Am observat o înțelegere neunitară, a poziției de DPO la nivelul societăților comerciale . Riscând să scriu cel mai controversat articol până în prezent, voi prezenta rolul DPO-ului nu numai prin Regulamentul 679/2016, dar și prin aspectele practice pe care autoritatea le-a luat în calcul în cadrul controalelor efectuate la societățile comerciale.
- Fiecare societate, care prelucrează pentru sine, trebuie să aibă un DPO dar și așa numiții „împuterniciți”care prelucrează pentru alții datele cu caracter personal
- Operatorii
Conform Regulamentului 679/2016 privind Protecția Datelor cu Caracter Personal, sunt operatorii toate autoritățile sau organismele publice, și toate societățile private care au ca activitate principală sau prelucrează „pe scară largă” datele cu caracter personal.
Dacă este lesne de înțeles că intră în prima categorie toate instituțiile publice, în ceea ce privește domeniul privat există o înțelegere neunitară a societăților comerciale privind obligația de a angaja sau colabora cu un DPO.
În ceea ce privește activitatea principală toate băncile, spitalele, agențiile de turism, societățile care furnizează gaz, energie electrică, apă, firmele care prelucrează în mod curent datele persoanelor fizice s-au sesizat și au angajat sau au semnat colaborări instant cu un DPO. Nu același lucru s-a întâmplat cu firmele care nu intră în prima categorie, dar prelucrează pe scară largă datele cu caracter personal.
Regulamentul neexplicând sintagma „scară largă”, interpretările au fost cât se poate de personale. Autoritatea de supraveghere a venit cu o clarificare, spunând că sunt exceptați cabinetele de avocat sau cabinetele medicale, unde datele cu caracter personal sunt la câteva sute de persoane, aceste organizații având oricum și prin statut obligația de a păstra confidențialitatea datelor personale (https://www.dataprotection.ro/?page=Responsabilul_cu_protectia_datelor).
Prin urmare, în cazul în care o societate comercială, chiar de dimensiunea mică, cu câțiva angajați, prelucrează datele cu caracter personal al câtorva mii de persoane fizice este obligat să aibă un DPO. În această categorie intră toate societățile în domeniul produselor cosmetice, firmele de accesorii sau de îmbrăcăminte, toate firmele care prestează activități de dezvoltare personală, etc., dacă au o bază de date de mii de persoane.
- Împuterniciții
Comitetul European pentru Protecția Datelor (CEPD- https://edpb.europa.eu/about-edpb/about-edpb_ro ) a adoptat un ghid prin care a încercat să clarifice ce obligații au operatorii, respectiv ce obligații au persoanele împuternicite de operatori, care prelucrează datele pentru operatori.
Aceste persoane juridice, de multe ori, prestând servicii externalizate, chiar dacă nu prelucrează pentru ei, și per se nu ar întruni obligația de a contracta sau angaja un DPO, ei sunt obligați să urmeze linia trasată de operatori privind politica GDPR, și acest aspect este valabil și privind similitudinea în ceea ce privește rolul de DPO.
- Persoana care poate exercita rolul de DPO
Având în vedere că Regulamentul prevede cunoașterea la nivel avansat al legislației privind protecția datelor și a legislației europene, unele societăți au mers pe regulă și au angajat juriști sau avocați în rolul de DPO ( și aici doar subliniem exemplele pozitive ale băncilor OTPhttps://www.otpbank.ro/hu, Alphabank https://www.alphabank.ro/, sau societatea comercială Krukhttps://ro.kruk.eu/clienti-cu-datorii, de care avem informația certă) alții au considerat, că o simplă lecturare, sau cunoștințe legislative sunt suficiente în a îndeplini și exercita acest rol.
Fără a subestima cunoștințele acestor persoane, care pot depăși câteodată cel al juriștilor sau avocaților, trebuie pusă întrebarea cum apără aceste persoane poziția societății privind aplicarea Regulamentului, și dacă pot consilia societatea, prin implementarea altor legislații la nivel de UE, cum este Directiva NIS, sau Regulamentul 2018/1725. Dacă răspunsul este pozitiv chiar este recomandabil colaborarea continuă, însă dacă prevederile nu sunt tocmai îndeplinite avem o situație în care societatea este pasibilă de o amendă deloc neglijabilă (care poate ajunge la câteva zeci sau sute de mii de euro sau chiar să-i fie restricționat prelucrarea).
