GDPR stabilește cu relativă precizie situațiile în care organizațiile implicate în prelucrarea de date cu caracter personal sunt obligate să desemneze un DPO (de exemplu, atunci când activitățile principale ale organizației constau în operațiuni de prelucrare care necesită o monitorizare pe scară largă, periodică și sistematică a persoanelor vizate sau a unor categorii speciale de date). În același timp însă, GDPR lasă libertate organizațiilor să stabilească modelul juridic prin care organizațiile aduc alături de ele un astfel de specialist. Cele mai două variante-model sunt contractarea unui consultant extern sau o relație de muncă cu un salariat nou sau existent. Ne vom concentra în cele ce urmează asupra acestei a doua variante care ridică câteva probleme specifice managementului organizațiilor.

Încadrarea DPO într-un departament deja existent

Ca regulă generală, funcția de DPO trebuie reflectată în organigrama societății. Ca atare, ar trebui să existe o decizie a organului societar competent prin care să se actualizeze structura organizatorică internă (fie în sensul că se creează o nouă poziție, fie că se suplimentează atribuțiile unei poziții deja existente, cu cele specifice DPO). În plus, exercițiul funcției de DPO trebuie să fie reglementată în raporturile contractuale cu persoana care va exercita funcția de DPO. Aceasta presupune încheierea unui contract de muncă (care să reglementeze atribuțiile specifice acestei funcției), dacă funcția de DPO va fi ocupată de o persoană nou angajată.

Dacă funcția de DPO va fi ocupată de un angajat existent, societatea va trebui să semneze cu angajatul respectiv un act adițional la contractul de muncă (prin care părțile vor agrea modificarea fișei postului, cu suplimentarea sarcinilor specifice unui DPO, precum și eventualele ajustări privind remunerația cuvenită acestuia). Dacă se modifică doar atribuțiile angajatului existent, părțile vor putea semna doar o fișă a postului actualizată, fără a fi necesară încheierea unui act adițional la contractul de muncă. Desigur, numirea unui DPO din rândul angajaților existenți va putea fi făcută doar cu acordul respectivului angajat (i.e. desemnarea unui DPO nu poate fi făcută printr-o decizie unilaterală a angajatorului).

Evaluarea activității unui DPO

GDPR nu reglementează mecanismele prin care activitatea DPO ar putea fi evaluată. Ca atare, în scopul evaluării activității DPO-ului, ar putea fi implementate măsuri similare celor care sunt, în general, folosite pentru evaluarea activității angajaților. Astfel, recomandăm redactarea unor politici interne clare, care să definească mecanismele de prelucrare a datelor, precum și procesele / măsurile corelative ce trebuie respectate / urmărite. De asemenea, este necesară trasarea clară a sarcinilor și atribuțiilor DPO-ului prin politicile interne și fișa postului sau contractul încheiat cu DPO-ul, care să includă sarcini de raportare periodică către conducerea societății în care a fost desemnat. Nu în ultimul rând, activitatea DPO-ului ar putea fi verificată în contextul auditării prin intermediul unor terți specialiști (consultanți în securitate cibernetică, avocați etc) a activității societății de prelucrare a datelor personale sau al unor controale din partea autorității pentru supravegherea prelucrării datelor cu caracter personal.

Gestionarea conflictelor de interese

Ca principiu, GDPR nu instituie o interdicție generală pentru un DPO de a exercita și altă funcție. Dimpotrivă, GDPR prevede că responsabilul cu protecția datelor poate îndeplini și alte sarcini și atribuții. Cu toate acestea, operatorul sau persoana împuternicită trebuie să se asigure că niciuna dintre aceste sarcini și atribuții nu generează un conflict de interese.

Conflictul de interese este indisolubil legat de cerința independenței DPO. Orice funcții sau sarcini suplimentare încredințate DPO care generează o presiune din zona de business (e.g. puteri de decizie sau chiar de execuție în legătură cu scopurile și mijloacele de prelucrare a datelor), contrară atribuțiilor legale ale DPO sunt surse ale conflictului de interese. Nu există o listă a unor astfel de funcții, ci acestea trebuie determinate de la caz la caz, întrucât structurile organizatorice și procesele decizionale interne variază de la o societate la alta.

