Responsabilul cu protecția datelor (DPO) - funcționar public sau personal contractual?

Responsabilul cu protecția datelor (DPO) –

funcționar public sau personal contractual?*
Dr. Irina ALEXE**

ABSTRACT

The Data Protection Officer is not a new institution, being previously provided for in
the text of the Data Protection Directive 95/46/EC. The Regulation (EU) 2016/679
recognizes this position as a key-actor within the new Data Protection system both
through the obligation of its nomination by the public authorities or organisms, or
by operators or persons designated by them, and through its professional experience
and preparation, respectively through its role in the organizational architecture,
including regarding the cooperation with the National Supervisory Authority for
Personal Data Processing and regarding its establishment as a point of contact for it.
In this analysis we tried to find answers to questions such as to what extent the Data
Protection Officer has prerogatives as public authority or if its activity is governed
by an employment relationship/public office or employment relationship/contract
of employment, while the identified solutions are interesting for the coherence of
the enforcement of the regulation, starting with the 25th of May 2018.

Keywords: Regulation (EU) 2016/679, protection of personal data; Data Protection

Officer (DPO), public authority prerogatives; employment relationship; public
office; civil servant; contract of employment; contractual staff; service contract;
consultant.

REZUMAT

Responsabilul cu protecția datelor nu este o instituție nouă, fiind prevăzută și

anterior de Directiva nr. 95/46/CE. Regulamentul (UE) nr. 2016/679 îl recunoaște
însă ca un actor-cheie în noul sistem de protecție a datelor cu caracter personal
atât prin prisma obligativității desemnării sale de către autoritățile sau organismele
publice, ori de către anumiți operatori sau persoane împuternicite de aceștia, cât și
prin prisma nivelului de experiență și al pregătirii profesionale, respectiv a locului și
rolului său în arhitectura organizațională, inclusiv acela de cooperare cu autoritatea

*
Prin Decizia nr. 7/2016, completul pentru dezlegarea unor chestiuni de drept (publicată în M. Of. nr. 399 din 26 mai 2016).
**
Articolul a fost prezentat în cadrul Conferinței internaționale cu tema „Repere naționale și internaționale în domeniul
GDPR”, organizată la Târgu Mureș, la data de 15 decembrie 2017, de Universitatea „Petru Maior”. Informațiile cuprinse în
text sunt actualizate la data de 8 februarie 2018, care este și ultima dată la care au fost consultate site-urile menționate
în cuprinsul articolului.

DOCTRINĂ | REVISTA ROMÂNĂ DE DREPTUL MUNCII NR. 2/2018 | 53

 Irina ALEXE

națională de supraveghere și de asumare a rolului de punct de contact pentru aceasta.

Analizând toate aceste aspecte, încercăm să aflăm răspunsuri la întrebări cum ar fi
dacă responsabilul cu protecția datelor exercită sau nu prerogative de putere publică,
ori dacă activitatea acestuia este guvernată de un raport de serviciu/funcție publică
sau de un raport/contract de muncă, iar soluțiile identificate sunt interesante pentru
aplicarea ne/unitară a regulamentului, începând cu data de 25 mai 2018.

Cuvinte-cheie: Regulamentul (UE) 2016/679; protecția datelor cu caracter

personal; responsabilul cu protecția datelor (DPO); prerogative de putere publică;
raport de serviciu; funcție publică; funcționar public; raport de muncă; contract de
muncă; personal contractual; contract de servicii; consultant.
DOCTRINĂ
NOUTĂȚI

Legislaţie relevantă: Regulamentul (UE) 2016/679, art. 37-39

1. Noțiuni generale privind responsabilul cu protecția datelor

Reforma domeniului protecției datelor, realizată la nivel european în anul 2016, prin adoptarea
Regulamentului (UE) nr. 2016/679[1], precum și prin adoptarea a două directive specifice urmăririi
infracțiunilor[2], respectiv prevenirii și combaterii terorismului prin utilizarea datelor despre
pasageri[3], realizează transformări semnificative, ce urmează a fi aplicate începând cu data de
25 mai 2018, de către toate statele membre, descrise și în doctrina de dată recentă[4].

Aspectele care vizează studiul nostru, cuprinse în regulament, cunoscut și sub denumirea de noul
regulament general privind protecția datelor sau GDPR, au legătură cu una dintre instituțiile
importante reglementate de acesta, responsabilul cu protecția datelor, denumit în continuare
responsabil sau, după caz, DPO. Noutățile pe care regulamentul le-a statuat în ceea ce privește
această instituție nu vor fi detaliate aici, în considerarea faptului că au făcut deja obiectul unui
alt studiu recent[5].

[1]
Regulamentul nr. 2016/679/UE al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția
persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și
de abrogare a Directivei nr. 95/46/CE (JO L119 din 4 mai 2016).
[2]
Directiva (UE) nr. 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor
fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării,
investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de
abrogare a Deciziei-cadru nr. 2008/977/JAI a Consiliului (JO L 119, 4 mai 2016).
[3]
Directiva (UE) nr. 2016/681 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind utilizarea datelor din
registrul cu numele pasagerilor (PNR) pentru prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor de
terorism și a infracțiunilor grave (JO L 119, 4 mai 2016).
A se vedea, de exemplu, I. Alexe, C.M. Banu, De la directivă la regulament în reglementarea protecției datelor cu caracter
[4]

personal la nivelul Uniunii Europene, p. 14-40; D.M. Șandru, Regimul juridic al protecției datelor cu caracter personal este
în proces de regândire, p. 272-278; N.D. Ploeșteanu, A. Mariș, Viziunea Regulamentului general privind protecția datelor
personale 679/2016 (RGDP) într-o societate digitală, p. 77-127; toate trei în volumul I. Alexe, N.D. Ploeșteanu, D.M. Șandru
(coord.), Protecția datelor cu caracter personal, Impactul protecției datelor personale asupra mediului de afaceri. Evaluări
ale experiențelor românești și noile provocări ale Regulamentului (UE) 2016/679, Ed. Universitară, București, 2017.
[5]
A se vedea I. Alexe, Principalele noutăți privind responsabilul cu protecția datelor, incluse în GDPR, aflat în curs de
publicare în revista Pandectele Române nr. 1/2018.

54 | REVISTA ROMÂNĂ DE DREPTUL MUNCII NR. 2/2018 | DOCTRINĂ

 Responsabilul cu protecția datelor (DPO) - funcționar public sau personal contractual?

