Companiile din România vor fi nevoite, începând cu 25 mai, să aibă un angajat responsabilul cu protecţia datelor

Funcţia de responsabil cu protecţia datelor reprezintă una dintre noutăţile Regulamentului General de Protecţia Datelor care va fi aplicabil începând cu data de 25 mai 2018, a declarat Alina Savoiu, şef al Biroului juridic şi comunicare al ANSPDCP, în cadrul unei conferinţe de specialitate, potrivit Mediafax.

Înfiinţarea postului de responsabil de protecţia datelor în cadrul unei companii va fi obligatorie în sistemul public, cu excepţia instanţelor de judecată, iar la nivelul sectorului privat, numai în măsura în care se realizează anumite tipuri de prelucrări care implică riscuri sau prelucrări de date sensibile pe scară largă, precum existenţa unui volum semnificativ de date sau a unei arii geografice răspândite, a explicat Alina Savoiu, reprezentanta Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).

„Responsabilul de protecţie a datelor poate fi desemnat din rândul salariaţilor proprii, poate fi desemnată o persoană sau poate fi creat un compartiment care să aibă mai multe persoane şi un şef, iar acela acţionează ca ofiţer de protecţie a datelor, fie se poate apela pe un contract de prestări servicii la diverse firme cu variate domenii de activitate: consultanţă, avocatură sau IT”, a spus Savoiu.

„Important este să aibă experienţă în domeniu. În principiu, trebuie să aibă o poziţie autonomă şi independentă în cadrul întreprinderii, ceea ce înseamnă că ar trebui să fie în subordinea directorului general, să nu fie unul dintre directorii compartimentelor, pentru că, în principiu, directorii compartimentelor sunt implicaţi în efectiva aplicare a regulilor. Atunci, el trebuie să aibă o poziţie distinctă, ca să poată să verifice, să monitorizeze şi să facă diferite recomandări referitoare la activitatea acelor compartimente”, susţine reprezentanta ANSPDCP.

Desfiinţarea notificărilor transmise către ANSPDCP reprezintă o altă noutate introdusă în regulament. Astfel, companiile nu vor trebui să mai anunţe anumite prelucrări de date, precizează Savoiu.

În cadrul noului regulament se prevede o extindere a drepturilor clienţilor companiilor. „De exemplu, în cazul dreptului de informare, se prevăd mai multe informaţii care trebuie date către clienţii companiilor, atât în cazul informării directe, când datele se obţin de la persoane, cât şi în cazul informării indirecte. Pe lângă informaţii precum scopul, destinatarii şi drepturile, mai intervin informaţii suplimentare legate de perioada în care se stochează datele, de temeiul legal al prelucrării, de dreptul de a se adresa cu plângere autorităţii”, explică Alina Savoiu.

Un alt element de noutate constă în regimul sancţionator. Nivelul sancţionator a fost stabilit între 10 şi 20 de milioane de euro. De exemplu, pentru încălcarea drepturilor persoanelor vizate se poate ajunge la 20 de milioane de euro. Măsurile de ştergere a datelor, interdicţia şi suspendarea de prelucrare a datelor rămân valabile, subliniază Savoiu.

Sfera de aplicare a noului regulament nu e foarte diferită de cea din prezent, dar există un element de noutate la aplicabilitatea teritorială. „La aplicabilitatea teritorială, în schimb, avem un element semnificativ de noutate, în sensul că se aplică acest regulament şi entităţilor sau operatorilor, respectiv împuterniciţilor din afara Uniunii Europene, în măsura în care comercializează bunuri sau se raportează către persoane fizice cetăţeni ai Uniunii Europene. Aici au fost vizate încă de la început companiile americane”, menţionează Savoiu.

Regulamentul General de Protecţia Datelor a intrat în vigoare pe data de 25 mai 2016 şi va fi de directă aplicabilitate începând cu data de 25 mai 2018.