Refuzul implementarii GDPR din partea conducerii societatii - responsabilitatea DPO
Intrebare: Societatea la care sunt angajata ca si Sef departament juridic, prin natura functiei de baza si a calificarii obtinute ulterior, aceea de DPO, desi am adus la cunostiinta admistratorilor societatii obligatia implementarii RGPDCP, datorita activitatii pe care o desfasoara, refuza sa faca acest lucru. Precizez ca domeniul de actvitate este cod CAEN: 4532 - Comert cu amanuntul de piese si accesorii pentru autovehicule, care presupune folosirea datelor ce au caracter personal in activitatea zilnica. Intrebarea la care va rog sa imi raspundeti este aceasta: cum ii pot convinge sa implementeze obligatiile impuse de Regulament? Este obligatoriu pentru acest tip de activitate implementarea prevederilor RGPDCP?
Raspuns: Conform Orientarilor privind responsabilii cu protectia datelor adoptate de catre Grupul de Lucru art. 29, sarcinile si atributiile unui responsabil cu protectia datelor cu caracter personal (DPO) nu trebuie sa genereze un conflict de interese. Aceasta inseamna, in primul rand, faptul ca DPO nu poate detine o functie in cadrul organizatiei, prin care sa stabileasca scopurile si mijloacele de prelucrare a datelor cu caracter personal. Potrivit organigramei specifice din cadrul fiecarei organizatii, acest aspect trebuie sa fie analizat de la caz la caz. Ca regula generala, printre functiile contradictorii din cadrul organizatiei se pot include functiile personalului de conducere de nivel superior (precum functia de sef departament juridic), insa si alte roluri de rang inferior in organigrama daca astfel de pozitii sau roluri conduc la stabilirea scopurilor si a mijloacelor de prelucrare. Regulamentul privind protectia datelor cu caracter personal atribuie DPO anumite caracteristici, si anume: acesta trebuie sa fie independent, sa actioneze ca o "punte" intre operator si ANSPDCP, nu trebuie sa urmeze anumite instructiuni venite din partea operatorilor sau a persoanelor imputernicite de catre operatori in ceea ce priveste exercitarea sarcinilor sale, nu poate fi concediat sau sanctionat de catre operator in legatura cu indeplinirea sarcinilor sale (art. 38 alin. 3 si 6 din Regulament).
Fara indoiala, angajatorul trebuie sa implementeze GDPR. Cum puteti sa convingeti sa faca asta e o intrebare foarte grea. Raspunsul cred insa ca nu este unul juridic. Daca veti fi amendati de Autoritate, angajatorul o sa-si aduca aminte de insistentele dumneavoastra, dar va fi prea tarziu
Poate ar fi potrivit sa atrageti atentia angajatorului ca oricare dintre salariatii si colaboratorii societatii poate sa sesizeze Autoritatea cu privire la faptul ca nu sunt implementate prevederile GDPR in societate.
Va sugerez sa faceti o adresa scrisa conducerii societatii in sensul celor mentionate mai sus, pentru a va pune dumneavoastra la adapost de eventuale reprosuri ulterioare sau, mai rau, de angajarea raspunderii patrimoniale in sarcina dumneavoastra. Ideea centrala este ca dumneavoastra, in calitate de DPO, aveti obligatia sa informati angajatorul cu privire la ceea ce trebuie sa faca, insa implementarea propriu-zisa este in sarcina conducerii angajatorului.
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!
Articole similare din categoria Plangeri si Sesizari
24Mar2019
Comitetul european pentru protectia datelor
de Colectivul de Specialisti Rentrop&Straton
valabil la 24 Mar 2019