Dată fiind apropiata intrare în vigoare a noii legislaţii privind protecţia datelor la nivel european (GDPR), peste aproximativ 3 luni de la acest moment (la 25 mai 2018), ne-am propus să punem în discuţie diversele interpretări apărute în rândul profesioniştilor în protecţia datelor în drept dar şi preocupările mediului de afaceri cu privire la statutul special al unei noi funcţii ce apare în contextul GDPR, respectiv responsabilul cu protecţia datelor (DPO). Se află sau nu în conflict de interese persoana desemnată ca DPO, atunci când este angajat al operatorului (compania care l-a şi numit în funcţie) şi este implicat în activităţi legate de datele cu caracter personal? Este posibil pentru DPO să poarte două pălării, una de angajat-executant şi una de supraveghetor al aceloraşi aspecte?
Responsabilul cu protecţia datelor (DPO) – ce este?
GDPR a creat obligativitatea, în anumite situaţii, a creării unui nou rol în interiorul unei organizaţii, respectiv o persoană care să fie implicată în mod corespunzător şi în timp util în toate aspectele legate de protecţia datelor cu caracter personal. Regulamentul prescrie în mod concret sarcinile responsabilului cu protecţia datelor (Data Protection Officer sau DPO), atribuţiile sale incluzând supravegherea conformării companiei la cerinţele GDPR, dar şi responsabilitatea pentru interacţiunea cu autoritatea de supraveghere şi cu persoanele vizate de prelucrările efectuate de companie. Rolul include consilierea oferită companiei în materia GDPR.
Începând cu 21 noiembrie 2017, clasificarea ocupaţiilor din România a fost completată pentru a include noua funcţie, anume “responsabil cu protecția datelor cu caracter personal”, ce a primit cod COR 242231 prin Ordinul nr. 1786/5384/2017 privind modificarea și completarea Clasificării ocupațiilor din România – nivel de ocupație (șase caractere), aprobată prin Ordinul ministrului muncii, familiei și protecției sociale și al președintelui Institutului Național de Statistică nr. 1.832/856/2011.
Responsabilul cu protecţia datelor (DPO) – când este obligatorie numirea de către companii?
Dacă o companie realizează monitorizări pe scară largă a persoanelor fizice sau prelucrări pe scară largă a unor categorii speciale de date (cele prevăzute la art. 9 şi 10 din GDPR, ex. origine etnică, orientare politică, religioasă, date genetice, biometrice, privind sănătatea sau referitoare la infracţiuni) va avea obligaţia să-şi numească un DPO. Atât operatorii, cât şi împuterniciţii, vor avea obligaţia să numească DPO în aceste situaţii.
Întrucât GDPR se referă la prelucrarea datelor cu caracter personal ale cetăţenilor UE, oriunde şi de către oricine s-ar face prelucrarea, chiar şi companiile din afara UE (ex. Statele Unite) s-ar putea afla în situaţia de a avea obligaţia să numească DPO.
Responsabilul cu protecţia datelor (DPO) – un DPO intern este în conflict de interese cu compania care l-a numit?
GDPR stabileşte clar faptul că DPO nu primeşte nici un fel de instrucţiuni în ceea ce priveşte îndeplinirea sarcinilor sale. Acesta nu este demis sau sancţionat de operator sau de către persoana împuternicită de operator pentru îndeplinirea sarcinilor sale. DPO răspunde direct în faţa celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator.
Aceste dispoziţii, cuprinse în art. 38 al GDPR, au ridicat numeroase întrebări privind statutul special al DPO, de la aparenta imunitate care se stabiliește în persoană DPO cu privire la demitere sau sancţionare de către operator (sau împuternicit), până la alegerea optimă între a numi un DPO care are calitatea de membru al personalului operatorului şi unul care este contractor independent în baza unui contract de prestări servicii, întrucât GDPR permite ambele variante.
Preocuparea a fost sporită de apariţia, încă din decembrie 2016, a ghidului oferit de Grupul de lucru al art. 29 privind independenţa DPO, conform căruia DPO “nu poate deţine o poziţie în cadrul organizaţiei care îl instructează în ce priveşte scopurile şi mijloacele de prelucrare”.
Ori, tendinţa firească a companiilor, şi în special a celor mici, este să numească în rolul de DPO un angajat propriu care este deja familiarizat, ocupându-se în mod semnificativ de prelucrarea datelor personale în cadrul companiei. Unii profesionişti în protecţia datelor consideră însă că aceşti angajaţi nu pot să exercite o funcţie dublă ca şi DPO, pentru că se află într-un evident conflict de interese. Rolul de DPO va face parte din aşa-numitul “senior management”.
Însă, a cere unui DPO să fie independent (acestea fiind cerinţele GDPR) înseamnă că rolul de DPO nu poate fi îndeplinit de membri ai personalului companiei care sunt responsabili şi de deciziile de zi cu zi în materia prelucrării datelor cu caracter personal, ca de exemplu persoane care lucrează în domeniul resurse umane, IT sau marketing. Aceasta presupune că se va crea o cerere consistentă de candidaţi externi pentru acest rol, care să treacă astfel testul “independenţei” cerute de GDPR, dar şi dificultăţi în găsirea acestora. Este de aşteptat ca unele companii să caute în exterior aceste resurse, inclusiv din rândurile avocaţilor.
Se consideră, în acest moment, că acele companii care vor putea să demonstreze că persoana desemnată pentru rolul de DPO este independentă vor fi avantajate în relaţia cu autoritatea de supraveghere, care va percepe independența astfel demonstrată în mod pozitiv şi le va acorda mai multă încredere. Prin contrast, companiile care nu vor putea demonstra că DPO-ul numit nu se află în conflict de interese (nu este suficient de independent) vor fi pasibile, desigur în condiţiile reglementărilor legale, de amendă al cărei nivel poate ajunge până la 10 milioane de euro sau 2% din cifra de afaceri a companiei.
În orice caz, credem că autoritatea de supraveghere va trebui să dea dovadă de un anumit grad de flexibilitate în interpretarea regulilor privind conflictul de interese, fără a le interpreta prea restrictiv. În timp ce recomandă ca DPO să aibă atât cunoştinţe juridice, cât şi de IT, în prezent, autoritatea română de supraveghere a adoptat opinia potrivit căreia directorul de securitate al unei companii nu ar putea fi numit şi DPO, întrucât şi-ar audita propria activitate, ceea ce îl descalifică ca şi DPO.
Este de aşteptat, totuşi, ca autorităţile naţionale din statele-membre să prevadă reguli în completarea ghidajului oferit de Grupul de lucru al art. 29, reguli care să clarifice mai bine situaţiile de conflict de interese şi să ofere o mai mare flexibilitate în privinţa incompatibilităţilor rolului DPO cu alte funcţiuni interne ale companiei.
Marta Popa, Avocat Senior Partner Voicu & Filipescu
COMMENTS