Precizăm în context, faptul că sediul materiei referitoare responsabilul cu protecția datelor îl

constituie art. 37-39 din GDPR, considerentul (97) al preambulului regulamentului și Ghidul privind
DPO[6], întocmit de Grupul de lucru „Articolul 29”[7], pe care îl vom denumi, în continuare, grupul
de lucru. Semnalăm faptul că Ghidul privind DPO, la fel ca toate ghidurile realizate de grupul de
lucru, nu are caracter nici normativ și nici obligatoriu, ci un caracter orientativ, de recomandare,
pentru o mai bună înțelegere și pentru o aplicare coerentă și unitară a prevederilor regulamentului.

Reiterăm de asemenea că, spre deosebire de directiva anterioară[8], care a fost transpusă inclusiv
de către România[9] în legislația națională și care lăsa la latitudinea operatorilor desemnarea unui
DPO, regulamentul instituie, pentru autorități, precum și pentru organismele publice și private
care se regăsesc în cazurile prevăzute de art. 37[10], obligativitatea desemnării unui responsabil
pentru protecția datelor. Pentru celelalte situații în care desemnarea nu este obligatorie, este totuși
recomandată numirea unui DPO care, prin prisma pregătirii, experienței, atribuțiilor și sarcinilor
sale, să îl ajute pe operator să își desfășoare activitatea, respectând prevederile regulamentului.

De asemenea, regulamentul stabilește, pentru DPO, locul, rolul, atribuțiile și răspunderea

acestuia, precum și obligațiile pe care operatorul sau persoana împuternicită de acesta le are
în relația sa cu responsabilul pentru protecția datelor. Sintetizând aceste trăsături, precizăm că,
potrivit dispozițiilor art. 37 alin. (6) din regulament, DPO „poate fi un membru al personalului
operatorului sau persoanei împuternicite de operator sau poate să își îndeplinească sarcinile în
baza unui contract de servicii”. Doctrina relevantă[11], specifică dreptului muncii, analizează pe larg
[6]
Ghidul privind responsabilul cu protecția datelor („DPOs”) a fost adoptat de Grupul de lucru „Articolul 29” pentru
protecția datelor, la data de 13 decembrie 2016, fiind revizuit ulterior și adoptat la data de 5 aprilie 2017. Textul în
limba engleză, precum și diferitele versiuni în limbile statelor membre (în limba română este folosită denumirea de
„orientări”) sunt disponibile la http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048. Forma
ghidului, în limba română, este disponibilă, în format electronic, începând cu data de 19 noiembrie 2017, pe site-ul oficial
al Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, la adresa www.dataprotection.ro/
servlet/ViewDocument?id=1384
[7]
Grupul de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal a fost
instituit, la nivel european, în temeiul art. 29 din directiva anterioară, denumit în continuare grupul de lucru. Acest grup
de lucru, care își continuă activitatea și după intrarea în vigoare a regulamentului, acționează independent, are caracter
consultativ și poate face recomandări, din proprie inițiativă, privind orice chestiune legată de protecția persoanelor în
ceea ce privește prelucrarea datelor cu caracter personal în Uniunea Europeană.
[8]
Directiva nr. 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor
fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO L 281, 23 noiembrie
1995, p. 31, Ediție specială, 13/vol. 17, p. 10).
[9]
Directiva nr. 95/46/CE a fost transpusă în România prin Legea nr. 677/2001 pentru protecția persoanelor cu privire
la prelucrarea datelor cu caracter personal și libera circulație a acestor date (M. Of. nr. 790 din 12 decembrie 2001), cu
modificările și completările ulterioare.
[10]
Potrivit textului art. 37 alin. (1) din regulament „Operatorul și persoana împuternicită de operator desemnează un
res­­ponsabil cu protecția datelor ori de câte ori: (a) prelucrarea este efectuată de o autoritate sau un organism public, cu
ex­cep­ția instanțelor care acționează în exercițiul funcției lor jurisdicționale; (b) activitățile principale ale operatorului sau
ale persoanei împuternicite de operator constau în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/
sau sco­pu­rile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă; sau (c) activitățile
principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor
categorii speciale de date, menționată la articolul 9, sau a unor date cu caracter personal privind condamnări penale și
infracțiuni, menționată la articolul 10.”
[11]
Pentru analiza detaliată a acestor aspecte a se vedea I.T. Ștefănescu, Tratat teoretic și practic de drept al muncii,
ed. a IV‑a, revăzută și adăugită, Ed. Universul Juridic, București, 2017, p. 14 și urm. Pentru o altă clasificare a muncii
în muncă independentă și muncă subordonată, a se vedea Al. Țiclea, Tratat de dreptul muncii: legislație, doctrină,
jurisprudență, ed. a X-a, actualizată, Ed. Universul Juridic, București, 2016, p. 8-12.

DOCTRINĂ | REVISTA ROMÂNĂ DE DREPTUL MUNCII NR. 2/2018 | 55

 Irina ALEXE

distincția între munca prestată în cadrul unor raporturi juridice de muncă, incluzând în această
categorie și raporturile de serviciu ale funcționarilor publici și, respectiv, între munca prestată în
afara unor raporturi juridice de muncă, cum ar fi cea efectuată în cadrul unui raport juridic civil,
astfel încât analiza noastră va evidenția aceste aspecte, fără însă a le detalia.

În ceea ce privește funcția responsabilului cu protecția datelor în cadrul unei organizații[12], aceasta
trebuie înțeleasă, potrivit art. 38 din regulament, nu neapărat ca loc în organigramă, ci mai ales
ca rol și relaționare cu persoanele vizate, cu membrii, dar și cu conducerea organizației, ca sprijin
de care DPO trebuie să se bucure pentru a-și putea realiza sarcinile, respectiv vizând condițiile
de atragere a răspunderii pentru neîndeplinirea acestora.
DOCTRINĂ

De asemenea, în ceea ce privește sarcinile DPO, prevăzute de art. 39 din regulament, considerăm
NOUTĂȚI

că acestea pot fi structurate în trei categorii[13]: informare și consiliere (din oficiu sau la cerere);
monitorizarea conformității cu regulamentul; cooperarea cu autoritatea de supraveghere și
asumarea rolului de punct de contact în relația cu aceasta.

