite de operator, din Ghidul DPO, pp. 9-10.
[19]
Pentru analizarea domeniului de aplicare teritorial al GDRP a se vedea I. Alexe, C.M. Banu, De la directivă la regulament
în reglementarea protecției datelor cu caracter personal la nivelul Uniunii Europene, în volumul I. Alexe, N.D. Ploeșteanu,
D.M. Șandru (coord.), op. cit., pp. 24-27.
[20]
International Association of Privacy Professionals a evaluat la aproximativ 75000 de DPO necesari pentru
implementarea GDPR. A se vedea, cu unele comentarii: T. Wright, S.P. Farmer, DPO as a Service - Outsourcing the
Role of Data Protection Officer, 12 decembrie 2017 disponibil la adresa https://www.lexology.com/library/detail.
aspx?g=ee03952c-544f-4be0-b026-b37420912384.

DOSAR | PANDECTELE ROMÂNE NR. 1/2018 | 39

 Irina ALEXE

Referitor la poziția DPO, în cadrul organizației, internă sau externă acesteia, alin. (6) al art. 37 instituie
po­sibilitatea ca DPO să fie membru al personalului operatorului sau persoanei împuternicite, res­pec­
tiv să își poată îndeplini sarcinile în baza unui contract de servicii. Rațiunile pentru care nu vom de­talia
DOCTRINĂ

în cuprinsul prezentei analize aspectele care decurg din instituirea acestor două posibilități de an­gajare
a DPO și nici cele ce vizează postul ocupat de DPO, ca poziție singulară, de sine stătătoare, sau în
calitate de conducător al unui compartiment specializat ori, în cazul României, existența a cel puțin
trei statute diferite aplicabile responsabilului cu protecția datelor, sau problemele ce ar putea rezulta
din încheierea unui contract de servicii, inclusiv cele privind conflictele de interese, vi­zea­ză faptul că
toate aceste aspecte au fost analizate recent cu ocazia unui alt studiu[21] în materie. Menționăm în
context doar faptul că, abia spre finalul lunii noiembrie 2017, ocupația de responsabil pen­tru protecția
datelor cu caracter personal a fost inclusă în Codul ocupațiilor din România[22], ur­mând ca în perioada
următoare să fie reglementate și celelalte aspecte ce vizează exercitarea efectivă a acesteia.

Regulamentul nu instituie, pentru DPO, cerințe speciale de pregătire, însă din analiza textului
art. 37 alin. (5), corelat cu textul considerentului (97) și cu cel al ghidului rezultă câteva condiții
pe care trebuie să le îndeplinească o persoană, pentru a fi desemnată ca DPO. Acestea vizează:[23]

a) nivelul de expertiză – nu este o condiție prevăzută de regulament dar este implicită, în funcție
de complexitatea și volumul de date pe care eventualul angajator le prelucrează.

b) calitățile profesionale – regulamentul nu reglementează care anume este domeniul de

specializare al DPO, singurele condiții pe care le prevede cu referire la acest subiect fiind
acelea că DPO trebuie să aibă cunoștințe „de specialitate în dreptul și practicile din domeniul
protecției datelor”; rezultă de aici că sunt relevante nu numai cunoștințele de specialitate
ce vizează legislaţia europeană și națională în domeniul protecției datelor ci și cunoașterea
practicilor în domeniu, respectiv înțelegerea cât mai bună a domeniului de aplicare a
regulamentului, dar și o bună cunoaștere a activității și a procedurilor interne ale viitorului
angajator, fie că este el organism public sau privat; de asemenea, potrivit considerentului (97),
„nivelul necesar al cunoștințelor de specialitate ar trebui să fie stabilit în special în funcție de
operațiunile de prelucrare a datelor efectuate și de nivelul de protecție impus pentru datele
cu caracter personal prelucrate de operator sau de persoana împuternicită de operator”; și

c) capacitatea de a îndeplini sarcinile prevăzute de regulament, la art. 39 – este interpretată ca

vizând atât calitățile lor personale, cunoștințele dobândite cât și poziția în cadrul organismului
public sau privat; detaliem această condiție în cadrul secțiunii ce se referă la sarcinile DPO.

