Acest site foloseste Cookie-uri, conform noului Regulament de Protectie a Datelor (GDPR), pentru a va asigura cea mai buna experienta online. In esenta, Cookie-urile ne ajuta sa imbunatatim continutul de pe site, oferindu-va dvs., cititorul, o experienta online personalizata si mult mai rapida. Ele sunt folosite doar de site-ul nostru si partenerii nostri de incredere. Click AICI pentru detalii despre politica de Cookie-uri.
Acest site foloseste Cookie-uri, conform noului Regulament de Protectie a Datelor (GDPR), pentru a va asigura cea mai buna experienta online. In esenta, Cookie-urile ne ajuta sa imbunatatim continutul de pe site, oferindu-va dvs., cititorul, o experienta online personalizata si mult mai rapida. Ele sunt folosite doar de site-ul nostru si partenerii nostri de incredere. Click AICI pentru detalii despre politica de Cookie-uri. Sunt de acord cu politica de cookie
X

Autentificare cont

Tine-ma minte

Ati uitat parola? Click aici pentru a recupera user/parola

Nu aveti cont?
X

Recuperare user/parola

Te rugam sa introduci adresa de email pe care ai folosit-o la inregistrarea contului tau.

Autentificare Inregistrare cont
Portal actualizat la 23 Aprilie 2019
Contine toate actele normative din domeniu, actualizate la zi - parteneriat Legis

DPO extern sau salariat nou/existent

30 Sep 2018

Unul dintre elementele importante pentru aliniere la Regulamentul (UE) 2016/679 este infiintarea unei noi functii in cadrul organizatiilor vizate, un Data Protection Officer (DPO) care ofera consultanta la nivel executiv si care se asigura ca toate reglementarile Regulamentului sunt respectate. Acest aspect intervine in primul rand pe fondul caracterului tehnic si al dificultatii de intelegere a Regulamentului de catre cineva care nu este avizat, existand asadar o nevoie acerba de indrumari si ghidaj din partea unui specialist.

Potrivit art. 37 alin. 6 din Regulament, Responsabilul cu protectia datelor poate fi un membru al personalului operatorului sau persoanei imputernicite de operator sau poate sa isi indeplineasca sarcinile in baza unui contract de servicii, organizatiile avand o marja de apreciere in privinta modalitatilor prin care inteleg sa angajeze un astfel de specialist, respectiv: contractarea unui consultant extern sau angajarea unui salariat nou sau existent, chestiune ce ridica cateva probleme specifice managementului organizatiilor.

Din punct de vedere organizational, functia de DPO ar trebui sa se reflecte in organigrama societatii, fie prin actualizarea acesteia si crearea unui nou post, fie prin completarea cu atributiile specifice a unui post deja existent. De asemenea, functia de DPO presupune existenta unor raporturi contractuale care sa ii reglementeze atributiile specifice functiei, indiferent ca vorbim despre o persoana nou-angajata sau o persoana deja existenta in cadrul companiei (contract de prestari servicii, contract de munca,.

Din perspectiva evaluarii activitatii unui DPO, consideram ca aceasta s-ar putea desfasura in mod similar cu cea a angajatilor. Toate aceste chestiuni impun insa intocmirea unor politici clare care sa prevada si sa defineasca:
mecanismele de prelucrare a datelor cu caracter personal;
procesele/masurile care trebuie respectate si urmarite;
prevederea clara a sarcinilor si atributiilor DPO-ului;
politici interne, fise ale postului, contract prin care sa se prevada inclusiv sarcini de raportare catre conducerea societatii;
instituirea unui mecanism de control a activitatii DPO, din partea unor terti sau din partea autoritatii de supraveghere.
Datorita noutatii rolului, responsabilitatilor si functionalitatilor acestui rol al DPO in organigrama unei companii, Autoritatea Nationala pentru Calificari a aprobat standardul ocupational pentru Responsabil cu protectia datelor cu caracter personal (COR 242231), prin decizia nr. 74 din 19 martie 2018, standard care va sta la baza cursurilor de formare profesionala pentru aceasta pozitie in Romania. Acest standard permite astfel recunoasterea la nivel oficial in Romania (prin COR) a acestei noi ocupatii in Romania si autorizarea unor cursuri de training DPO, confirmate de o diploma de calificare oficiala in ceea ce priveste protectia datelor cu caracter personal, cat si securitatea informatiei, organizarea proceselor interne si managementul datelor.
In acest fel, pe de o parte, fiecare operator ar fi capabil sa se poata conforma prevederilor Regulamentului si a evita riscul unor amenzi care pot fi extrem de costisitoare pentru companii, iar pe de alta parte, aceasta certificare permite celor doritori sa isi construiasca o cariera in domeniul protectiei datelor cu caracter personal.
Standardul ocupational pentru educatie si formare profesionala are in vedere competentele si deprinderile care trebuie sa se regaseasca in persoana unui DPO, si anume:
1. Informarea organizatiei si persoanelor vizate cu privire la drepturile si obligatiile lor in baza legislatiei privind protectia datelor cu caracter personal;
2. Monitorizarea modalitatii in care organizatia respecta legislatia privind protectia datelor cu caracter personal si standardele specifice la care organizatia a aderat;
3. Emiterea de recomandari si oferirea asistentei de specialitate organizatiei cu privire la interpretarea si aplicarea prevederilor legislatiei privind protectia datelor cu caracter personal;
4. Gestionarea relatiei cu autoritatea de supraveghere in domeniul protectiei datelor cu caracterpersonal;
5. Respectarea principiului obiectivitatii in domeniul protectiei datelor cu caracter personal;
6. Asigurarea si gestionarea registrului de evidenta a prelucrarii datelor cu caracter personal;
7. Gestionarea si coordonarea resurselor umane, financiare, tehnice necesare realizarii sarcinilor si activitatilor specifice domeniului protectiei datelor cu caracter personal;
8. Dezvoltarea profesionala continua in domeniul protectiei datelor cu caracter personal;
9. Monitorizarea aplicarii instrumentelor si metodelor de imbunatatire a eficacitatii sistemului de management al securitatii informatiei;
10. Analizarea si evaluarea riscurilor de prelucrare a datelor cu caracter personal.

