DPO – Data Protection Officer / responsabilul pentru protecţia datelor
Pentru respectarea prevederilor GDPR, este necesara desemnarea unui responsabil cu protecția datelor. DPO este o persoană care deține cunoștințe de specialitate în materie de legislație și practici privind protecția datelor, are rolul de a oferi consultanţa necesară în vederea respectării tuturor obligaţiilor prevazute în Regulament și de a asigura transparenţa faţă de persoanele vizate.
DPO deține un rol extrem de important, întrucât atât în instituțiile publice cât și în sectorul privat se utilizează numeroase informații și date cu caracter personal. De aceea, este obligatorie desemnarea unui DPO care să corespundă cerințelor profesionale și să dețină, conform regulamentului european, “cunoștințe de specialitate în dreptul și practicile din domeniul protecției datelor”.
DPO poate fi angajat/desemnat în cadrul firmei/instituției sau poate fi extrenalizat, prin contact de prestari servicii.
În cele ce urmează detaliem diferențele dintre cele două categorii, argumentând astfel de ce este mai avantajoasă externalizarea acestui serviciu:
DPO desemnat/angajat | DPO externalizat – contract prestări servicii |
Nu poate fi încadrat ca subordonat al unui anumit departament – DPO trebuie să aibă propriul său departament, iar pentru îndeplinirea acestei cerințe structura organizatorică ar trebui să sufere modificări. | Se evită riscul de a angaja/desemna un DPO nepotrivit cu strategia firmei/insituției. |
Nu poate îndeplini alte sarcini și atribuții ce pot genera conflicte de interese – DPO nu poate fi un angajat care colectează și prelucrează date și totodată verifică respectarea GDPR; această cerință întărește autonomia DPO și ajută la asigurarea că acesta trebuie să acționeze în mod independent. | Nu se incadrează în situatii ce pot genera conflicte de interese; se respectă cerința ca DPO să acționeze în mod independent. |
Nu poate fi demis ori sancționat – răspunde doar în fața șefului ierarhic de la cel mai înalt nivel, însă nu trebuie să primească instrucțiuni din partea superiorului. | Răspunde direct înaintea beneficiarului și ANSPDCP pentru calitatea serviciilor sale . |
Participarea unei persoane la un curs este insuficientă; DPO trebuie să fie în permanență instruit cu toate modificările legislative – această formare profesională atrage costuri mărite pentru societate. | Deține toate cunoștințele și practicile necesare în domeniul protecției datelor, în divese sectoare de activitate, este în permanență instruit cu toate modificările legislative. Datorita experienței acumulate, poate oferi cele mai bune sfaturi în domeniu. |
Salariul unui DPO este echivalent cu cel al unui jurist/econimist/manager, întrucât el trebuie să îndeplinească anumite competențe. Această cerință atrage, de asemenea, costuri mărite pentru angajator. | Se reduc considerabil riscurile și resursele (umane, de timp și financiare) – cheltuielile cu externalizarea DPO sunt de cel puțin 4 ori mai mici decât în cazul angajării acestuia. |
Relatiile interpersonale dintre DPO și celelate departamente pot afecta profesionalismul acestuia – există riscul ca eventualele greșeli descoperite să fie acoperite/ascunse, conducătorul instituției/firmei nu va fi informat corespunzător despre situațiile apărute. | Nu există relații interpersonale între DPO și angajații/departamentele societății-client; administratorul/conducătorul va ști mereu despre existența riscurilor din firma/instituția sa, va fi informat imediat în cazul constatării unei abateri de la prevederile Regulamentului. |
În cazul unui control din partea ANSPDCP, amenzile sunt direct imputate administratorului/conducătorului (operatorul de date) și responsabilului cu protecția datelor, fiind considerați principalii vinovați pentru neconformitatea la prevederile GDPR. | În cazul unui control din partea ANSPDCP, amenzile și responsabilitățile cad în sarcina prestatorului de servicii, acesta fiind principalul vinovat pentru nerespectarea/implementarea greșită a GDPR. De regulă, societățile prestatoare sunt acoperite de polițe de asigurare pentru acoperirea eventualelor prejudicii. |