Cum scriam în acest articol între Standardul ocupațional DPO emis de către Autoritatea Națională de Calificări și Regulamentul oficial GDPR existau două contradicții importante:
- Profilul pe care trebuie să îl aibă responsabilul de protecția datelor (DPO).
- Formatul cursului pe care trebuie să îl parcurgă persoana care vrea să devină DPO.
În ambele cazuri Standardul ocupațional punea niște condiții suplimentare față de Regulament, și anume studii superioare și un curs care neapărat trebuie să fie cu participare fizică (nu online) timp de 180 de ore.
Împreună cu colaboratorii noștri am făcut diferite demersuri pentru a o obține clarificări avizate pe marginea acestor contradicții și ne bucurăm că am primit în cele din urmă un răspuns.
Mai jos aveți răspunsul oficial la adresa noastră pe această temă:
Ce ne spune de fapt ANSPDCP prin acest răspuns?
- Pe de-o parte reia o serie de prevederi din Regulamentul oficial care definesc clar profilul DPO-ului. Și anume Art 37, alin (5).
- Face din nou trimitere la art. 37 alin. (7) din Regulament care spune că operatorul de date sau persoana împuternicită de operator are obligația de a comunica Autorităţii de Supraveghere doar datele de contact ale responsabilului cu protecţia datelor. Deci nimic despre studiile acestuia.
- Spre final îndemnul lor evident de a ne adresa Autorității de calificări pentru mai multe informații pe această temă.
Așadar încă o instituție de stat care am putea spune că face în primul rând trimitere la regulamentul oficial GDPR fără să susțină în nici un fel prevederile suplimentare propuse în Standardul ocupațional.
La drept vorbind, este perfect normal să facă asta, din moment ce GDPR nu impune nici o formă specifică de autorizare sau certificare pentru viitorii responsabili de protecția datelor – DPO. Singurul lucru pe care îl menționează clar regulamentul este la art 38, alin (2): operatorul de date – adică organizația în cauză – trebuie să asigure menținerea cunoștiințelor de specialitate ale persoanelor respective.