În general, se consideră că poate exista un conflict de interese dacă funcția de DPO este ocupată de persoane care au funcții executive (de decizie) cum ar fi: administrator / director general (în cazul acestora, în principiu, apare un conflict de interese general, având în vedere și puterea decizională generală cu privire la activitatea unei societăți), director financiar (acesta are putere de decizie cu privire la aspectele financiare și, prin urmare, ar putea influența decizia de a aproba finanțarea unor / tuturor măsurilor specifice / necesare pentru conformarea cu cerințele stabilite de legislația privind protecția datelor), director de resurse umane (poate să influențeze mecanismele de prelucrare a datelor angajaților, foștilor angajați, sau a potențialilor angajați), directorul de marketing (poate să influențeze mecanismele de prelucrare a datelor clienților în activitatea de marketing).

Conflicte de interese ar putea apărea și în legătură cu poziții care nu implică atribuții de conducere. Un exemplu în acest sens ar putea fi consilierul juridic desemnat drept DPO care, totodată, ar fi autorizat să reprezinte societatea într-un litigiu privind legalitatea prelucrării datelor cu caracter personal. Similar, un manager IT care cumulează și poziția de DPO s-ar putea afla într-o poziție de conflict de interese întrucât acesta este răspunzător pentru calitatea măsurilor tehnice (de securitate IT) de conformare cu cerințele GDPR.

Regulamentul UE 2016/679 instituie o schimbare de paradigmă, în sensul în care, pe de o parte, elimină în mod absolut Sistemul Notificărilor, iar pe de altă parte impune numirea unui DPO pentru anumite situații.

Termenul limită de numire a DPO este 28 mai 2018.

Când este obligatorie numirea unui DPO?

Potrivit Regulamentului UE 2016/679, operatorul și, după caz, persoana împuternicită vor trebui să desemneze un DPO în următoarele situații:

1. În cazul prelucrărilor de date cu caracter personal efectuate de autoritățile sau instituțiile publice (exceptând instanțele care acționează în exercitarea funcției lor jurisdicționale).

Grupul de Lucru Art. 29 a opinat că, în această categorie, intră și orice altă entitate publică sau chiar privată care desfășoară activități de interes public ce implică prelucrări de date (e.g. servicii de transport public, furnizori de utilități, servicii de televiziune publice etc.).

2. În cazul prelucrărilor de date efectuate de operatori/persoane împuternicite ca activitate principală și care, prin natura, scopul și/sau sfera de aplicare, presupun o monitorizare pe scară largă, periodică și sistematică, a persoanelor vizate.

Potrivit Grupului de Lucru Art. 29, ca regulă „activitatea principală” presupune că obiectul principal de activitate al operatorului se referă la prelucrări de date cu caracter personal. Totuși, Grupul de Lucru Art. 29 a arătat că vorbim de „activitate principală” și atunci când, deși nu constituie obiectul principal de activitate al operatorului, prelucrarea este esențială pentru materializarea acestuia. Spre exemplu, cazul unei societăți de pază care asigură securitatea unor spații publice prin supraveghere video – caz în care deși activitatea principală constă în asigurarea securității, ea nu se poate realiza fără prelucrarea datelor cu caracter personal.

Noțiunea de monitorizare periodică și sistematică pe scară largă vizează orice formă de urmărire/creare de profiluri realizată prin intermediul internetului și care are ca subiecți un număr extins de persoane, respectiv de date cu caracter personal (noțiunea de scară largă putând de asemenea viza și regiunea geografică vizată, durata prelucrării ori alte asemenea criterii).

3. În cazul prelucrărilor de date cu caracter special efectuate de operatori/persoane împuternicite pe scară largă și cu titlu de activitate principală

Datele cu caracter special se referă la date precum: originea rasială sau etnică; opiniile politice, confesiunea religioasă, convingerile filozofice sau apartenența la sindicate; date genetice, date biometrice, date privind sănătatea sau viața/orientarea sexuală; date referitoare la condamnări penale și infracțiuni sau la măsuri de securitate conexe.

