Cum evitam conflictul de interese cand se alege un DPO

La art. 38 alin. (6) din Regulament se prevede ca responsabilul cu protectia datelor poate indeplini si alte atributii sau sarcini, dar niciuna dintre acestea nu trebuie sa genereze un conflict de interese.

Ghidul privind responsabilul pentru protectia datelor contine cateva lamuriri cu privire la necesitatea operatorului de a se asigura ca in situatia in care responsabilul cu protectia datelor mai are si alte sarcini si atributii, acestea nu ii reduc independenta de actiune si nu genereaza un conflict de interese.

Absenta conflictului de interese presupune, in special, faptul ca responsabilul pentru protectia datelor nu poate detine o pozitie in cadrul organizatiei care ar conduce la posibilitatea ca tot el sa stabileasca scopurile si mijloacele de prelucrare a datelor cu caracter personal.

Fiecare operator de date cu caracter personal trebuie sa analizeze acest lucru in functie de structura organizationala pe care o are.
Ca regula generala, functii din cadrul organizatiei cu care poate intra in conflict pot fi functii de conducere cum ar fi:

• director executiv;
• director operational;
• director financiar;
• seful serviciului medical;
• seful departamentului de marketing;
• seful departamentului de resurse umane;
• seful departamentului IT, dar, in acelasi timp, pot fi si functii de executie daca acestea conduc la posibilitatea de a stabili scopurile si mijloacele de prelucrare.

Ghidul mai mentioneaza si ca, un conflict de interese poate aparea, de asemenea, de exemplu, in situatia in care un responsabil cu protectia datelor extern este rugat sa reprezinte operatorul sau persoana imputernicita de operator in instanta, in cazurile care implica probleme de protectie a datelor. In concluzie, in functie de activitatile, dimensiunea si structura organizatiei, o buna practica pentru operatori si persoanele imputernicite de operatori ar putea fi:

• sa identifice functiile ce ar fi incompatibile cu functia de responsabil cu protectia datelor;
• sa elaboreze norme interne in acest sens pentru a evita conflictele de interese;
• sa includa o explicatie mai generala cu privire la conflictele de interese;
• sa declare ca responsabilul lor cu protectia datelor nu are niciun conflict de interese in ceea ce priveste functia sa, ca si modalitate de crestere a gradului de constientizare a acestei cerinte;
• sa includa garantii in normele interne ale organizatiei si sa se asigure ca anuntul de post vacant pentru functia de responsabil cu protectia datelor sau contractul de prestari servicii este suficient de precis si detaliat pentru a evita conflictul de interese.