Responsabilul cu protectia datelor - rol si responsabilitati
Integrarea in organizatie a responsabilului cu protectia datelor (II)
Continuam seria de articole dedicate responsabilului cu protectia datelor si analizam in cele ce urmeaza modul in care acesta trebuie integrat in organigrama entitatii care l-a desemnat, calitatile pe care trebuie sa le posede pentru a raspunde exigentelor pozitiei, dar si prevederile Regulamentului general privind protectia datelor ( Regulamentul ), ce contin reguli specifice legate de numirea acestuia.
Articolul nostru precedent a analizat situatiile in care desemnarea unui responsabil cu protectia datelor este obligatorie. Odata stabilita necesitatea unei astfel de numiri, se pune problema alegerii persoanei potrivite.
Profilul responsabilului cu protectia datelor
Practica a demonstrat ca alegerea unui responsabil cu protectia datelor este destul de dificila. Si asta pentru ca este nevoie de o persoana cu solide cunostinte atat in domeniul juridic, cat si in cel tehnic, acesta insotind, in mod inevitabil, prelucrarea datelor cu caracter personal. Conform Asociatiei Internationale a Profesionistilor in Protectia Datelor, un responsabil cu protectia datelor trebuie sa fie un avocat specializat in tehnologie . O astfel de combinatie este, de cele mai multe ori, greu de gasit.
Responsabilul cu protectia datelor trebuie sa aiba experienta in domeniul protectiei datelor cu caracter personal. Nivelul de experienta ar trebui sa fie proportional cu sensibilitatea, complexitatea si cantitatea de date cu caracter personal efectiv prelucrate. In plus, este recomandabil ca responsabilul cu protectia datelor sa fie un bun cunoscator al sectorului de afaceri in care isi desfasoara activitatea organizatia care l-a desemnat.
Desemnarea unui angajat sau contractarea unui serviciu externalizat
Exercitarea functiei de responsabil cu protectia datelor se poate face fie prin desemnarea unei persoane din interiorul organizatiei, fie prin incheierea unui contract de servicii cu un furnizor extern de servicii specializate.
In ipoteza in care se apeleaza la serviciile unui furnizor extern, este recomandabil ca, prin contract, sa fie clar stabilite sarcinile fiecarui membru al echipei implicate in furnizarea serviciilor, persoana desemnata pentru a asigura legatura cu beneficiarul acestor servicii, precum si datele sale de contact. Operativitatea si usurinta in comunicare sunt esentiale in cazul unor astfel de servicii.
De cele mai multe ori insa, responsabilul cu protectia datelor provine din interiorul organizatiei. Solutia este, evident, una practica, operatorii sau persoanele imputernicite de operatori urmarind astfel sa desemneze un cunoscator al proceselor interne ce implica prelucrarea de date cu caracter personal.
Evitarea conflictului de interese
Cea mai importanta regula ce trebuie avuta in vedere cu ocazia desemnarii responsabilului cu protectia datelor este aceea a evitarii conflictului de interese. Desi, potrivit Regulamentului, persoana desemnata poate indeplini si alte sarcini si atributii in cadrul operatorului sau persoanei imputernicite de operator, este obligatia organizatiei de a se asigura ca niciuna dintre sarcinile si atributiile ce urmeaza a fi indeplinite nu genereaza un conflict de interese.
Responsabilul cu protectia datelor nu poate controla o activitate de prelucrare. Prin urmare, persoanele ce ocupa functii de conducere, cum ar fi directorul executiv, directorul de operatiuni, directorul financiar, seful departamentului de marketing, seful departamentului de resurse umane, seful departamentului juridic sau seful departamentului IT, nu isi pot asuma rolul de responsabil cu protectia datelor. Pozitia poate fi totusi ocupata de persoane cu functie de executie din cadrul departamentelor enumerate anterior.
Regulile stabilite pentru evitarea conflictului de interese trebuie respectate si atunci cand functia de responsabil cu protectia datelor este exercitata de un furnizor de servicii externalizate. De exemplu, aceasta pozitie nu poate fi detinuta de un avocat care a reprezentat anterior organizatia in chestiuni legate de protectia datelor cu caracter personal.
