III. Atribuțiile responsabilului cu protecția datelor

Manuela Guia, Daniel VinereanFoto: Pwc Romania

Încheiem seria noastră de articole dedicate funcției responsabilului cu protecția datelor cu o analiză a atribuțiilor pe care acesta trebuie să le îndeplinească în cadrul organizației care l-a numit. Dacă în articolele precedente am detaliat situațiile în care este obligatorie desemnarea unui responsabil cu protecția datelor, dar și modul în care acesta trebuie integrat în organigramă, în cele ce urmează vom puncta cele mai importante sarcini pe care acesta trebuie să le îndeplinească în activitatea sa obișnuită.

Regulamentul general privind protecția datelor ("Regulamentul") acordă o importanță sporită funcției responsabilului cu protecția datelor, rolul său fiind de a verifica respectarea prevederilor legale specifice, dar și de a contribui la crearea unei culturi a protecției datelor în cadrul organizației.

Astfel, cea mai importantă sarcină a responsabilului cu protecția datelor constă în acordarea de consultanță în materia protecției datelor cu caracter personal organizației care l-a numit.

Pentru a duce la îndeplinire această sarcină, responsabilul cu protecția datelor trebuie implicat în elaborarea și implementarea politicilor, procedurilor, documentelor și chiar a măsurilor cu impact asupra datelor cu caracter personal. Responsabilul cu protecția datelor va acorda asistență organizației în orice chestiuni legate de prelucrarea de date cu caracter personal, recomandările sale urmând a fi prezentate organelor de conducere.

Mergând mai departe, activitatea de consultanță presupune și instruirea constantă a managementului, dar mai ales a angajaților, în scopul creșterii gradului de conștientizare a importanței datelor cu caracter personal. Doar în acest fel se poate crea, la nivelul organizației, o cultură a datelor cu caracter personal, scopul urmărit fiind responsabilizarea angajaților care folosesc date cu caracter personal în îndeplinirea atribuțiilor de serviciu.

Frecvența sesiunilor de pregătire organizate de responsabilul cu protecția datelor, cu propriile resurse sau prin furnizori externi specializați, depinde de domeniul de activitate al organizației (în domeniul bancar sau cel al vânzărilor, de exemplu, apreciem că sunt necesare cel puțin sesiuni bianuale de pregătire) și de gradul de fluctuație al personalului (recomandabil este ca toți noii angajați să fie instruiți în materia protecției datelor cu caracter personal imediat după angajare).

Îndeplinirea acestei sarcini include, de asemenea:

  • acordarea de consultanță cu ocazia realizării de analize a impactului operațiunilor de prelucrare asupra datelor cu caracter personal;
  • emiterea de recomandări și oferirea de asistență cu privire la interpretarea și aplicarea prevederilor legislației incidente;
  • emiterea de recomandări în privința aderării la anumite coduri de conduită sau mecanisme de certificare.

Activitatea de consultanță în materia protecției datelor cu caracter personal nu atrage răspunderea directă a responsabilului cu protecția datelor. Potrivit Regulamentului, responsabilitatea respectării prevederilor legale aplicabile aparține organizației, în calitate de operator sau persoană împuternicită de operator, aceasta fiind obligată să pună "în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prevederile Regulamentului". Cu toate acestea, responsabilul cu protecția datelor poate fi ținut responsabil de prejudiciile cauzate organizației care l-a numit în cazul în care recomandările sale sunt vădit lipsite de profesionalism sau sunt neglijente.

O altă sarcină importantă ce trebuie îndeplinită de responsabilul cu protecția datelor este legată de monitorizarea respectării legislației privind protecția datelor cu caracter personal de către organizația care l-a numit. Și de această dată este vorba de o activitate permanentă ce necesită implicarea responsabilului cu protecția datelor, dar și a altor angajați instruiți să asigure respectarea prevederilor legale în activitățile obișnuite de prelucrare.

Responsabilul cu protecția datelor trebuie așadar să verifice și să analizeze constant modul în care datele cu caracter personal sunt prelucrate în cadrul organizației. În acest scop, va realiza audituri stabilite conform unui plan anual de control, va conduce verificări spontane sau tematice, organizația având obligația de a-i asigura accesul neîngrădit la toate datele, persoanele și informațiile de care are nevoie pentru a duce la îndeplinire această sarcina.

Trebuie subliniat faptul că, în organizațiile mari, activitatea de monitorizare este greu de realizat de o singura persoană, astfel încât o posibilă soluție este crearea unei structuri de monitorizare cu implicarea de persoane din toate departamentele specializate.

Această sarcina ar putea fi îndeplinită și prin:

  • monitorizarea respectării codurilor de conduită și a standardelor specifice aplicabile domeniului de activitate al organizației în cadrul cărei își desfășoară activitatea;
  • supravegherea procesului de cartografiere a proceselor de prelucrare a datelor cu caracter personal și a evidențelor de prelucrare astfel întocmite;
  • verificarea modului în care angajații utilizează, în activitatea obișnuită, instrumentele, documentele și procedurile incidente în materia protecției datelor.

