Odată cu intrarea în vigoare a Regulamentului General privind Protecția Datelor (GDPR), a apărut și o funcție nouă în multe organizații: Responsabilul cu protecția datelor, cunoscut sub acronimul DPO (Data Protection Officer).

Deși este esențial în anumite contexte, există multă confuzie în jurul acestei funcții: cine trebuie să aibă DPO, ce face mai exact, și dacă această responsabilitate poate fi externalizată. În acest articol clarificăm toate aceste aspecte.

Când este obligatoriu un DPO?

Potrivit articolului 37 din GDPR, desemnarea unui responsabil cu protecția datelor este obligatorie în trei situații principale:

• Organizația este o autoritate publică sau un organism public, cu excepția instanțelor care acționează în exercițiul jurisdicției lor.
• Organizația desfășoară o monitorizare sistematică a persoanelor vizate la scară largă (ex: platforme online, aplicații care urmăresc comportamentul utilizatorilor, camere video cu recunoaștere facială etc.).
• Organizația prelucrează la scară largă categorii speciale de date personale, cum ar fi date despre sănătate, convingeri religioase, date biometrice, opinii politice, cazier judiciar etc.

Dacă firma ta se încadrează în oricare dintre aceste situații, ai obligația legală să desemnezi un DPO.

Ce înseamnă „monitorizare sistematică” și „scară largă”?

Monitorizare sistematică

Se referă la urmărirea activității utilizatorilor într-un mod organizat, continuu și repetitiv. De exemplu:

• urmărirea comportamentului online (cookies, heatmaps, profilare),
• geolocalizarea angajaților prin aplicații,
• monitorizarea video continuă (CCTV).

Scară largă

Nu este definită strict, dar se evaluează în funcție de:

• numărul de persoane vizate,
• volumul de date colectate,
• durata sau permanența prelucrării,
• întinderea geografică.

Exemplu: Un cabinet medical cu 3 angajați nu este considerat scară largă. Dar o rețea de clinici care gestionează mii de fișe medicale, da.

Ce face concret un DPO?

Responsabilul cu protecția datelor are următoarele atribuții esențiale:

• Monitorizează conformitatea companiei cu GDPR și alte reglementări privind protecția datelor;
• Consiliază echipa de management cu privire la obligațiile legale;
• Evaluează riscurile și recomandă măsuri pentru reducerea acestora;
• Coordonează DPIA-uri (evaluări de impact privind protecția datelor), dacă sunt necesare;
• Este punct de contact pentru ANSPDCP (autoritatea de supraveghere din România);
• Este disponibil persoanelor vizate (clienți, angajați) care au întrebări legate de datele lor.

Important: DPO-ul trebuie să își îndeplinească atribuțiile în mod independent, fără a primi instrucțiuni privind modul în care își îndeplinește sarcinile.

DPO intern sau externalizat?

GDPR permite desemnarea unui DPO:

• intern (un angajat existent),
• extern, prin contract cu un specialist sau o firmă terță.

DPO intern

• Avantaj: Cunoaște cultura organizațională
• Provocare: Trebuie să nu existe conflict de interese (ex: nu poate fi și director IT sau manager HR)

DPO externalizat

• Avantaj: Expertiză GDPR specializată, costuri predictibile
• Provocare: Necesită o colaborare strânsă pentru a înțelege procesele interne

Pentru multe firme mici sau mijlocii, externalizarea funcției DPO este o soluție eficientă și conformă.

Ce se întâmplă dacă nu ai DPO și ar trebui?

Dacă ai obligația legală de a desemna un DPO și nu o faci:

• poți fi sancționat de autoritatea de supraveghere,
• poți fi expus riscurilor în cazul unui incident de securitate,
• dovedești lipsă de conformitate în fața partenerilor sau clienților.

De exemplu, autoritățile din România au aplicat sancțiuni unor spitale și autorități locale care nu aveau desemnat un DPO, deși erau obligate.

Dacă nu ești sigur dacă ești în această situație, consultă un specialist GDPR pentru o analiză clară.

Concluzie

DPO-ul nu este un formalism impus de GDPR. Este o funcție reală, cu responsabilități clare, care contribuie la respectarea drepturilor persoanelor vizate și la evitarea riscurilor juridice pentru organizații.

Dacă ai dubii legate de obligativitatea desemnării unui responsabil, cel mai bun pas este să te consulți cu un expert.

Boldshare îți poate oferi:

• analiza riscurilor și a activităților de prelucrare,
• desemnarea unui DPO externalizat,
• audit GDPR complet și consiliere continuă.

Scrie-ne dacă vrei să afli dacă firma ta are nevoie de DPO – și ce presupune asta în mod concret.

Întrebări frecvente (FAQ)

1. Este DPO-ul obligatoriu pentru toate firmele?

Nu. Doar firmele care intră sub incidența art. 37 din GDPR – autorități publice, firme care monitorizează persoane la scară largă sau care prelucrează categorii speciale de date în mod sistematic – au obligația de a desemna un DPO.

2. Pot desemna pe cineva din firmă drept DPO chiar dacă nu are experiență?

GDPR cere ca DPO-ul să aibă cunoștințe de specialitate în domeniul protecției datelor. Dacă alegi pe cineva intern, asigură-te că este bine pregătit sau oferă-i instruire adecvată.

3. Ce înseamnă conflict de interese în cazul DPO-ului?

Un DPO nu trebuie să ocupe și o funcție care implică luarea deciziilor privind prelucrarea datelor (ex: IT Manager, Director HR, CEO), pentru că nu poate fi și evaluator, și executant al acțiunilor privind datele.

4. Pot colabora cu un DPO extern doar ocazional?

Poți apela la un DPO externalizat prin contract, dar acesta trebuie să fie implicat constant și să aibă acces la informațiile relevante pentru a-și îndeplini atribuțiile. Nu poate fi doar „la nevoie”.