Cerinte speciale de exercitare a ocupatiei Responsabilului cu protectia datelor cu caracter personal:
vechime in munca: minimum 1 an;
studii superioare absolvite cu diploma de licenta si curs de specializare/perfectionare absolvit cu certificat care sa ateste competentele formate;
cunoasterea aprofundata a legislatiei domeniului;
abilitati de comunicare;
responsabilitate, seriozitate, punctualitate, empatie, capacitate de analiza/sinteza;
capacitatea de a asigura confidentialitatea datelor la care are acces. Cerintele privind nivelul minim de calificare si experienta profesionala pentru formatori si instructori/preparatori formare:
indeplineste conditiile impuse de legislatia in vigoare aplicabila formatorilor si instructorilor/preparatorilor de formare;
are o experienta de minimum 3 ani in domeniul protectiei datelor cu caracter personal.
cerinte privind nivelul minim de calificare si experienta profesionala pentru evaluatori:
indeplineste conditiile impuse de legislatia in vigoare aplicate evaluatorilor;
are o experienta de minimum 5 ani in domeniul protectiei datelor cu caracter personal.
Sunt prevazute de asemenea, informatii referitoare la procesul de elaborare, verificare, validare, avizare si aprobare a standardului ocupational (initiatori/autori, specialistii care se vor ocupa de verificarea profesionala/avizare/validare documentatie/aprobare).
Regulamentul nu stabileste foarte precis situatiile in care organizatiile implicate in prelucrarea de date cu caracter personal sunt obligate sa desemneze un DPO (de exemplu, atunci cand activitatile principale ale organizatiei constau in operatiuni de prelucrare care necesita o monitorizare pe scara larga, periodica si sistematica a persoanelor vizate sau a unor categorii speciale de date).
Un lucru este cert, si anume, desemnarea DPO se poate face nu doar in situatiile in care este obligatorie, potrivit Regulamentului, ci orice operator poate sa-si desemneze un DPO, avandu-se in vedere in special cantitatea riscurilor la care organizatia se expune prin prelucrarea datelor cu caracter personal, atat din perspectiva naturii datelor cu caracter personal pe care le prelucreaza, cat si amplorii activitatii sale (numarul persoanelor vizate, volumul datelor cu caracter personal, durata activitatii de prelucrare a datelor personale, aria geografica a activitatii de prelucrare).
Stiati ca: Responsabilul cu protectia datelor cu caracter personal nu este persoana care preia responsabilitatea protectiei datelor, ci aceasta responsabilitate ramane in sarcina operatorului. Responsabilul este denumit asa in virtutea atributiilor sale, nu in virtutea obligatiilor sale.

Fie ca vorbim despre un DPO contractant extern sau despre un DPO angajat cu contract de munca (si persoana deja existenta in cadrul companiei), in ambele situatii, operatorul sau persoana imputernicita trebuie sa se asigure ca niciuna dintre sarcinile si atributiile acestuia nu genereaza un conflict de interese, avand in vedere urmatoarele linii directoare ale activitatii unui DPO:
Responsabilul cu protectia datelor nu primeste niciun fel de instructiuni in ceea ce priveste indeplinirea acestor sarcini din partea operatorului sau a persoanei imputernicite.
DPO nu este demis sau sanctionat de catre operator sau de persoana imputernicita de operator pentru indeplinirea sarcinilor sale.
Responsabilul cu protectia datelor raspunde direct in fata celui mai inalt nivel al conducerii operatorului sau persoanei imputernicite de operator.

De aici rezulta si independenta DPO-ului ce impune excluderea oricaror sarcini suplimentare de natura a da nastere unor presiuni la nivelul companiei, legate de scopurile si mijloacele de prelucrare a datelor.

In esenta, desi nu exista o lista a surselor ce pot crea un conflict de interese, urmand a fi determinate in fiecare caz in parte, una dintre ele poate fi reprezentata de ocuparea functiei de DPO de persoane cu functii de executie (persoane cu putere de decizie cu privire la activitatea societatii), spre exemplu: administrator/director general, director financiar, director resurse umane, director de marketing etc. Si nu in ultimul rand, conflictul de interese poate aparea si in persoana consilierului juridic, daca ar ocupa si functia de DPO in special atunci cand reprezinta compania intr-un litigiu in materia legalitatii prelucrarii datelor cu caracter personal sau in persoana celui care se ocupa de calitatea masurilor de securitate IT in ideea conformarii cu prevederile Regulamentului.

Newsletter portalprotectiadatelor.ro

Top 10 intrebari si raspunsuri referitoare la implementarea GDPR

Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul portalprotectiadatelor.ro si primesti cadou Raportul special "Top 10 intrebari si raspunsuri referitoare la implementarea GDPR"!

Da, doresc sa ma abonez si sa primesc informatii despre produsele, serviciile, evenimentele etc. oferite de Rentrop & Straton. Termeni si conditii de utilizare a site-ului Nota de informare

x