Responsabilul cu protecția datelor oferă consultanță necesară pentru respectarea tuturor obligațiilor operatorului de date și asigură transparența necesară față de persoanele vizate. DPO, cum este prescurtat, poate fi o persoană angajată sau un consultant extern, adică un DPO externalizat (conform aliniatului 6, articolul 37).
Alegerea unui responsabil cu protecția datelor calificat și cu experiență reprezintă un avantaj major pentru operator, deoarece asigură înțelegerea și respectarea obligațiilor prevăzute de GDPR, adaptate fiecărui tip de business. Astfel, costurile cu numirea unui DPO externalizat se pot transforma în avantaje competitive, încredere din partea clienților și colaboratorilor, și eficiență operațională.
DPO-ul este o funcție nouă, introdusă de GDPR. Este obligatorie pentru anumiți operatori. Responsabilul cu protecția datelor se asigură că organizația respectă legislația privind protecția datelor.
DPO-ul ajută la identificarea și gestionarea riscurilor asociate prelucrărilor de date protejând astfel organizația împotriva pierderilor de date sau a încălcărilor de securitate.
DPO-ul poate contribui la îmbunătățirea proceselor interne și la abordarea unei abordări mai sistematice în ceea ce privește gestionare datelor personale, ceea ce poate duce la o mai mare eficiență operațională.
Ce actiuni trebuie să facă o firmă care prelucrează date, pentru a-și alege DPO-ul ?
Raspunderea pentru nerespectarea cerințelor GDPR este întodeauna a operatorului. Astfel, caută ca responsabilul cu protecția datelor pe care-l contractezi să fie o persoană căt mai calificată, astfel reduci riscurile de neconformitate.
Un DPO externalizat ar trebui să aibă următoarele calități pentru a asigura o gestionare eficientă a protecției datelor:
Cunoștințe solide despre GDPR:
Trebuie să aibă o înțelegere profundă a Regulamentului General privind Protecția Datelor (GDPR) și a altor reglementări relevante în domeniul protecției datelor.
Experiență practică:
Experiența în implementarea și gestionarea programelor de conformitate cu GDPR în diverse industrii este esențială. Aceasta include realizarea de evaluări ale impactului asupra protecției datelor (DPIA) și gestionarea incidentelor de securitate.
Abilități de comunicare:
Un DPO trebuie să comunice eficient cu toate nivelurile organizației, de la echipele tehnice până la conducerea superioară. Abilitățile de prezentare și de redactare a documentației sunt, de asemenea, importante.
Abilități analitice:
Capacitatea de a analiza procesele de prelucrare a datelor și de a identifica riscurile și vulnerabilitățile este crucială. Un DPO trebuie să fie capabil să ofere soluții practice pentru a minimiza aceste riscuri.
Integritate și etică profesională:
Un DPO trebuie să fie imparțial și să acționeze în interesul protecției datelor personale, respectând confidențialitatea și integritatea informațiilor gestionate.
DPO-ul externalizat răspunde de pregătirea sa profesională continuă.
Discuții detaliate: Negociază termenii și condițiile contractului, inclusiv durata colaborării, costurile și responsabilitățile fiecărei părți.
Clarificarea obiectivelor: Asigură-te că ambele părți au o înțelegere clară a obiectivelor și așteptărilor, inclusiv a indicatorilor de performanță și a termenelor limită.
Nu uita să introduci in acest contract diagrama de comunicare.
Notificarea responsabilului cu protecția datelor la ANSPDCP.
După desemnarea unui responsabil cu protecția datelor, operatorul are obligația de a notifica ANSPDCP cu privire la acest aspect. Recomandarea noastră este ca datele de contact ale DPO-ului să fie unele generice, de ex: dpo@operator.ro. Astfel, în eventualitatea schimbării persoanei desemnate, să nu mai fie necesară modificarea acestora pe site, în documentele companiei / instituției. Notificarea se face prin completarea formularului de pe sit-ul Autoritatii.
O companie este obligată să angajeze un responsabil cu protecția datelor (DPO) în următoarele situații, conform Regulamentului (UE) 2016/679 (GDPR):
Autorități publice: Când prelucrarea este efectuată de o autoritate publică sau un organism public, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale.
Monitorizare periodică și sistematică: Dacă activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă.
Prelucrarea de date sensibile: Dacă activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date (de exemplu, date despre sănătate, origine rasială sau etnică) sau a unor date cu caracter personal privind condamnări penale și infracțiuni [1].
Prelucrarea CNP-urilor:
În cazul în care se prelucrează coduri numerice personale (CNP) pe baza interesului legitim al operatorului, conform legislației interne (Legea 190/2018).Art.4.- (1) Prelucrarea unui număr de identificare naţional, prin colectarea sau dezvăluirea documentelor ce îl conţin, se poate efectua în situaţiile prevăzute de art.6 alin.(l) din Regulamentul general privind protecţia datelor.
Prin urmare, aproape orice număr care ajută la identificarea oficială a unei persoane fizice este un număr de identificare național. Legea nr. 190/2018 publicată pe site-ul Autorității la secțiunea Legislație, poate fi consultată și aici.
Nu este necesară desemnarea unui DPO atunci când nu se prelucrează pe scară largă date cu caracter personal, cum ar fi în cazul unui cabinet medical individual care prelucrează datele pacienților, conform recomandărilor [Autorității ].
Este recomandat, totuși, ca toate companiile să considere numirea unui DPO fie că se alege varianta internă sau un DPO externalizat. Pentru a asigura conformitatea cu reglementările de protecție a datelor.
Beneficiați de expertiza unei firme de consultanță specializată în protecția datelor, care a sprijinit deja peste 50 de companii și organizații.
Un DPO independent, protejat de orice conflict de interese, care vă va facilita conformitatea și gestionarea corectă a prelucrărilor de date.
Beneficiezi de un pachet adaptat nevoilor si bugetului tău. Posibilitatea de a achizitiona doar serviciile de care ai cu adevărat nevoie.