Conflictele de interese, pentru responsabilul cu protecția

datelor cu caracter personal - DPO

DPO-ul poate ocupa, concomitent, și altă funcție/funcții într-o instituție, dar trebuie
evitate conflictele de interese
Responsabilul cu protecția datelor („data protection officer” sau DPO, pe scurt), de
care vor avea nevoie companiile ce se ocupă în principal cu prelucrarea datelor
personale, va putea să ocupe, în același timp, și altă funcție.
Practic, DPO-ului nu-i va fi interzis să îndeplinească alte sarcini și atribuții în afară
de cele specifice funcției sale, dar firmele vor trebui să se asigure că nu apar
conflicte de interese. Obligația numirii DPO-ului este prevăzută de (GDPR), act
normativ care se aplică, în mod direct, în toate statele membre ale Uniunii
Europene, începând cu data de 25 mai 2018.
În esență, vor trebui să numească un DPO firmele care se ocupă în principal de
prelucrarea datelor personale.
GDPR prevede în mod expres că responsabilul cu protecția datelor va putea ocupa,
concomitent, și altă funcție în cadrul firmei, însă numai în măsura în care nu există
conflicte de interese. „Responsabilul cu protecția datelor poate îndeplini și alte
sarcini și atribuții. Operatorul sau persoana împuternicită de operator se asigură
că niciuna dintre aceste sarcini și atribuții nu generează un conflict de interese”,
dispune regulamentul amintit.
De principiu, DPO-ul nu poate ocupa, în același timp, și o funcție de decizie,
ajungându-se în situația în care acesta își evaluează propria activitate privind
prelucrarea datelor personale. Conflictul de interese apare în orice situație în care
DPO-ul ar fi chemat să analizeze o chestiune în care el a decis sau pe care el a
implementat-o în cadrul altei funcții. Sau în care chiar DPO-ul stabilește scopul și
mijloacele prelucrării de date.
Ca exemplu o situație din Germania, țară de unde vine conceptul de DPO, acolo
unde o firmă a fost amendată pentru conflict de interese după ce managerul IT a
fost desemnat și responsabil cu protecția datelor.
În opinia autorităților de acolo, poziția de manager IT este incompatibilă cu cea de
DPO, deoarece acesta din urmă ar trebui să se monitorizeze pe el însuși, ceea ce ar
fi în contradicție cu independența necesară responsabilului cu protecția datelor.

1
În plus, autoritățile au subliniat că există conflict de interese dacă DPO-ul este șef
al oricărui departament implicat serios în prelucrarea de date personale, cum ar fi
cele de HR, juridic sau marketing.
Conflictul de interese este indisolubil legat de cerința independenței DPO-ului.
Orice funcții sau sarcini suplimentare încredințate DPO-ului care generează o
presiune din zona de business (de exemplu, puteri de decizie sau chiar de execuție
în legătură cu scopurile și mijloacele de prelucrare a datelor), contrară atribuțiilor
legale ale DPO-ului, sunt surse ale conflictului de interese.
Nu există o listă a unor astfel de funcții, ci acestea trebuie determinate de la caz la
caz, întrucât structurile organizatorice și procesele decizionale interne variază de la
o entitate la alta..
Exemple concrete de conflicte de interese, care pot fi rezumate astfel:
funcția de DPO e ocupată de persoane cu funcții de conducere, cum ar fi cele de:
administrator sau director general (apare un conflict de interese general, având în
vedere și puterea decizională generală cu privire la activitatea unei societăți);
director financiar (decide în aspectele financiare și poate influența decizia de a
aproba finanțarea de măsuri de conformare stabilite de GDPR);
director de resurse umane (poate influența mecanismele de prelucrare a datelor
angajaților, foștilor angajați sau potențialilor angajați);
director de marketing (poate influența mecanismele de prelucrare a datelor
clienților în activitatea de marketing);
funcția de DPO e ocupată de persoane care n-au funcții de conducere, cum ar fi
un consilier juridic ce reprezintă instituția în instanță într-un litigiu pe legalitatea
prelucrării datelor personale.
Ocuparea funcției de DPO la firme se va face fie prin desemnarea unui angajat
propriu (nou sau actual), fie prin contractarea unui colaborator extern (avocat,
persoană fizică autorizată, altă firmă etc.).
În altă ordine de idei, mai nou, responsabilul cu protecția datelor figurează și în
Clasificarea ocupațiilor din România, cod COR 242231.
Regulamentul european stabilește că responsabilul cu protecția datelor nu va
primi instrucțiuni pentru îndeplinirea sarcinilor sale. Totodată, acesta nu va
putea fi demis sau sancționat pentru că își îndeplinește sarcinile pe care le are.
Plus că va răspunde direct în fața celui mai înalt nivel al conducerii instituției,
pentru că responsabilul cu protecția datelor va avea un mare grad de