Cerințele necesar a fi îndeplinite de operatorul sau persoana împuternicită care desemnează un

DPO, prevăzute la art. 37 alin. (7), de a publica datele de contact ale acestui responsabil și de
a le comunica autorității de supraveghere. Scopul pentru care au fost incluse aceste cerințe în
textul alin. (7) al art. 37 este acela ca DPO să poată fi accesat/contactat direct, fără interpuși,
[21]
Aspectele menționate sunt analizate în I. Alexe, Responsabilul cu protecția datelor (DPO) - funcționar public sau
personal contractual?, aflat în curs de publicare în R.R.D.M. nr. 2/2018.
[22]
Prin Ordinul nr. 1786/5384/2017 al ministrului muncii și justiției sociale și al președintelui Institutului Național de
Statistică privind modificarea și completarea Clasificării ocupațiilor din România – nivel de ocupație (șase caractere)
aprobată prin Ordinul ministrului muncii, familiei și protecției sociale și al președintelui Institutului Național de
Statistică nr. 1832/856/2011 (M. Of. nr. 909 din 21 noiembrie 2017).
A se vedea și T. Turner, Data Protection Officer. Contractors. How to pick the right one and not get ripped off by the
[23]

cowboys, disponibil la adresa http://2040training.co.uk/wp-content/uploads/2017/12/DPO-as-a-service-final.pdf.

40 | PANDECTELE ROMÂNE NR. 1/2018 | DOSAR

 Principalele noutăți privind responsabilul cu protecția datelor, incluse în GDPR

atât de către persoanele vizate cât și de autoritatea de supraveghere, iar grupul de lucru oferă
câteva exemple concrete privind datele de contact și apreciază că ar fi o bună practică inclusiv
comunicarea numelui DPO, mai ales în cadrul unei organizații[24].

Aceste dispoziții trebuie corelate cu cele ale art. 33 și art. 34, care menționează, pe lângă datele
de contact, și numele DPO, care trebuie comunicat autorității de supraveghere, în cazul încălcării
securității datelor cu caracter personal, respectiv persoanei vizate, în cadrul informării acesteia cu
privire la încălcarea securității acestor date, precum și cu cel al art. 38 alin. (5), privind păstrarea
secretului și a confidențialității, în lipsa asigurării cărora persoanele vizate ar putea fi reticente în
a adresa plângeri DPO, sau cu cel al art. 39 alin. (1) lit. e), potrivit căruia, după cum vom menționa
ulterior, DPO reprezintă punctul de contact în legătură cu autoritatea de supraveghere.

3. Funcția responsabilului cu protecția datelor

Analizăm funcția responsabilului cu protecția datelor nu neapărat ca funcție în sine, deși nici
aceasta nu este de neglijat, pe care DPO o ocupă în cadrul organigramei unui operator sau al unei
persoane împuternicite, și nici în ceea ce privește statutul aplicabil acestuia, raportat la faptul
dacă este sau nu angajat sau parte a unui contract[25], ci în sensul implicării acestuia în toate
aspectele legate de protecția datelor, a sprijinului acordat acestuia de către angajator inclusiv
prin alocarea resurselor, asigurarea independenței și evitarea conflictelor de interese, respectiv
angajarea răspunderii doar pentru neîndeplinirea sarcinilor și nu pentru îndeplinirea acestora,
respectiv prin prisma relației și conduitei pe care DPO trebuie să o aibă cu persoanele vizate sau
cu operatorul ori cu persoana împuternicită.

Sediul materiei îl constituie dispozițiile art. 38 din regulament, corelate cu cele ale considerentului
(97) al preambulului și cu cele ale pct. 3 al Ghidului DPO. Subliniem și faptul că aspectele ce vor fi
ana­lizate în continuare și care vizează conduita operatorului sau a persoanei împuternicite, vor fi
avute în vedere, în conformitate cu regulamentul, la individualizarea eventualelor măsuri corective
pe care o autoritate de supraveghere le poate impune acestora în caz de încălcare a prevederilor
GDPR[26].

