Documente Academic
Documente Profesional
Documente Cultură
ABSTRACT
The Data Protection Officer is not a new institution, being previously provided for in
the text of the Data Protection Directive 95/46/EC. The Regulation (EU) 2016/679
recognizes this position as a key-actor within the new Data Protection system both
through the obligation of its nomination by the public authorities or organisms, or
by operators or persons designated by them, and through its professional experience
and preparation, respectively through its role in the organizational architecture,
including regarding the cooperation with the National Supervisory Authority for
Personal Data Processing and regarding its establishment as a point of contact for it.
In this analysis we tried to find answers to questions such as to what extent the Data
Protection Officer has prerogatives as public authority or if its activity is governed
by an employment relationship/public office or employment relationship/contract
of employment, while the identified solutions are interesting for the coherence of
the enforcement of the regulation, starting with the 25th of May 2018.
REZUMAT
*
Prin Decizia nr. 7/2016, completul pentru dezlegarea unor chestiuni de drept (publicată în M. Of. nr. 399 din 26 mai 2016).
**
Articolul a fost prezentat în cadrul Conferinței internaționale cu tema „Repere naționale și internaționale în domeniul
GDPR”, organizată la Târgu Mureș, la data de 15 decembrie 2017, de Universitatea „Petru Maior”. Informațiile cuprinse în
text sunt actualizate la data de 8 februarie 2018, care este și ultima dată la care au fost consultate site-urile menționate
în cuprinsul articolului.
Aspectele care vizează studiul nostru, cuprinse în regulament, cunoscut și sub denumirea de noul
regulament general privind protecția datelor sau GDPR, au legătură cu una dintre instituțiile
importante reglementate de acesta, responsabilul cu protecția datelor, denumit în continuare
responsabil sau, după caz, DPO. Noutățile pe care regulamentul le-a statuat în ceea ce privește
această instituție nu vor fi detaliate aici, în considerarea faptului că au făcut deja obiectul unui
alt studiu recent[5].
[1]
Regulamentul nr. 2016/679/UE al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția
persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și
de abrogare a Directivei nr. 95/46/CE (JO L119 din 4 mai 2016).
[2]
Directiva (UE) nr. 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor
fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării,
investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de
abrogare a Deciziei-cadru nr. 2008/977/JAI a Consiliului (JO L 119, 4 mai 2016).
[3]
Directiva (UE) nr. 2016/681 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind utilizarea datelor din
registrul cu numele pasagerilor (PNR) pentru prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor de
terorism și a infracțiunilor grave (JO L 119, 4 mai 2016).
A se vedea, de exemplu, I. Alexe, C.M. Banu, De la directivă la regulament în reglementarea protecției datelor cu caracter
[4]
personal la nivelul Uniunii Europene, p. 14-40; D.M. Șandru, Regimul juridic al protecției datelor cu caracter personal este
în proces de regândire, p. 272-278; N.D. Ploeșteanu, A. Mariș, Viziunea Regulamentului general privind protecția datelor
personale 679/2016 (RGDP) într-o societate digitală, p. 77-127; toate trei în volumul I. Alexe, N.D. Ploeșteanu, D.M. Șandru
(coord.), Protecția datelor cu caracter personal, Impactul protecției datelor personale asupra mediului de afaceri. Evaluări
ale experiențelor românești și noile provocări ale Regulamentului (UE) 2016/679, Ed. Universitară, București, 2017.
[5]
A se vedea I. Alexe, Principalele noutăți privind responsabilul cu protecția datelor, incluse în GDPR, aflat în curs de
publicare în revista Pandectele Române nr. 1/2018.
Reiterăm de asemenea că, spre deosebire de directiva anterioară[8], care a fost transpusă inclusiv
de către România[9] în legislația națională și care lăsa la latitudinea operatorilor desemnarea unui
DPO, regulamentul instituie, pentru autorități, precum și pentru organismele publice și private
care se regăsesc în cazurile prevăzute de art. 37[10], obligativitatea desemnării unui responsabil
pentru protecția datelor. Pentru celelalte situații în care desemnarea nu este obligatorie, este totuși
recomandată numirea unui DPO care, prin prisma pregătirii, experienței, atribuțiilor și sarcinilor
sale, să îl ajute pe operator să își desfășoare activitatea, respectând prevederile regulamentului.
distincția între munca prestată în cadrul unor raporturi juridice de muncă, incluzând în această
categorie și raporturile de serviciu ale funcționarilor publici și, respectiv, între munca prestată în
afara unor raporturi juridice de muncă, cum ar fi cea efectuată în cadrul unui raport juridic civil,
astfel încât analiza noastră va evidenția aceste aspecte, fără însă a le detalia.
