Comunitatea DPOCategorie: Responsabilul cu protecția datelor (DPO)buna ziua,O societate cu mai putin de 250 de salariatii
cecilia betiu asked 5 ani ago

Buna ziua,O societate cu mai putin de 250 de salariatii trebuie sa notifice autoritatea cu privire la persoana care are si atributii pentru respectarea cerintelor regulamentului in societate?

3 Answers
Darius Farcas answered 5 ani ago

Bună ziua,

modalitatea de formulare a întrebării, ridică niște aspecte care poate ar fi util să fie clarificate:

  1. O societate cu 250 salariați poate să aibă obligația să numească RPD sau să NU aibă această obligație, însă NU este condiționată de numărul de angajați. Astfel situațiile de numire OBLIGATORIE a RPD-ului sunt:

    (1)Operatorul şi persoana împuternicită de operator desemnează un responsabil cu protecţia datelor

    ori de câte ori:

    a)prelucrarea este efectuată de o autoritate sau un organism public, cu excepţia instanţelor care

    acţionează în exerciţiul funcţiei lor jurisdicţionale;

    b)activităţile principale ale operatorului sau ale persoanei împuternicite de operator constau în

    operaţiuni de prelucrare care, prin natura, domeniul de aplicare şi/sau scopurile lor, necesită o

    monitorizare periodică şi sistematică a persoanelor vizate pe scară largă; sau

    c)activităţile principale ale operatorului sau ale persoanei împuternicite de operator constau în

    prelucrarea pe scară largă a unor categorii speciale de date în temeiul articolului 9 sau a unor date cu

    caracter personal referitoare la condamnări penale şi infracţiuni, menţionată la articolul 10.

Dacă ați numit în acest sens un RPD- acesta va fi notificat la ANSPDCP! De ce? Deoarece în conformitate cu articolul 37 alineatul (7) din Regulamentul general privind protecția datelor, operatorul sau împuternicitul operatorului sunt obligați să publice datele de contact ale responsabilului cu protecția datelor ("RPD") și să le comunice ANSPDCP. Pentru îndeplinirea sarcinilor sale, ANSPDCP prelucrează datele referitoare la RPD pentru a putea comunica cu aceștia, dacă este necesar. În acest sens, prelucrarea este necesară pentru îndeplinirea unei sarcini în interes public, cu care este învestită ANSPDCP conform articolului 6 alineatul (1) litera (e) din Regulamentul general privind protecția datelor. (https://www.dataprotection.ro/dpo/)

2.Dacă NU ați numit un RPD în sensul menționat mai sus ci doar ați dat atribuții (prin fișa postului) de protecția datelor unei persoane (spre ex. unui consilier juridic / unui IT-st etc), acesta NU va fi notificat, întrucât nu îndeplinește condițiile de numire de la art. 37.

  1. Respectarea cerințelor RGPD, este o obligație a întregii societăți (a operatorului), deci a fiecărui angajat în parte, începând cu managementul companiei și NU este o responsabilitate DOAR a RPD-ului sau a persoanei cu astfel de atribuții!

    !NB – Operatorul va răspunde în cazul încălcărilor prevederilor RGPD, deci managementul este în primul rând responsabil de conformarea cu standardul și nu responsabilul cu protecția datelor. (Confuzia poate veni ca urmare a unei traduceri deficitare din englezescul Data Protection Officer) RPD-ul informează, consiliază managementul, monitorizează aplicarea, este punctul de contact cu ANSPDCP ( a se vedea art. 37-39 RGPD).

Marian NEAGOE answered 5 ani ago

Buna ziua,

Conform Legii nr.190/2018 ( lege privind masuri de punere in aplicare a Regulamentului (UE) nr.679/2016 ), art. 4, alin. (2), lit. (b) – pentru simplul fapt ca prelucrati un numar de identificare national (CNP-ul), trebuie sa va numiti un Responsabil cu Protectia Datelor (RPD -ul reprezinta o garantie privind protectia datelor cu caracter personal)

Darius Farcas answered 5 ani ago

Bună ziua,

conform aceleiași legi, articol și literă, ultima teză prevede ca numirea să se facă în condițiile articolului 10 al legii. Articolul 10 ne spune următoarele – Desemnarea şi sarcinile responsabilului cu protecţia datelor

(1)Operatorii şi persoanele împuternicite de operator desemnează un responsabil cu protecţia datelor în situaţiile şi condiţiile prevăzute la art. 37-39 din Regulamentul general privind protecţia datelor.

Astfel, se poate înțelege că responsabilul va fi numit în mod obligatoriu doar în aceste situații și nu în oricare caz de prelucrare a unui CNP, după cum a fost exemplificat mai sus.