Dumitru (ANSPDCP): Desemnarea unui responsabil cu protecţia datelor este obligatorie în sectorul public

Desemnarea unui responsabil cu protecţia datelor (DPO) este obligatorie în sectorul public, în timp ce, în mediul privat, vorbim despre o recomandare, obligativitatea fiind valabilă numai în cazul operatorilor care prelucrează date la scară largă, a declarat, vineri, în cadrul evenimentului de lansare a programului de formare şi sprijin "Ofiţeri pentru securitatea datelor cu caracter personal (DPO)", Oana Luisa Dumitru, şef Birou Relaţii Internaţionale în Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), scrie Agerpres.

"În România şi în Uniunea Europeană protecţia datelor nu este nouă. În România există, în prezent, Legea 677/2001 care transpune prevederile Directivei 95/46. Au trecut, aşadar, mai bine de 20 de ani de la adoptarea acestui act normativ la nivelul Uniunii Europene şi a fost nevoie de actualizarea principiilor. Astfel, noul Regulament (General Data Protection Regulation - GDPR, n.r.) actualizează principiile în domeniul protecţiei datelor, consolidează drepturile persoanelor fizice ale căror date sunt prelucrate şi adaugă noi drepturi acestora. Una dintre obligaţiile impuse de Regulament este aceea de desemnare a responsabilului cu protecţia datelor sau DPO, dar nu trebuie să uităm şi celelalte obligaţii, şi anume păstrarea unei evidenţe a prelucrărilor datelor cu caracter personal", a menţionat Dumitru.

Reprezentanta Autorităţii de reglementare a punctat faptul că desemnarea unui responsabil cu securitatea datelor cu caracter personal este obligatorie în sectorul public şi recomandată în sectorul privat.

"Desemnarea unui responsabilul cu protecţia datelor este obligatorie în sectorul public, tuturor operatorilor, dar şi persoanelor împuternicite. În sectorul privat este recomandată desemnarea unui astfel de responsabil, dar obligatorie pentru operatorii care prelucrează date la scară largă, cum ar fi cele cu caracter special, mai personale (genetice, privind starea de sănătate, religia). De exemplu, un cabinet medical nu intră în această categorie, deci pentru medicul care are acel cabinet nu este obligatorie desemnarea unui responsabil. Asta nu înseamnă că el nu are posibilitatea să-şi desemneze un astfel de responsabil. Desemnarea se poate face fie din cadrul operatorului, fie prin externalizarea serviciului printr-un contract de prestări servicii. În sectorul public, există posibilitatea să existe un responsabil unic. Avem acele primării comunale şi nu înseamnă că fiecare dintre acestea trebuie să desemneze un DPO, ci are posibilitate să beneficieze de un DPO unic pentru fiecare comună în parte. Regulamentul este de directă aplicabilitate, ceea ce înseamnă că fiecare stat membru nu poate interveni decât foarte puţin pe marja legislaţiei naţionale, acolo unde regulamentul lasă această posibilitate", a explicat Oana Luisa Dumitru.

Referitor la sancţiuni, până la amenzile prevăzute există şi alte măsuri pe care Autoritatea le poate impune, printre care avertismentul, decizie prin care se poate solicita suspendarea prelucrării datelor până la momentul în care operatorul se pune în acord cu cerinţele Regulamentului. La stabilirea cuantumului amenzii, fiecare autoritate va trebui să ia în considerare nişte criterii stabilite foarte clar de acest Regulament.

Autorităţile publice locale şi judeţene, instituţiile din sectorul public, dar şi companiile private care accesează şi prelucrează date cu caracter personal pot aplica, începând cu data de 19 februarie 2018, la Programul de formare şi sprijin "Ofiţeri pentru securitatea datelor cu caracter personal (DPO)", derulat în co-tutelă de Catedra Internaţională Onorifică "Jean Bart" (CIO-SUERD) şi Departamentul de Formare şi Consiliere al Asociaţiei "Comunităţile Locale Riverane Dunării" (CLDR România), în colaborare cu o companie de profil.

Regulamentul General privind Protecţia Datelor (General Data Protection Regulation - GDPR) va trebui să-şi producă efectele începând cu data de 25 mai 2018 în România, iar din acel moment sistemele informatice ale companiilor ce stochează date personale vor trebui să permită un control foarte bun al identităţii utilizatorilor şi al accesului la acestea, urmând principiul 'Privacy by Design'.