Conform articolului 37 din GDPR un responsabil cu protecția datelor (DPO- data protection officer) trebuie desemnat când:
- prelucrarea este efectuată de o autoritate sau un organism public, cu excepția instanțelor ce acționează în exercițiul funcției lor jurisdicționale;
- activitățile principale ale operatorului sau ale persoane împuternicite de operator constau în operațiuni de prelucrare care necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă;
- activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date sau a unor date cu caracter personal cu privire la condamnări penale și infracțiuni.
Deși nu este o definire exactă a prelucrării pe scară largă sunt luați în considerare câțiva factori atunci când se stabilește dacă prelucrarea e făcută pe scară largă:
- numărul persoanelor vizate;
- volumul datelor sau gama de elemente diferite de date în curs de prelucrare;
- durata sau permanența activității de prelucrare date;
- suprafața geografică a activității de prelucrare.
ex:
- prelucrare date pacienți spitale
- prelucrare date de călătorie a unei persoane ce utilizează sistemul de transport public
- prelucrare în timp real a datelor de geolocalizare a clienților unei rețele internaționale de fast food în scopuri statistice
- prelucrarea datelor clienților în activitatea regulată a unei companii de asigurări sau a unei bănci
- prelucrarea datelor personale de către un motor de căutare în scop de publicitate comportamentală
- prelucrarea datelor de către furnizorii de telefonie sau de internet
Este recomandabilă numirea unui ofițer de protecția datelor DPO, indiferent de organizație, cu condiția deținerii de resurse pentru această poziție și cu condiția ca persoana desemnată să aibă abilități suficiente pentru a-și îndeplini obligațiile stipulate de GDPR.
Un DPO trebuie să fie independent.
Responsabilul cu protecția datelor (DPO) poate fi un membru al personalului operatorului sau persoanei împuternicite de operator sau poate lucra în baza unui contract de servicii.
Datele de contact ale responsabilului cu protecția datelor sunt comunicate autorității de supraveghere.
Responsabilul cu protecția datelor are obligația de a respecta secretul și confidențialitatea în ceea ce privește îndeplinirea sarcinilor sale.
Responsabilul cu protecția datelor poate îndeplini și alte sarcini și atribuții.
Sarcini DPO ( ofițer protecția datelor):
- consilierea organizației și a angajaților cu privire la obligațiile de respectare GDPR;
- monitorizarea respectării GDPR;
- consilierea activităților ce au legătură cu evaluările de impact privind protecția datelor;
- instruirea personalului;
- audituri interne;
- contact cu autoritățile de supraveghere și pentru persoanele ale căror date se prelucrează.
Calificare DPO
Responsabilul cu protecția datelor trebuie să aibă calități profesionale și cunoștințe personale adecvate recunoscute de legislația privind protecția datelor.
În prezent însă nu există o cerință expresă de a deține o anumită calificare sau certificare.
Una dintre modalitățile de a demonstra cunoștințele experților este certificarea EU GDPR acreditată de IBITGQ ISO 17024 (EU GDPR P).