Avocat Dr. Constantin Neacșu –
Baroul București
Tel.: 0744244852
Responsabilul trebuie să fie ales pe baza calităților profesionale și a cunoștințelor de specialitate în dreptul și practicile din domeniul protecției datelor, precum și pe baza capacității de a îndeplini următoarele sarcini:
• informarea și consilierea operatorului sau a persoanei împuternicite, precum și a angajaților care se ocupă de prelucrare cu privire la obligațiile care le revin în temeiul Regulamentului și al altor dispoziții de drept ale Uniunii sau de drept intern referitoare la protecția datelor;
• monitorizarea respectării Regulamentului, a altor dispoziții de drept ale Uniunii sau de drept intern referitoare la protecția datelor și a politicilor operatorului sau ale persoanei împuternicite de operator în ceea ce privește protecția datelor cu caracter personal, inclusiv alocarea responsabilităților și acțiunile de sensibilizare și de formare a personalului implicat în operațiunile de prelucrare, precum și auditurile aferente;
• furnizarea de consiliere la cerere în ceea ce privește evaluarea impactului asupra protecției datelor și monitorizarea funcționării protecției datelor;
• cooperarea cu autoritatea națională de supraveghere;
• asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare, inclusiv consultarea prealabilă, precum și – dacă este cazul – consultarea cu privire la orice altă chestiune.
Din rândul afacerilor cu capital privat, doar două tipuri de companii au această obligativitate şi anume companiile private care prelucrează la scară largă date personale sensibile cum ar fi: date rasiale, fiscale, istoricul penal etc, această categorie fiind destul de clară. Intră în cea de a doua categorie „companiile private care prelucrează date în cadrul unor activităţi de monitorizare periodică şi sistematică a persoanelor vizate pe scară largă”. Ceea ce înseamnă că, spre exemplu, majoritatea site-urilor sunt obligate să numească un responsabil cu protecţia datelor.
Regulamentul G.D.P.R. nu cere o calificare specială pentru responsabilul cu protecţia datelor, iar coduri oficiale de bune practici încă nu există. Totuși, o astfel de persoană ar trebui să aibă studii juridice, să fie bine conectată la noutățile din domeniu, să fie organizată, să cunoască bine procedurile companiei și să aibă și abilități tehnice.
Responsabilul cu protecția datelor poate fi un membru al personalului societății, un avocat sau o entitate care își îndeplinește sarcinile în baza unui contract de servicii. În toate situațiile este necesar ca îndeplinirea sarcinilor să nu nască un conflict de interese.
G.D.P.R. prevede, în mod expres, că responsabilul cu protecția datelor va putea ocupa concomitent o altă funcție în cadrul firmei, mai puțin o funcție de decizie, pentru a nu se ajunge în situația în care acesta își evaluează propria activitate privind prelucrarea datelor personale.
Responsabilul, numit pentru o perioadă de cel puţin un an, este răspunzător de tot ce are legătură cu protecţia datelor în cadrul companiei. De exemplu, informează şi sfătuieşte despre obligaţiile care revin companiei în temeiul Regulamentului, monitorizează punerea în aplicare a politicilor de protecţie a datelor, gestionează cererile consumatorilor. În plus, responsabilii cu protecţia datelor acţionează ca persoană de contact pentru Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.
Datorită faptului că această persoană ocupă o poziție cheie în orice organizație este firesc ca managementul să își dorească drept responsabil cu protecţia datelor o persoană de maximă încredere. Doar că această poziție nu trebuie plasată ca responsabilitate către I.T., ci trebuie privită ca un controller, un auditor sau ceva similar cu un inspector în protecția muncii.