Desemnarea unui responsabil cu protecţia datelor (DPO) este obligatorie în sectorul public, în timp ce, în mediul privat, vorbim despre o recomandare, obligativitatea fiind valabilă numai în cazul operatorilor care prelucrează date la scară largă, a declarat, vineri, în cadrul evenimentului de lansare a programului de formare şi sprijin „Ofiţeri pentru securitatea datelor cu caracter personal (DPO)”, Oana Luisa Dumitru, şef Birou Relaţii Internaţionale în Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).
„În România şi în Uniunea Europeană protecţia datelor nu este nouă. În România există, în prezent, Legea 677/2001 care transpune prevederile Directivei 95/46. Au trecut, aşadar, mai bine de 20 de ani de la adoptarea acestui act normativ la nivelul Uniunii Europene şi a fost nevoie de actualizarea principiilor. Astfel, noul Regulament (General Data Protection Regulation – GDPR, n.r.) actualizează principiile în domeniul protecţiei datelor, consolidează drepturile persoanelor fizice ale căror date sunt prelucrate şi adaugă noi drepturi acestora. Una dintre obligaţiile impuse de Regulament este aceea de desemnare a responsabilului cu protecţia datelor sau DPO, dar nu trebuie să uităm şi celelalte obligaţii, şi anume păstrarea unei evidenţe a prelucrărilor datelor cu caracter personal”, a menţionat Dumitru.
Reprezentanta Autorităţii de reglementare a punctat faptul că desemnarea unui responsabil cu securitatea datelor cu caracter personal este obligatorie în sectorul public şi recomandată în sectorul privat.
„Desemnarea unui responsabilul cu protecţia datelor este obligatorie în sectorul public, tuturor operatorilor, dar şi persoanelor împuternicite. În sectorul privat este recomandată desemnarea unui astfel de responsabil, dar obligatorie pentru operatorii care prelucrează date la scară largă, cum ar fi cele cu caracter special, mai personale (genetice, privind starea de sănătate, religia). De exemplu, un cabinet medical nu intră în această categorie, deci pentru medicul care are acel cabinet nu este obligatorie desemnarea unui responsabil. Asta nu înseamnă că el nu are posibilitatea să-şi desemneze un astfel de responsabil. Desemnarea se poate face fie din cadrul operatorului, fie prin externalizarea serviciului printr-un contract de prestări servicii. În sectorul public, există posibilitatea să existe un responsabil unic. Avem acele primării comunale şi nu înseamnă că fiecare dintre acestea trebuie să desemneze un DPO, ci are posibilitate să beneficieze de un DPO unic pentru fiecare comună în parte. Regulamentul este de directă aplicabilitate, ceea ce înseamnă că fiecare stat membru nu poate interveni decât foarte puţin pe marja legislaţiei naţionale, acolo unde regulamentul lasă această posibilitate”, a explicat Oana Luisa Dumitru.
Referitor la sancţiuni, până la amenzile prevăzute există şi alte măsuri pe care Autoritatea le poate impune, printre care avertismentul, decizie prin care se poate solicita suspendarea prelucrării datelor până la momentul în care operatorul se pune în acord cu cerinţele Regulamentului. La stabilirea cuantumului amenzii, fiecare autoritate va trebui să ia în considerare nişte criterii stabilite foarte clar de acest Regulament.
Autorităţile publice locale şi judeţene, instituţiile din sectorul public, dar şi companiile private care accesează şi prelucrează date cu caracter personal pot aplica, începând cu data de 19 februarie 2018, la Programul de formare şi sprijin „Ofiţeri pentru securitatea datelor cu caracter personal (DPO)”, derulat în co-tutelă de Catedra Internaţională Onorifică „Jean Bart” (CIO-SUERD) şi Departamentul de Formare şi Consiliere al Asociaţiei „Comunităţile Locale Riverane Dunării” (CLDR România), în colaborare cu o companie de profil.
Regulamentul General privind Protecţia Datelor (General Data Protection Regulation – GDPR) va trebui să-şi producă efectele începând cu data de 25 mai 2018 în România, iar din acel moment sistemele informatice ale companiilor ce stochează date personale vor trebui să permită un control foarte bun al identităţii utilizatorilor şi al accesului la acestea, urmând principiul ‘Privacy by Design’.
Documentul impune tuturor instituţiilor şi organizaţiilor să desemneze un responsabil cu Protecţia Datelor cu Caracter Personal (DPO – Data Protection Officer – Ofiţer Protecţia Datelor) dacă sunt întrunite anumite condiţii.
Regulile stabilite de noul Regulament sunt aplicabile tuturor operatorilor de date, indiferent de locul unde sunt stabiliţi aceştia, în măsura în care serviciile acestora presupun prelucrarea datelor personale ale cetăţenilor Uniunii Europene.
În acelaşi timp, prevederile vin în sprijinul operatorilor de date şi împuterniciţilor acestora, stabilind un set unic de reguli aplicabile pe teritoriul întregii Uniuni Europene. Astfel, sunt reduse în mod semnificativ şi procedurile administrative pe care operatorii de date trebuie să le urmeze, fiind oferită posibilitatea de a avea un ‘interlocutor’ unic la nivel european.
La nivel de sancţiuni, companiile care vor încălca Regulamentul General privind Protecţia Datelor, ce va trebui implementat şi de România începând din mai 2018, vor plăti amenzi de 10 de milioane de euro sau 2% din cifra de afaceri globală pentru încălcări privind protecţia datelor, respectiv de 20 de milioane de euro sau 4% din cifra de afaceri globală pentru încălcări ale principiilor de bază privind prelucrarea datelor.