Odata desemnat, responsabilul cu protectia datelor trebuie integrat in organigrama operatorului sau a persoanei imputernicite de operator, cu mentiunea ca acesta trebuie subordonat celui mai inalt nivel al conducerii executive. Chiar daca responsabilul cu protectia datelor provine, de exemplu, din cadrul departamentului juridic, nu va raspunde in fata sefului sau coordonatorului acestui departament pentru activitatile sale specifice in materia protectiei datelor, ci doar in fata directorului general sau in fata structurii executive de conducere a organizatiei (consiliului de administratie, de exemplu).
Implicarea responsabilului cu protectia datelor in toate aspectele legate de protectia datelor cu caracter personal
Acest lucru se poate realiza, de exemplu, prin:
Continuam seria de articole dedicate responsabilului cu protectia datelor si analizam in cele ce urmeaza modul in care acesta trebuie integrat in organigrama entitatii care l-a desemnat, calitatile pe care trebuie sa le posede pentru a raspunde exigentelor pozitiei, dar si prevederile Regulamentului general privind protectia datelor ( Regulamentul ), ce contin reguli specifice legate de numirea acestuia.
Articolul nostru precedent a analizat situatiile in care desemnarea unui responsabil cu protectia datelor este obligatorie. Odata stabilita necesitatea unei astfel de numiri, se pune problema alegerii persoanei potrivite.
Profilul responsabilului cu protectia datelor
Practica a demonstrat ca alegerea unui responsabil cu protectia datelor este destul de dificila. Si asta pentru ca este nevoie de o persoana cu solide cunostinte atat in domeniul juridic, cat si in cel tehnic, acesta insotind, in mod inevitabil, prelucrarea datelor cu caracter personal. Conform Asociatiei Internationale a Profesionistilor in Protectia Datelor, un responsabil cu protectia datelor trebuie sa fie un avocat specializat in tehnologie . O astfel de combinatie este, de cele mai multe ori, greu de gasit.
Responsabilul cu protectia datelor trebuie sa aiba experienta in domeniul protectiei datelor cu caracter personal. Nivelul de experienta ar trebui sa fie proportional cu sensibilitatea, complexitatea si cantitatea de date cu caracter personal efectiv prelucrate. In plus, este recomandabil ca responsabilul cu protectia datelor sa fie un bun cunoscator al sectorului de afaceri in care isi desfasoara activitatea organizatia care l-a desemnat.
Desemnarea unui angajat sau contractarea unui serviciu externalizat
Exercitarea functiei de responsabil cu protectia datelor se poate face fie prin desemnarea unei persoane din interiorul organizatiei, fie prin incheierea unui contract de servicii cu un furnizor extern de servicii specializate.
In ipoteza in care se apeleaza la serviciile unui furnizor extern, este recomandabil ca, prin contract, sa fie clar stabilite sarcinile fiecarui membru al echipei implicate in furnizarea serviciilor, persoana desemnata pentru a asigura legatura cu beneficiarul acestor servicii, precum si datele sale de contact. Operativitatea si usurinta in comunicare sunt esentiale in cazul unor astfel de servicii.
De cele mai multe ori insa, responsabilul cu protectia datelor provine din interiorul organizatiei. Solutia este, evident, una practica, operatorii sau persoanele imputernicite de operatori urmarind astfel sa desemneze un cunoscator al proceselor interne ce implica prelucrarea de date cu caracter personal.
Evitarea conflictului de interese
Cea mai importanta regula ce trebuie avuta in vedere cu ocazia desemnarii responsabilului cu protectia datelor este aceea a evitarii conflictului de interese. Desi, potrivit Regulamentului, persoana desemnata poate indeplini si alte sarcini si atributii in cadrul operatorului sau persoanei imputernicite de operator, este obligatia organizatiei de a se asigura ca niciuna dintre sarcinile si atributiile ce urmeaza a fi indeplinite nu genereaza un conflict de interese.
