Cu doar 37 de zile pana la GDPR (Regulamentul General privind Protectia Datelor), tot mai multe companii incerca sa bifeze lista cerintelor pentru complianta. Una dintre problemele critice pentru organizatii este sa stabileasca daca trebuie sau nu sa desemneze un responsabil cu protectia datelor cu caracter personal (DPO).

In acest articol ne propunem sa explicam pe intelesul tuturor tot ce trebuie sa stiti despre DPO.

Pentru inceput, vrem sa clarificam ca DPO nu este pur si simplu “IT-istul nostru” sau “Dan din departamentul de suport IT”, lucru de care, din pacate, adesea il intampinam, cand discutam cu organizatii in sesiunile noastre de consultanta GDPR. Asa ca, sa incepem cu explicarea rolului unui DPO.

DPO - Responsabil cu protectia datelor cu caracter personal

Care este rolul DPO?

In esenta, DPO monitorizeaza conformitatea organizatiei cu GDPR. Adica, el sau ea trebuie sa consilieze managementul companiei in privinta activitatilor necesare pentru protectia datelor cu caracter personal, sa coordoneze si supravegheze modul in care sunt implementate si respectate principiile GDPR in organizatie si sa instruiasca personalul direct implicat in prelucrarea datelor.

DPO este persoana de legatura intre organizatie si autoritatea de supraveghere, de asemenea, intre organizatie si individ (persoanele care au datele personale procesate de catre organizatie).  DPO va  informa autoritatea in cazul data breaches si va solutiona cererile persoanelor vizate in legatura cu datele pe care le detine organizatia.

Din aceasta perspectiva, chiar daca responsabil cu protectia datelor cu caracter personal este angajat al organizatiei, acesta trebuie sa fie independent.

Independenta se asigura prin faptul ca acesta raporteaza in mod direct managementului de pe cel mai inalt nivel ierarhic al organizatiei, are mijloacele tehnice si materiale pentru a-si indeplini obligatiile, fara a putea fi constrans in privinta modului in care isi desfasoara atributiunile.

De asemenea, acesta nu poate fi concediat pentru indeplinirea sarcinilor specifice.

Ce organizatii trebuie sa desemneze un DPO?

Cerinta de desemnare a unui DPO depinde doar de activitatea organizatie.

Trebuie sa desemnati un responsabil cu protectia datelor cu caracter personal daca:

  • sunteti autoritate publica;
  • monitorizati sistemic, la scara larga, date personale;
  • prelucrati, la scara larga, date sensibile (categorii speciale de date precum etnie, credinta religioasa, apartenenta la sindicate, date genetice, biometrie, orientare sexuala, infractiuni si condamnari).

Insa, autoritatile incurajeaza desemnarea unui DPO, chiar daca sunteti si un business mic sau mijlociu. Un DPO cu siguranta va ajuta compania sa implementeze si sa respecte normele legale (atat GDPR cat si alte legi cu privinta la protectia datelor). Acesta, va fi un specialist usor disponibil pentru consultanta, lucru care va diminua riscurile aferente.   

RESPONSABIL CU PROTECTIA DATELOR CU CARACTER PERSONAL

Care sunt responsabilitatile unui DPO? Ce face, de fapt, un responsabil cu protectia datelor cu caracter personal?

Atributiile unui DPO sunt stipulate in Articolul 39 al regulamentului.

Acestea enumerate sunt:

  • sa informeze si sa indrume organizatiile si angajatii cu privire la obligatiile de a respecta GDPR si alte legi privind protectia datelor;
  • sa monitorizeze respectarea GDPR. a altor legi privind protectia datelor si a politicilor organizatiei  in ceea ce priveste protectia datelor cu caracter personal;
  • aa creasca gradul de constientizare si sa instruiasca personalul implicat in prelucrarea datelor;
  • sa ofere consiliere in ceea ce priveste evaluarea impactului privind protectia datelor si sa monitorizeze performanta acestuia in conformitate cu regulamentul;
  • sa efectueze audituri interne;
  • sa coopereze cu autoritatea de supraveghere;
  • sa fie primul punct de contact al autoritatii de supraveghere cu privire la aspecte legate de prelucrarea datelor;
  • sa fie punct de contact pentru persoanele fizice ale caror date sunt prelucrate de organizatie.

Cum sa numesti un DPO?

Aici sunt cateva lucruri de punctat:

  • DPO poate fi numit din interiorul companiei, angajat din exterior sau poate fi externalizat catre un consultant extern sau o companie care presteaza acest serviciu.
  • GDPR permite grupurilor de companii si organizatii sa desemneze un singur DPO, atat timp cat acesta este “usor accesibil” pentru fiecare dintre organizatii.
  • Rolul poate fi combinat cu alte sarcini si atributii ale unui angajat al companiei, in masura in care acestea nu sunt in conflict de interese cu rolul de DPO, in sensul de a putea decide in ce scop sau cum pot fi procesate date cu caracter personal. De exemplu acesta nu poate fi director executiv, director operational, director financiar, seful departamentului de marketing, sau IT sau resurse umane.

Cum alegem un DPO? Calitati si competente:

Acesta trebuie sa aiba capacitatea de a indeplini sarcinile cerute de lege. Pentru acest scop, acesta trebuie sa aiba anumite calitati profesionale:

  • integritate si etica profesionala demonstrata in pozitii anterioare
  • experienta sau cunostinte temeinice in legislatia si practicile de protectie a datelor la nivel national si european, precum si o intelegere adecvata a GDPR;
  • sa inteleaga prelucrarile de date efectuate in cadrul organizatiei, sistemele si metodele utilizate, precum si necesitatile de securitate si protectie a datelor prelucrate de operator;
  • sa inteleaga reglementarile legale referitoare la organizarea si functionarea organizatiei, precum si a politicilor si procedurilor interne ce vizează prelucrarile de date personale.

Alte lucuri bine de stiut:

  • Informatiile de contact al ofiterului de protectie a datelor trebuie sa fie publice, pentru a putea fi usor contactat de autoritatile de supraveghere si persoanele fizice a caror date sunt prelucrate.
  • Este obligat să păstreze secretul sau confidențialitatea în ceea ce privește îndeplinirea sarcinilor sale, în conformitate cu dreptul Uniunii sau cu dreptul intern.
  • Un DPO trebuie sa fie independent, dar acest lucru nu inseamna ca acesta este obligat sa raporteze autoritatii de supraveghere neregulile/ incalcarile organizatiei.
  • DPO nu poate fi tras la raspundere pentru nerespectarea reglementarilor GDPR de catre organizatie.

Daca doriti sa consultati reglamentul GDPR pentru informatiile legate de DPO, acestea le puteti gasi in Articolele 37 – 39 din link-urile de mai jos.

Daca aveti nevoie de suport la implementarea masurilor propuse si solutiilor necesare pentru complianta GDPR, echipa Power Net Consulting va sta la dispozitie cu un PORTOFOLIU DE SERVICII pe care le oferim alaturi de partenerii nostri de incredere.