Astfel, în ceea ce privește cerința de implicare a DPO în toate aspectele legate de protecția
datelor[27], care trebuie analizată și înțeleasă în strânsă corelare cu normele ce vizează răspunderea,
atât a operatorului cât și a responsabilului, textul legal indică doar câteva repere ce trebuie avute
în vedere pentru realizarea acestei cerințe, care induc mai ales ideea de prevenție și nu de corectare
ulterioară a erorilor, iar grupul de lucru aduce câteva exemple concrete, pentru înțelegerea acestora:

a) implicarea să aibă loc în mod corespunzător – trebuie asigurat DPO accesul la toate
activitățile dar mai ales, înainte de luarea tuturor deciziilor care vizează protecția datelor,
[24]
Pentru detalii a se vedea pct. 2.6, Publicarea și comunicarea datelor de contact ale DPO, din Ghidul DPO, pp. 12-13.
Pentru analiza detaliată a acestor aspecte a se vedea I. Alexe, Responsabilul cu protecția datelor (DPO) - funcționar
[25]

public sau personal contractual?, op. cit.

Pentru detalii despre aspectele avute în vedere la individualizarea măsurilor corective a se vedea I. Alexe, Regimul
[26]

sancționator prevăzut de Regulamentul (UE) 2016/679 privind protecția datelor cu caracter personal, op. cit., pp. 40-41.
Potrivit art. 38 alin. (1) „Operatorul și persoana împuternicită de operator se asigură că responsabilul cu protecția
[27]

datelor este implicat în mod corespunzător și în timp util în toate aspectele legate de protecția datelor cu caracter
personal.”

DOSAR | PANDECTELE ROMÂNE NR. 1/2018 | 41

 Irina ALEXE

și care se derulează în cadrul unei organizații, prin participarea acestuia la ședințele de la

nivelul în care se iau deciziile respective și, inclusiv, prin emiterea unor avize sau prin oferirea
de consultanță decidenților din cadrul organizațiilor publice sau private;
DOCTRINĂ

b) implicarea să fie în timp util – acest reper presupune ca, înainte de luarea deciziilor care
au implicații asupra protecției datelor, DPO să fie informat, oferindu-i-se accesul și toate
datele necesare, inclusiv prin participarea sa atunci când se iau deciziile respective; în cazul
în care avizul DPO este în dezacord cu decizia ce urmează a fi luată de operator sau persoana
împuternicită, grupul de lucru recomandă, ca bună practică, documentarea motivelor pentru
care avizul DPO nu a fost urmat; este importantă implicarea în timp util tocmai pentru a se
evita luarea unor decizii neconforme cu dispozițiile regulamentului, ce ar trebui apoi anulate
sau corectate sau, în situaţia în care s-a produs deja o încălcare, este importantă informarea
imediată și consultarea DPO tocmai pentru ca acesta să își poată exercita cu promptitudine
sarcinile prevăzute de regulament; și

c) implicarea să vizeze toate aspectele legate de protecția datelor - trebuie asigurat DPO accesul
la toate activitățile care vizează protecția datelor și care se derulează în cadrul unei organizații;
am reliefat deja, anterior, rolul pe care un DPO ar trebui, potrivit regulamentului, să îl aibă
inclusiv în evaluarea impactului activităților de prelucrare, cât și a celorlalte operațiuni care
vizează protecția datelor, însă acest reper trebuie analizat nu exhaustiv, ci doar prin prisma
atribuțiilor DPO, conferite de regulament; grupul de lucru apreciază că este la fel de importantă
și elaborarea unor ghiduri sau a unor proceduri interne în care fiecare organizație să stabilească
care sunt situațiile în care este obligatorie, respectiv facultativă, consultarea ori avizul DPO.