În ceea ce privește persoana unui DPO, art. 38(3) din GDPR stabilește anumite garanții de bază pentru a se asigura că DPO este în măsură să-și îndeplinească sarcinile cu un grad suficient de autonomie în cadrul organizației.
În special, operatorii/persoanele împuternicite de operator, trebuie să se asigure că DPO „nu primește niciun fel de instrucțiuni în ceea ce privește îndeplinirea sarcinilor sale”. La considerentul 97 se adaugă faptul că DPO „indiferent dacă este sau nu angajat al operatorului, ar trebui să fie în măsură să își îndeplinească atribuțiile și sarcinile în mod independent”. De asemenea art. 38(3) impune ca DPO să nu „fie demis sau sancționat de operator sau persoana împuternicită de operator pentru îndeplinirea sarcinilor sale”.
Prevederile determină o autonomie, a DPO-ului, care trebuie păstrată pentru a îndeplini rolul de observator, în cadrul prelucrării datelor, doar în acest fel DPO-ul poate să intervină cu sfaturi permanente privind îmbunătățirea procesului prelucrării.
De asemenea , Regulamentul prevede, că nimic nu împiedică DPO-ul, să aibă și alte roluri sau funcții în cadrul societății (Art. 38(6)), având în vedere și volumul redus de activitate care trebuie efectuată lunar.
Vom analiza în cele ce urmează sarcinile expres prevăzute de Regulament al unui DPO, atât în ceea ce privește prevederile legale, cât și aplicabilitatea practică, având în vedere controalele numeroase ale autorității de supraveghere în domeniul protecției datelor cu caracter personal, ANSPCD.
- ROLUL DPO
a). Monitorizarea respectării GDPR
Art. 39(1) b) încredințează DPO, obligația de a monitoriza respectarea GDPR-ului. În acest sens, DPO are obligația de a colecta informații pentru a identifica operațiunilor de prelucrare, de a analiza conformitatea operațiunilor prelucrare, și de a emite recomandări operatorului sau persoanei împuternicite de operator.
b). Evaluarea impactului operațiunilor de prelucrare
În ceea ce privește o evaluare a impactului operațiunilor de prelucrare („DPIA”) art. 35(1) GDPR , operatorul îl face, chiar și cu un terț, dar DPO poate avea un rol foarte important și util în asistarea operatorului. Art. 35(2) prevede în mod expres ca operatorul „să solicite avizul” DPO la realizarea DPIA. La rândul său, art. 39(1) c) prevede ca și sarcină pentru DPO „să ofere consiliere la cerere în ceea ce privește DPIA și să monitorizeze funcționarea acesteia”.
c). Cooperarea cu autoritatea de supraveghere și asumarea rolului de punct de contact
Art. 39(1)d) și c),din GDPR prevede rolul DPO, care acționează ca punct de contact între autoritate și societate, pentru a facilita accesul autorității de supraveghere la documente și informații pentru îndeplinirea atribuțiilor acestuia de exercitare a competențelor de investigarea, corectare, autorizare și consultare.
d). Abordarea bazată pe risc
Art. 39(2) din GDPR impune ca DPO „să țină seamă în mod corespunzător de riscul asociat operațiunilor de prelucrare, luând în considerare natura, domeniul de aplicare, contextul și scopurile prelucrării”.
Articolul subliniază personalizarea operațiunilor (față de abordarile generaliste ce le regăsim în kit-uri sau cursuri) cât și concentrarea efortului pentru DPO, în zonele majore de risc.
e). Rolul DPO în păstrarea evidenței
Art. 30(1) și (2) prevede obligația operatorului sau persoanei împuternicită de operator, și nu DPO, are obligația de a „păstra o evidență a operațiunilor de prelucrare desfășurate sub responsabilitatea sa” însă în practică, DPO deține un registru al operațiunilor de prelucrare pe baza informațiilor furnizate de diferitele departamente din cadrul organizației responsabile cu prelucrarea datelor cu caracter personal.
În speranța că am reușit să clarific, rolul poziției vă stau la dispoziție pentru orice întrebare privind regulamentul, aplicabilitatea acesteia, conexiunea cu directiva NIS, sau alte aspecte în conexiune cu acesta.