Responsabilul cu protectia datelor nu poate controla o activitate de prelucrare. Prin urmare, persoanele ce ocupa functii de conducere, cum ar fi directorul executiv, directorul de operatiuni, directorul financiar, seful departamentului de marketing, seful departamentului de resurse umane, seful departamentului juridic sau seful departamentului IT, nu isi pot asuma rolul de responsabil cu protectia datelor. Pozitia poate fi totusi ocupata de persoane cu functie de executie din cadrul departamentelor enumerate anterior.
Regulile stabilite pentru evitarea conflictului de interese trebuie respectate si atunci cand functia de responsabil cu protectia datelor este exercitata de un furnizor de servicii externalizate. De exemplu, aceasta pozitie nu poate fi detinuta de un avocat care a reprezentat anterior organizatia in chestiuni legate de protectia datelor cu caracter personal.
Odata desemnat, responsabilul cu protectia datelor trebuie integrat in organigrama operatorului sau a persoanei imputernicite de operator, cu mentiunea ca acesta trebuie subordonat celui mai inalt nivel al conducerii executive. Chiar daca responsabilul cu protectia datelor provine, de exemplu, din cadrul departamentului juridic, nu va raspunde in fata sefului sau coordonatorului acestui departament pentru activitatile sale specifice in materia protectiei datelor, ci doar in fata directorului general sau in fata structurii executive de conducere a organizatiei (consiliului de administratie, de exemplu).
Implicarea responsabilului cu protectia datelor in toate aspectele legate de protectia datelor cu caracter personal
Acest lucru se poate realiza, de exemplu, prin:
- invitarea periodica la sedintele managementului superior cu ocazia discutarii si luarii de masuri in domeniul protectiei datelor cu caracter personal;
- analizarea corespunzatoare a opiniei si/sau a recomandarii responsabilului cu protectia datelor (in cazul in care recomandarea nu este urmata, entitatea va documenta motivele unei astfel de decizii);
- consultarea imediata in cazul unui incident de securitate a datelor cu caracter personal.
Regulamentul mai stabileste ca responsabilul cu protectia datelor trebuie sa beneficieze de resurse adecvate pentru a-si indeplini sarcinile specifice, de acces nerestrictionat la datele cu caracter personal si la activitatile de prelucrare, precum si de resursele necesare pentru mentinerea cunostintelor sale de specialitate.
In concret, acesta ar trebui sa beneficieze de:
In concret, acesta ar trebui sa beneficieze de:
- suport din partea managementului superior;
- alocarea corespunzatoare a timpului necesar desfasurarii activitatii specifice, mai ales in cazul in care functia este indeplinita, cu norma partiala, de un angajat;
- resurse financiare adecvate (inclusiv prin alocarea unui buget destinat exclusiv responsabilului cu protectia datelor);
- acces nerestrictionat la infrastructura si la personalul entitatii (inclusiv prin crearea unei structuri care sa-i ofere suport la nivelului fiecarui departament);
- pregatirea continua in scopul mentinerii si imbunatatirii nivelului de experienta si expertiza in domeniul protectiei datelor cu caracter personal.
Mai aratam ca Regulamentul prevede posibilitatea desemnarii unui singur responsabil pentru mai multe entitati, fie ca este vorba de entitati din sectorul privat sau public, cu conditia asigurarii accesibilitatii sale. Accesibilitatea se refera nu doar la asigurarea unui contact facil in interiorul grupului de entitati, dar si la asigurarea posibilitatii de contactare atat de catre persoanele vizate, cat si de catre autoritatile competente de supraveghere.
Asigurarea independentei responsabilului cu protectia datelor
Probabil cea mai importanta obligatie a operatorului sau a persoanei imputernicite de operator fata de responsabilul cu protectia datelor este necesitatea asigurarii independentei.
Potrivit Regulamentului, responsabilul cu protectia datelor nu ar trebui sa primeasca niciun fel de instructiuni in ceea ce priveste indeplinirea sarcinilor sale. De altfel, considerentul 97 din Regulament consemneaza ca, indiferent daca are sau nu calitatea de angajat, acesta ar trebui sa fie in masura sa isi indeplineasca atributiile si sarcinile in mod independent.
