Desemnarea unui responsabil cu protectia datelor (DPO) – o functie formala in organigrama sau un specialist necesar?
Consultant extern vs. salariat
GDPR stabileste cu relativa precizie situatiile in care organizatiile implicate in prelucrarea de date cu caracter personal sunt obligate sa desemneze un DPO (de exemplu, atunci cand activitatile principale ale organizatiei constau in operatiuni de prelucrare care necesita o monitorizare pe scara larga, periodica si sistematica a persoanelor vizate sau a unor categorii speciale de date). In acelasi timp insa, GDPR lasa libertate organizatiilor sa stabileasca modelul juridic prin care organizatiile aduc alaturi de ele un astfel de specialist. Cele mai doua variante-model sunt contractarea unui consultant extern sau o relatie de munca cu un salariat nou sau existent. Ne vom concentra in cele ce urmeaza asupra acestei a doua variante care ridica cateva probleme specifice managementului organizatiilor.
Incadrarea DPO intr-un departament deja existent
Ca regula generala, functia de DPO trebuie reflectata in organigrama societatii. Ca atare, ar trebui sa existe o decizie a organului societar competent prin care sa se actualizeze structura organizatorica interna (fie in sensul ca se creeaza o noua pozitie, fie ca se suplimenteaza atributiile unei pozitii deja existente, cu cele specifice DPO). In plus, exercitiul functiei de DPO trebuie sa fie reglementata in raporturile contractuale cu persoana care va exercita functia de DPO. Aceasta presupune incheierea unui contract de munca (care sa reglementeze atributiile specifice acestei functiei), daca functia de DPO va fi ocupata de o persoana nou angajata.
Daca functia de DPO va fi ocupata de un angajat existent, societatea va trebui sa semneze cu angajatul respectiv un act aditional la contractul de munca (prin care partile vor agrea modificarea fisei postului, cu suplimentarea sarcinilor specifice unui DPO, precum si eventualele ajustari privind remuneratia cuvenita acestuia). Daca se modifica doar atributiile angajatului existent, partile vor putea semna doar o fisa a postului actualizata, fara a fi necesara incheierea unui act aditional la contractul de munca. Desigur, numirea unui DPO din randul angajatilor existenti va putea fi facuta doar cu acordul respectivului angajat (i.e. desemnarea unui DPO nu poate fi facuta printr-o decizie unilaterala a angajatorului).
Evaluarea activitatii unui DPO
GDPR nu reglementeaza mecanismele prin care activitatea DPO ar putea fi evaluata. Ca atare, in scopul evaluarii activitatii DPO-ului, ar putea fi implementate masuri similare celor care sunt, in general, folosite pentru evaluarea activitatii angajatilor. Astfel, recomandam redactarea unor politici interne clare, care sa defineasca mecanismele de prelucrare a datelor, precum si procesele / masurile corelative ce trebuie respectate / urmarite. De asemenea, este necesara trasarea clara a sarcinilor si atributiilor DPO-ului prin politicile interne si fisa postului sau contractul incheiat cu DPO-ul, care sa includa sarcini de raportare periodica catre conducerea societatii in care a fost desemnat. Nu in ultimul rand, activitatea DPO-ului ar putea fi verificata in contextul auditarii prin intermediul unor terti specialisti (consultanti in securitate cibernetica, avocati etc) a activitatii societatii de prelucrare a datelor personale sau al unor controale din partea autoritatii pentru supravegherea prelucrarii datelor cu caracter personal.
Gestionarea conflictelor de interese
Ca principiu, GDPR nu instituie o interdictie generala pentru un DPO de a exercita si alta functie. Dimpotriva, GDPR prevede ca responsabilul cu protectia datelor poate indeplini si alte sarcini si atributii. Cu toate acestea, operatorul sau persoana imputernicita trebuie sa se asigure ca niciuna dintre aceste sarcini si atributii nu genereaza un conflict de interese.
Conflictul de interese este indisolubil legat de cerinta independentei DPO. Orice functii sau sarcini suplimentare incredintate DPO care genereaza o presiune din zona de business (e.g. puteri de decizie sau chiar de executie in legatura cu scopurile si mijloacele de prelucrare a datelor), contrara atributiilor legale ale DPO sunt surse ale conflictului de interese. Nu exista o lista a unor astfel de functii, ci acestea trebuie determinate de la caz la caz, intrucat structurile organizatorice si procesele decizionale interne variaza de la o societate la alta.
In general, se considera ca poate exista un conflict de interese daca functia de DPO este ocupata de persoane care au functii executive (de decizie) cum ar fi: administrator / director general (in cazul acestora, in principiu, apare un conflict de interese general, avand in vedere si puterea decizionala generala cu privire la activitatea unei societati), director financiar (acesta are putere de decizie cu privire la aspectele financiare si, prin urmare, ar putea influenta decizia de a aproba finantarea unor / tuturor masurilor specifice / necesare pentru conformarea cu cerintele stabilite de legislatia privind protectia datelor), director de resurse umane (poate sa influenteze mecanismele de prelucrare a datelor angajatilor, fostilor angajati, sau a potentialilor angajati), directorul de marketing (poate sa influenteze mecanismele de prelucrare a datelor clientilor in activitatea de marketing).
Conflicte de interese ar putea aparea si in legatura cu pozitii care nu implica atributii de conducere. Un exemplu in acest sens ar putea fi consilierul juridic desemnat drept DPO care, totodata, ar fi autorizat sa reprezinte societatea intr-un litigiu privind legalitatea prelucrarii datelor cu caracter personal. Similar, un manager IT care cumuleaza si pozitia de DPO s-ar putea afla intr-o pozitie de conflict de interese intrucat acesta este raspunzator pentru calitatea masurilor tehnice (de securitate IT) de conformare cu cerintele GDPR.
Un articol semnat de Horia Ispas, Partener al Tuca Zbarcea & Asociatii