În ceea ce privește funcția responsabilului cu protecția datelor în cadrul unei organizații[12], aceasta
trebuie înțeleasă, potrivit art. 38 din regulament, nu neapărat ca loc în organigramă, ci mai ales
ca rol și relaționare cu persoanele vizate, cu membrii, dar și cu conducerea organizației, ca sprijin
de care DPO trebuie să se bucure pentru a-și putea realiza sarcinile, respectiv vizând condițiile
de atragere a răspunderii pentru neîndeplinirea acestora.
DOCTRINĂ
De asemenea, în ceea ce privește sarcinile DPO, prevăzute de art. 39 din regulament, considerăm
NOUTĂȚI
că acestea pot fi structurate în trei categorii[13]: informare și consiliere (din oficiu sau la cerere);
monitorizarea conformității cu regulamentul; cooperarea cu autoritatea de supraveghere și
asumarea rolului de punct de contact în relația cu aceasta.
pct. 4.
[14]
Pentru sensul noțiunii de angajat a se vedea I.T. Ștefănescu, op. cit., p. 28.
[15]
Pentru detalii despre responsabilul cu protecția datelor ce își desfășoară activitatea în administrația publică a se
vedea A.M. Brezniceanu, Data Protection Officer – a new proffesion in public administration?, în Revista de Științe Politice
nr. 55/2017, p. 79-88.
Pentru distincția între contratul de muncă și contractul de prestări de servicii, respectiv pentru analizarea raportului
[16]
dintre dreptul muncii și dreptul civil a se vedea I.T. Ștefănescu, op. cit., p. 50-55.
Cu titlu de exemplu, a se vedea: I.T. Ștefănescu, op. cit., p. 24-28; V. Vedinaș, Drept Administrativ, ed. a X-a, Ed. Universul
[17]
Juridic, București, 2017, p. 286-290; V. Vedinaș, Statutul funcționarilor publici (Legea nr. 188/1999. Comentarii, legislație,
doctrină și jurisprudență, ed. a II-a, Ed. Universul Juridic, București, 2016, p. 205-229; I. Alexe, Înalții funcționari publici,
Ed. Universul Juridic, București, 2014, p. 21-25.
[18]
Pentru detalii a se vedea I. Alexe, Mai răspund disciplinar înalții funcționari publici?, în R.R.D.M. nr. 3/2017, p. 63.
astfel încât, în continuare, vom trata în mod distinct aceste noțiuni, aplicabile și responsabilului
cu protecția datelor.
Această situație comportă două dimensiuni: DPO este desemnat din rândul angajaților, sau DPO
este nou angajat. În România devin astfel aplicabile dispozițiile legislației muncii[19], prevederile
GDPR, dar și atribuțiile specifice cuprinse în contractul de muncă, în regulamentul intern de
organizare și funcționare, respectiv în fișa postului. Semnalăm și faptul că, în funcție de calitatea
operatorului sau a persoanei desemnată de operator, de autoritate sau organism public, respectiv
de organism privat, se aplică un regim juridic diferențiat pentru selectarea DPO în sensul că, spre
deosebire de sectorul privat, în sectorul public, este obligatoriu ca procedura de selecție a unui
DPO să respecte și regulile concurențiale.
Deși am precizat deja că responsabilul cu protecția datelor nu este o instituție nou introdusă
de GDPR, în România ea a fost inclusă în clasificarea ocupațiilor abia în luna noiembrie a anului
2017[20], iar în acest moment se fac demersurile legale pentru aprobarea standardului ocupațional
aferent DPO[21]. Nici la nivel european lucrurile nu stau mai bine[22], un singur stat fiind pregătit
în acest moment pentru a asigura formarea profesională a viitorilor responsabili cu protecția
datelor[23].
[19]
Considerăm relevante Legea nr. 53/2003 – Codul muncii, republicată în M. Of. nr. 3445 din 18 mai 2011, cu
modificările și completările ulterioare și Legea nr. 62/2011, Legea dialogului social, publicată în M. Of. nr. 322 din 10 mai
2011, cu modificările și completările ulterioare.
[20]
Prin Ordinul nr. 1786/5384/2017 al ministrului muncii și justiției sociale și al președintelui Institutului Național de
Statistică privind modificarea și completarea Clasificării ocupațiilor din România – nivel de ocupație (șase caractere)
aprobată prin Ordinul ministrului muncii, familiei și protecției sociale și al președintelui Institutului Național de
Statistică nr. 1832/856/2011 (M. Of. nr. 909 din 21 noiembrie 2017).
[21]
Recent, Comitetul Sectorial Administrație și Servicii Publice din cadrul Autorității Naționale pentru Calificări, a validat
standardul ocupațional aferent DPO, iar în perioada scursă de la data predării articolului pentru publicare și până la data
publicării sale, Standardul ocupațional pentru educație și formare profesională a Responsabilului cu protecția datelor
cu caracter personal – cod COR 242231 a fost aprobat de Autoritatea Națională pentru Calificări, prin Decizia nr. 74 din
19 martie 2018.
[22]
International Association of Privacy Professionals a evaluat la aproximativ 75000 de DPO necesari pentru
implementarea GDPR. A se vedea, cu unele comentarii: T. Wright, S.P. Farmer, DPO as a Service - Outsourcing the
Role of Data Protection Officer, 12 decembrie 2017, disponibil la adresa https://www.lexology.com/library/detail.
aspx?g=ee03952c-544f-4be0-b026-b37420912384
Semnalăm, în context, și faptul că autoritatea spaniolă pentru protecția datelor este prima din Uniunea Europeană
[23]
care a instituit reglementări pentru sistemele de certificare a responsabililor cu protecția datelor, ce pot fi consultate la
adresa http://www.agpd.es/portalwebAGPD/temas/certificacion/common/pdf/SCHEME_AEPD_DPD.pdf.
Apare astfel, întrebarea firească, cine va fi DPO începând cu data de 25 mai 2018.
În ipoteza în care DPO este desemnat din rândul angajaților operatorului sau al persoanei
împuternicite este necesară modificarea contractului individual de muncă, dacă angajatul
primește atribuții noi prin cumul cu cele existente deja sau dacă angajatul este încadrat cu normă
întreagă în postul de DPO, respectiv a fișei postului. Apreciem că aceasta din urmă este cea mai
bună soluție de desemnarea a unui DPO, din rândul personalului propriu, care să corespundă
cerințelor prevăzute de regulament[24] și care să cunoască foarte bine organizația din care face
parte și activitățile specifice acesteia.
În ipoteza în care angajatorul optează pentru o recrutare a unui DPO care urmează să facă parte
din rândul angajaților săi, este necesară derularea procedurilor legale în vederea încheierii unui
DOCTRINĂ
NOUTĂȚI
Mai ales în situația cumulului de funcții, respectiv a cumulului de sarcini și atribuții, este necesară,
pe de o parte, asigurarea independenței DPO în îndeplinirea sarcinilor, dar și evitarea oricărui
conflict de interese. Deși regulamentul nu detaliază aceste aspecte, grupul de lucru a exemplificat
funcții ce pot intra în conflict cu cea de responsabil pentru protecția datelor, a stabilit exemple
de bună practică în materie și a făcut câteva recomandări potrivit cărora „DPO nu poate deține
o poziție în cadrul organizației care ar conduce la posibilitatea ca DPO să stabilească scopurile
și mijloacele de prelucrare a datelor cu caracter personal. Acest lucru trebuie luat în considerare
de la caz la caz, ținându-se cont de structura organizațională specifică fiecărei organizații”[25].
În situaţia cumulului de funcții sau în situația unui DPO angajat part-time, grupul de lucru a
stabilit că ar trebui să se aibă în vedere pe de o parte, prioritatea îndeplinirii sarcinilor și alocarea
unui timp corespunzător pentru acestea, astfel încât conflictul de priorități să nu se manifeste în
defavoarea îndeplinirii atribuțiilor DPO, sau prevederea unui procent de timp pentru realizarea
muncii ca DPO, ca un exemplu de bună practică[27].
