DPO: obligatoriu sau optional?

Sunt inca multe nelamuriri si uneori distorsionari privitoare la esenta si intentia Regulamentului General de Protectie a Datelor.  Dar nu exista multi care sa nu fi auzit sau sa nu se ingrijoreze cu privire la faimosul Responsabil cu Protectia Datelor (COR 242231) – deja impamantenit sub acronimul anglo-saxon DPO.  In acest articol vom incerca sa clarificam raspunsul presant pentru multi la intrebarea din titlu.

DPO și GDPR

Responsabilul cu Protectia Datelor nu este un concept nou introdus de GDPR;  “vechea” Directiva 95/46 / CE privind protecția datelor mentiona conceptul de a desemna responsabili pentru gestionarea datelor cu caracter personal.  Insa mentiunea din directiva era foarte subtila fara vreo obligatie specifica in acest sens.  Noutatea adusa de GDPR consta in clarificarea obligatiilor de evaluare a necesitatii si respectiv desemnarii/angajarii/externalizarii unui DPO.

Rolul unui DPO

Indatorirea esentiala a unui Responsabil cu Protectia Datelor consta in asigurarea respectării legislatiei privind protecția datelor, prin asistenta, consiliere si monitorizare a masurilor tehnice si organizationale adecvate.  Ca urmare DPO este consultantul/auditorul de serviciu.

Dar aspectul cel mai interesant si adesea conflictual se refera la rolul DPO ca intermediar între autoritatea de supraveghere, persoanele vizate și organizatia care il plateste (cu salariu sau tarif).   E clar ca in triada organizatie-persoane vizate- autoritate de supraveghere exista multe interese opuse.  Organizatia doreste ca multele articole ale GDPR sa nu-i impiedice sau ingreuneze activitatea.  Persoanele vizate doresc ca drepturile lor sa fie respectate de organizatie – cu riscul sau pretul complicarii activitatii organizatiei.  Autoritatea de supraveghere impune un partener de colaborare, un punct de contact si informare cu privire la protectia datelor din organizatie.

Ca urmare orice DPO, dar mai ales cel recrutat/angajat, trebuie sa aiba succes in mersul pe sarma.

DPO obligatoriu

Articolul 37 (1) GDPR impune desemnarea unui DPO în trei circumstanțe:

1. Atunci când activitățile de prelucrare sunt efectuate de o autoritate publică
2. Atunci când activitățile de bază ale operatorului sau ale procesatorului constau în operațiuni de prelucrare care necesită “monitorizarea periodică și sistematică” a persoanelor vizate la scară largă
3. Atunci când activitățile de bază ale operatorului sau ale imputernicitului acestuia constau în prelucrarea pe scară largă a unor categorii speciale de date, inclusiv cele referitoare la cazier

În conformitate cu Ghidul WP29 privind DPO, activitățile de bază ar trebui interpretate ca fiind operațiunile cheie necesare pentru a atinge obiectivele operatorului sau ale imputernicitului acestuia.

In enumerarea de mai sus, desi concisa, ramane o neclaritate in ceea ce priveste anumiti termeni.

Scară largă

Grupul de lucru WP29 a dat definitia acestui termen:  “operațiunile de prelucrare la scară largă urmăresc prelucrarea unei cantități considerabile de date cu caracter personal la nivel regional, național sau supranațional și care ar putea afecta un număr mare de persoane vizate și care ar putea duce la un risc ridicat”.

Factorii determinanți pentru activitățile de procesare pe scară largă:

• Numărul persoanelor vizate vizate – fie ca număr specific, fie ca o proporție a populației relevante
• Volumul de date și / sau categoriile de date procesate
• Durata sau permanența activității de prelucrare a datelor
• Extinderea geografică a activității de prelucrare

Monitorizare regulata sistematică

Deși semnificația monitorizării periodice și sistematice nu este definită în mod specific în cadrul GDPR, pe baza Ghidului WP29, putem interpreta termenul “monitorizare regulata” ca fiind o activitate permanenta, repetitiva sau periodica. Monitorizarea “sistematica” presupune existența unui plan, unui algoritm sau a unei metode ce se aplica neabatut.

DPO optional

Cu exceptia cazurilor de mai sus, desemnarea unui DPO ramane o optiune la latitudinea managementului.  Cu toate acestea, pentru multe organizatii tematica protectiei datelor personale prezinta multe necunoscute si consecinte greu de inteles, constientizat si acceptat.  In aceste cazuri, prezenta unui DPO (intern sau extern) poate da siguranta (macar a) unei singure persoane care stie ce trebuie facut si ajuta intreaga organizatie sa evite sau minimizeze consecintele negative ale nerespectarii GDPR- contraventionale, reputationale sau comerciale.

Concluzie

Responsabilitatile unui DPO solicita persoanei in cauza cunostinte in domeniu si experienta in a balansa in mod corespunzator nevoile organizatiei, drepturile persoanelor vizate si solicitarile autoritatii de supraveghere.

Cu acreditarile si experienta profesionala a consultantilor nostri, noi va putem ajuta.  Simplu, eficient si profesionist.