Publicatii

În contextul intrării în vigoarea a Regulamentului Parlamentului European nr. 679/27.04.2016, începând cu data de 25 mai 2018, pentru anumiți operatori de date personale există obligația desemnării unui Responsabil cu protecția datelor (DPO), astfel cum vom detalia în continuare.

Menționăm faptul că dispozițiile Regulamentului european nr. 679/27.04.2016 reprezentă cadrul legal european unic al prelucrărilor de date personale pe care orice operator de date cu caracter personal va trebui să îl respecte.

1. Operatorii de date cu caracter personal ce au obligativitatea desemnării unui responsabil cu protecția datelor cu caracter personal

Conform prevederilor Regulamentului european, există 3 situații, stipulate expres în cadrul acestuia, în care este obligatorie desemnarea unui Responsabil cu protecția datelor, respectiv atunci când:

• prelucrarea datelor personale este efectuată de către o autoritate sau un organism public, cu excepția instanțelor de judecată care acționează în exercițiul funcției lor jurisdicționale;
• în sectorul privat, în cazul în care activitățile principale ale operatorului constau în operațiuni de prelucrare pe scară larga a datelor cu caracter personal care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate;
• în sectorul privat, în situația în care activitățile principale ale operatorului constau în prelucrarea pe scară largă a unor categorii speciale de date sau a unor date cu caracter personal privind condamnări penale și infracțiuni.

Prin sintagma „activități principale ale unui operator” se face referire la activitățile de bază ale unui operator, iar nu la activitățile auxiliare ale acesteia. De asemenea, prelucrare de date personale este considerată a fi făcută  „pe scară largă” în funcție de anumiți factori, precum: numărul persoanelor vizate, volumul/categoriile de date personale prelucrate, aria geografică acoperită de prelucrare, durata activității de prelucrare.

2. Rolul responsabilului cu protecția datelor cu caracter personal

Conform dispozițiilor art. 38 din Regulamentului european nr. 679/27.04.2016: „operatorul şi persoana împuternicită de operator se asigură că responsabilul cu protecţia datelor este implicat în mod corespunzător şi în timp util în toate aspectele legate de protecţia datelor cu caracter personal”.

Rezultă astfel că persoana responsabilă cu protecția datelor cu caracter personal (DPO-ul) se va ocupa de toate aspectele ce țin de respectarea și aplicabilitatea prevederilor legislației privind protecția datelor cu caracter personal. În acest sens, orice persoană vizată poate contacta responsabilul cu protecţia datelor cu privire la toate chestiunile legate de prelucrarea datelor sale şi la exercitarea drepturilor sale în temeiul Regulamentului European.

DPO-ul nu trebuie să primescă niciun fel de instrucțiuni în ceea ce privește îndeplinirea sarcinilor ce îi sunt atribuite și nu poate fi demis sau sancționat pentru îndeplinirea sarcinilor sale de către operator/persoana împuternicită de operator.

Mai mult, responsabilul cu protecția datelor răspunde direct în faţa celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator.

3. Atribuțiile responsabilului cu protecția datelor cu caracter personal

Cele mai importante sarcini pe care responsabilul cu protecţia datelor trebuie să le îndeplinească sunt:

• informarea şi consilierea operatorului, sau a persoanei împuternicite de operator, precum şi a angajaţilor care se ocupă de prelucrare cu privire la obligaţiile care le revin în temeiul Regulamentului Europenean nr. 679/27.04.2016 şi al altor dispoziţii de drept al Uniunii sau drept intern referitoare la protecţia datelor;
• monitorizarea respectării prevederilor legale referitoare la protecţia datelor şi a politicilor operatorului sau ale persoanei împuternicite de operator în ceea ce priveşte protecţia datelor cu caracter personal, inclusiv alocarea responsabilităţilor şi acţiunile de sensibilizare şi de formare a personalului implicat în operaţiunile de prelucrare, precum şi auditurile aferente;
• furnizarea de consiliere la cerere în ceea ce priveşte evaluarea impactului asupra protecţiei datelor şi monitorizarea funcţionării acesteia,;
• cooperarea cu autoritatea de supraveghere;
• asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare, inclusiv consultarea prealabilă menţionată la articolul 36, precum şi, dacă este cazul, consultarea cu privire la orice altă chestiune.

În îndeplinirea sarcinilor sale, responsabilul cu protecţia datelor ţine seama în mod corespunzător de riscul asociat operaţiunilor de prelucrare, luând în considerare natura, domeniul de aplicare, contextul şi scopurile prelucrării.

4. Cine poate îndeplini funcția de responsabil cu protecția datelor cu caracter personal

Conform Regulamentului european, Responsabilul cu protecţia datelor este desemnat pe baza calităţilor profesionale şi, în special, a cunoştinţelor de specialitate în dreptul şi practicile din domeniul protecţiei datelor, precum şi pe baza capacităţii de a îndeplini sarcinile ce îi revin.

De asemenea, potrivit dispozițiilor Regulamentului european responsabilul cu protecţia datelor poate fi un membru al personalului operatorului/persoanei împuternicite de operator sau poate să îşi îndeplinească sarcinile în baza unui contract de servicii.

Rezultă așadar că DPO poate fi o persoana din interiorul societății, ce își va desfășura activitatea în baza unui contract de muncă, sau o persoana din exterior, ce își desfășoară activitatea în baza unui contract de prestări servicii (spre exemplu un avocat).

Însă, operatorul sau persoana împuternicită de operator trebuie să se asigură că niciuna dintre sarcinile şi atribuțiile responsabilul cu protecția datelor nu generează un conflict de interese.

5. Sancțiunea aplicabilă în cazul nedesemnării unui Responsabil cu protecția datelor cu caracter personal

În cazul nerespectării Regulamentului European nr. 679/27.04.2016, respectiv în cazul nedesemnării unui Responsabil cu protecția datelor cu caracter personal de către operatorii cărora le incubă această obligație, sancțiunea aplicabilă este amenda administrativă.

Iar pragul maxim al amenzii administrative se ridică până la cuantumul de 10.000.000 EURO sau, în cazul unei întreprinderi, până la pragul maxim de 2% din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându-se în calcul cea mai mare valoare.

În consecință, cu excepția acelor operatori de date personale care au obligația de a-și desemna un Responsabil cu protecția datelor, toți ceilalți operatori de date cu caracter personal, deși nu au această obligație, pot opta pentru desemnarea unui DPO pentru o mai bună asigurare a respectării prevederilor Regulamentului european nr. 679/27.04.2016 privind protecția datelor cu caracter personal și libera circulație a acestor date.