De notat, Regulamentul UE 2016/679 permite Statelor Membre să stabilească și alte cazuri când numirea unui DPO este obligatorie; de asemenea, atare cazuri ar putea fi stabilite și direct la nivelul UE (de ex., de Comisia Europeană). La data prezentului articol nu am identificat astfel de cazuri adiționale când numirea unui DPO este obligatorie.

Cine poate fi numit DPO?

Regulamentul UE 2016/679 trasează o serie de linii directoare în ceea ce privește numirea DPO, anume:

• DPO va putea fi numit fie dintre angajații entității (i.e. în baza unui contract de muncă), fie dintre persoanele din afara organizației (i.e. în baza unui contract de prestări servicii).
• DPO va trebui să dețină cunoștințe de specialitate (i.e. legislație și practică) în materia protecției datelor cu caracter personal, de natură să permită îndeplinirea funcțiilor specifice DPO.
• Indiferent de calitatea sa (i.e. angajat sau terț de organizație), DPO va trebui să fie independent. În acest sens, Regulamentul UE 2016/679 prevede o serie de garanții privind independența DPO, anume (a) DPO nu poate primi instrucțiuni cu privire la atribuțiile sale specifice (inclusiv atunci când DPO are calitatea de salariat); (b) DPO raportează direct către top management; (c) DPO nu poate fi demis și nici sancționat pentru motive ce țin de îndeplinirea atribuțiilor sale. Referitor la acest ultim punct, rămâne de văzut cum va fi aplicat în practică; considerăm totuși că DPO va putea fi revocat cel puțin atunci când se dovedește neîndeplinirea defectuoasă a atribuțiilor sale.
• Teoretic, DPO va putea îndeplini și alte atribuții în cadrul organizației; totuși, în acest caz operatorul/persoana împuternicită va trebui să se asigure că un atare cumul de responsabilități nu generează un conflict de interese (e.g. DPO nu va putea avea atribuții legate de implementarea de diverse proiecte ce implică prelucrări de date cu caracter personal).

Notăm că Regulamentul UE 2016/679 permite numirea aceluiași DPO la nivelul entităților aparținând aceluiași grup; singura cerință este ca, în acest caz, DPO să fie în măsură să își exercite atribuțiile de o manieră efectivă și corespunzătoare.

Se ridică totuși întrebarea în ce măsură același DPO ar putea fi desemnat (a) de către un operator și împuternicitul acestuia, respectiv (b) de către entități care nu aparțin aceluiași grup. Fără a exclude la nivel de principiu o atare posibilitate, considerăm că numirea unui DPO comun va trebui analizată de la caz la caz, prin raportare la toți factorii relevanți (e.g. relațiile dintre entitățile respective, atribuțiile efective ale DPO la nivelul acestora, inclusiv cele suplimentare funcției de DPO etc.).

Sancțiuni

Nerespectarea regulilor privind numirea DPO (inclusiv omisiunea de desemnare a unui DPO, atunci când aceasta este obligatorie) va putea fi sancționată cu amendă contravențională de până la 10.000.000 euro sau, în cazul unei întreprinderi, de până la 2% din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându-se în calcul cea mai mare valoare dintre cele două.

În loc de concluzii:

• Deși termenul-limită de numire a DPO este 28 mai 2018, ar fi prudent și recomandabil ca entitățile vizate să inițieze din timp procedurile în acest sens, pentru a nu intra în criză de timp privind identificarea unui DPO eligibil.
• Situațiile în care numirea unui DPO este obligatorie sunt reglementate expres de Regulamentul UE 2016/679. Totuși, Statele Membre/Comisia Europeană pot stabili și alte cazuri când numirea DPO este obligatorie. Până la acest moment, nu avem cunoștință de astfel de decizii.
• Regulamentul UE 2016/679 instituie un regim sancționator extrem de drastic pentru nerespectarea regulilor privind desemnarea DPO (amendă contravențională de până la 10.000.000 euro sau, în cazul unei întreprinderi, de până la 2% din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior).