Irina Alexe, Statutul DPO din perspectiva raporturilor juridice

Irina Alexe, Statutul DPO din perspectiva raporturilor juridice

 

Regulamentul (GDPR)*nu ne spune ce regim juridic trebuie să aibă responsabilul cu protecția datelor, dar din dispozițiile art. 37 rezultă foarte clar că el poate să fie desemnat în interiorul raporturilor de muncă, adică din rândul  angajaților, sau pe baza unui contract de servicii. Dacă vorbim despre contract de servicii, evident că nu vorbim despre fișa postului, ci vorbim despre un contract. Dacă vorbim despre exercitarea funcției, misiunii responsabilului cu protecția datelor în cadrul raporturilor de muncă este evident că autoritățile și instituțiile publice pot să desemneze acest responsabil din rândul salariaților. Dar nu împiedică nimeni nici măcar autoritățile sau instituțiile publice să încheie și acest contract de servicii.

În ceea ce privește opțiunea ca acest responsabil cu protecția datelor să fie sau nu funcționar public, am identificat câteva dintre prerogativele de putere publică care s-ar plia pe sarcinile și misiunile pe care, potrivit Regulamentului, Responsabilul cu protecția datelor ar trebui să le îndeplinească. Numai că în cazul Legii nr.188/1999 privind Statutul funcționarilor publici, adică în cazul desemnării lui din rândul funcționarilor publici, cea mai importantă problemă este aceea că potrivit Legii nr. 188 toate categoriile de funcții publice sunt prevăzute în Anexa nr. 1 la lege. Or, această funcție este evident că nu este prevăzută în lege și, până la o modificare a anexei la Legea nr. 188, apreciez că o autoritate sau o instituție publică nu poate să desemneze un responsabil cu protecția datelor ca funcționar public.

Regulamentul ne spune că responsabilul cu protecția datelor poate să fie desemnat și ca un conducător al unui serviciu specializat. De asemenea, art. 37 face două distincții în ceea ce privește desemnarea unui responsabil unic: de către un grup de întreprinderi, și mai are o prevedere potrivit căreia mai multe autorități sau organisme publice pot decide să desemneze împreună un singur responsabil cu protecția datelor. Acum, aplicând aceste prevederi la legislația din România, evident că apar nenumărate probleme.

Din punctul meu de vedere, ar trebui ca operatorii, fie ei publici sau privați, să se uite, mai întâi, în rândul angajaților și să vadă care ar fi cel mai în măsură să se plieze pe cerințele pe care Regulamentul le prevede pentru un astfel de responsabil cu protecția datelor, care să cunoască foarte bine activitățile pe care operatorul le desfășoară, și care să fie în măsură să îndeplinească sarcinile prevăzute la art. 39. Orice persoană, indiferent că este ea salariat sau funcționar. Este evident că Regulamentul lasă la latitudinea operatorului încheierea acelui contract de servicii care este prevăzut și el la art. 37 la alin. (6).

Dr. Irina Alexe
Cercetător științific asociat Institutul de Cercetări Juridice ”Andrei Rădulescu” al Academiei Române

* Opinie susținută în cadrul dezbaterii Fișa postului DPO (Data Protection Officer), ediția 185 organizată de Societatea de Științe Juridice (SSJ)

Reclame

Lasă un răspuns

Te rog autentifică-te folosind una dintre aceste metode pentru a publica un comentariu:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare /  Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare /  Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare /  Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare /  Schimbă )

Conectare la %s

%d blogeri au apreciat asta: