Desemnarea unui responsabil cu protecția datelor (DPO) – o funcție formală în organigramă sau un specialist necesar?

Consultant extern vs. salariat

GDPR stabilește cu relativă precizie situațiile în care organizațiile implicate în prelucrarea de date cu caracter personal sunt obligate să desemneze un DPO (de exemplu, atunci când activitățile principale ale organizației constau în operațiuni de prelucrare care necesită o monitorizare pe scară largă, periodică și sistematică a persoanelor vizate sau a unor categorii speciale de date). În același timp însă, GDPR lasă libertate organizațiilor să stabilească modelul juridic prin care organizațiile aduc alături de ele un astfel de specialist. Cele mai două variante-model sunt contractarea unui consultant extern sau o relație de muncă cu un salariat nou sau existent. Ne vom concentra în cele ce urmează asupra acestei a doua variante care ridică câteva probleme specifice managementului organizațiilor.

Încadrarea DPO într-un departament deja existent

Ca regulă generală, funcția de DPO trebuie reflectată în organigrama societății. Ca atare, ar trebui să existe o decizie a organului societar competent prin care să se actualizeze structura organizatorică internă (fie în sensul că se creează o nouă poziție, fie că se suplimentează atribuțiile unei poziții deja existente, cu cele specifice DPO). În plus, exercițiul funcției de DPO trebuie să fie reglementată în raporturile contractuale cu persoana care va exercita funcția de DPO. Aceasta presupune încheierea unui contract de muncă (care să reglementeze atribuțiile specifice acestei funcției), dacă funcția de DPO va fi ocupată de o persoană nou angajată.

Dacă funcția de DPO va fi ocupată de un angajat existent, societatea va trebui să semneze cu angajatul respectiv un act adițional la contractul de muncă (prin care părțile vor agrea modificarea fișei postului, cu suplimentarea sarcinilor specifice unui DPO, precum și eventualele ajustări privind remunerația cuvenită acestuia). Dacă se modifică doar atribuțiile angajatului existent, părțile vor putea semna doar o fișă a postului actualizată, fără a fi necesară încheierea unui act adițional la contractul de muncă. Desigur, numirea unui DPO din rândul angajaților existenți va putea fi făcută doar cu acordul respectivului angajat (i.e. desemnarea unui DPO nu poate fi făcută printr-o decizie unilaterală a angajatorului).

Evaluarea activității unui DPO

GDPR nu reglementează mecanismele prin care activitatea DPO ar putea fi evaluată. Ca atare, în scopul evaluării activității DPO-ului, ar putea fi implementate măsuri similare celor care sunt, în general, folosite pentru evaluarea activității angajaților. Astfel, recomandăm redactarea unor politici interne clare, care să definească mecanismele de prelucrare a datelor, precum și procesele / măsurile corelative ce trebuie respectate / urmărite. De asemenea, este necesară trasarea clară a sarcinilor și atribuțiilor DPO-ului prin politicile interne și fișa postului sau contractul încheiat cu DPO-ul, care să includă sarcini de raportare periodică către conducerea societății în care a fost desemnat. Nu în ultimul rând, activitatea DPO-ului ar putea fi verificată în contextul auditării prin intermediul unor terți specialiști (consultanți în securitate cibernetică, avocați etc) a activității societății de prelucrare a datelor personale sau al unor controale din partea autorității pentru supravegherea prelucrării datelor cu caracter personal.

Gestionarea conflictelor de interese

Ca principiu, GDPR nu instituie o interdicție generală pentru un DPO de a exercita și altă funcție. Dimpotrivă, GDPR prevede că responsabilul cu protecția datelor poate îndeplini și alte sarcini și atribuții. Cu toate acestea, operatorul sau persoana împuternicită trebuie să se asigure că niciuna dintre aceste sarcini și atribuții nu generează un conflict de interese.

Conflictul de interese este indisolubil legat de cerința independenței DPO. Orice funcții sau sarcini suplimentare încredințate DPO care generează o presiune din zona de business (e.g. puteri de decizie sau chiar de execuție în legătură cu scopurile și mijloacele de prelucrare a datelor), contrară atribuțiilor legale ale DPO sunt surse ale conflictului de interese. Nu există o listă a unor astfel de funcții, ci acestea trebuie determinate de la caz la caz, întrucât structurile organizatorice și procesele decizionale interne variază de la o societate la alta.

În general, se consideră că poate exista un conflict de interese dacă funcția de DPO este ocupată de persoane care au funcții executive (de decizie) cum ar fi: administrator / director general (în cazul acestora, în principiu, apare un conflict de interese general, având în vedere și puterea decizională generală cu privire la activitatea unei societăți), director financiar (acesta are putere de decizie cu privire la aspectele financiare și, prin urmare, ar putea influența decizia de a aproba finanțarea unor / tuturor măsurilor specifice / necesare pentru conformarea cu cerințele stabilite de legislația privind protecția datelor), director de resurse umane (poate să influențeze mecanismele de prelucrare a datelor angajaților, foștilor angajați, sau a potențialilor angajați), directorul de marketing (poate să influențeze mecanismele de prelucrare a datelor clienților în activitatea de marketing).

Conflicte de interese ar putea apărea și în legătură cu poziții care nu implică atribuții de conducere. Un exemplu în acest sens ar putea fi consilierul juridic desemnat drept DPO care, totodată, ar fi autorizat să reprezinte societatea într-un litigiu privind legalitatea prelucrării datelor cu caracter personal. Similar, un manager IT care cumulează și poziția de DPO s-ar putea afla într-o poziție de conflict de interese întrucât acesta este răspunzător pentru calitatea măsurilor tehnice (de securitate IT) de conformare cu cerințele GDPR.