Subliniem, în context, un aspect foarte important și anume că, indiferent de modalitatea de

desemnare a DPO, de poziția sa în cadrul sau în afara unei organizații ori de statutul juridic
aplicabil acestuia, drepturile și obligațiile rămân aceleași, atât pentru operator sau persoana
împuternicită de operator, cât și pentru responsabilul cu protecția datelor, iar răspunderea este
atrasă, în egală măsură, în condițiile GDPR și în mod particular, în condițiile dreptului intern ce
reglementează activitatea DPO.

Vom analiza, în secțiunile următoare, particularitățile ce decurg din modalitatea de angajare[14]

a responsabilului cu protecția datelor, raportate la funcțiile și la sarcinile pe care acesta trebuie
să le îndeplinească, la obligațiile angajatorului/părții la contractul de servicii, precum și la
responsabilitățile asociate acestora[15]. Criteriul pe care l-am avut în vedere este reprezentat
de munca prestată de DPO pe baza unor raporturi juridice de muncă, a unor raporturi juridice
de serviciu, respectiv munca prestată în afara unor raporturi juridice de muncă, pe baza unui
contract civil[16]. Fără a interfera în dezbaterile doctrinare[17], subliniem și cu această ocazie[18]
faptul că legislația în materie din România recunoaște autonomia noțiunilor de funcție publică,
funcționar public sau raport de serviciu în raport cu noțiunile de salariat și raport de muncă,
[12]
Pentru detalii a se vedea I. Alexe, Principalele noutăți privind responsabilul cu protecția datelor, incluse în GDPR, op. cit.,
pct. 3.
Pentru detalii a se vedea I. Alexe, Principalele noutăți privind responsabilul cu protecția datelor, incluse în GDPR, op. cit.,
[13]

pct. 4.
[14]
Pentru sensul noțiunii de angajat a se vedea I.T. Ștefănescu, op. cit., p. 28.
[15]
Pentru detalii despre responsabilul cu protecția datelor ce își desfășoară activitatea în administrația publică a se
vedea A.M. Brezniceanu, Data Protection Officer – a new proffesion in public administration?, în Revista de Științe Politice
nr. 55/2017, p. 79-88.
Pentru distincția între contratul de muncă și contractul de prestări de servicii, respectiv pentru analizarea raportului
[16]

dintre dreptul muncii și dreptul civil a se vedea I.T. Ștefănescu, op. cit., p. 50-55.
Cu titlu de exemplu, a se vedea: I.T. Ștefănescu, op. cit., p. 24-28; V. Vedinaș, Drept Administrativ, ed. a X-a, Ed. Universul
[17]

Juridic, București, 2017, p. 286-290; V. Vedinaș, Statutul funcționarilor publici (Legea nr. 188/1999. Comentarii, legislație,
doctrină și jurisprudență, ed. a II-a, Ed. Universul Juridic, București, 2016, p. 205-229; I. Alexe, Înalții funcționari publici,
Ed. Universul Juridic, București, 2014, p. 21-25.
[18]
Pentru detalii a se vedea I. Alexe, Mai răspund disciplinar înalții funcționari publici?, în R.R.D.M. nr. 3/2017, p. 63.

56 | REVISTA ROMÂNĂ DE DREPTUL MUNCII NR. 2/2018 | DOCTRINĂ

 Responsabilul cu protecția datelor (DPO) - funcționar public sau personal contractual?

astfel încât, în continuare, vom trata în mod distinct aceste noțiuni, aplicabile și responsabilului
cu protecția datelor.

2. Responsabilul pentru protecția datelor angajat în baza unui

contract de muncă
Coroborând dispozițiile relevante ale GDPR, în special cele referitoare la obligativitatea desemnării
unui DPO de către organismele publice dar și de către operatorii ori persoanele împuternicite
de operatori din sfera privată, respectiv pe cele potrivit cărora nimic nu interzice unui operator
să desemneze un DPO, care să-l ajute să-și desfășoare activitatea în conformitate cu dispozițiile
regulamentului, am identificat o primă situație, în care DPO își îndeplinește sarcinile în cadrul
unui raport de muncă, pe baza unui contract de muncă.

Această situație comportă două dimensiuni: DPO este desemnat din rândul angajaților, sau DPO
este nou angajat. În România devin astfel aplicabile dispozițiile legislației muncii[19], prevederile
GDPR, dar și atribuțiile specifice cuprinse în contractul de muncă, în regulamentul intern de
organizare și funcționare, respectiv în fișa postului. Semnalăm și faptul că, în funcție de calitatea
operatorului sau a persoanei desemnată de operator, de autoritate sau organism public, respectiv
de organism privat, se aplică un regim juridic diferențiat pentru selectarea DPO în sensul că, spre
deosebire de sectorul privat, în sectorul public, este obligatoriu ca procedura de selecție a unui
DPO să respecte și regulile concurențiale.

Deși am precizat deja că responsabilul cu protecția datelor nu este o instituție nou introdusă
de GDPR, în România ea a fost inclusă în clasificarea ocupațiilor abia în luna noiembrie a anului
2017[20], iar în acest moment se fac demersurile legale pentru aprobarea standardului ocupațional
aferent DPO[21]. Nici la nivel european lucrurile nu stau mai bine[22], un singur stat fiind pregătit
în acest moment pentru a asigura formarea profesională a viitorilor responsabili cu protecția
datelor[23].

[19]
Considerăm relevante Legea nr. 53/2003 – Codul muncii, republicată în M. Of. nr. 3445 din 18 mai 2011, cu
modificările și completările ulterioare și Legea nr. 62/2011, Legea dialogului social, publicată în M. Of. nr. 322 din 10 mai
2011, cu modificările și completările ulterioare.
[20]
Prin Ordinul nr. 1786/5384/2017 al ministrului muncii și justiției sociale și al președintelui Institutului Național de
Statistică privind modificarea și completarea Clasificării ocupațiilor din România – nivel de ocupație (șase caractere)
aprobată prin Ordinul ministrului muncii, familiei și protecției sociale și al președintelui Institutului Național de
Statistică nr. 1832/856/2011 (M. Of. nr. 909 din 21 noiembrie 2017).
[21]
Recent, Comitetul Sectorial Administrație și Servicii Publice din cadrul Autorității Naționale pentru Calificări, a validat
standardul ocupațional aferent DPO, iar în perioada scursă de la data predării articolului pentru publicare și până la data
publicării sale, Standardul ocupațional pentru educație și formare profesională a Responsabilului cu protecția datelor
cu caracter personal – cod COR 242231 a fost aprobat de Autoritatea Națională pentru Calificări, prin Decizia nr. 74 din
19 martie 2018.
[22]
International Association of Privacy Professionals a evaluat la aproximativ 75000 de DPO necesari pentru
implementarea GDPR. A se vedea, cu unele comentarii: T. Wright, S.P. Farmer, DPO as a Service - Outsourcing the
Role of Data Protection Officer, 12 decembrie 2017, disponibil la adresa https://www.lexology.com/library/detail.
aspx?g=ee03952c-544f-4be0-b026-b37420912384
Semnalăm, în context, și faptul că autoritatea spaniolă pentru protecția datelor este prima din Uniunea Europeană
[23]