În ceea ce privește sprijinul acordat DPO de către angajator, inclusiv prin alocarea resurselor[28],
acesta ar trebui dimensionat, de la caz la caz, în funcție de complexitatea rolului pe care DPO
îl are în cadrul unei organizații. Poate apărea și situația în care, în funcție de complexitatea
activității, să fie necesară nu doar angajarea unui DPO, ci chiar a mai multor persoane specializate,
a căror activitate să fie coordonată de DPO, precum și de alocarea resurselor financiare și
logistice necesare. Cerințele legale vizează sprijinul ce trebuie acordat DPO pentru îndeplinirea
sarcinilor sale, și aici este vorba nu numai, așa cum am arătat anterior, de sprijin din partea
conducerii organizației ci și din partea structurilor componente ale acestora cu care DPO trebuie
să colaboreze pentru îndeplinirea sarcinilor sale, de asigurarea informațiilor în timp util dar și
de alocarea unui timp suficient pentru ca DPO să își poată îndeplini sarcinile, mai ales când
este parte a unui contract de servicii ori nu este angajat permanent sau cu normă întreagă în
cadrul organizației. O altă cerință legală, ce vizează sprijinul pentru menținerea cunoștințelor de
specialitate, este foarte importantă mai ales având în vedere evoluția continuă a noilor tehnologii
dar și, la începutul activității unui DPO, nevoia de formare continuă și, ulterior, de dezvoltare a
nivelului propriu de expertiză în domeniile de aplicare a regulamentului.

De asemenea, asigurarea independenței DPO[29] este foarte importantă și trebuie strâns corelată
cu sarcinile descrise la art. 39 dar și cu fundamentele incluse în textul considerentului (97)

Potrivit art. 38 alin. (2) „Operatorul și persoana împuternicită de operator sprijină responsabilul cu protecția datelor în
[28]

îndeplinirea sarcinilor menționate la articolul 39, asigurându-i resursele necesare pentru executarea acestor sarcini, precum și
accesarea datelor cu caracter personal și a operațiunilor de prelucrare, și pentru menținerea cunoștințelor sale de specialitate.”
În conformitate cu art. 38 alin. (3) „Operatorul și persoana împuternicită de operator se asigură că responsabilul cu
[29]

protecția datelor nu primește niciun fel de instrucțiuni în ceea ce privește îndeplinirea acestor sarcini. Acesta nu este

42 | PANDECTELE ROMÂNE NR. 1/2018 | DOSAR

 Principalele noutăți privind responsabilul cu protecția datelor, incluse în GDPR

din preambulul GDPR, potrivit cărora această independență trebuie asigurată indiferent dacă
DPO este sau nu angajat al operatorului sau al persoanei împuternicite. Este util, totodată, ca
independența să fie privită și prin prisma evitării conflictelor de interese[30], mai ales în cazul
cumulului de funcții, permis de regulament, și al contractelor de servicii, dar și prin prisma angajării
răspunderii, în condițiile regulamentului și ale dreptului intern aplicabil, în fața celui mai înalt
nivel al conducerii, doar pentru neîndeplinirea sarcinilor și nu pentru îndeplinirea acestora. În ceea
ce privește răspunderea, textul art. 24 precizează în mod expres responsabilitatea operatorului,
nu a DPO, pentru respectarea prevederilor regulamentului. Revenind la textul art. 39, acesta nu
trebuie interpretat în sensul că DPO nu răspunde pentru neîndeplinirea obligațiilor pe care le
are ci tocmai în sensul că, dacă DPO își îndeplinește obligațiile legale, el nu poate fi amenințat,
sancționat, sau demis din funcție, dar că răspunderea lui este atrasă, în conformitate cu dreptul
intern aplicabil, pentru neîndeplinirea sarcinilor, obligațiilor și responsabilităților pe care le are.
O privire specială trebuie acordată răspunderii DPO mai ales în cazul în care acesta nu este
angajat ci este parte a unui contract de servicii[31].

