Cum în perioada pandemiei, fiecare societate încearcă să își optimizeze cât mai bine resursele financiare, unele dintre acestea se gândesc să renunțe la postul de responsabil pentru protecția datelor și fie să externalizeze această activitate, fie să numească o persoană din cadrul companiei, încheind un contract individual de muncă part-time sau un contract de colaborare.
Unele societăți gândesc că e mai bine să aleagă o persoană din departamentul resurse umane, altele se gândesc să aleagă o persoană responsabilă cu activitățile SSM – sănătate și securitate în muncă (persoană care se ocupă de pregătirea controlului medical, fișelor de instruire SSM, evaluare riscuri SSM, proceduri în cazul accidentelor de muncă, relația cu ITM etc), iar altele se gândesc să aleagă chiar un contabil sau specialist IT.
În oricare din cazuri, noi le aducem la cunoștință societăților necesitatea de a evalua existența unui potențial conflict de interese între cele două poziții având în vedere dispozițiile Regulamentului (UE) 2016/679 (RGPD/GDPR), pe baza interpretării textelor de lege referitoare la responsabilul cu protecția datelor.
A. Cine este responsabilul cu protecția datelor?
Responsabilul cu protecția datelor sau, pe scurt, DPO-ul (engl. „data protection officer”), este angajatul sau consultantul care îndeplinește o serie de atribuții importante în domeniul protecției datelor și în privința respectării obligațiilor din domeniu. Principala preocupare a responsabilului cu protecția datelor trebuie să fie respectarea Regulamentului General privind Protecția Datelor și a reglementărilor naționale incidente.
B. Cine poate fi numit responsabil cu protecția datelor?
Art. 37 alin. (5) din RGPD prevede că DPO-ul „este desemnat pe baza calităților profesionale și, în special, a cunoștințelor de specialitate în dreptul și practicile în domeniul protecției datelor, precum și pe baza capacității de a îndeplini sarcinile prevăzute la art. 39”.
În interpretarea acestui articol, Autoritatea Națională privind Supravegherea Prelucrărilor Datelor cu Caracter Personal indică următoarele calități profesionale pe care trebuie să le aibă DPO-ul:
- „experiență în legislația și practicile de protecție a datelor la nivel național și european, precum și o înțelegere adecvată a RGPD;
- nivelul necesar de cunoștințe în domeniul protecției datelor în funcție de operațiunile de prelucrare a datelor efectuate și de nivelul de protecție necesar pentru datele cu caracter personal prelucrate;
- să înțeleagă operațiunile de prelucrare efectuate, precum și sistemele de informații și necesitățile de securitate și protecție a datelor prelucrate de operator;”
Mai mult, art. 37 alin. (6) din RGPD stabilește că DPO-ul „poate fi un membru al personalului operatorului sau persoanei împuternicite de operator sau poate să își îndeplinească sarcinile în baza unui contract de servicii.”
Prin urmare, o societate are de ales între a angaja un responsabil cu protecția datelor intern – pe bază de contract de muncă (situație în care persoana respectivă trebuie să aibă cunoștințe și experiență în protecția datelor, iar ideal și cunoștințe juridice) sau să contracteze cu un specialist, în baza unui contract de prestări servicii, ca de exemplu, cu un avocat/un consultant specializat în protecția datelor.
C. Ce ar putea genera un conflict de interese?
Potrivit art. 38 alin. (6) din RGPD „Responsabilul cu protecția datelor poate îndeplini și alte sarcini și atribuții. Operatorul sau persoana împuternicită de operator se asigură că niciuna dintre aceste sarcini și atribuții nu generează un conflict de interese”.
Prin urmare, în toate cazurile, desemnarea responsabilului cu protecția datelor trebuie să nu genereze un conflict de interese.
Potrivit Grupului de lucru instituit prin articolul 29, funcții din cadrul organizației cu care DPO poate intra în conflict sunt:
–funcții de conducere (cum ar fi director executiv, director operațional, director financiar, șeful serviciului medical, șeful departamentului de marketing, șef departamentului de resurse umane sau șeful departamentului IT);
-dar, în același timp și alte funcții inferioare dacă acestea conduc la posibilitatea de a stabili scopurile și mijloacelor de prelucrare.
→ stabilirea scopului de prelucrare:
Ex.: în scopul aducerii la îndeplinire a obligației legale a angajatorului de a asigura controlul medical periodic și, după caz, controlul psihologic periodic, ulterior angajării, potrivit Legii nr. 319/2006, responsabilul SSM stabilește că în vederea și în urma acestui control sunt prelucrate datele X, Y, Z care privesc sănătatea (date sensibile);
→ stabilirea mijloacelor de prelucrare:
Ex.: pentru a demonstra faptul că angajaților le-au fost aduse la cunoștință instrucțiunile legate de utilizarea anumitor echipamente la locul de muncă, în urma instructajului, angajații vor semna o fișă nominală prin care recunosc faptul că li s-a adus la cunoștință și au înțeles instrucțiunile primite. Această fișă nominală este un mijloc manual de prelucrare a datelor (nume și prenume angajat, departament, semnătura) care poate fi stabilit tot de către responsabilul SSM.
În plus, un conflict de interese poate apărea, de asemenea, de exemplu, în situația în care un DPO extern este rugat să reprezinte operatorul sau persoana împuternicită de operator în instanță, în cazurile care implică probleme de protecție a datelor.
Având în vedere cele expuse anterior și cunoscând natura principalelor atribuții ale resonsabililor SSM/resurse umane și chiar contabilitate care pot implica stabilirea scopului și a mijloacelor de prelucrare a datelor cu caracter personal recomandăm numirea unei alte persoane din cadrul companiei pentru funcția de DPO care în mod obligatoriu trebuie să îndeplinească art. 37 alin. (5) din RGPD și să nu se afle într-un conflict de interese.
Te-ar putea interesa și articolul „Se prelucrează CNP-ul pe facturi?”.