care a instituit reglementări pentru sistemele de certificare a responsabililor cu protecția datelor, ce pot fi consultate la
adresa http://www.agpd.es/portalwebAGPD/temas/certificacion/common/pdf/SCHEME_AEPD_DPD.pdf.

DOCTRINĂ | REVISTA ROMÂNĂ DE DREPTUL MUNCII NR. 2/2018 | 57

 Irina ALEXE

Apare astfel, întrebarea firească, cine va fi DPO începând cu data de 25 mai 2018.

În ipoteza în care DPO este desemnat din rândul angajaților operatorului sau al persoanei
împuternicite este necesară modificarea contractului individual de muncă, dacă angajatul
primește atribuții noi prin cumul cu cele existente deja sau dacă angajatul este încadrat cu normă
întreagă în postul de DPO, respectiv a fișei postului. Apreciem că aceasta din urmă este cea mai
bună soluție de desemnarea a unui DPO, din rândul personalului propriu, care să corespundă
cerințelor prevăzute de regulament[24] și care să cunoască foarte bine organizația din care face
parte și activitățile specifice acesteia.

În ipoteza în care angajatorul optează pentru o recrutare a unui DPO care urmează să facă parte
din rândul angajaților săi, este necesară derularea procedurilor legale în vederea încheierii unui
DOCTRINĂ
NOUTĂȚI

contract individual de muncă, pe durată determinată sau nedeterminată, în funcție de cerințele

angajatorului. Ideal ar fi ca recrutarea, în vederea ocupării postului, să se facă pentru o perioadă
nedeterminată, tocmai pentru a asigura stabilitatea unui astfel de responsabil și continuitatea
derulării activității, inclusiv în beneficiul angajatorului.

Mai ales în situația cumulului de funcții, respectiv a cumulului de sarcini și atribuții, este necesară,
pe de o parte, asigurarea independenței DPO în îndeplinirea sarcinilor, dar și evitarea oricărui
conflict de interese. Deși regulamentul nu detaliază aceste aspecte, grupul de lucru a exemplificat
funcții ce pot intra în conflict cu cea de responsabil pentru protecția datelor, a stabilit exemple
de bună practică în materie și a făcut câteva recomandări potrivit cărora „DPO nu poate deține
o poziție în cadrul organizației care ar conduce la posibilitatea ca DPO să stabilească scopurile
și mijloacele de prelucrare a datelor cu caracter personal. Acest lucru trebuie luat în considerare
de la caz la caz, ținându-se cont de structura organizațională specifică fiecărei organizații”[25].

Menționăm și importanța acordată de regulament asigurării de către operator și de către persoana

împuternicită de acesta inclusiv a resurselor necesare DPO „pentru menținerea cunoștințelor sale
de specialitate”[26]. Apreciem că această obligație ar presupune inclusiv finanțarea și încurajarea
participării DPO la cursuri și programe de pregătire continuă pentru dobândirea unei experiențe
corespunzătoare derulării activității, mai ales în contextul evoluției nu numai a tehnologiei,
ci și a legislației în domeniu, sau la diverse forme de schimb de experiență/practici aplicabile
domeniului.

În situaţia cumulului de funcții sau în situația unui DPO angajat part-time, grupul de lucru a
stabilit că ar trebui să se aibă în vedere pe de o parte, prioritatea îndeplinirii sarcinilor și alocarea
unui timp corespunzător pentru acestea, astfel încât conflictul de priorități să nu se manifeste în
defavoarea îndeplinirii atribuțiilor DPO, sau prevederea unui procent de timp pentru realizarea
muncii ca DPO, ca un exemplu de bună practică[27].

Potrivit dispozițiilor art. 37 alin. (5) din regulament DPO „este desemnat pe baza calităților profesionale și, în special,
[24]

a cunoștințelor de specialitate în dreptul și practicile din domeniul protecției datelor, precum și pe baza capacității de
a îndeplini sarcinile prevăzute la art. 39”. Pentru detalii a se vedea I. Alexe, Principalele noutăți privind responsabilul cu
protecția datelor, incluse în GDPR, op. cit., pct. 2.
[25]
Pentru detalii a se vedea pct. 3.5, Conflict de interese, din Ghidul DPO, p. 16.
[26]
A se vedea teza ultimă a alin. (2) al art. 38 din regulament.
[27]
Pentru detalii a se vedea pct. 3.2, Resursele necesare, din Ghidul DPO, p. 14.

58 | REVISTA ROMÂNĂ DE DREPTUL MUNCII NR. 2/2018 | DOCTRINĂ

 Responsabilul cu protecția datelor (DPO) - funcționar public sau personal contractual?

Regulamentul nu stabilește locul unui DPO în organigrama unei organizații ci, prin articolele sale,
impune doar câteva cerințe minimale: implicarea în mod corespunzător și în timp util în toate
activitățile specifice ce vizează protecția datelor, asigurarea independenței activității, asigurarea
resurselor necesare, obligativitatea păstrării secretului sau a confidențialității, răspunderea directă
„în fața celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator”[28],
respectiv asigurarea garanțiilor că nu va fi demis sau sancționat pentru îndeplinirea sarcinilor sale.

Garanțiile respective sunt menite să asigure independența DPO, precum și să faciliteze îndeplinirea
atribuțiilor pe care regulamentul le prevede pentru acesta, atât în interiorul organizației cât și
în relația cu persoanele vizate și cu autoritatea de supraveghere. Asta nu înseamnă că DPO nu
răspunde pentru neîndeplinirea obligațiilor sale. Chiar dacă, potrivit GDPR, nu DPO ci operatorul
răspunde pentru conformitatea activității sale cu prevederile regulamentului[29], DPO răspunde și
el, potrivit dreptului intern, în funcție de statutul și legislația aplicabile, care îi guvernează raportul
de muncă cu angajatorul, pentru neîndeplinirea obligațiilor sale[30].

Faptul că DPO răspunde[31] în fața celui mai înalt nivel al conducerii, coroborat cu cerințele
de independență și cu sarcinile sale de informare și consiliere a operatorului sau a persoanei
împuternicite ne arată că acesta ar trebui să aibă un loc distinct în arhitectura organizațională,
variind de la o organizație la alta, în funcție de mărimea și de specificul acestora, precum și de
volumul activităților care vizează protecția datelor.

3. Responsabilul pentru protecția datelor angajat într-o funcție

publică, pe baza unui raport de serviciu
Diverse particularități pot să apară pentru DPO și în situația în care, fiind obligatorie desemnarea
sa în cadrul autorităților sau organismelor publice, acesta ocupă o funcție publică. Într-o astfel
de ipoteză, în România, raportul de serviciu[32] este guvernat de legislația specifică funcționarului
public[33], de prevederile GDPR, dar și atribuțiile specifice cuprinse în regulamentul intern de
[28]
A se vedea teza ultimă a alin. (3) al art. 38 din regulament.
[29]
Pentru detalii a se vedea art. 24 din regulament.
În dreptul muncii sunt descrise următoarele patru forme de răspundere: răspunderea disciplinară, răspunderea
[30]

patrimonială, răspunderea contravențională și răspunderea penală. Pentru analiza acestor forme de răspundere a se
vedea I.T. Ștefănescu, op. cit., p. 826 și urm.
A se vedea și: W. Gregory Voss, Internal Compliance Mechanisms for Firms in the EU General Data Protection Regulation,
[31]

Revue juridique Thémis de l’Université de Montréal (RJTUM), vol. 50 (3), p. 783-820 (pre-print; the final version will be
available on the Thémis. Disponibil în SSRN: https://ssrn.com/abstract=3104800, p. 18; C. Harantty, Legal risks to beign
a DPO, disponibil la adresa https://iapp.org/media/pdf/resource_center/DPO-Liability-Whitepaper-FINAL.pdf.
Pentru descrierea raportului de serviciu, comparativ cu raportul de muncă, a se vedea I.T. Ștefănescu, op. cit., p. 26.
[32]

De asemenea, despre natura juridică a raportului de serviciu, precum și despre controversele doctrinare în materie a se
vedea V. Vedinaș, op. cit., p. 286-289.
[33]
Relevante în acest sens considerăm a fi: Legea nr. 188/1999 privind Statutul funcționarilor publici, publicată în M. Of.
nr. 600 din 8 decembrie 1999, fiind ulterior modificată, completată și republicată (în continuare, atunci când facem
trimitere la Legea nr. 188/1999, cu modificările și completările ulterioare, ne referim la textul Legii nr. 188/1999 privind
Statutul funcționarilor publici, republicată, cu modificările și completările ulterioare, aduse până la data de 8 februarie
2018); Legea nr. 7/2004 privind Codul de conduită a funcționarilor publici (publicată în M. Of. nr. 157 din 23 februarie
2004), republicată; Legea nr. 161/2003 privind unele măsuri pentru asigurarea transparenței în exercitarea demnităților
publice, a funcțiilor publice și în mediul de afaceri, prevenirea și sancționarea corupției (publicată în M. Of. nr. 279 din
21 aprilie 2003), cu modificările și completările ulterioare.

DOCTRINĂ | REVISTA ROMÂNĂ DE DREPTUL MUNCII NR. 2/2018 | 59

 Irina ALEXE

organizare și funcționare, respectiv în fișa postului. De asemenea, în funcție de autoritatea sau

organismul public în cadrul căreia/căruia este prevăzută funcția publică de DPO, este posibil ca
funcționarul respectiv să beneficieze de unul dintre statutele speciale prevăzute de alin. (1) al
art. 5 din Statutul funcționarilor publici. Semnalăm, de asemenea, existența, chiar în textul art. 117
al Legii nr. 188/1999, a prevederii potrivit căreia dispozițiile legii respective „se completează cu
prevederile legislației muncii, precum și cu reglementările de drept comun civile, administrative
sau penale, după caz, în măsura în care nu contravin legislației specifice funcției publice”.

Ne propunem astfel să identificăm în ce măsură activitățile, sarcinile și atribuțiile prevăzute de

regulament pentru DPO se circumscriu sau nu prerogativelor de putere publică prevăzute de lege,
pe care le implică exercitarea unei funții publice[34]. Analizând comparativ textele art. 38 și art. 39
din regulament cu cel al art. 2 alin. (2) din statut putem constata câteva similarități în ceea ce
DOCTRINĂ
NOUTĂȚI

privește unele dintre activitățile desfășurate de un funcționar public și principalele activități pe

care le desfășoară un responsabil cu protecția datelor, după cum urmează:

a) punerea în executare a actelor normative – monitorizarea respectării regulamentului,

informarea și consilierea în vederea asigurării conformității;

b) consilierea, controlul și auditul public intern – consilierea, inclusiv în ceea ce privește evaluarea
impactului asupra protecției datelor și monitorizarea funcționării acesteia;

c) reprezentarea intereselor autorității sau instituției publice în raporturile acesteia cu persoane

fizice sau juridice – cooperarea cu autoritatea de supraveghere și asumarea rolului de punct
de contact nu numai în relația cu aceasta, ci și în relația cu persoanele vizate.

Analizând aceste similarități putem desprinde concluzia că un responsabil cu protecția datelor în

cadrul unei autorități sau unui organism public poate ocupa o funcție publică, nu numai un post
contractual și, cel mai probabil, poate să ocupe și o funcție publică pentru care este aplicabil unul
dintre statutele speciale prevăzute de lege.

Apare însă o întrebare firească, referitoare la cel fel de funcție publică poate ocupa un responsabil
cu protecția datelor, în raport cu rolul, poziția și sarcinile pe care regulamentul le prevede pentru
acesta.