Sarcinile responsabilului cu protecția datelor includ și monitorizarea eficacității sistemului de management al securității datelor implementat în cadrul organizației. Așadar, pe lângă componenta juridică, activitatea responsabilului cu protecția datelor trebuie să urmărească și aspectele tehnice ce însoțesc, în mod inevitabil, prelucrările de date cu caracter personal.

Pentru a duce la îndeplinire această activitate, responsabilul cu protecția datelor ar trebui să realizeze evaluări periodice ale sistemelor informatice, să realizeze teste de penetrare (de regula cu ajutorul unor furnizori specializați de astfel de servicii) și să propună măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel corespunzător de securitate a operațiunilor de prelucrare a datelor cu caracter personal.

Potrivit Regulamentului, responsabilul cu protecția datelor trebuie să asigure cooperarea cu autoritatea de supraveghere și cu celelalte autorități publice, acționând ca punct unic de contact și colaborare în materia protecției datelor cu caracter personal.

În acest scop, responsabilul cu protecția datelor trebuie să formuleze răspunsuri prompte oricăror solicitări legitime ale autorității de supraveghere sau ale altei autorități publice (instanțe judecătorești, parchete, etc.) în ceea ce privește prelucrarea datelor cu caracter personal. Rolul acestuia este de a asigura comunicarea cu aceste autorități și a acționa ca și unic interlocutor din partea organizației care l-a numit.

Cooperarea cu autoritatea competentă de supraveghere (în domeniul protecției datelor), include, de asemenea:

  • solicitarea aprobării cu privire la efectuarea anumitor operațiuni de prelucrare;
  • consultarea prealabila în vederea luării unor măsuri adecvate, atunci când evaluarea impactului asupra protecției datelor indică un risc ridicat.

O altă îndatorire a responsabilului cu protecția datelor vizează asigurarea comunicării cu persoanele vizate. Așadar, acesta trebuie să acționeze ca și punct de contact pentru toate persoanele vizate ale căror date cu caracter personal sunt prelucrate de organizația care l-a numit.

Prin urmare, una dintre îndatoririle esențiale ale responsabilului cu protecția datelor este legată de analizarea și formularea de răspunsuri solicitărilor persoanelor vizate. În acest scop, orice astfel de solicitare primită de un reprezentant al organizației ar trebui redirecționată imediat responsabilului cu protecția datelor, acesta fiind cel care urmează a efectua cercetările și/sau solicitările interne necesare formulării unui răspuns, în condițiile Regulamentului. Tot acesta va formula răspunsul adresat persoanei vizate.

Acestea sunt, pe scurt, principalele sarcini pe care responsabilul cu protecția datelor trebuie să le îndeplinească în cadrul organizației care l-a numit. Pe lângă cele detaliate anterior, Regulamentul cuprinde însă și o serie de obligații ale operatorilor sau persoanelor împuternicite de operator ce pot fi legate de îndatoriri suplimentare ale responsabilului cu protecția datelor.

Astfel, potrivit Regulamentului, în anumite condiții, operatorul este obligat să păstreze "o evidență a activităților de prelucrare", iar persoana împuternicită de operator este obligată să păstreze "o evidență a tuturor categoriilor de activități de prelucrare desfășurate în numele operatorului". Chiar dacă obligația de menținere a evidențelor de prelucrare aparține organizației care l-a numit, în practica întâlnită în multe state europene, crearea și menținerea evidențelor de prelucrare este realizată de responsabilul cu protecția datelor în cooperare cu departamentele specializate din cadrul entității în care acționează. Apreciem că astfel de abordare este corectă și poate reprezenta un mijloc util în îndeplinirea sarcinilor specifice de către responsabilul cu protecția datelor, asigurând totodată o evidență unitară a proceselor de prelucrare la nivelul organizației.

Este evident așadar că Regulamentul acordă o importanța sporită responsabilului cu protecția datelor. Fiind chemat să verifice aplicarea normelor incidente în materia protecției datelor cu caracter personal, acesta ar trebui să aibă o abordare bazată pe risc, urmând a se concentra pe acele aspecte ce pot genera riscuri ridicate pentru drepturile persoanelor vizate. Cu toate acestea, aspectele cu potențial mai scăzut de risc nu pot fi neglijate. Prin urmare, în activitatea specifică, responsabilul cu protecția datelor trebuie să stabilească o metodologie de lucru pragmatică și selectivă în funcție de nivelurile de risc asociate prelucrărilor de date cu caracter personal.

În România, ocupația de Responsabil cu Protecția Datelor a fost recunoscută oficial la începutul anului 2018, după ce PwC România și D&B David şi Baias au obţinut validarea standardului ocupaţional aferent acestei funcții de la Comitetul Sectorial Administraţie şi Servicii Publice din cadrul Autorităţii Naţionale pentru Calificări, structură a Ministerului Educaţiei Naţionale.

Începând cu luna septembrie 2018, PwC România și D&B David şi Baias organizează cursuri autorizate de pregătire a Reponsabilului cu Protecția acest link.

Un articol semnat de Manuela Guia - Avocat Partener, D&B David si Baias și Daniel Vinerean - Avocat Asociat, D&B David si Baias​