II. Integrarea în organizație a responsabilului cu protecția datelor
Continuăm seria de articole dedicate responsabilului cu protecția datelor și analizăm în cele ce urmează modul în care acesta trebuie integrat în organigrama entității care l-a desemnat, calitățile pe care trebuie să le posede pentru a răspunde exigențelor poziției, dar și prevederile Regulamentului general privind protecția datelor ("Regulamentul") ce conțin reguli specifice legate de numirea acestuia.
Articolul nostru precedent a analizat situațiile în care desemnarea unui responsabil cu protecția datelor este obligatorie. Odată stabilită necesitatea unei astfel de numiri, se pune problema alegerii persoanei potrivite.
Profilul responsabilului cu protecția datelor
Practica a demonstrat că alegerea unui responsabil cu protecția datelor este destul de dificilă. Și asta pentru că este nevoie de o persoană cu solide cunoștințe atât în domeniul juridic, cât și în cel tehnic, acesta însoțind, în mod inevitabil, prelucrarea datelor cu caracter personal. Conform Asociației Internaționale a Profesioniștilor în Protecția Datelor, un responsabil cu protecția datelor trebuie să fie un „avocat specializat în tehnologie”. O astfel de combinație este, de cele mai multe ori, greu de găsit.
Responsabilul cu protecția datelor trebuie să aibă experiență în domeniul protecției datelor cu caracter personal. Nivelul de experiență ar trebui să fie proporțional cu sensibilitatea, complexitatea și cantitatea de date cu caracter personal efectiv prelucrate. În plus, este recomandabil ca responsabilul cu protecția datelor să fie un bun cunoscător al sectorul de afaceri în care își desfășoară activitatea organizația care l-a desemnat.
Desemnarea unui angajat sau contractarea unui serviciu externalizat
Exercitarea funcției de responsabil cu protecția datelor se poate face fie prin desemnarea unei persoane din interiorul organizației, fie prin încheierea unui contract de servicii cu un furnizor extern de servicii specializate.
În ipoteza în care se apelează la serviciile unui furnizor extern, este recomandabil ca, prin contract, să fie clar stabilite sarcinile fiecărui membru al echipei implicate în furnizarea serviciilor, persoana desemnată pentru a asigura legătura cu beneficiarul acestor servicii, precum și datele sale de contact. Operativitatea și ușurința în comunicare sunt esențiale în cazul unor astfel de servicii.
De cele mai multe ori însă, responsabilul cu protecția datelor provine din interiorul organizației. Soluția este, evident, una practică, operatorii sau persoanele împuternicite de operatori urmărind astfel să desemneze un cunoscător al proceselor interne ce implică prelucrarea de date cu caracter personal.
Evitarea conflictului de interese
Cea mai importanta regulă ce trebuie avută în vedere cu ocazia desemnării responsabilului cu protecția datelor este aceea a evitării conflictului de interese. Deși potrivit Regulamentului, persoana desemnată poate îndeplini și alte sarcini și atribuții în cadrul operatorului sau persoanei împuternicite de operator, este obligația organizației de a se asigura că niciuna dintre sarcinile și atribuțiile ce urmează a fi îndeplinite nu generează un conflict de interese.
Responsabilul cu protecția datelor nu poate controla o activitate de prelucrare. Prin urmare, persoanele ce ocupă funcții de conducere, cum ar fi directorul executiv, directorul de operațiuni, directorul financiar, șeful departamentului de marketing, șeful departamentului de resurse umane, șeful departamentului juridic sau șeful departamentului IT, nu își pot asuma rolul de responsabil cu protecția datelor. Poziția poate fi totuși ocupată de persoane cu funcție de execuție din cadrul departamentelor enumerate anterior.
Regulile stabilite pentru evitarea conflictului de interese trebuie respectate și atunci când funcția de responsabil cu protecția datelor este exercitată de un furnizor de servicii externalizate. De exemplu, această poziție nu poate fi deținută de un avocat care a reprezentat anterior organizația în chestiuni legate de protecția datelor cu caracter personal.
Odată desemnat, responsabilul cu protecția datelor trebuie integrat în organigrama operatorului sau a persoanei împuternicite de operator, cu mențiunea că acesta trebuie subordonat celui mai înalt nivel al conducerii executive. Chiar dacă responsabilul cu protecția datelor provine, de exemplu, din cadrul departamentului juridic, nu va răspunde în fața șefului sau coordonatorului acestui departament pentru activitățile sale specifice în materia protecției datelor, ci doar în fața directorului general sau în fața structurii executive de conducere a organizației (consiliului de administrație, de exemplu).
Implicarea responsabilului cu protecția datelor în toate aspectele legate de protecția datelor cu caracter personal
Acest lucru se poate realiza, de exemplu, prin:
- invitarea periodică la ședințele managementului superior cu ocazia discutării și luării de măsuri în domeniul protecției datelor cu caracter personal;
- analizarea corespunzătoare a opiniei și/sau a recomandării responsabilului cu protecția datelor (în cazul în care recomandarea nu este urmată, entitatea va documenta motivele unei astfel de decizii);
- consultarea imediată în cazul unui incident de securitate a datelor cu caracter personal.