Potrivit dispozițiilor art. 37 alin. (5) din regulament DPO „este desemnat pe baza calităților profesionale și, în special,
[24]
a cunoștințelor de specialitate în dreptul și practicile din domeniul protecției datelor, precum și pe baza capacității de
a îndeplini sarcinile prevăzute la art. 39”. Pentru detalii a se vedea I. Alexe, Principalele noutăți privind responsabilul cu
protecția datelor, incluse în GDPR, op. cit., pct. 2.
[25]
Pentru detalii a se vedea pct. 3.5, Conflict de interese, din Ghidul DPO, p. 16.
[26]
A se vedea teza ultimă a alin. (2) al art. 38 din regulament.
[27]
Pentru detalii a se vedea pct. 3.2, Resursele necesare, din Ghidul DPO, p. 14.
Regulamentul nu stabilește locul unui DPO în organigrama unei organizații ci, prin articolele sale,
impune doar câteva cerințe minimale: implicarea în mod corespunzător și în timp util în toate
activitățile specifice ce vizează protecția datelor, asigurarea independenței activității, asigurarea
resurselor necesare, obligativitatea păstrării secretului sau a confidențialității, răspunderea directă
„în fața celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator”[28],
respectiv asigurarea garanțiilor că nu va fi demis sau sancționat pentru îndeplinirea sarcinilor sale.
Garanțiile respective sunt menite să asigure independența DPO, precum și să faciliteze îndeplinirea
atribuțiilor pe care regulamentul le prevede pentru acesta, atât în interiorul organizației cât și
în relația cu persoanele vizate și cu autoritatea de supraveghere. Asta nu înseamnă că DPO nu
răspunde pentru neîndeplinirea obligațiilor sale. Chiar dacă, potrivit GDPR, nu DPO ci operatorul
răspunde pentru conformitatea activității sale cu prevederile regulamentului[29], DPO răspunde și
el, potrivit dreptului intern, în funcție de statutul și legislația aplicabile, care îi guvernează raportul
de muncă cu angajatorul, pentru neîndeplinirea obligațiilor sale[30].
Faptul că DPO răspunde[31] în fața celui mai înalt nivel al conducerii, coroborat cu cerințele
de independență și cu sarcinile sale de informare și consiliere a operatorului sau a persoanei
împuternicite ne arată că acesta ar trebui să aibă un loc distinct în arhitectura organizațională,
variind de la o organizație la alta, în funcție de mărimea și de specificul acestora, precum și de
volumul activităților care vizează protecția datelor.
patrimonială, răspunderea contravențională și răspunderea penală. Pentru analiza acestor forme de răspundere a se
vedea I.T. Ștefănescu, op. cit., p. 826 și urm.
A se vedea și: W. Gregory Voss, Internal Compliance Mechanisms for Firms in the EU General Data Protection Regulation,
[31]
Revue juridique Thémis de l’Université de Montréal (RJTUM), vol. 50 (3), p. 783-820 (pre-print; the final version will be
available on the Thémis. Disponibil în SSRN: https://ssrn.com/abstract=3104800, p. 18; C. Harantty, Legal risks to beign
a DPO, disponibil la adresa https://iapp.org/media/pdf/resource_center/DPO-Liability-Whitepaper-FINAL.pdf.
Pentru descrierea raportului de serviciu, comparativ cu raportul de muncă, a se vedea I.T. Ștefănescu, op. cit., p. 26.
[32]
De asemenea, despre natura juridică a raportului de serviciu, precum și despre controversele doctrinare în materie a se
vedea V. Vedinaș, op. cit., p. 286-289.
[33]
Relevante în acest sens considerăm a fi: Legea nr. 188/1999 privind Statutul funcționarilor publici, publicată în M. Of.
nr. 600 din 8 decembrie 1999, fiind ulterior modificată, completată și republicată (în continuare, atunci când facem
trimitere la Legea nr. 188/1999, cu modificările și completările ulterioare, ne referim la textul Legii nr. 188/1999 privind
Statutul funcționarilor publici, republicată, cu modificările și completările ulterioare, aduse până la data de 8 februarie
2018); Legea nr. 7/2004 privind Codul de conduită a funcționarilor publici (publicată în M. Of. nr. 157 din 23 februarie
2004), republicată; Legea nr. 161/2003 privind unele măsuri pentru asigurarea transparenței în exercitarea demnităților
publice, a funcțiilor publice și în mediul de afaceri, prevenirea și sancționarea corupției (publicată în M. Of. nr. 279 din
21 aprilie 2003), cu modificările și completările ulterioare.
b) consilierea, controlul și auditul public intern – consilierea, inclusiv în ceea ce privește evaluarea
impactului asupra protecției datelor și monitorizarea funcționării acesteia;
Apare însă o întrebare firească, referitoare la cel fel de funcție publică poate ocupa un responsabil
cu protecția datelor, în raport cu rolul, poziția și sarcinile pe care regulamentul le prevede pentru
acesta.
