Ministerul    Educației Naționale    și      Cercetării Științifice

Universitatea “Aurel Vlaicu” din Arad

Facultatea de Științe Umaniste și Social

Administrație Publică în Context European

Master    - Anul    II – semestrul I

Disciplină: Politici și proceduri de protecția datelor cu caracter personal la nivelul

administrație publice în contextul Regulamentului

CONF.UNIV.DR. - IOVĂNAȘ EUGENIA

                                           
 CUPRINS

1. Responsabilul    cu Protecția Datelor Personale

2. Cine poate fi desemnat Responsabil cu Protecția Datelor Personale ?

3. Unde poate activa Responsabilul cu Protecția Datelor Personale ?

4. Statutul Responsabilului cu Protecţia Datelor Personale, faţă de operator.

 Responsabilul    cu Protecția Datelor Personale

        În situații speciale de prelucrare a datelor cu caracter personal, prevăzute de GDPR sau de

Legea 190/2018 privind aplicarea GDPR în România, operatorul sau persoana împuternicită de
operator să prelucreze date personale, trebuie să desemneze un Responsabil cu Protecția Datelor
Personale – RPDP(DPO – Data Protection Officer).            

        Acesta poate fi numit din rândul personalului propriu, sau se poate contracta un serviciu
externalizat.

        Pentru asigurarea unei aplicări unitare a Regulamentului General privind Protecția Datelor,
Grupul de Lucru “Art. 29” de pe lângă Comisia Europeană, a emis Ghidul privind Responsabilul
cu Protecța Datelor Personale.

        Situațiile care impun numirea unui responsabil cu protecția datelor sunt:

-        prelucrarea datelor personale este efectuată de o autoritate sau de un organism public, cu

excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale. Conform Legii 190
din 18.07.2018 privind măsurile de aplicare a GDPR în România, autorități și organisme publice
sunt Camera Deputaților și Senatul, Administrația Prezidențială, Guvernul, ministerele, celelalte
organe de specialitate ale administrației publice centrale, autoritățile și instituțiile publice
autonome, autoritățile administrației publice locale și de la nivel județean, alte autorități publice,
precum și instituțiile din subordinea/coordonarea acestora. De asemenea, prin aceeași lege, sunt
asimilate autorităților/organismelor publice și unitățile de cult și asociațiile și fundațiile de
utilitate publică.

    -    activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în
operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o
monitorizare periodică și sistematică a persoanelor vizate pe scară largă.    ONG-uri sau alte
persoane juridice de drept privat care monitorizează anumite categorii de cetățeni, în baza
apartenenței lor la o anume categorie socio-profesională, etnică sau culturală, la nivel național,
județean sau municipal în scopul desfășurării unor activități conform statului lor de funcționare,
reprezintă un exemplu elocvent privind astfel de situații.

    -    activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în
prelucrarea periodică, sistematică, pe scară largă:
    -    a unui număr de identificare național – numărul prin care se identifică o persoană fizică în
anumite sisteme de evidență și care are aplicabilitate generală, cum ar fi: (codul numeric
personal, seria și numărul actului de identitate, numărul pașaportului, al permisului de conducere,
numărul de asigurare socială de sănătate – doar în situația în care sunt prelucrate astfel de date
doar în baza legală a urmăririi interesul legitim al operatorului),sau a unor date cu caracter
personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau
convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date
biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date
privind viața sexuală sau orientarea sexuală ale unei persoane fizice sau a unor date cu caracter
personal privind condamnări penale și infracțiuni.

          Conform paragrafului (91) din Preambulul GDPR, prelucrarea datelor cu caracter personal
nu ar trebui considerată a fi la scară largă în cazul în care prelucrarea se referă la date cu caracter
personal de la pacienți sau clienți de către un anumit medic, un alt profesionist în domeniul
sănătății sau un avocat.

          Așadar, nu orice prelucrare a unui număr de identificare națională necesită numirea unui
RPDP(DPO), ci numai acele prelucrări care sunt efectuate având ca temei legal interesul legitim
al operatorului, pe scară largă sau prin activități care presupun monitorizarea sistematică și
periodică a persoanelor vizate prin aceste prelucrări.

          Clinici medicale, case de avocatură sau de mediere care operează și în domeniul penal al
dreptului, notariate, firme de pază și securitate – în anumite situații în care operează cu date
biometrice de identificare ale clienților sau persoanelor autorizate de aceștia, ori asigură sau
participă la monitorizarea unor spații largi, accesibile publicului, sunt doar câteva exemple care
cad sub incidența acestor prevederi.

Cine poate fi desemnat Responsabil cu Protecția Datelor Personale ?

          Regulamentul nu impune decât două elemente. În primul rând, Responsabilul cu Protecția

Datelor Personale trebuie să fie desemnat pe baza calităților profesionale și în special, a
cunoștințelor de specialitate în dreptul dar și în practicile din domeniul protecției datelor, precum
și pe baza capacității de a îndeplini sarcinile tehnice prevăzute de Regulament. Întrucât printre
aceste sarcini, Regulamentul impune ca acest responsabil să aibă capacitatea de a consilia
evaluarea impactului asupra protecției datelor, precum și monitorizarea permanentă a acestui
impact, este evident că acesta trebuie să aibă cunoştințe tehnice temeinice și în domeniul
protecției datelor prelucrate electronic.
Unde poate activa Responsabilul cu Protecția Datelor Personale ?