Referitor la asigurarea relației și conduitei pe care DPO trebuie să o aibă cu persoanele vizate
sau cu operatorul ori cu persoana împuternicită[32] reiterăm obligația DPO de respectare a
confidențialității și a secretului profesional, precum și rolul important pe care regulamentul îl
conferă acestui responsabil, pentru îndeplinirea sarcinilor sale, în relația cu persoanele vizate și,
după cum vom preciza și în secțiunea următoare, cu autoritatea de supraveghere.

4. Sarcinile responsabilului cu protecția datelor

Sarcinile DPO decurg din textele regulamentului dar principalele categorii, minimale, sunt
prevăzute în mod expres în textul art. 39 și sunt exemplificate, cu bune practici, de către grupul
de lucru, stipulându-se în mod expres și faptul că, pentru îndeplinirea sarcinilor trebuie ca
responsabilul cu protecția datelor să țină seama în mod corespunzător de mai mulți factori
relevanți[33], precum și că, așa cum am arătat deja, acesta nu răspunde pentru îndeplinirea
sarcinilor respective ci doar, în condițiile legii, pentru neîndeplinirea lor[34].

demis sau sancționat de către operator sau de persoana împuternicită de operator pentru îndeplinirea sarcinilor sale.
Responsabilul cu protecția datelor răspunde direct în fața celui mai înalt nivel al conducerii operatorului sau persoanei
împuternicite de operator.”
Potrivit art. 38 alin. (6) „Responsabilul cu protecția datelor poate îndeplini și alte sarcini și atribuții. Operatorul sau
[30]

persoana împuternicită de operator se asigură că niciuna dintre aceste sarcini și atribuții nu generează un conflict de
interese.”
Pentru analiza detaliată a acestor aspecte a se vedea I. Alexe, Responsabilul cu protecția datelor (DPO) - funcționar
[31]

public sau personal contractual?, op. cit.

În conformitate cu dispozițiile alin. (4) și (5) ale art. 38 „(4) Persoanele vizate pot contacta responsabilul cu protecția
[32]

datelor cu privire la toate chestiunile legate de prelucrarea datelor lor și la exercitarea drepturilor lor în temeiul
prezentului regulament. (5) Responsabilul cu protecția datelor are obligația de a respecta secretul sau confidențialitatea
în ceea ce privește îndeplinirea sarcinilor sale, în conformitate cu dreptul Uniunii sau cu dreptul intern.”
În conformitate cu dispozițiile alin. (2) al art. 39 „În îndeplinirea sarcinilor sale, responsabilul cu protecția datelor
[33]

ține seama în mod corespunzător de riscul asociat operațiunilor de prelucrare, luând în considerare natura, domeniul de
aplicare, contextul și scopurile prelucrării.”
A se vedea și: W.G. Voss, Internal Compliance Mechanisms for Firms in the EU General Data Protection Regulation,
[34]

Revue juridique Thémis de l’Université de Montréal (RJTUM), vol. 50 (3), p. 783-820 (pre-print; the final version will be
available on the Thémis. Disponibil în SSRN: https://ssrn.com/abstract=3104800, p. 18.

DOSAR | PANDECTELE ROMÂNE NR. 1/2018 | 43

 Irina ALEXE

Chiar dacă regulamentul prevede sarcini minimale pentru DPO, nu rezultă de nicăieri că
angajatorul, în sensul consacrat, sau parte a unui contract de servicii, nu poate stabili în sarcina
responsabilului și alte atribuții care să aibă legătură cu regulamentul sau care să îl ajute să își
DOCTRINĂ

îndeplinească obligațiile, însă, de fiecare dată, considerăm că trebuie avute în vedere asigurarea
garanțiilor, de exemplu independența și evitarea conflictului de interese, precum și asigurarea
unui echilibru între resursele alocate și cerințele, respectiv noile sarcini pe care DPO ar trebui să le
îndeplinească, mai ales în contextul în care am precizat deja că DPO ar trebui să aibă o abordare
bazată pe risc, ce presupune ca activitatea acestuia să fie concentrată în zonele cu riscul cel mai
ridicat de încălcare a regulamentului sau de producere a incidentelor.