Dacă luăm în considerare regula potrivit căreia „exercitarea raportului de serviciu se realizează
pe perioadă nedeterminată”[35] și nu excepția în conformitate cu care doar funcțiile publice din
categoria celor de execuție pot să fie ocupate și pe o perioadă determinată, în condițiile prevăzute
de lege[36], pare că scopurile prevăzute în regulament pot fi atinse, dar și că garanțiile conferite
DPO pot fi asigurate, având în vedere și faptul că acestea sunt asemănătoare cu garanțiile pe
care Statutul funcționarilor publici le conferă unei persoane care exercită funcția publică în
conformitate cu principiile prevăzute la art. 3 din Legea nr. 188/1999.
Dacă avem în vedere clasificarea funcțiilor publice în raport de nivelul atribuțiilor titularului
funcției publice, prevăzută la art. 10 din Legea nr. 188/1999, se pune întrebarea în care dintre
cele trei categorii de funcții publice ar putea fi încadrat un DPO.
[34]
Pentru detalii a se vedea textul alin. (3) al art. 2 din Legea nr. 188/1999.
[35]
Pentru detalii a se vedea textul alin. (2) al art. 4 din Legea nr. 188/1999.
[36]
Pentru detalii a se vedea textul alin. (3) al art. 4 din Legea nr. 188/1999.
Răspunsul la întrebarea dacă un DPO ar putea să exercite o funcție din categoria înalților
funcționari publici este mai puțin probabil să fie pozitiv, dar nu imposibil, având în vedere pe
de o parte cerințele de independență și, pe de altă parte, situarea în apropierea celui mai înalt
nivel al conducerii instituției sau organismului public. Cu siguranță nu va putea fi desemnat DPO
un înalt funcționar public ce ocupă o funcție de prefect sau de secretar general, dar nimic nu
împiedică desemnarea unui DPO, mai ales în cazul cumulului de funcții, din rândul secretarilor
generali adjuncți, al subprefecților sau al inspectorilor guvernamentali. În toate cazurile trebuie
însă avute în vedere cerințele regulamentului, dimensiunea organizației, rolul înaltului funcționar
public desemnat DPO și, mai ales, evitarea conflictelor de interese.
Răspunsul la întrebarea dacă un DPO ar putea să exercite o funcție din categoria funcționarilor
publici de conducere este, în opinia mea, cel mai probabil să fie pozitiv, mai ales prin prisma
rolului pe care acest DPO – funcționar de conducere trebuie să îl aibă în cadrul organizației.
O astfel de situație poate fi întâlnită mai ales în cazurile în care DPO este, așa cum vom vedea
în continuare, conducătorul unei structuri specializate.
Rămâne astfel în discuție cea de-a treia categorie de funcții publice, cea a funcționarilor publici
de execuție, iar întrebarea aferentă este aceea dacă un DPO ar putea ocupa o astfel de funcție.
Răspunsul este, evident, unul pozitiv, mai ales în cazul organismelor publice care nu au un număr
mare de angajați, cum ar fi o autoritate a administrației publice locale, însă apreciez că mai
ales în astfel de cazuri trebuie asigurate cerințele de independență și de evitare a conflictelor
de interese.
În cazul ipotetic al unui DPO angajat ca funcționar public ar mai exista o problemă majoră, de
ordin legal, care rezidă din faptul că, potrivit art. 2 din Legea nr. 188/1999, „funcțiile publice sunt
prevăzute în anexa la lege”, iar funcția de responsabil cu protecția datelor nu este prevăzută
în anexă[38]. Am arătat deja că ocupația de responsabil cu protecția datelor a fost inclusă în
clasificarea ocupațiilor din România și că procedurile legale ce trebuie realizate pentru ca această
ocupație să devină efectivă sunt în curs de derulare. Considerăm însă că ipoteza DPO angajat
ca funcționar public poate fi validă numai printr-o completare corespunzătoare a legii, pe care
autoritățile competente ar trebui să o aducă în dezbaterea publică și să o adopte cât mai curând
posibil.
