Notificarea autoritatii privind desemnarea unui DPO - domeniul productiei

In cazul societatii dumneavoastra, apreciem ca desemnarea unui Responsabil cu portectia datelor (DPO - Data Protection Officer) este serios recomandabila fiind echivalenta unei bune practici conform Art.37 GDPR, avand in vedere:

• numarul mare de angajati (350) a carora date le prelucrati si inclusiv date sensibile art.9 GDPR (starea de sanatate care rezulta din adeverintele de munca si documentatia privind medicina muncii, etc.) sau chiar date speciale art.10 (date privind condamnarile penale - care rezulta din cazierele judiciare). Prelucrarea acestor date implica o activitate sistematica si cu grad de risc sporit, chiar daca nu face obiectul activitatii principale a societatii (dvs. indicand ca activitatea principala este una de productie);

• prevederile Ghidului privind Responsabilul cu protectia datelor (DPOs) revizuit in 5 aprilie 2018, de de catre WP29 (Grupul de Lucru art. 29, actualmente transformat in Comitetul European pentru Protectia Datelor/European Data Protection Board (CEPD/EDPB).

Precizam faptul ca si in situatia in care GDPR nu impune in mod obligatoriu desemnarea unui DPO, organizatiile pot gasi ca fiind utila desemnarea unui DPO in mod voluntar. Comitetul European pentru Protectia Datelor incurajeaza aceste eforturi voluntare (pag.4 din Ghidul actualizat in 5 aprilie 2017).

Odata desemnat un DPO fie ca este solicitata in mod obligator si expres, fie ca desemnarea a avut loc voluntar, indiferent cum, prin insasi desemnarea devin obligatorii prevederile art. 37-39 GDPT si inclusiv:

• publicarea datelor DPO pe site, intranet, etc.

Notificarea acestuia catre ANSPDCP (art 37.7 GDPR).

Art. 37.7 GDPR
(7) Operatorul sau persoana imputernicita de operator:
- publica datele de contact ale responsabilului cu protectia datelor
- si le comunica autoritatii de supraveghere.

Notificarea ANSPDCP trebuie sa se faca pe baza unui formular online publicat pe site-ul ANSPDC http://www.dataprotection.ro/servlet/ViewDocument?id=1492

Comunicarea numelui DPO catre autoritatea de supraveghere este esentiala pentru ca DPO reprezinta punctul de contact intre organizatie si autoritatea de supraveghere - art. 39.1 lit. e GDPR.

Ca o chestiune de buna practica, WP29/CEPD recomanda, de asemenea, ca o organizatie sa informeze angajatii sai in legatura cu numele si datele de contact ale DPO. De exemplu, numele si datele de contact ale DPO ar putea fi publicate intern pe Intranet-ul organizatiei, in directorul de telefon intern si in organigrame.

Desi nu face obiectul intrebarii dumneavoastra, va atragem atentia ca odata desemnat un DPO, trebuie sa va asigurati in mod obligator ca ati indeplinit urmatoarele conditii cumultive:

1. persoana DPO indeplineste coditiile speciale stabilite prin art. 37-39 GDPR;
2. aveti semnat un contract cu DPO, prin care acestuia ii sunt stabilite sarcinile si raspunderea, in mod explicit. In functie de modul de desemnare acest contract va putea fi:
a. CIM (cu o fisa a postului detaliata, Act aditional la CIM. Dar sa ne asiguram ca persoana DPO este una independenta fata de managementul societatii si nu se afla in situatie de conflict de interese;
b. Decizie de desemenare cu sarcini detaliate, asumate expres conform art. 39 GDPR;
c. Contract de prestari servicii (as a service) cu sarcini detaliate, asumate expres conform art. 39 GDPR si mai ales raspunderii.

IMPORTANT (!)
Art. 39 (1) GDPR prevede o lista minima a sarcinilor DPO. Prin urmare, nimic nu impiedica operatorul sau persoana imputernicita de operator sa atribuie DPO sarcina de a pastra o evidenta a operatiunilor (art.30 GDPR) de prelucrare in numele operatorului. O astfel de evidenta trebuie sa fie considerata ca fiind unul dintre instrumentele care permit DPO sa-si indeplineasca sarcinile de monitorizare a conformitatii, informare si consiliere a operatorului.

In cazul societatii dvs. pastrarea Registrului de evidenta a operatiunilor de prelucrare a datelor conform art. 30 GDPR este obligatorie (!)

Evidenta pastrata potrivit art.30 GDPR este vazuta de catre ANSPDCP si ca un instrument care permite operatorului si autoritatii de supraveghere, la cerere, sa aiba o imagine de ansamblu asupra tuturor operatiunile de prelucrare a datelor cu caracter personal efectuate de o organizatie. Astfel, este o conditie prealabila pentru conformitate si, ca atare, o masura eficienta de responsabilizare.