Revenind la textul alin. (1) al art. 39, identificăm trei categorii de sarcini, după cum urmează:

a) informare și consiliere, din oficiu[35] sau la cerere[36] - această categorie de sarcini vizează atât
organismul public sau privat, în ansamblul său, dar și angajații, pentru a se asigura respectarea
de către aceștia a obligațiilor ce le revin în materia protecției datelor;

b) monitorizarea conformității [37] - această categorie de sarcini este corelată cu textul

considerentului (97) al preambulului, din care rezultă că DPO trebuie să acorde asistență celui
care l-a angajat pentru monitorizarea conformității activității sale cu regulamentul, precum
și cu textul art. 24 din regulament care, reiterăm, stabilește responsabilitățile operatorului,
iar respectarea conformității cade în sarcina operatorului, nu a DPO; ceea ce DPO trebuie să
facă în exercitarea acestei sarcini de monitorizare este să analizeze și să verifice conformitatea
și, apoi, în funcție de rezultatele propriei analize, să își exercite rolul de informare și consiliere
a decidenților care trebuie să ia masurile de conformare și care, în final, răspund pentru
asigurarea conformității;

c) cooperarea cu autoritatea de supraveghere[38] și asumarea rolului de punct de contact[39] -

această categorie de sarcini subliniază rolul foarte important al DPO în relația cu autoritatea de
supraveghere, de facilitator al derulării în bune condiții a activităților prevăzute în regulament,
detaliat în textul acestuia și mai ales în articolele care vizează cooperarea dintre autoritate și
operator, respectiv persoana împuternicită, respectiv în cele care vizează regimul sancționator.

Ne exprimăm, în context, opinia că existența unui responsabil cu protecția datelor disponibil,

care să își exercite rolul cu bună credință și care să aibă un nivel de expertiză ridicat, facilitând nu
Textul inclus la art. 39 alin. (1) lit. a) vizează „informarea și consilierea operatorului, sau a persoanei împuternicite de
[35]

operator, precum și a angajaților care se ocupă de prelucrare cu privire la obligațiile care le revin în temeiul prezentului
regulament și al altor dispoziții de drept al Uniunii sau drept intern referitoare la protecția datelor”.
[36]
Textul art. 39 alin. (1) lit. c) instituie „furnizarea de consiliere la cerere în ceea ce privește evaluarea impactului asupra
protecției datelor și monitorizarea funcționării acesteia, în conformitate cu articolul 35”.
[37]
Potrivit art. 39 alin. (1) lit. b) este în sarcina responsabilului cu protecția datelor „monitorizarea respectării prezentului
regulament, a altor dispoziții de drept al Uniunii sau de drept intern referitoare la protecția datelor și a politicilor
operatorului sau ale persoanei împuternicite de operator în ceea ce privește protecția datelor cu caracter personal,
inclusiv alocarea responsabilităților și acțiunile de sensibilizare și de formare a personalului implicat în operațiunile de
prelucrare, precum și auditurile aferente”.
În conformitate cu textul art. 39 alin. (1) lit. d) responsabilul cu protecția datelor are ca sarcină „cooperarea cu
[38]

autoritatea de supraveghere”.
Potrivit art. 39 alin. (1) lit. e) este în sarcina responsabilului cu protecția datelor „asumarea rolului de punct de contact
[39]

pentru autoritatea de supraveghere privind aspectele legate de prelucrare, inclusiv consultarea prealabilă menționată la
articolul 36, precum și, dacă este cazul, consultarea cu privire la orice altă chestiune”.

