GDPR

Cu DPO sau fără DPO în firmă?

Poate că mulți dintre voi vă întrebați dacă este sau nu este nevoie în firma voastră de un DPO. Pe scurt, data protection officer-ul este însărcinat cu tot ce înseamnă prelucrare de date cu caracter personal sau sensibil. El urmărește fluxul datelor în firmă și se asigură că aceste date sunt obținute într-un temei legal, sunt folosite în temeiul pentru care au fost colectate și sunt ținute secret, adică securizate de accesarea lor de către persoane neautorizate din firmă sau din afara firmei.

Concret, din 25 mai 2018 cineva are această sarcină în firmă, ca expert. Unii recomandă ca DPO-ul să fie de profesie jurist sau IT-ist, dar nu managerul IT sau juristul firmei, ci unul eventual contractat ca terț. Deși ei pot părea cei mai indicați pentru a prelua această activitate, legea interzice ca persoana însărcinată cu supravegherea datelor în firmă să fie aceeași cu cea care decide prelucrarea datelor sau modul în care sunt prelucrate datele, cum ar fi un director de marketing sau managerul IT. Ceea ce trebuie reținut este că nu trebuie să existe conflict de interese între sarcinile DPO-ului, mai precis între vechile sarcini și cele legate de GDPR.

Un DPO dedicat, care să fie responsabil doar cu respectarea GDPR au nevoie să aibă firmele care colectează date sensibile cum sunt spitalele, clinicile medicale, băncile, instituțiile de învățământ, magazinele de comerț electronic. În obligativitatea de a angaja un DPO care se ocupă full-time de respectarea regulamentului nu ține de numărul de anagajați, cifra de afaceri sau natura capitalului social, ci de specificul datelor pe care le prelucrezi (art. 37). Un farmacist întră în legătură cu informația privind diagnosticul pe care medicul l-a dat unui pacient nominalizat cu nume, vârstă, cnp, etc., pentru care ia un tratament. Devine logic și cu sens ca societatea respectivă să securizeze foarte bine și să monitorizeze atent confidențialitatea respectivelor date.

Care ar fi responsabilitățile generale ale unui DPO:

  • DPO-ul are sarcina de a monitoriza conformitatea firmei cu GDPR, politicile de protecție a datelor, de conștientizare a celorlalți angajați asupra importanței conformării la GDPR, de training al altor angajați, de audit.
  • DPO aduce la cunoștința managementului societății obligațiile privind protecția datelor.
  • În cazul unui audit, DPO-ul monitorizează întregul proces.
  • Oferă toată documentația în cazul unui control din partea Autorității de Supraveghere.
  • Ține legătura cu procesatorul de date, în caz că este diferit de operator.
  • Este accesibil tuturor angajaților atunci când este cazul.

Dar, faptul că responsabilizezi pe cineva să gestioneze bazele de date cu clienții, angajații și partenerii firmei nu te absolvă de răspundere ca administrator al firmei tale. În conformitate cu articolul 38 al aceluiași GDPR, operatorul trebuie să se asigure că DPO-ul, adică ofițerul responsabil cu protecția datelor, este implicat în mod corespunzător și oricând este necesar, în toate aspectele legate de protecția datele cu caracter personal (alineatul 1). Practic pui la lucru un om din firmă sau din afară, care se presupune că știe cu ce se mănâncă noul regulament. Mai mult decât atât, în cazul unui intern, administratorului firmei operatoare sau procesatoare de date îi asigură DPO-ului resursele necesare pentru îndeplinirea acestor sarcini și mai ales accesul nestringherit la datele personale colectate și la toate operațiunile de prelucrare, inclusiv la propria sa perfecționare continuă.