Potrivit dispozițiilor art. 57 din Legea nr. 188/1999, spre deosebire formele de răspundere ce pot fi atrase în dreptul
[37]
muncii, răspunderea funcționarilor publici pentru încălcarea „cu vinovăție, a îndatoririlor de serviciu” poate îmbrăca
forma răspunderii „disciplinară, contravențională, civilă sau penală, după caz”. Pentru analiza acestora a se vedea
V. Vedinaș, op. cit., p. 529 și urm.
[38]
În conformitate cu prevederile Notei inclusă la pct. II din anexa Legii nr. 188/1999, „funcțiile publice specifice,
altele decât cele prevăzute la pct. II, se pot stabili de autoritățile și instituțiile publice, cu avizul Agenției Naționale a
Funcționarilor Publici”, însă apreciem că nu ne aflăm într-o astfel de situație, în ceea ce privește funcția de responsabil
cu protecția datelor.
Analizând obiectul raportului de muncă, profesorul I.T. Ștefănescu exprimă opinia potrivit căreia
„constituie o caracteristică aparte și faptul că persoana care prestează munca este, fără excepție,
o persoană fizică. În plus, raportul individual de muncă exclude pluralitatea de subiecte, posibilă
în raportul juridic civil”[40]. De asemenea, inclusiv grupul de lucru a precizat că „funcția DPO
DOCTRINĂ
poate fi (…) exercitată în baza unui contract de prestări servicii încheiat cu o persoană fizică sau
NOUTĂȚI
Principala trăsătură a unui astfel de contract civil, descris în Codul civil ca un contract
sinalagmatic, cu obligații reciproce și interdependente pentru părți, o constituie egalitatea juridică
a părților, aspect care nu se întâlnește nici în cazul raportului de muncă și nici în cazul raportului
de serviciu.
Semnalăm faptul că, în opinia noastră, obligațiile părților la contract, descrise în GDPR, ar trebui
preluate și detaliate în cuprinsul contractului, pentru a fi reglementate toate aspectele ce decurg
dintr-o astfel de relație contractuală, dar respectând și regulamentul, evitând conflictele de
interese și alocând resursele în mod eficient.
Considerăm că o privire specială trebuie acordată răspunderii DPO care este parte a unui
contract de servicii. Atragem din start atenția asupra faptului că, în cazul unui astfel de contract,
răspunderea disciplinară nu ar putea fi angajată în situația nerespectării obligațiilor legale și
contractuale.
O altă chestiune ce ar trebui discutată în cazul încheierii unui astfel de contract este aceea că,
dacă operatorul sau persoana împuternicită de acesta este o autoritate sau un organism public,
procedura de selecție a unui DPO trebuie să fie realizată în mod transparent, respectând regulile
concurențiale și pe cele ale cheltuirii eficiente ale resurselor publice.
[39]
Pentru analiza caracteristicilor unui astfel de contract a se vedea: I.T. Ștefănescu, op. cit., p. 50-51; Al. Țiclea, op. cit., p. 11.
[40]
I.T. Ștefănescu, op. cit., p. 50.
[41]
Ghidul DPO, p. 12.
Apreciem că această modalitate de desemnare a unui DPO poate fi eficientă în anumite situații
și chiar preferabilă atunci când în rândul angajaților nu este identificată o persoană care să
aibă pregătirea și capacitățile necesare pentru a îndeplini sarcinile unui DPO, însă considerăm
că principala vulnerabilitate o constituie investiția în două resurse importante ce ar trebui să
guverneze un astfel de contract: timpul și, respectiv, încrederea pe care părțile trebuie să și le
acorde reciproc.
Considerăm că, într-o astfel de ipoteză, o atenție specială ar trebui să fie acordată modalității de
desemnare a DPO, care poate fi angajat al uneia dintre autorități/organisme publice sau parte
a unui contract de servicii. În oricare dintre situații este necesară respectarea regulamentului și
evident, evitarea conflictelor de interese, iar în situația în care DPO, parte a unui contract de
servicii, este o entitate și nu o persoană fizică, ar trebui acordată atenție rolului de coordonator
al echipei, respectiv desemnării unui DPO, dintre membrii echipei, pentru autoritățile sau
organismele publice. Detaliem aceste aspecte în cuprinsul secțiunii următoare.