          În Regulament, este menționat clar că responsabilul cu protecția datelor poate fi un membru

al personalului operatorului sau persoanei împuternicite de operator sau poate să își
îndeplinească sarcinile în baza unui contract de servicii. De asemenea, indiferent unde activează
responsabilul, datele de contact ale acestuia sunt făcute publice (parțial, în funcție de politica
organizației) și totodată, comunicate și autorității de supraveghere (complet).

        Dat fiind faptul că responsabilul cu protecția datelor nu este obligat să fie membru al
personalului operatorului, acesta poate îndeplini această funcție pentru un grup de întreprinderi
sau pentru mai multe autorități publice ori organisme publice.

Statutul Responsabilului cu Protecţia Datelor Personale, faţă de operator.

          Operatorul care desemnează un responsabil cu protecția datelor, trebuie să asigure acestuia

accesul la toate aspectele legate de protecția datelor cu caracter personal, asigurându-se totodată
de implicarea lui în timp util și în mod corespunzător.

          De asemenea, operatorul trebuie să sprijine responsabilul cu protecția datelor în îndeplinirea

sarcinilor sale, asigurându-i toate resursele necesare pentru executarea acestora precum şi
accesarea datelor cu caracter personal și a celor privind operațiunile de prelucrare. Nu în ultimul
rând, trebuie să i se asigure și menținerea cunoștințelor de specialitate. În acest sens,
regulamentul nu face distincție între responsabilii desemnați din rândul personalului propriu al
operatorului sau în baza unui contract de servicii. Se poate prezuma însă că în această a doua
situație, obligativitatea aparține operatorului numai dacă este menționată explicit în contractul de
servicii asumat de ambele părți.

        Fie că este desemnat din rândul personalului propriu, fie că ați apelat la un serviciu
externalizat, persoana desemnată trebuie să răspundă direct celui mai înalt nivel al conducerii
operatorului de date, nu trebuie să fie influențată în exercitarea atribuțiilor funcționale și nici nu
poate fi demisă atât timp cât își îndeplinește corect sarcinile pe care le are, doar pentru că nu vă
convin planurile şi procedurile elaborate de aceasta.

          În cazul în care alegeți varianta desemnării unei persoane din rândul angajaților proprii care
va mai avea și alte sarcini și atribuții, trebuie să vă asigurați că niciuna dintre acestea nu
generează un conflict de interese cu funcția de Responsabil cu Protecția Datelor Personale. Ca
regulă generală, funcții din cadrul organizației cu care poate intra în conflict funcția de
RPDP(DPO), pot include funcții de conducere (cum ar fi director executiv, director operațional,
director financiar, șeful serviciului medical, șeful departamentului de marketing, șef
departamentului de resurse umane sau șeful departamentului IT), dar, în același timp, și alte
funcții inferioare dacă acestea au atribuții asupra scopurilor și mijloacelor de prelucrare ale
organizației. De exemplu, un conflict de interese poate apărea, de asemenea, în situația în care un
RPDP(DPO) extern este rugat să reprezinte operatorul sau persoana împuternicită de operator în
instanță, în cazurile care implică probleme de protecție a datelor.

            Regulamentul prevede ca responsabilul desemnat să aibă cel puțin următoarele obligații

profesionale:

                  a. să respecte secretul sau confidențialitatea în ceea ce privește îndeplinirea sarcinilor

sale, în conformitate cu dreptul Uniunii sau cu dreptul intern;

                  b. să țină seama în mod corespunzător de riscul asociat operațiunilor de prelucrare,

luând în considerare natura, domeniul de aplicare, contextul și scopurile prelucrării;

                  c. să informeze și să consilieze operatorul sau persoana împuternicită de operator,

precum și    angajații care se ocupă de prelucrare, cu privire la obligațiile care le revin în temeiul
prezentului regulament și al altor dispoziții de drept al Uniunii sau drept intern referitoare la
protecția datelor;

          d. să monitorizeze respectarea GDPR, a altor dispoziții de drept al Uniunii sau de drept

intern referitoare la protecția datelor și a politicilor operatorului sau ale persoanei împuternicite
de operator în ceea ce privește protecția datelor cu caracter personal, precum şi să stabilească
responsabilitățile și acțiunile care trebuie derulate pentru sensibilizarea și formarea personalului
implicat în operațiunile de prelucrare;

          e. să monitorizarea acţiunile de prelucrare a datelor prin intermediul auditării activităţilor

aferente acestora;

          f. să furnizeze consiliere la cerere în ceea ce privește evaluarea impactului asupra protecției

datelor și monitorizarea funcționării acesteia, în conformitate cu articolul 35;

        g. să coopereze cu autoritatea de supraveghere;

        h. să-şi asume rolul de punct de contact pentru autoritatea de supraveghere privind aspectele
legate de prelucrare, inclusiv pentru consultarea prealabilă menționată la articolul 36, precum și,
dacă este cazul, pentru consultarea cu privire la orice altă chestiune.

          Aceste responsabilități nu trebuie să lipsească din fișa postului (dacă desemnați

responsabilul din rândul angajaților proprii) sau din contractul de servicii prestate, dacă apelați la
un serviciu externalizat. Desigur, acestora li se mai pot adăuga și altele, dar ceea ce este
enumerat mai sus este prevăzut în mod expres de GDPR. De asemenea, ar fi optim ca instruirile
prevăzute la pct. d., să le poată derula singur, fără a mai fi nevoie să plătiți servicii în plus. Cu
atât mai mult cu cât el e cel care va elabora planul și conținutul instructajelor.