DPO Intern sau DPO externalizat?

 

DPO Externalizat

DPO Externalizat

Contactarea unui DPO intern sau un DPO externalizat ?

Contractarea unui Responsabil cu Protectia Datelor ( DPO) reprezintă unul dintre cele mai importante aspecte noi introduse de GDPR. Conform art. 39 GDPR, DPO ofera consultanță de specialitate, sprijină evaluarile de impact (DPIA), auditurile privind confidentialitatea datelor și acționeză ca intermediar între persoanele vizate, unitățile de afaceri ale organizației si autoritatea de supraveghe (ANSPDCP).

 

 

Ce înseamnă de fapt Data Protection Officer (DPO) ?

GDPR-ul impune multor organizaţii ca unul din primii paşi în aliniere este să numească un responsabil pentru protecţia datelor (DPO – Data Protection Officer). The International Association of Privacy Professionals estimează că vor fi necesari mai mult de 75.000 de noi angajaţi certificaţi la nivelul UE pentru a îndeplini cerinţele de conformitate cu GDPR.
În conformitate cu articolul 37 alineatul (5), DPO poate fi membru al personalului (angajat) sau contractant extern (resursă internalizată), este desemnat pe baza calităţilor profesionale şi, în special, a cunoştinţelor experţilor privind legislaţia şi practicile privind protecţia datelor şi capacitatea de a îndeplini sarcinile menţionate la articolul 39.

 

Succint, responsabilitățile unui DPO sunt:

♦ Să informeze şi să sfătuiască controlorul sau procesatorul şi angajaţii care sunt implicaţi în prelucrarea datelor cu caracter personal a obligaţiilor care le revin în temeiul prezentului regulament;
♦ Să monitorizeze respectarea prezentului regulament, inclusiv atribuirea responsabilităţilor, sensibilizarea şi formarea personalului implicat în operaţiunile de prelucrare şi auditurile aferente;
♦ Să ofere consiliere în cazul în care este solicitat pentru evaluarea impactului privind protecţia datelor şi să monitorizeze performanţa acestuia în conformitate cu articolul 35;
♦ Să coopereze cu autoritatea de supraveghere (în Romania Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal);
♦ Să acţioneze ca punct de contact al autorităţii de supraveghere în chestiuni legate de prelucrarea datelor cu caracter personal.

Implicarea DPO in toate aspectele referitoare la protectia datelor cu caracter personal.

Este important ca DPO sau echipa sa să fie implicat în toate aspectele legate de protecția datelor. În consecință, organizația ar trebui să se asigure că, de exemplu,

  • DPO este invitat să participle la sedințele conducerii atunci cănd sunt discutate acțiuni ce implică date cu caracter personal
  • Toate informațiile relevante privind datele personale trebuie să fie transmise in timp util DPO pentru a permite acestuia sa ofere o consiliere corespunzătoare
  • Acordă o importanță deosebită avizului DPO
  •  DPO trebuie să fie consultant de indată ce a avut loc o incălcare a securității datelor cu caracter personal.

Art 38(2) din GDPR impune ca organizația să sprijine DPO-ul astfel:

  • Timp suficient pentru DPO în vederea îndeplinirii atribuțiilor sale
  • Sprijin coresunzător în cea ce privește resursele financiare, infrastructură
  • Comunicare oficială către toți angajații cu privire la desemnarea unui DPO astfel încăt să se asigure ca este cunoscută existența și funcționarea DPO
  • Accesul necesar la alte servicii precum resurse umane, juridic , IT, securitate, astfel incat DPO-ul sa beneficieze de sprijin din partea acestor departamente
  • Pregatire continuă

Art 38(3) stabilește garanții pentru a se asigura ca indeplinirea atribuțiilor si sarcinilor este realizată mod independent.

Cine poate fi DPO?

Astfel, avem 2 soluţii: externalizarea către o firma specializată, la pachet cu riscurile şi obligaţiile aferente, respectând cerinţele GDPR, sau crearea unei noi poziţii interne în cadrul companiei, care să aibă neutralitatea şi expertiza necesară.

In concluzie, după primul pas care implică mai mult Informare şi conștientizare la nivel de Management, pasul doi este natural, angajăm sau subcontractăm urgent o resursă care să poată prelua rapid si eficient problema GDPR.

Important de reţinut este că această poziție de RPD trebuie privită ca un controller, un auditor sau la extremă și foarte simplist ceva similar cu un inspector în protecția muncii. Dar nu confundați și nu plasați aceasta responsabilitate către IT (CIO),  Security (CSO), Marketing. HR. Aceste departamente vor fi oricum cele mai lovite de alinierea la GDPR. Ei vor avea de furcă doar cu implementarea soluțiilor informatice și organizatorice, suport pentru GDPR.

Comments are closed.

Verified by ExactMetrics