2
independență, deciziile și analizele sale neputând fi invalidate, ci doar luată o
decizie de afaceri în sensul asumării riscurilor și neîndeplinirii măsurilor indicate.
Însă indiferent cât de costisitoare sau neplăcute vor fi concluziile responsabilului
cu protecția datelor pe anumite chestiuni, contractul acestuia nu va putea fi încetat
pe acest motiv. Asta însă nu elimină posibilitatea încetării contractului pe motiv de
culpă profesională sau chiar încetarea fără motiv, dar cu preaviz.
DPO-ul nu va trebui să aibă anumite studii sau o anumită experiență profesională
pentru a ocupa această poziție la o instituție.
Totuși, GDPR impune ca această persoană să aibă cunoștințe de specialitate în
dreptul și practicile din domeniul protecției datelor.
Regulamentul european 2016/679 nu impune o anumită calificare pentru un
responsabil cu protecția datelor - DPO, ci doar solicită ca acesta să aibă
cunoștințe de specialitate în dreptul și practicile din domeniul protecției datelor
și să poată îndeplini sarcinile prevăzute la articolul 39 din regulament.
Concret, sarcini referitoare la informarea și consilierea operatorului și a angajaților
care se ocupă de prelucrări referitor la obligațiile legale care le revin privind
protecția datelor sau monitorizarea respectării legislației protecției datelor și a
politicilor instituției în ceea ce privește protecția datelor.
Un responsabil poate avea formare, de exemplu, în IT sau în managementul
proiectelor, cu condiția să fie instruit în chestiunile juridice care îi lipsesc.
Și invers, un avocat/specialist în domeniul GDPR, responsabil cu protecția datelor
are nevoie de o sumedenie de cunoștințe de ordin tehnic, pe care poate în mod
normal nu le-ar dobândi, în special pe partea de securitate, dar și chestiuni
adaptate domeniului în care activează operatorul de date, un bun exemplu fiind
entitățile implicate în publicitatea comportamentală.
Entitățile ce nu vor respecta obligația de a desemna un responsabil cu protecția
datelor vor risca amenzi destul de mari, așa cum reiese din regulamentul european
aplicabil din 25 mai 2018. Mai exact, este vorba de amenzi administrative de până
la zece milioane de euro sau, în cazul întreprinderilor, de până la 2% din cifra de
afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior.

3
 Monitorizarea conformității operatorului cu GDPR (respectarea Regulamentului, a altor
dispoziţii de drept al Uniunii sau de drept intern referitoare la protecţia datelor);
- Consultanta si asistenta de specialitate in realizarea obligatiior operatorului de date
conform GDPR, dintre care menționam evidenta operațiunilor de prelucrare a datelor cu
caracter personal, analiza de impact asupra protecției datelor, analiza si notificarea
incidentelor de securitate;
- Informarea angajaților companiei cu privire la legislația privind protecția datelor;
- Realizarea de sesiuni de training pentru salariații companiei;
- Realizarea de audituri pentru operațiunile de prelucrare a datelor cu caracter personal;
- Asigurarea consultării prealabile in fata autoritatii de supraveghere;
- Coopereaza cu Autoritatea de Supraveghere si reprezinta punctul de contact la nivelul
operatorului de date, fiind menționat in nota de informare a persoanelor vizate;
- Tine seama în mod corespunzător de riscul asociat operațiunilor de prelucrare, la
îndeplinirea sarcinilor sale.