Dacă luăm în considerare regula potrivit căreia „exercitarea raportului de serviciu se realizează
pe perioadă nedeterminată”[35] și nu excepția în conformitate cu care doar funcțiile publice din
categoria celor de execuție pot să fie ocupate și pe o perioadă determinată, în condițiile prevăzute
de lege[36], pare că scopurile prevăzute în regulament pot fi atinse, dar și că garanțiile conferite
DPO pot fi asigurate, având în vedere și faptul că acestea sunt asemănătoare cu garanțiile pe
care Statutul funcționarilor publici le conferă unei persoane care exercită funcția publică în
conformitate cu principiile prevăzute la art. 3 din Legea nr. 188/1999.

Dacă avem în vedere clasificarea funcțiilor publice în raport de nivelul atribuțiilor titularului
funcției publice, prevăzută la art. 10 din Legea nr. 188/1999, se pune întrebarea în care dintre
cele trei categorii de funcții publice ar putea fi încadrat un DPO.
[34]
Pentru detalii a se vedea textul alin. (3) al art. 2 din Legea nr. 188/1999.
[35]
Pentru detalii a se vedea textul alin. (2) al art. 4 din Legea nr. 188/1999.
[36]
Pentru detalii a se vedea textul alin. (3) al art. 4 din Legea nr. 188/1999.

60 | REVISTA ROMÂNĂ DE DREPTUL MUNCII NR. 2/2018 | DOCTRINĂ

 Responsabilul cu protecția datelor (DPO) - funcționar public sau personal contractual?

Răspunsul la întrebarea dacă un DPO ar putea să exercite o funcție din categoria înalților
funcționari publici este mai puțin probabil să fie pozitiv, dar nu imposibil, având în vedere pe
de o parte cerințele de independență și, pe de altă parte, situarea în apropierea celui mai înalt
nivel al conducerii instituției sau organismului public. Cu siguranță nu va putea fi desemnat DPO
un înalt funcționar public ce ocupă o funcție de prefect sau de secretar general, dar nimic nu
împiedică desemnarea unui DPO, mai ales în cazul cumulului de funcții, din rândul secretarilor
generali adjuncți, al subprefecților sau al inspectorilor guvernamentali. În toate cazurile trebuie
însă avute în vedere cerințele regulamentului, dimensiunea organizației, rolul înaltului funcționar
public desemnat DPO și, mai ales, evitarea conflictelor de interese.

Răspunsul la întrebarea dacă un DPO ar putea să exercite o funcție din categoria funcționarilor
publici de conducere este, în opinia mea, cel mai probabil să fie pozitiv, mai ales prin prisma
rolului pe care acest DPO – funcționar de conducere trebuie să îl aibă în cadrul organizației.
O astfel de situație poate fi întâlnită mai ales în cazurile în care DPO este, așa cum vom vedea
în continuare, conducătorul unei structuri specializate.

Rămâne astfel în discuție cea de-a treia categorie de funcții publice, cea a funcționarilor publici
de execuție, iar întrebarea aferentă este aceea dacă un DPO ar putea ocupa o astfel de funcție.
Răspunsul este, evident, unul pozitiv, mai ales în cazul organismelor publice care nu au un număr
mare de angajați, cum ar fi o autoritate a administrației publice locale, însă apreciez că mai
ales în astfel de cazuri trebuie asigurate cerințele de independență și de evitare a conflictelor
de interese.

Sunt aplicabile și în cazul funcționarilor publici/raporturilor de serviciu, aspectele detaliate

anterior, în cazul raporturilor de muncă, referitoare la răspunderea DPO[37], dar și la conflictele
de priorități, respectiv referitoare la evitarea conflictelor de interese, în cazul cumulului de
funcții.

În cazul ipotetic al unui DPO angajat ca funcționar public ar mai exista o problemă majoră, de
ordin legal, care rezidă din faptul că, potrivit art. 2 din Legea nr. 188/1999, „funcțiile publice sunt
prevăzute în anexa la lege”, iar funcția de responsabil cu protecția datelor nu este prevăzută
în anexă[38]. Am arătat deja că ocupația de responsabil cu protecția datelor a fost inclusă în
clasificarea ocupațiilor din România și că procedurile legale ce trebuie realizate pentru ca această
ocupație să devină efectivă sunt în curs de derulare. Considerăm însă că ipoteza DPO angajat
ca funcționar public poate fi validă numai printr-o completare corespunzătoare a legii, pe care
autoritățile competente ar trebui să o aducă în dezbaterea publică și să o adopte cât mai curând
posibil.

Potrivit dispozițiilor art. 57 din Legea nr. 188/1999, spre deosebire formele de răspundere ce pot fi atrase în dreptul
[37]

muncii, răspunderea funcționarilor publici pentru încălcarea „cu vinovăție, a îndatoririlor de serviciu” poate îmbrăca
forma răspunderii „disciplinară, contravențională, civilă sau penală, după caz”. Pentru analiza acestora a se vedea
V. Vedinaș, op. cit., p. 529 și urm.
[38]
În conformitate cu prevederile Notei inclusă la pct. II din anexa Legii nr. 188/1999, „funcțiile publice specifice,
altele decât cele prevăzute la pct. II, se pot stabili de autoritățile și instituțiile publice, cu avizul Agenției Naționale a
Funcționarilor Publici”, însă apreciem că nu ne aflăm într-o astfel de situație, în ceea ce privește funcția de responsabil
cu protecția datelor.

DOCTRINĂ | REVISTA ROMÂNĂ DE DREPTUL MUNCII NR. 2/2018 | 61

 Irina ALEXE

4. Responsabilul pentru protecția datelor - parte a unui contract de

servicii
Referitor la poziția DPO, în cadrul organizației, internă sau externă acesteia, am precizat deja că
alin. (6) al art. 37 din GDPR instituie inclusiv posibilitatea ca DPO să își poată îndeplini sarcinile
în baza unui contract de servicii, iar doctrina descrie particularitățile acestui tip de contract[39].

Analizând obiectul raportului de muncă, profesorul I.T. Ștefănescu exprimă opinia potrivit căreia
„constituie o caracteristică aparte și faptul că persoana care prestează munca este, fără excepție,
o persoană fizică. În plus, raportul individual de muncă exclude pluralitatea de subiecte, posibilă
în raportul juridic civil”[40]. De asemenea, inclusiv grupul de lucru a precizat că „funcția DPO
DOCTRINĂ

poate fi (…) exercitată în baza unui contract de prestări servicii încheiat cu o persoană fizică sau
NOUTĂȚI

o organizație din afara organizației operatorului/persoanei împuternicite de operator. În acest

ultim caz, este esențial ca fiecare membru al organizației care exercită funcțiile unui DPO să
îndeplinească toate cerințele”[41] prevăzute de regulament pentru DPO. În cazul în care DPO parte
a contractului este o organizație și nu o persoană fizică apreciem că ar fi oportun ca în contract
să fie detaliate rolurile membrilor organizației respective.

