Obligaţie din mai! Angajatul care nu trebuie să lipsească din spitale, bănci, firme de securitate sau transport

Spitalele, firmele de securitate și de asigurări, companiile de transport public, băncile sau furnizorii de internet și telefonie vor trebui să desemneze un responsabil cu protecția datelor personale. Obligativitatea este prevăzută de un act normativ european ce se va aplica direct în toate statele membre ale Uniunii Europene (UE), deci și în România, începând din mai 2018.

Responsabilul va putea să fie ori cineva specializat care deja este la firmă, ori cineva contractat din exteriorul ei doar pentru protecția datelor, iar absența lui va putea fi drastic sancționată.

Obligația anumitor firme mari de a desemna un responsabil cu protecția datelor personale (sau DPO, de la „data protection officer”) este prevăzută în Regulamentul general privind protecția datelor (sau, pe scurt, GDPR).

Documentul a fost publicat deja în Jurnalul Oficial al UE și se va aplica, începând cu data de 25 mai 2018, direct în toate statele Uniunii, fără să fie necesar ca autoritățile să-l transpună în legislația României.

Concret, desemnarea unui responsabil cu protecția datelor va fi obligatorie pentru entitățile publice (de principiu, autoritățile naționale, regionale și locale, exceptând instanțele) și pentru firmele care au ca activități principale prelucrarea periodică și pe scară largă a datelor personale sau prelucrarea pe scară largă a unor categorii speciale de date.

Pentru ca aceste prevederi să fie mai ușor de înțeles, există și un ghid al unui organ consultativ european independent care se ocupă, potrivit legislației europene, cu protecția și confidențialitatea datelor, explică avocatnet.ro.

Care sunt calitățile profesionale pe care trebuie să le posede un DPO?

DPO trebuie desemnat pe baza calităților profesionale și, în special a cunoștințelor de specialitate în dreptul și practicile în domeniul protecției datelor, precum și pe baza capacității de a-și îndeplini sarcinile. Nivelul de expertiză necesar ar trebui determinat pe baza operațiunilor de prelucrare efectuate și a protecției necesare pentru datele cu caracter personal prelucrate.

De exemplu, în situația în care o operațiune de prelucrare a datelor este deosebit de complexă sau în cazul în care este implicat un volum mare de date speciale, DPO poate necesita un nivel mai ridicat de expertiză și suport.

Aptitudinile și expertiza relevante includ:

 experiență în legislația și practicile de protecție a datelor la nivel național și european, precum și o înțelegere complexă a RGPD

 înțelegerea operațiunilor de prelucrare efectuate

 înțelegerea tehnologiilor de informații și de securitate a datelor

 cunoașterea sectorului de afaceri și a organizației

 abilitatea de a promova protecția datelor în cadrul organizației

DPO nu este personal responsabil în situația în care există un caz de nerespectare a cerințelor de protecție a datelor. Operatorul sau persoana împuternicită de operator are obligația de a pune în aplicare măsuri tehnice și orgnizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul Regulament. Respectarea normelor de protecției a datelor este o responsabilitate a operatorului sau a persoanei împuternicite de operator.