Servicii DPO
Ce înseamnă DPO?
„Data protection officer (D.P.O)” provine din varianta în limba engleză a Regulamentului 2016/679 și nu reprezintă altceva decât „responsabilul cu protecţia datelor”, în variantă românească. Evaluarea necesității numirii unui DPO este responsabilitatea operatorului de date cu caracter personal. Rezultatul evaluării trebuie documentat în scris și constituie parte a proiectului de conformare cu Regulamentul.
Cine trebuie să desemneze un responsabil cu protecţia datelor?
Art. 37 alin. (1) din Regulament stabilește situațiile în care este obligatorie numirea unui DPO:
- prelucrarea este efectuată de o autoritate sau un organism public (cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale.);
- atunci când activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrarea care necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă;
- atunci când activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date (potrivit art. 9 din Regulament), sau a unor categorii de date cu caracter personal privind condamnări penale și infracțiuni.
O organizație, care nu are obligația legală de a desemna un DPO și nu dorește să numească un DPO în mod voluntar, poate să desemneze o persoană din cadrul ei, cu sarcini (precizate contractul de muncă și fișa postului), pe linia protecției datelor cu caracter personal, sau poate să angajeze personal sau consultanți externi. În cazul desemnării ”din interior” a unui DPO, care mai are și alte sarcini, trebuie evitată situația generării unui conflict de interese.
Cine poate fi desemnat DPO?
DPO trebuie desemnat pe baza calităților profesionale și, în special a cunoștințelor de specialitate în dreptul și practicile din domeniul protecției datelor, precum și pe baza capacității de a-și îndeplini sarcinile. Aptitudinile și expertiza relevante includ:
- experiență în legislația și practicile de protecție a datelor la nivel național și european, precum și o înțelegere complexă a GDPR;
- înțelegerea operațiunilor de prelucrare efectuate;
- înțelegerea tehnologiilor de informații și de securitate a datelor;
- cunoașterea sectorului de afaceri și a organizației;
- abilitatea de a promova protecția datelor în cadrul organizației.
Ce trebuie să facă un DPO?
Principalele sarcini ale unui DPO sunt următoarele:
- Auditarea organizației cu relevarea situației existente și a vulnerabilităților de conformitate identificate, prin: (1) colectarea de informații privind activitățile de prelucrare desfășurate, (2) realizarea de interviuri/muncă colaborativă cu personalul din departamentele relevante;
- Consiliază conducerea cu privire la obligațiile specifice și vulnerabilitățile identificate;
- Facilitează/coordonează planuri pentru implementarea în organizație a cerințelor Regulamentului și conformare continuă;
- Training pentru management/salariați privind obligațiile specifice domeniului;
- Facilitează (redactează) documentație specifică;
- Ține evidența activităților de prelucrare;
- Realizează evaluări ale impactului operațiunilor de prelucrare asupra protecției datelor (DPIA);
- Întocmește proceduri interne (securitatea datelor (clean desk policy), privind monitorizarea accesului, corespondenței electronice, gestionarea incidentelor de securitate, etc.);
- Monitorizează activitățile organizației și facilitează conformarea începând cu momentul conceperii și în mod implicit (protecția datelor by design și by default);
- Acordă asistență în cazul survenirii unui incident de securitate;
- Reprezintă punctul de contact cu persoanele vizate, respectiv cu Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.