Responsabil cu protecția datelor ( DPO) – funcționar public sau personal contractual ?
Responsabilul cu protecția datelor nu este o instituție nouă, fiind prevăzută și anterior de Directiva nr.95/46/CE . Regulamentul UE îl recunoaște ca un actor cheie în noul sistem de protecție a datelor cu caracter personal atât din punct de vedere al obligativității desemnării sale de către autoritățile sau organismele publice, ori de către operatori sau persoane împuternicite de aceștia, cât și din punct de vedere al nivelului de experiență și pregătire profesională.
Întrebarea la care dorim să oferim un răspuns este dacă responsabilul cu protecția datelor exercită sau nu prerogativele de putere publică ORI dacă activitatea acestuia este guvernată de un serviciu/funcție publică SAU de un raport/contract de muncă , întrucât practica identificată prin aplicare a Regulamentului nr. 2016/679 UE, începând cu data de 25 mai 2018 este neunitară .
Sediul principal al materiei referitoare la responsabilul cu protecția datelor îl regăsim în art. 37-39 din GDPR. Ghidul privind DPO nu are caracter normativ și nici obligatoriu, ci doar unul orientativ, de recomandare , menit să asigure o mai bună înțelegere și o aplicare mai coerentă și unitară a regulamentului.
Regulamentul instituie pentru autorități și pentru organismele publice și private prevăzute la Art. 37 obligativitatea desemnării unui responsabil pentru protecția datelor. Pentru celelalte situații în care desemnarea nu este obligatorie, este totuși recomandată numirea unui DPO care, prin prisma pregătirii, experienței, atribuțiilor și sarcinilor sale, să îl ajute pe operator să își desfășoare activitatea, respectând prevederile regulamentului.
De asemenea, regulamentul stabilește pentru DPO locul, rolul și răspunderea acestuia, precum și obligațiile pe care operatorul sau persoana împuternicită de acesta le are în relația sa cu responsabilul pentru protecția datelor. Potrivit dispozițiilor Art. 37 alin ( 6 ) din Regulament, DPO “ poate fi un membru al personalului operatorului sau persoanei împuternicite de operator sau poate să își îndeplinească sarcinile în baza unui contract de servicii “
În ceea ce privește sarcinile DPO acestea ar include :
- Informare și consiliere ( din oficiu sau la cerere )
- Monitorizarea conformității cu regulamentul
- Cooperarea cu autoritatea de supraveghere și asumarea rolului de punct de contract în relația cu aceasta
Legislația în materie în România , recunoaște autonomia noțiunilor de funcție publică, funcționar public sau raport de serviciu în raport cu noțiunile de salariat și raport de muncă .
Astfel responsabilul pentru protecția datelor poate fi conform rt.37 alin.(6) din GDPR :
- Funcționar public– raport de serviciu
Îi sunt aplicabile Legea 188/1999 + atribuțiile din GDPR și implică exercitarea prerogativelor de putere publică(de exemplu: punerea în executare a actelor normative; consilierea, controlul și auditul public intern; reprezentarea intereselor autorității sau instituției publice în raporturile acesteia cu persoane fizice sau juridice).
Funcționarii publici de execuție sunt cei mai potriviți pentru ocuparea unei funcții de DPO, însă și în acest caz trebuie respectate cerințele de independență și de evitare a conflictelor de interese.
- Personal contractual -raport/contract de muncă
Îi sunt aplicabile prevederile Codul muncii ,contractului de muncă + ROF + fișa postului .
Atribuțiile sunt prevăzute în GDPR. Aceștia pot fi desemnați din rândul angajaților ( aceasta reprezintă cea mai favorabilă soluție ) sau pot fi angajați direct pe postul de DPO.
- Parte contractantă -contract de servicii
În acest caz DPO își poate îndeplini sarcinile în baza unui contract de servicii. Obligațiile părților la contract, descrise în GDPR, ar trebui preluate și detaliate în cuprinsul contractului, pentru a fi reglementate toate aspectele ce decurg dintr-o astfel de relație contractuală, dar respectând și regulamentul, având conflictele de interese și alocând resursele în mod eficient. Însă în cadrul unui astfel de contract răspunderea disciplinară nu ar putea fi angajată în situația nerespectării obligațiilor legale și contractuale.
Aceștia au aceleași atribuții, însă regimul juridic este DIFERIT, în România existând aceste posibilități. Regimul este aplicat în continuare neuniform.