[42]
Ghidul DPO, p. 10.
[43]
Pentru analizarea domeniului de aplicare teritorial al GDRP a se vedea I. Alexe, C.M. Banu, De la directivă la regulament
în reglementarea protecției datelor cu caracter personal la nivelul Uniunii Europene, în volumul I. Alexe, N.D. Ploeșteanu,
D.M. Șandru (coord.), op. cit., p. 24-27.
[44]
Ghidul DPO, pct. 2.4 Accesibilitatea și localizarea DPO, p. 11.
International Association of Privacy Professionals a evaluat la aproximativ 75000 de DPO necesari pentru
[45]
implementarea GDPR. A se vedea, cu unele comentarii: T. Wright, S.P. Farmer, DPO as a Service - Outsourcing the
Role of Data Protection Officer, 12 decembrie 2017 disponibil la adresa https://www.lexology.com/library/detail.
aspx?g=ee03952c-544f-4be0-b026-b37420912384
sarcinile unui DPO ca o echipă, sub responsabilitatea unui punct de contact principal desemnat
pentru client”[46].
Am analizat aceste aspecte într-un studiu anterior[48] iar pentru astfel de situații grupul de
lucru arată că „este important să se asigure că nu există nicio confuzie în ceea ce privește titlul,
statutul, poziția și sarcinile acestora. Prin urmare, trebuie clarificat în orice comunicare în cadrul
companiei, precum și cu autoritățile pentru protecția datelor, persoanele vizate și publicul larg,
că titlul acestei persoane sau consultant nu este cel de responsabil cu protecția datelor”[49].
O altă precizare, referitoare la acest subiect, pe care a adus-o grupul de lucru dar și doctrina a
fost aceea că atunci când nu sunt asigurate garanțiile prevăzute de regulament pentru exercitarea
[46]
Pentru detalii a se vedea pct. 3.2, Resursele necesare, din Ghidul DPO, p. 14.
Pentru detalii a se vedea prezentarea și atribuțiile Oficiului Responsabilului cu Protecția Datelor Personale din cadrul
[47]
9. Concluzii
Regulamentul general privind protecția datelor conferă responsabilului pentru protecția datelor
un rol foarte important, de actor-cheie în funcționarea unei organizații, în scopul asigurării
conformității activității acesteia cu prevederile regulamentului.
Regulamentul are aplicabilitate directă, în toate statele membre ale Uniunii Europene, începând
cu data de 25 mai 2018.
Pregătirile pentru aplicare trebuiau demarate încă din anul 2016 pentru ca în intervalul de
doi ani alocat acestui scop să fie luate toate măsurile necesare, inclusiv pentru pregătirea/
profesionalizarea celor abilitați să îl aplice, însă există îngrijorări serioase inclusiv la nivelul Uniunii
Europene întrucât, cu excepția unui număr foarte mic de state membre, nu au fost adoptate încă,
pe plan intern, măsurile necesare[51].
[50]
A se vedea și: J. Kaufmann, J.-P. Guenther, Germany: Data Protection Officer must not have a conflict of interests,
21 noiembrie 2017, disponibil la adresa https://globalcompliancenews.com/germany-data-protection-officer-conflict-
of-interest-20161121/; J. Kaufmann, J.-P. Guenther, Data Protection Officers Must Not Have a Conflict of Interest, 9 ianuarie
2018, disponibil la adresa https://globalcompliancenews.com/data-protection-officers-conflict-interest-20180109/
[51]
Pentru detalii a se vedea https://euobserver.com/justice/140683. Semnalăm, în context, și faptul că autoritatea
spaniolă pentru protecția datelor este prima din Uniunea Europeană care a instituit reglementări pentru sistemele de
certificare a responsabililor cu protecția datelor, Spanish Data Protection Agency (AEPD), Certification Scheme of Data
Protection Officers from the Spanish Data Protection Agency (DPO-AEPD SCHEME), November 2017, ce pot fi consultate
la adresa http://www.agpd.es/ portalwebAGPD/temas/ certificacion/common/pdf/ SCHEME_AEPD_DPD.pdf