Principala trăsătură a unui astfel de contract civil, descris în Codul civil ca un contract
sinalagmatic, cu obligații reciproce și interdependente pentru părți, o constituie egalitatea juridică
a părților, aspect care nu se întâlnește nici în cazul raportului de muncă și nici în cazul raportului
de serviciu.

Semnalăm faptul că, în opinia noastră, obligațiile părților la contract, descrise în GDPR, ar trebui
preluate și detaliate în cuprinsul contractului, pentru a fi reglementate toate aspectele ce decurg
dintr-o astfel de relație contractuală, dar respectând și regulamentul, evitând conflictele de
interese și alocând resursele în mod eficient.

Considerăm că o privire specială trebuie acordată răspunderii DPO care este parte a unui
contract de servicii. Atragem din start atenția asupra faptului că, în cazul unui astfel de contract,
răspunderea disciplinară nu ar putea fi angajată în situația nerespectării obligațiilor legale și
contractuale.

De asemenea, este dificil de argumentat cum ar putea fi îndeplinită, în situația existenței

unui astfel de contract, obligația de sprijin al DPO prin asigurarea resurselor necesare pentru
menținerea cunoștințelor sale de specialitate, prevăzută la art. 38 alin. (2) teza ultimă din
regulament.

O altă chestiune ce ar trebui discutată în cazul încheierii unui astfel de contract este aceea că,
dacă operatorul sau persoana împuternicită de acesta este o autoritate sau un organism public,
procedura de selecție a unui DPO trebuie să fie realizată în mod transparent, respectând regulile
concurențiale și pe cele ale cheltuirii eficiente ale resurselor publice.

[39]
Pentru analiza caracteristicilor unui astfel de contract a se vedea: I.T. Ștefănescu, op. cit., p. 50-51; Al. Țiclea, op. cit., p. 11.
[40]
I.T. Ștefănescu, op. cit., p. 50.
[41]
Ghidul DPO, p. 12.

62 | REVISTA ROMÂNĂ DE DREPTUL MUNCII NR. 2/2018 | DOCTRINĂ

 Responsabilul cu protecția datelor (DPO) - funcționar public sau personal contractual?

Apreciem că această modalitate de desemnare a unui DPO poate fi eficientă în anumite situații
și chiar preferabilă atunci când în rândul angajaților nu este identificată o persoană care să
aibă pregătirea și capacitățile necesare pentru a îndeplini sarcinile unui DPO, însă considerăm
că principala vulnerabilitate o constituie investiția în două resurse importante ce ar trebui să
guverneze un astfel de contract: timpul și, respectiv, încrederea pe care părțile trebuie să și le
acorde reciproc.

5. Responsabilul pentru protecția datelor - reprezentant comun al

unui grup de întreprinderi
Corelând textul art. 37 alin. (2) din GDPR cu ghidul observăm că un DPO unic poate fi numit în
cadrul unui grup de întreprinderi, regulamentul instituind în acest caz doar condiția accesibilității
DPO, cu ușurință, din fiecare întreprindere. Grupul de lucru detaliază accesibilitatea DPO în sensul
că aceasta „se referă la sarcinile DPO ca punct de contact în ceea ce privește persoanele vizate,
autoritatea de supraveghere dar și pe plan intern în cadrul organizației”[42], că ea trebuie să fie
efectivă și recomandă ca DPO să fie localizat pe teritoriul Uniunii Europene, admițând totuși că
pot exista și situații în care operatorul sau persoana împuternicită nu își are sediul în Uniunea
Europeană[43] și atunci DPO își poate îndeplini sarcinile cu mai multă eficiență dacă este și el
localizat în afara acestui teritoriu[44].

6. Responsabilul pentru protecția datelor unic pentru mai multe

autorități sau organisme publice
Potrivit textului art. 37 alin. (3) din regulament, este posibil să fie desemnat un DPO unic pentru
situațiile în care operatorul sau persoana împuternicită este o autoritate sau un organism public,
iar în aceste cazuri este necesar a fi avute în vedere structura organizatorică și dimensiunea
acestora[45].

Considerăm că, într-o astfel de ipoteză, o atenție specială ar trebui să fie acordată modalității de
desemnare a DPO, care poate fi angajat al uneia dintre autorități/organisme publice sau parte
a unui contract de servicii. În oricare dintre situații este necesară respectarea regulamentului și
evident, evitarea conflictelor de interese, iar în situația în care DPO, parte a unui contract de
servicii, este o entitate și nu o persoană fizică, ar trebui acordată atenție rolului de coordonator
al echipei, respectiv desemnării unui DPO, dintre membrii echipei, pentru autoritățile sau
organismele publice. Detaliem aceste aspecte în cuprinsul secțiunii următoare.

[42]
Ghidul DPO, p. 10.
[43]
Pentru analizarea domeniului de aplicare teritorial al GDRP a se vedea I. Alexe, C.M. Banu, De la directivă la regulament
în reglementarea protecției datelor cu caracter personal la nivelul Uniunii Europene, în volumul I. Alexe, N.D. Ploeșteanu,
D.M. Șandru (coord.), op. cit., p. 24-27.
[44]
Ghidul DPO, pct. 2.4 Accesibilitatea și localizarea DPO, p. 11.
International Association of Privacy Professionals a evaluat la aproximativ 75000 de DPO necesari pentru
[45]

implementarea GDPR. A se vedea, cu unele comentarii: T. Wright, S.P. Farmer, DPO as a Service - Outsourcing the
Role of Data Protection Officer, 12 decembrie 2017 disponibil la adresa https://www.lexology.com/library/detail.
aspx?g=ee03952c-544f-4be0-b026-b37420912384

DOCTRINĂ | REVISTA ROMÂNĂ DE DREPTUL MUNCII NR. 2/2018 | 63

 Irina ALEXE

7. Responsabilul pentru protecția datelor – conducător al unei

structuri specializate
Analizând toate posibilitățile de desemnare a DPO descrise mai sus intervine, în mod firesc,
întrebarea dacă DPO poate sau nu să fie conducătorul unui structuri specializate, iar răspunsul
este, în mod evident, unul pozitiv. Chiar grupul de lucru a recomandat recurgerea la această
variantă, în anumite condiții: „Având în vedere mărimea și structura organizației, ar putea fi
necesară crearea unei echipe DPO (un DPO și personalul său). În astfel de cazuri, structura internă
a echipei și sarcinile și responsabilitățile fiecărui membru ar trebui să fie în mod clar elaborate.
În mod similar, atunci când funcția de DPO este exercitată de un furnizor extern de servicii, o
echipă de persoane fizice care lucrează pentru respectiva entitate poate îndeplini în mod eficient
DOCTRINĂ
NOUTĂȚI

sarcinile unui DPO ca o echipă, sub responsabilitatea unui punct de contact principal desemnat
pentru client”[46].