44 | PANDECTELE ROMÂNE NR. 1/2018 | DOSAR

 Principalele noutăți privind responsabilul cu protecția datelor, incluse în GDPR

numai cooperarea cu autoritatea de supraveghere, ci și în cadrul organismului public sau privat,

respectiv în relația acestuia cu persoanele vizate, poate avea ca rezultat pe de o parte, respectarea
regulamentului și protecția persoanelor vizate iar, pe de altă parte, evitarea aplicării, de către
autoritatea de supraveghere, a măsurilor corective severe.

5. Concluzii
Începând cu data de 25 mai 2018 regulamentul se va aplica, în mod direct, în toate statele
membre ale Uniunii Europene. Cu toate că statele membre au avut la dispoziție un termen de doi
ani pentru a se pregăti, în vederea aplicării, există îngrijorări serioase la nivelul Uniunii Europene,
deoarece, din raportările efectuate la începutul anului 2018, rezultă că marea majoritate a
statelor membre, cu excepția Germaniei și Austriei, nu a adoptat încă măsurile interne necesare
aplicării uniforme a dispozițiilor regulamentului[40].

Cu toate acestea, obligativitatea numirii unui responsabil pentru protecția datelor la nivelul
fiecărui operator de date sau a persoanei împuternicite, dintre cei care fac parte din categoriile
prevăzute de regulament incumbă acestora, începând cu data de 25 mai 2018, împreună cu
asigurarea tuturor condițiilor necesare derulării, de către DPO, a sarcinilor prevăzute de GDPR.

Nerespectarea obligației legale de desemnare a unui responsabil pentru protecția datelor atrage
una dintre cele mai severe măsuri corective, amenda administrativă, însă în cazul României, până
la adoptarea unui act normativ care să permită aplicarea amenzilor administrative autorităţilor
sau organismelor publice, acestea ar putea fi aplicate doar operatorilor privați.

Sunt așteptate, inclusiv în România, norme clare și previzibile, din partea autorităților competente
și mai ales la inițiativa autorității de supraveghere, pentru a se asigura aplicarea unitară a GDPR și
pentru a se asigura formarea profesională a viitorilor responsabili cu protecția datelor[41]. Am precizat
deja că această ocupație există în România din luna noiembrie 2017, ca un prim pas făcut deja, dar
nu existau standardele ocupaționale și nici nu puteau fi identificate, în condițiile legii, organismele
abilitate să realizeze formarea persoanelor care vor fi desemnate DPO. Un alt pas înainte, în același
sens, a fost făcut recent prin validarea, de către Comitetul Sectorial Administrație și Servicii Publice
din cadrul Autorității Naţionale pentru Calificări, a standardului ocupațional aferent DPO[42].

Apreciem că, respectând proporțiile, rolul DPO într-o organizație publică sau privată este unul
asemănător cu cel al autorității de supraveghere într-un stat membru, cu excepția, evident, mai
ales a aplicării unora dintre măsurile corective.

Răspunsul la întrebarea inițială, dacă suntem pregătiți pentru aplicarea regulamentului, a fost
deja schițat și, în final, este unul negativ, cu precizarea că fiecare dintre cei implicați face eforturi
pentru ca, la 25 mai 2018, acest răspuns să fie unul pozitiv.

[40]
Pentru detalii a se vedea https://euobserver.com/justice/140683.
Semnalăm, în context, și faptul că autoritatea spaniolă pentru protecția datelor este prima din Uniunea Europeană
[41]

care a instituit reglementări pentru sistemele de certificare a responsabililor cu protecția datelor, ce pot fi consultate la
adresa http://www.agpd.es/portalwebAGPD/temas/certificacion/common/pdf/SCHEME_AEPD_DPD.pdf.
În perioada scursă de la data predării articolului pentru publicare și până la data publicării sale, Standardul ocupațional
[42]

pentru educație și formare profesională a Responsabilului cu protecția datelor cu caracter personal – cod COR 242231 a
fost aprobat de Autoritatea Națională pentru Calificări, prin Decizia nr. 74 din 19 martie 2018.

DOSAR | PANDECTELE ROMÂNE NR. 1/2018 | 45

Reproduced with permission of copyright owner. Further
reproduction prohibited without permission.