Formular declarare responsabil cu protecția datelor – DPO

0

În contextul intrării in vigoare a Regulamentului GDPR nr. 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date, aplicabil din 25 mai 2018, ANSPDCP a publicat pe site-ul propriu modelul formularului-declaraţie privind responsabilul cu protecţia datelor (DPO).

Documentul trebuie completat cu datele operatorului/persoanei împuternicite, datele responsabilului cu protecţia datelor, semnătură iar mai apoi trimis la adresa de e-mail anspdcp@dataprotection.ro .

Desemnare responsabil cu protecția datelor – Desemnarea obligatorie

Art. 37(1) din RGPD solicită desemnarea DPA în trei situații specific :

a) atunci când prelucarea este efectuată de o autoritate publică sau un organism public;

b) atunci când activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrarea care necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă; sau

c) atunci când activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date sau a unor categorii de date cu caracter personal privind condamnări penale și infracțiuni.

În următoarele subsecțiuni WP29 oferă orientări cu privire la criteriile și terminologia folosită în art. 37(1).

Cu excepția cazului în care este evident faptul că o organizație nu este obligată să desemneze un DPO, WP29 recomandă ca operatorii și persoanele împuternicite de operator să documenteze evaluările interne efectuate pentru a determina dacă va fi numit un DPO, pentru a fi în măsură să demonstreze că au fost luați în considerare în mod corespunzător factorii relevanți

Această analiză reprezintă o parte a documentației potrivit principiului responsabilității. Aceasta poate fi solicitată de autoritatea de supraveghere și ar trebui actualizată atunci când este necesar, de exemplu, în situația în care operatorii sau persoanele împuternicite de operatori întreprind activități noi sau furnizează servicii noi care se pot încadra în cazurile enumerate la art.37(1).

În situația în care o organizație numește un DPO în mod voluntar, condițiile de la art. 37-39 se aplică numirii, poziției și sarcinilor ca și cum desemnarea ar fi obligatorie. Nimic nu împiedică o organizație, care nu are obligația legală de a desemna un DPO și nu dorește să desemneze un DPO în mod voluntar, să angajeze personal sau consultanți externi cu sarcini legate de protecția datelor cu caracter personal.

În acest caz, este important să se asigure că nu există nicio confuzie în ceea ce privește titlul, statutul, poziția și sarcinile acestora. Prin urmare, trebuie clarificat, în orice comunicare din cadrul companiei, precum și cu autoritățile pentru protecția datelor, persoanele vizate și publicul larg, că titlul acestei persoane sau consultant nu este cel de responsabil cu protecția datelor (DPO).

DPO, obligatoriu sau voluntar, este desemnat pentru toate operațiunile efectuate de operator sau persoana împuternicită de operator. DPO al persoanei împuternicite de operator Art. 37 se aplică atât operatorilor17 cât și persoanelor împuternicite de operator18 în ceea ce privește numirea unui DPO.

În funcție de cine îndeplinește criteriile de desemnare obligatorie, în unele cazuri numai operatorul sau numai persoana împuternicită de operator, iar în alte cazuri atât operatorul, cât și persoana împuternicită de operator sunt obligați să numească un DPO (care ar trebui mai apoi să colaboreze).

Este important să se sublinieze faptul că, chiar dacă operatorul îndeplinește criteriile de desemnare obligatorie, persoana împuternicită de respectivul operatorul nu trebuie neapărat să numească un DPO.

Totuși, acest lucru poate reprezenta o bună practică.

Exemple:

O mică afacere de familie activă în distribuția de aparate de uz casnic într-un singur oraș folosește serviciile unei persoanei împuternicite de operator a cărui activitate de bază este de a oferi servicii de asistență și analiză pe pagina web cu activități specifice de publicitate și marketing.

 Activitățile afacerii de familie și clienții săi nu genereazaă prelucrarea datelor pe „scară largă”, având în vedere numărul mic de clienți și activitățile relativ limitate.

Cu toate acestea, activitățile persoanei împuternicite de operator, având mulți clienți precum această mică întreprindere, luate împreună, efectuează prelucrări de date pe scară largă. Prin urmare, persoana împuternicită de operator trebuie să desemneze un DPO în temeiul art. 37(1)b). În același timp, afacerea de familie în sine nu are obligația de a desemna un DPO.

O companie de dimensiune medie ce produce țiglă subcontractează serviciile de sănătate ale unei persoane împuternicite care are un număr mare de clienți. Persoana împuternicită de operator va desemna un DPO potrivit art. 37(1)c), cu condiția ca prelucrarea să fie pe scară largă. Cu toate acestea, producătorul nu are obligația de a numi un DPO.

DPO desemnat de o persoană împuternicită supraveghează, de asemenea, activitățile desfășurate de persoana împuternicită atunci când aceasta acționează în calitate de operator (spre exemplu resurse umane, IT, logistică).

Desemnarea unui singur DPO pentru mai multe organizații

Art. 37(2) permite unui grup de întreprinderi să numească un DPO unic, cu condiția ca aceasta să fie „ușor accesibil din fiecare întreprindere”. Noțiunea de accesibilitate se referă la sarcinile DPO ca punct de contact în ceea ce privește persoanele vizate19, autoritatea de supraveghere20, dar și pe plan intern în cadrul organizației, având în vedere că una dintre sarcinile DPO este „de informare și consiliere a operatorului și persoanei împuternicite de operator, precum și a angajaților care se ocupă de prelucrare cu privire la obligațiile care le revin în temeiul prezentului Regulament”.21

Pentru a se asigura că DPO, intern sau extern, este accesibil, este important să se asigure cã datele de contact ale acestuia sunt disponibile în conformitate cu cerințele RGPR. El sau ea, cu ajutorul unei echipe, dacă este necesar, trebuie să fie în măsură să comunice eficient cu persoanele vizate și să coopereze24 cu autoritățile de supraveghere implicate. Acest lucru înseamnă, de asemenea, că respectiva comunicare trebuie să aibă loc în limba sau limbile utilizate de autoritățile de supraveghere și persoanele vizate.

Disponibilitatea unui DPO (fie fizică în același sediu cu angajații, prin intermediul unei linii telefonice sau prin alte mijloace sigure de comunicare) este esențială pentru a garanta că persoanele vizate vor fi în măsură să contacteze DPO.

Potrivit art. 37(3), DPO unic poate fi desemnat pentru mai multe autorități sau organisme publice, luând în considerare structura organizatorică și dimeniunea acestora. Sunt aplicabile aceleași considerente cu privire la resurse și comunicare.

Având în vedere că DPO este responsabil pentru o varietate de atribuții, operatorul sau persoana împuternicită trebuie să se asigure că un DPO unic, cu ajutorul unei echipe, poate efectua aceste competențe în mod eficient în ciuda faptul că este desemnat pentru mai multe autorități și organisme publice.

CITITI si:  Regulamentul general privind protecția datelor – noțiuni elementare

Get real time updates directly on you device, subscribe now.