Numirea unui responsabil cu protectia datelor (DPO), al carui regim este explicat in regulamentul GDPR, se afla in centrul acestei reforme cu privire la datele noastre. Importanta sa este de necontestat in contextul implementarii procesului prin care este vizata protectia datelor cu caracter personal.
DPO, pentru cine?
Fara a aduce atingere altor cazuri care ar fi furnizate de statele membre ale Uniunii Europene, operatorii de date si cei care le proceseaza trebuie sa desemneze in mod obligatoriu o DPO atunci cand:
-prelucrarea este efectuata de o autoritate sau organism public;
-activitatile lor de baza ii determina sa efectueze monitorizarea periodica si sistematica a oamenilor pe scara larga;
-activitatile lor de baza ii determina sa proceseze date sau date sensibile la scara larga referitoare la condamnari si infractiuni; pentru inregistrare, sunt considerate date sensibile, in special cele genetice, biometrice sau date referitoare la sanatate, religie, opinie politica sau apartenenta la uniune.
Un DPO poate fi desemnat atat din interiorul, cat si independent de organizatie. Un DPO trebuie sa urmeze cursuri Protectia datelor cu caracter personal. Astfel de cursuri pot fi efectuate cu ajutorul celor de la cursuriautorizate.eu. Mai exact, este vorba despre Cursul de Responsabil cu protectia datelor cu caracter personal (GDPR / DPO). Acest curs este autorizat de Autoritatea Nationala pentru Calificari (fost C.N.F.P.A). Participand la acest curs, veti invata ce presupune modul de gestiune si prelucrare a datelor personale ale angajatilor. Acest curs se adreseaza firmelor private si institutiilor publice a caror activitate principala consta in operatiuni de
prelucrare a datelor care necesita o monitorizare periodica si sistematica pe scara larga a persoanelor vizate, precum si companiilor care prelucreaza categorii Speciale de date, vor fi obligate sa angajeze un responsabil cu protectia datelor Personale. Cursurile se desfasoara atat la sediul firmei din Bucuresti si ale partenerilor din toata tara, cat si la sediile firmelor/institutiilor interesate de furnizarea acestui curs pentru personalul angajat. Participantii vor beneficia de coffee break, materiale didactice si consiliere pe intreaga perioada a cursului.
Ce inseamna „monitorizarea regulata si sistematica a oamenilor pe scara larga” si „activitatea de baza”?
Trebuie sa se tina seama de urmatorii factori pentru a determina daca tratamentul este efectuat „la scara larga”:
-numarul de persoane implicate;
-volumul de date si / sau spectrul categoriilor de date;
-durata sau permanenta activitatii de prelucrare;
-amploarea geografica a activitatii de prelucrare.
„Activitatea de baza” a unei companii este activitatea principala care ii permite sa isi atinga obiectivele sau este legata in mod inextricabil de tratament (de exemplu, un spital care prelucreaza datele despre pacienti).
Citind GDPR, au existat indoieli cu privire la scopul ipotezelor de desemnare bazate pe concepte cu interpretare variabila, cum ar fi „activitatea de baza” a unui operator de date sau prelucrarea „la scara larga” a datelor. Este posibil sa desemnati un DPO in afara cazurilor obligatorii?
Da, este posibil sa se faca in mod voluntar chiar si atunci cand criteriile de mai sus nu sunt indeplinite. Organizatiile care nu sunt supuse obligatiei de a numi un DPO si nu doresc sa numeasca unul, pot angaja personal sau consultanti externi responsabili cu protectia datelor cu caracter persona, asa cum am mentionat mai susl. In acest caz, este important sa va asigurati ca nu exista nicio confuzie cu privire la titlul si sarcinile lor. In orice caz, controlorul isi va pastra obligatiile care ii revin.
Care sunt misiunile DPO-ului?
DPO pare a fi un adevarat „conductor” responsabil in principal de informarea si avizarea controlorului sau a procesatorului, dar si a angajatilor. Concret, ii revine acestuia sa se informeze despre noile obligatii, sa asiste factorii de decizie cu privire la consecintele tratamentelor, sa realizeze un inventar, sa proiecteze actiuni de sensibilizare si sa monitorizeze continuu respectarea acestora. El trebuie sa fie implicat corect si in timp util in toate problemele referitoare la protectia datelor cu caracter personal. Ca atare, trebuie sa i se acorde in mod imperativ resursele si timpul necesar pentru indeplinirea misiunilor sale si pentru mentinerea cunostintelor sale de specialitate.
Desi autorizat sa exercite alte functii, DPO trebuie sa fie independent si sa nu fie plasat intr-un conflict de interese. Este supus unei obligatii de confidentialitate.
Trebuie sa se solicite avizul DPO, printre altele, cu privire la necesitatea efectuarii unei analize de impact privind protectia datelor, metodologia care trebuie urmata si garantiile care trebuie aplicate pentru atenuarea riscuri de incalcare a drepturilor persoanei vizate.
Va rugam sa retineti, DPO nu este responsabil pentru respectarea GDPR in locul controlorului de date sau al procesatorului si daca avizul DPO nu este urmat de controlorul de date sau de procesator, atunci este important documentul care duce la o astfel de decizie.
Pe scurt, DPO reprezinta un element de coordonare atat intern, cat si extern, actionand ca punct de contact pentru autoritatea de supraveghere si persoanele in cauza, cu care trebuie sa coopereze. El ocupa astfel o pozitie strategica.
Cum sa alegeti un DPO?
Alegerea unui DPO trebuie sa urmeze o serie de abilitati si criterii de etica. Astfel, nivelul sau de expertiza, atat tehnic, cat si de reglementare, trebuie sa permita raspunsul la natura, complexitatea procesarii si nivelul de protectie necesar pentru date, in special in cazul datelor sensibile sau a transferurilor in afara UE. Evident, este necesara o cunoastere aprofundata a GDPR si a reglementarilor si practicilor nationale si europene privind confidentialitatea datelor. Cunoasterea functionarii afacerii (in special la nivelul IT) este, de asemenea, intrinseca functiei.
Integritatea unui DPO si etica profesionala sunt ele insele esentiale si conditioneaza promovarea, care trebuie asigurata de DPO, a unei culturi de protectie a datelor cu caracter personal in cadrul structurii. DPO poate fi un membru al personalului sau un furnizor extern de servicii.
Un grup de companii poate numi un singur DPO?
Da, cu conditia ca acest DPO sa fie usor accesibil de fiecare dintre unitati. Este responsabilitatea operatorului de date sa se asigure ca un singur DPO va fi capabil sa efectueze eficient fiecare sarcina atribuita acestuia.
Protectia datelor fiind un subiect transversal, nu implica doar DPO-ul, ci toate afacerile companiei, inclusiv in special managementul, serviciile de resurse umane si echipele IT. Organizarea proceselor presupune sensibilizarea si furnizarea de informatii. Astfel, omul reprezinta legatura puternica care face posibila garantarea respectarii GDPR in structura, atat la nivel tehnic, cat si organizatoric.
Acest articol este un guest post
O, ce informatii utile! 🙂 Multumim! 🙂
Cu drag!
Bine de știut 😉
Da 😀
Foarte interesant și util, nu știam despre DPO.
Nici eu pana acum 😀