blog 1                   functionalitati firstcont 1                     abonare newsletter 01


Responsabilul cu protecția datelor: Ce variante va avea firma ta pentru a ocupa aceasta functie

Începând din mai 2018, firmele care se ocupă în principal cu prelucrarea datelor personale, cum ar fi băncile, firmele de securitate, spitalele, clinicile private, farmaciile sau magazinele online, vor fi obligate să aibă un responsabil cu protecția datelor personale. În acest context, este important de știut ce variante vor exista pentru ocuparea acestei funcții și ce persoane vor putea efectiv să s-o ocupe.

 

Obligația firmelor de a desemna un responsabil cu protecția datelor personale este prevăzută în Regulamentul european 2016/679. Acesta se va aplica, începând cu data de 25 mai 2018, direct în toate statele Uniunii Europene (UE), fără ca autoritățile să fie nevoite să-l transpună în legislația României.

 

Pe scurt, documentul introduce obligația de a avea la companie un responsabil cu protecția datelor personale, însă doar în cazul societăților care se ocupă în principal cu prelucrarea unor astfel de date. De principiu, vorbim de companii cum sunt băncile, spitalele, clinicile private, farmaciile sau magazinele online, însă nu numai. Deși poate părea probabil ca doar societățile de dimensiuni medii și mari să fie vizate de obligație, aceasta poate apărea și la cele de dimensiuni mici.

 

„Obligația de a numi un responsabil cu protecția datelor nu ține de mărimea entității, ci exclusiv de îndeplinirea condițiilor expres prevăzute de articolul 37 din Regulamentul european 2016/679, ceea ce în sectorul privat înseamnă ca activitatea principală să constea fie în (1) monitorizarea periodică, sistematică și pe scară largă a persoanelor, fie în (2) prelucrarea pe scară largă a unor categorii speciale de date (originea rasială sau etnică, opiniile politice, confesiunea religioasă, convingerile filozofice, apartenența la sindicate, date genetice, date biometrice pentru identificarea unică a unei persoane fizice, date privind sănătatea, date privind viața sexuală sau orientarea sexuală) sau a datelor privind condamnări penale și infracțiuni. Nu este necesar ca această activitate principală să fie prestată prin mijloace proprii - o firmă cu un singur angajat și care subcontractează toată activitatea se poate încadra la obligația de a numi un responsabil cu protecția datelor dacă îndeplinește una dintre cele două condiții, a lămurit, la solicitarea redacției noastre, Andreea Lisievici, avocat PrivacyOne.

 

Regulamentul european prevede că ocuparea funcției de responsabil cu protecția datelor se va putea face ori prin numirea cuiva din interiorul firmei, ori prin încheierea unui contract de servicii cu cineva din afara acesteia. Deoarece dispoziția nu este foarte precisă, rezultă că firmele vor avea o oarecare libertate în a alege varianta cea mai potrivită. În esență, putem vorbi de un salariat al firmei sau de o colaborare contractuală cu un avocat, o persoană fizică autorizată (PFA), o societate de avocatură sau chiar o altăcompanie.

 

„Un responsabil cu protecția datelor poate fi salariat (deși astăzi în România nu există un cod COR dedicat), dar poate fi și extern - PFA, avocat, societate comercială. Este important însă de menționat că, și în cazul în care contractul se încheie cu o formă de organizare colaborativă (societate de avocați, societate comercială), trebuie în continuare desemnată o persoană anume care va deține funcția de responsabil cu protecția datelor. Acest lucru este necesar pentru că funcția este una unipersonală (chiar și acolo unde are în spate un departament) și această persoană va fi cea indicată Autorității Nationale pentru Supravegherea Prelucrării Datelor cu Caracter Personal, în informările către persoanele vizate, în studiile de impact etc.”, ne-a spus Andreea Lisievici.

 

Regulamentul european stabilește că responsabilul cu protecția datelor nu va primi instrucțiuni pentru îndeplinirea sarcinilor sale. Totodată, acesta nu va putea fi demis sau sancționat pentru că își îndeplinește sarcinile pe care le are. Plus că va răspunde direct în fața celui mai înalt nivel al conducerii companiei.

 

„Este o chestiune de avut în vedere, pentru că responsabilul cu protecția datelor va avea un mare grad de independență, deciziile și analizele sale neputând fi invalidate, ci doar luată o decizie de afaceri în sensul asumării riscurilor și neîndeplinirii măsurilor indicate. Însă indiferent cât de costisitoare sau neplăcute vor fi concluziile responsabilului cu protecția datelor pe anumite chestiuni, contractul acestuia nu va putea fi încetat pe acest motiv. Asta însă nu elimină posibilitatea încetării contractului pe motiv de culpă profesională sau chiar încetarea fără motiv, dar cu preaviz”, a atras atenția specialista de la PrivacyOne.

 

Responsabilul trebuie să aibă cunoștințe în domeniu

 

Responsabilul cu protecția datelor nu va trebui să aibă anumite studii sau o anumită experiență profesională pentru a ocupa această poziție la o societate. Totuși, regulamentul european impune ca această persoană să aibă cunoștințe de specialitate în dreptul și practicile din domeniul protecției datelor.

 

„Regulamentul european 2016/679 nu impune o anumită calificare pentru un responsabil cu protecția datelor, ci doar solicită ca acesta să aibă cunoștințe de specialitate în dreptul și practicile din domeniul protecției datelor și să poată îndeplini sarcinile prevăzute la articolul 39 din regulament”, subliniază Andreea Lisievici.

 

Concret, vorbim de sarcini precum informarea și consilierea firmei și a angajaților care se ocupă de prelucrări referitor la obligațiile legale care le revin privind protecția datelor sau monitorizarea respectării legislației protecției datelor și a politicilor companiei în ceea ce privește protecția datelor. Specialista contactată de redacția noastră a opinat că este destul de probabil ca viitorii responsabili cu protecția datelor să fie avocați.

 

„Nu este necesar ca responsabilul să fie avocat, însă este de așteptat ca majoritatea să provină din acest domeniu datorită nevoii de a cunoaște practica și jurisprudența anterioară dezvoltate în aplicarea Directivei 95/46/CE și a Legii nr. 677/2001. Un responsabil poate avea formare, de exemplu, în IT sau în managementul proiectelor, cu condiția să fie instruit în chestiunile juridice care îi lipsesc. Și invers, un avocat responsabil cu protecția datelor are nevoie de o sumedenie de cunoștințe de ordin tehnic, pe care poate în mod normal nu le-ar dobândi (în special pe partea de securitate, dar și chestiuni adaptate domeniului în care activează operatorul de date, un bun exemplu fiind entitățile implicate în publicitatea comportamentală)”, a explicat avocata.

 

Cu toate acestea, Andreea Lisievici a atras atenția că în țara noastră nu prea există în prezent cursuri dedicate exclusiv protecției datelor. Prin urmare, efortul de instruire este unul propriu, iar resursele din biblioteci sunt destul de limitate.

 

Important! Entitățile ce nu vor respecta obligația de a desemna un responsabil cu protecția datelor vor risca amenzi destul de mari, așa cum reiese din regulamentul european aplicabil din 25 mai 2018. Mai exact, este vorba de amenzi administrative de până la zece milioane de euro sau, în cazul întreprinderilor, de până la 2% din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior.

                                                                                                          Sursa Avocatnet.ro 

 

 

Adauga Comentariu


Cod de Securitate
Reincarcare



SC Premia Software Solutions
Aleea Marius Emanoil Buteică
nr.18-20, Sector 3, Bucureşti  
România, 031823

Telefon:0314 255 908
Mobil: 0749 203 398
Fax: 0314 255 907
E-mail: office[at]firstcont.ro

 

linkedinfacebook twittergoogle


Inapoi Sus

Creează Cont GratuitLogin
Suport