Indeplinirea functiei de responsabil cu protectia datelor cu caracter personal/ DPO

Legislatia in materia protectiei datelor cu caracter personal prevede anumite cazuri in care este obligatoriu sa fie desemnat un DPO in cadrul operatorului de date cu caracter personal, si anume:

• activitatile principale ale operatorului sau ale persoanei imputernicite de operator constau in operatiuni de prelucrare care, prin natura, domeniul de aplicare si/sau scopurile lor, necesita o monitorizare periodica si sistematica a persoanelor vizate pe scara larga;

• activitatile principale ale operatorului sau ale persoanei imputernicite de operator constau in prelucrarea pe scara larga a unor categorii speciale de date (date cu caracter personal care dezvaluie originea rasiala sau etnica, opiniile politice, confesiunea religioasa sau convingerile filozofice sau apartenenta la sindicate si prelucrarea de date genetice, de date biometrice pentru identificarea unica a unei persoane fizice, de date privind sanatatea sau de date privind viata sexuala sau orientarea sexuala ale unei persoane fizice) sau a unor date cu caracter personal referitoare la condamnari penale si infractiuni.

Desi in unele cazuri nu este necesara desemnarea unui responsabil cu protectia datelor, Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP) recomanda numirea unei astfel de persoane, intrucat este utila operatorului pentru respectarea obligatiilor in domeniul protectiei datelor cu caracter personal.

Responsabilul cu protectia datelor trebuie sa fie desemnat pe baza calitatilor profesionale si, in special, a cunostintelor de specialitate in dreptul si practicile din domeniul protectiei datelor, precum si pe baza capacitatii de a indeplini sarcinile prevazute de lege.

DPO poate fi un membru al personalului operatorului sau persoanei imputernicite de operator sau poate sa isi indeplineasca sarcinile in baza unui contract de servicii. In alte cuvinte, DPO poate fi angajat cu contract individual de munca sau poate fi externalizat.

Avand in vedere necesitatea ca DPO sa aiba cunostinte juridice de specialitate, Andreea Rainer – Cabinet de Avocat ofera servicii specifice pentru indeplinirea functiei de responsabil cu protectia datelor, in baza unui contract de asistenta juridica.

Un DPO are atributii precum:

1. informarea si consilierea operatorului, sau a persoanei imputernicite de operator, precum si a angajatilor care se ocupa de prelucrare cu privire la obligatiile care le revin in temeiul GDPR si al altor dispozitii de drept al Uniunii sau drept intern referitoare la protectia datelor;

2. monitorizarea respectarii GDPR, a altor dispozitii de drept al Uniunii sau de drept intern referitoare la protectia datelor si a politicilor operatorului sau ale persoanei imputernicite de operator in ceea ce priveste protectia datelor cu caracter personal, inclusiv alocarea responsabilitatilor si actiunile de sensibilizare si de formare a personalului implicat in operatiunile de prelucrare, precum si auditurile aferente;

3. furnizarea de consiliere la cerere in ceea ce priveste evaluarea impactului asupra protectiei datelor si monitorizarea functionarii acesteia;

4. cooperarea cu autoritatea de supraveghere;

5. asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare, inclusiv consultarea prealabila atunci cand evaluarea impactului asupra protectiei datelor indica faptul ca prelucrarea ar genera un risc ridicat in absenta unor masuri luate de operator pentru atenuarea riscului, precum si, daca este cazul, consultarea cu privire la orice alta chestiune.