Regulamentul mai stabilește că responsabilul cu protecția datelor trebuie să beneficieze de resurse adecvate pentru a-și îndeplini sarcinile specifice, de acces nerestricționat la datele cu caracter personal și la activitățile de prelucrare, precum și de resursele necesare pentru menținerea cunoștințelor sale de specialitate.
În concret, acesta ar trebui să beneficieze de:
- suport din partea managementului superior;
- alocarea corespunzătoare a timpului necesar desfășurării activității specifice, mai ales în cazul în care funcția este îndeplinită, cu normă parțială, de un angajat;
- resurse financiare adecvate (inclusiv prin alocarea unui buget destinat exclusiv responsabilului cu protecția datelor);
- acces nerestricționat la infrastructura și la personalul entității (inclusiv prin crearea unei structuri care să-i ofere suport la nivelului fiecărui departament);
- pregătirea continuă în scopul menținerii și îmbunătățirii nivelul de experiență și expertiză în domeniul protecției datelor cu caracter personal.
Mai arătăm că Regulamentul prevede posibilitatea desemnării unui singur responsabil pentru mai multe entități, fie că este vorba de entități din sectorul privat sau public, cu condiția asigurării accesibilității sale. Accesibilitatea se referă nu doar la asigurarea unui contact facil în interiorul grupului de entități, dar și la asigurarea posibilității de contactare atât de către persoanele vizate, cât și de către autoritățile competente de supraveghere.
Asigurarea independenței responsabilului cu protecția datelor
Probabil cea mai importantă obligație a operatorului sau a persoanei împuternicite de operator față de responsabilul cu protecția datelor este necesitatea asigurării independenței. Potrivit Regulamentului, responsabilul cu protecția datelor nu ar trebui să primească niciun fel de instrucțiuni în ceea ce privește îndeplinirea sarcinilor sale. De altfel, considerentul 97 din Regulament consemnează că, indiferent dacă are sau nu calitatea de angajat, acesta ar trebui să fie în măsură să își îndeplinească atribuțiile și sarcinile în mod independent.
În asigurarea independenței responsabilului cu protecția datelor, acesta nu poate, de exemplu, primi instrucțiuni privind modul în care analizează o solicitare sau o plângere din partea unei persoane vizate.
Sancționarea sau demiterea responsabilului cu protecția datelor
Responsabilul cu protecția datelor nu poate fi demis sau sancționat pentru îndeplinirea sarcinilor sale. Această prevedere are rolul de a-i spori independența și de a-i asigura protecția necesară îndeplinirii sarcinilor. Privită în sens larg, sancționarea poate îmbrăca diferite forme și poate fi directă sau indirectă (de exemplu, nepromovarea în funcție sau întârzierea promovării, neacordarea de beneficii acordate, în mod normal, celorlalți angajați). Inclusiv amenințarea sau perspectiva aplicării unei sancțiuni intră sub incidența acestei interdicții din Regulament.
Fără a aduce atingere celor de mai sus, apreciem că responsabilul cu protecția datelor poate fi totuși demis pentru alte motive ce pot ține, de exemplu, de sfera relațiilor de muncă (cum ar fi, lipsa repetată și nejustificată de la locul de muncă).
Înainte de a încheia, arătăm că ultimul nostru articol dedicat funcției responsabilului cu protecția datelor va detalia atribuțiile pe care acesta trebuie să le îndeplinească. Totodată, vom analiza modul în care activitatea responsabilului cu protecția datelor ar trebui să contribuie la crearea unei culturi a protecției datelor în cadrul organizației, precum și la creșterea gradului de conștientizare a importanței datelor cu caracter personal prelucrate în rândul angajaților.
În România, ocupația de Responsabil cu Protecția Datelor a fost recunoscută oficial la începutul anului 2018, după ce PwC România și D&B David şi Baias au obţinut validarea standardului ocupaţional aferent acestei funcții de la Comitetul Sectorial Administraţie şi Servicii Publice din cadrul Autorităţii Naţionale pentru Calificări, structură a Ministerului Educaţiei Naţionale.
Începând cu luna septembrie 2018, PwC România și D&B David şi Baias organizează cursuri autorizate de pregătire a Reponsabilului cu Protecția Datelor, absolvenții primind diplome eliberate de Ministerul Educației Naționale și Ministerul Muncii și Justiției Sociale. Mai multe detalii pot fi obținute de aici.
- Primul episod al acestui material este accesibil aici
- Următorul articol din această serie va fi publicat în data de 25 martie
Un articol semnat de Manuela Guia - Avocat Partener, D&B David si Baias și Daniel Vinerean - Avocat Asociat, D&B David si Baias