În acest context menționăm, ca un exemplu de bună practică din România, că în cadrul

Ministerului Afacerilor Interne a existat, în temeiul legislației anterioare, și există în continuare
o structură specializată în protecția datelor, denumită Oficiul Responsabilului cu Protecția Datelor
Personale, condusă de un funcționar cu statut special, ce îndeplinește rolul de DPO pentru
minister și care are în subordine o echipă specializată ce asigură respectarea dispozițiilor legale
în materie atât pentru structura centrală a ministerului cât și pentru structurile subordonate
acestuia[47].

8. Consultant sau angajat care, fără a fi DPO, îndeplinește sarcinile

acestuia
În analiza pe care grupul de lucru a făcut-o cu privire la DPO a mai identificat o serie de situații
în care o organizație nu este obligată să desemneze un DPO și nici nu dorește să îl desemneze în
mod voluntar, dar angajează personal propriu sau un consultant extern pentru a efectua anumite
sarcini ce vizează protecția datelor cu caracter personal.

Am analizat aceste aspecte într-un studiu anterior[48] iar pentru astfel de situații grupul de
lucru arată că „este important să se asigure că nu există nicio confuzie în ceea ce privește titlul,
statutul, poziția și sarcinile acestora. Prin urmare, trebuie clarificat în orice comunicare în cadrul
companiei, precum și cu autoritățile pentru protecția datelor, persoanele vizate și publicul larg,
că titlul acestei persoane sau consultant nu este cel de responsabil cu protecția datelor”[49].

O altă precizare, referitoare la acest subiect, pe care a adus-o grupul de lucru dar și doctrina a
fost aceea că atunci când nu sunt asigurate garanțiile prevăzute de regulament pentru exercitarea

[46]
Pentru detalii a se vedea pct. 3.2, Resursele necesare, din Ghidul DPO, p. 14.
Pentru detalii a se vedea prezentarea și atribuțiile Oficiului Responsabilului cu Protecția Datelor Personale din cadrul
[47]

Ministerului Afacerilor Interne, disponibile la adresa http://www.mai.gov.ro/index03_3_01.html

[48]
A se vedea I. Alexe, Principalele noutăți privind responsabilul cu protecția datelor, incluse în GDPR, op. cit., pct. 2.
[49]
Pentru detalii a se vedea pct. 2.1, Desemnarea obligatorie, din Ghidul DPO, p. 5-6.

64 | REVISTA ROMÂNĂ DE DREPTUL MUNCII NR. 2/2018 | DOCTRINĂ

 Responsabilul cu protecția datelor (DPO) - funcționar public sau personal contractual?

sarcinilor și atribuțiilor unui responsabil cu protecția datelor, persoanele în cauză nu pot fi

considerate sau numite DPO, în sensul GDPR[50].

9. Concluzii
Regulamentul general privind protecția datelor conferă responsabilului pentru protecția datelor
un rol foarte important, de actor-cheie în funcționarea unei organizații, în scopul asigurării
conformității activității acesteia cu prevederile regulamentului.

Regulamentul are aplicabilitate directă, în toate statele membre ale Uniunii Europene, începând
cu data de 25 mai 2018.

În ceea ce privește desemnarea responsabilului cu protecția datelor am identificat doar în cazul

României cel puțin trei posibilități de desemnare, cu regimuri juridice distincte și cu probleme
specifice fiecăreia dintre aceste posibilități, iar întrebarea la care suntem chemați să identificăm
răspuns, probabil după aplicarea efectivă, se referă la cum va fi asigurat, în acest domeniu, un
regim uniform de aplicare în toate statele membre ale Uniunii Europene.

Pregătirile pentru aplicare trebuiau demarate încă din anul 2016 pentru ca în intervalul de
doi ani alocat acestui scop să fie luate toate măsurile necesare, inclusiv pentru pregătirea/
profesionalizarea celor abilitați să îl aplice, însă există îngrijorări serioase inclusiv la nivelul Uniunii
Europene întrucât, cu excepția unui număr foarte mic de state membre, nu au fost adoptate încă,
pe plan intern, măsurile necesare[51].

[50]
A se vedea și: J. Kaufmann, J.-P. Guenther, Germany: Data Protection Officer must not have a conflict of interests,
21 noiembrie 2017, disponibil la adresa https://globalcompliancenews.com/germany-data-protection-officer-conflict-
of-interest-20161121/; J. Kaufmann, J.-P. Guenther, Data Protection Officers Must Not Have a Conflict of Interest, 9 ianuarie
2018, disponibil la adresa https://globalcompliancenews.com/data-protection-officers-conflict-interest-20180109/
[51]
Pentru detalii a se vedea https://euobserver.com/justice/140683. Semnalăm, în context, și faptul că autoritatea
spaniolă pentru protecția datelor este prima din Uniunea Europeană care a instituit reglementări pentru sistemele de
certificare a responsabililor cu protecția datelor, Spanish Data Protection Agency (AEPD), Certification Scheme of Data
Protection Officers from the Spanish Data Protection Agency (DPO-AEPD SCHEME), November 2017, ce pot fi consultate
la adresa http://www.agpd.es/ portalwebAGPD/temas/ certificacion/common/pdf/ SCHEME_AEPD_DPD.pdf

DOCTRINĂ | REVISTA ROMÂNĂ DE DREPTUL MUNCII NR. 2/2018 | 65

Reproduced with permission of copyright owner. Further
reproduction prohibited without permission.