In asigurarea independentei responsabilului cu protectia datelor, acesta nu poate, de exemplu, primi instructiuni privind modul in care analizeaza o solicitare sau o plangere din partea unei persoane vizate.
Sanctionarea sau demiterea responsabilului cu protectia datelor
Responsabilul cu protectia datelor nu poate fi demis sau sanctionat pentru indeplinirea sarcinilor sale. Aceasta prevedere are rolul de a-i spori independenta si de a-i asigura protectia necesara indeplinirii sarcinilor. Privita in sens larg, sanctionarea poate imbraca diferite forme si poate fi directa sau indirecta (de exemplu, nepromovarea in functie sau intarzierea promovarii, neacordarea de beneficii acordate, in mod normal, celorlalti angajati). Inclusiv amenintarea sau perspectiva aplicarii unei sanctiuni intra sub incidenta acestei interdictii din Regulament.
Fara a aduce atingere celor de mai sus, apreciem ca responsabilul cu protectia datelor poate fi totusi demis pentru alte motive ce pot tine, de exemplu, de sfera relatiilor de munca (cum ar fi, lipsa repetata si nejustificata de la locul de munca).
Inainte de a incheia, aratam ca ultimul nostru articol dedicat functiei responsabilului cu protectia datelor va detalia atributiile pe care acesta trebuie sa le indeplineasca. Totodata, vom analiza modul in care activitatea responsabilului cu protectia datelor ar trebui sa contribuie la crearea unei culturi a protectiei datelor in cadrul organizatiei, precum si la cresterea gradului de constientizare a importantei datelor cu caracter personal prelucrate in randul angajatilor.
Asigurarea independentei responsabilului cu protectia datelor
Probabil cea mai importanta obligatie a operatorului sau a persoanei imputernicite de operator fata de responsabilul cu protectia datelor este necesitatea asigurarii independentei.
Potrivit Regulamentului, responsabilul cu protectia datelor nu ar trebui sa primeasca niciun fel de instructiuni in ceea ce priveste indeplinirea sarcinilor sale. De altfel, considerentul 97 din Regulament consemneaza ca, indiferent daca are sau nu calitatea de angajat, acesta ar trebui sa fie in masura sa isi indeplineasca atributiile si sarcinile in mod independent.
In asigurarea independentei responsabilului cu protectia datelor, acesta nu poate, de exemplu, primi instructiuni privind modul in care analizeaza o solicitare sau o plangere din partea unei persoane vizate.
Sanctionarea sau demiterea responsabilului cu protectia datelor
Responsabilul cu protectia datelor nu poate fi demis sau sanctionat pentru indeplinirea sarcinilor sale. Aceasta prevedere are rolul de a-i spori independenta si de a-i asigura protectia necesara indeplinirii sarcinilor. Privita in sens larg, sanctionarea poate imbraca diferite forme si poate fi directa sau indirecta (de exemplu, nepromovarea in functie sau intarzierea promovarii, neacordarea de beneficii acordate, in mod normal, celorlalti angajati). Inclusiv amenintarea sau perspectiva aplicarii unei sanctiuni intra sub incidenta acestei interdictii din Regulament.
Fara a aduce atingere celor de mai sus, apreciem ca responsabilul cu protectia datelor poate fi totusi demis pentru alte motive ce pot tine, de exemplu, de sfera relatiilor de munca (cum ar fi, lipsa repetata si nejustificata de la locul de munca).
Inainte de a incheia, aratam ca ultimul nostru articol dedicat functiei responsabilului cu protectia datelor va detalia atributiile pe care acesta trebuie sa le indeplineasca. Totodata, vom analiza modul in care activitatea responsabilului cu protectia datelor ar trebui sa contribuie la crearea unei culturi a protectiei datelor in cadrul organizatiei, precum si la cresterea gradului de constientizare a importantei datelor cu caracter personal prelucrate in randul angajatilor.
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!