Pentru a gestiona activitatea de prelucrare a datele cu caracter personal in cadrul unui operator, in anumite situatii, este necesar sa fie numita o persoana care sa exercite o misiune de informare, de consiliere, monitorizare respectare RGPD si a legislatiei nationale in domeniul protectiei datelor, evaluare riscuri, audit intern, sa coopereze cu autoritatea pentru protectia datelor si sa reprezinte punctul de contact in relatia cu aceasta si cu partile interesate etc.
Desemnarea unui responsabil cu protectia datelor este obligatorie din 25 mai 2018, raportat la dispozitiile art. 37 - 39 din Regulamentul General privind Protectia Datelor/ GDPR, in cazul in care operatorul sau persoana imputernicita de operator:
- este o autoritate publica sau un organism public, cu exceptia instantelor in exercitarea functiei lor jurisdictionale;
- desfasoara o activitate principala care conduce la realizarea unei monitorizari constante si sistematice pe scara larga a persoanelor;
- desfasoara o activitate principala care consta in prelucrarea pe scara larga de date sensibile (cum ar fi : date privind originea rasiala sau etnica, convingerile religioase, apartenenta sindicala, date genetice, biometrice, privind starea de sanatate) sau referitoare la condamnari penale si infractiuni.
Chiar daca entitatea nu are obligatia expresa de a desemna un responsabil cu protectia datelor, ANSPDCP recomanda numirea acestuia, in considerarea efectului benefic al activitatii responsabilului in vederea asigurarii conformarii cu cerintele GDPR.
- Operatorul si persoana imputernicita de operator se asigura ca responsabilul cu protectia datelor este implicat in mod corespunzator si in timp util in toate aspectele legate de protectia datelor cu caracter personal.
- Operatorul si persoana imputernicita de operator sprijina responsabilul cu protectia datelor in indeplinirea sarcinilor mentionate la articolul 39, asigurându-i resursele necesare pentru executarea acestor sarcini, precum si accesarea datelor cu caracter personal si a operatiunilor de prelucrare, si pentru mentinerea cunostintelor sale de specialitate.
- Operatorul si persoana imputernicita de operator se asigura ca responsabilul cu protectia datelor nu primeste niciun fel de instructiuni in ceea ce priveste indeplinirea acestor sarcini. Acesta nu este demis sau sanctionat de catre operator sau de persoana imputernicita de operator pentru indeplinirea sarcinilor sale. Responsabilul cu protectia datelor raspunde direct in fata celui mai inalt nivel al conducerii operatorului sau persoanei imputernicite de operator.
- Persoanele vizate pot contacta responsabilul cu protectia datelor cu privire la toate chestiunile legate de prelucrarea datelor lor si la exercitarea drepturilor lor in temeiul prezentului regulament.
- Responsabilul cu protectia datelor are obligatia de a respecta secretul sau confidentialitatea in ceea ce priveste indeplinirea sarcinilor sale, in conformitate cu dreptul Uniunii sau cu dreptul intern.
- Responsabilul cu protectia datelor poate indeplini si alte sarcini si atributii. Operatorul sau persoana imputernicita de operator se asigura ca niciuna dintre aceste sarcini si atributii nu genereaza un conflict de interese.
Cine poate indeplini functia de responsabil cu protectia datelor?
Articolul 37 alin. 5 din Regulamentul UE 2016/679 stabileste ca responsabilul cu protectia datelor sa fie ”desemnat pe baza calitatilor profesionale si, in special, a cunostintelor de specialitate in dreptul si practicile din domeniul protectiei datelor, precum si pe baza capacitatii de a indeplini sarcinile prevazute la articolul 39.” Ex. cunostinte privind securitatea informatiei, analiza risc , audit IT/GDPR.
Termen de implementare GDPR, 25.05.2018