Carmen Dandu asked 6 luni ago

Buna ziua,

As dori sa stiu ce se intampla daca pana in momentul de fata o firma nu si-a inregistrat DPO-ul pe site-ul Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu caracter personal? Care sunt efectele neinregistrarii acestei persoane? Se percepe o taxa/amenda de intarziere cu privire la intarziere inregistrarii?

Ce se poate intampla in momentul in care o firma isi inregistreaza DPO-ul? Se poate astepta la controale? Care este scopul inregistrarii persoanei respective?

Va multumesc frumos!

Astept cu interes raspunsul dvs.

1 Answers
Darius Farcas answered 5 luni ago

Bună ziua,

Primul pas care ar fi de evaluat este dacă acea ,,firmă” despre care menționați, are obligativitatea numirii unui DPO – întrucât activitățile sale se încadrează în cele menționate de RGPD ( a nu se confunda cu cazurile de efectuare obligatorie a evidenței prelucrării datelor cu caracter personal – 250+ angajați). Din punctul meu de vedere, în cazurile în care există această obligativitate de numire, există și cea de notificare. În cazul în care notificarea lipsește, se pot aplica sancțiuni (a consulta art. 83 RGPD + legea 129/2018 – prevederile referitoare la sancțiuni și aplicarea acestora.

În privința celorlalte întrebări:

Art. 37(7) din RGPD impune operatorului sau persoanei împuternicite de operator:

 să publice datele de contact ale DPO

 să comunice datele de contact ale DPO autorităților de supraveghere relevante.

Obiectivul acestor cerințe este acela de a garanta că persoanele vizate (atât în interiorul cât și în exteriorul organizației) și autoritățile de supraveghere pot contacta DPO cu ușurință și în mod direct, fără a fi nevoie să contacteze o altă parte din organizație. Confidențialitatea este la fel de importantă: de exemplu, angajații pot fi reticenți în a se plânge la DPO în cazul în care confidențialitatea comunicațiilor lor nu este garantată.

Datele de contact ale DPO trebuie să includă informații ce permit persoanelor vizate și autoritățile de

supraveghere să contacteze DPO printr-o modalitate ușoară (adresă poștală, numă de telefon alocat

special și/sau o adresă de email alocată special). Atunci când este cazul, în scopul comunicării cu

publicul ar putea fi, de asemenea, furnizate alte mijloace de comunicare, de exemplu o linie telefonică

special alocată sau un formular de contact adresat DPO de pe pagina web a organizației.

Art. 37(7) nu impune ca datele de contact publicate să includă numele DPO. Deși acest lucru ar putea

fi o bună practică, operatorul sau persoana împuternicită de operator decide dacă acest lucru este

necesar sau util în anumite situații ( Este de remarcat faptul că art. 33(3)b), care descrie informațiile care trebuie furnizate autorității de supraveghere și persoanelor vizate în cazul unei încălcări a securității datelor cu caracter personal, spre deosebire de art. 37(7), impune în mod expres și comunicarea numelui DPO și nu numai datele de contact).

Cu toate acestea, comunicarea numelui DPO către autoritatea de supraveghere este esențială pentru că

DPO reprezintă punctul de contact între organizație și autoritatea de supraveghere (art. 39(1)e)).

Ca o chestiune de bună practică, WP29 recomandă, de asemenea, ca o organizație să informeze

angajații săi în legătură cu numele și datele de contact ale DPO. De exemplu, numele și datele de

contact ale DPO ar putea fi publicate intern pe Intranet-ul organizației, în directorul de telefon intern,

și în organigrame.

Dacă o instituție / companie se poate aștepta la controale inopinate, cauzate poate chiar de comunicările cu ANSPDCP, răspunsul este da, se poate (în practică este puțin probabil ca pentru simpla notificare a DPO-ului să se întâmple) întrucât Decizia 161/2018 stabilește (https://www.dataprotection.ro/servlet/ViewDocument?id=1542) spre exemplU: ANSPDCP poate face investigații din oficiu: art. 3 e)pentru verificarea unor date şi informaţii cu privire la prelucrarea datelor cu caracter personal, obţinute de către ANSPDCP din alte surse decât cele care fac obiectul unor plângeri, inclusiv pe baza sesizărilor sau a informaţiilor primite de la o altă autoritate de supraveghere sau de la o altă autoritate publică;