Ofiterul de protectie a datelor este angajatul care va trebui sa se regaseasca in echipele multor companii din Romania dupa intrarea in vigoare a regulamentului general privind protectia datelor (GDPR). Despre obligatiile care sunt aduse companiilor de aceasta masura si atributiile pe care le are ofiterul de protectie a datelor am vorbit cu Andreea Manolache, senior associate Accace Romania.

Pentru a respecta prevederile din regulamentul general privind protectia datelor (GDPR), adoptat de catre Parlamentul European si care va intra in vigoare pe 25 mai 2018, o serie de companii din Romania vor trebui sa isi angajeze un responsabil pentru protectia datelor.

"Companiile vor putea sa gestioneze acest lucru la nivel intern, prin numirea unui angajat sau pot externaliza acest serviciu unei firme de consultanta sau unui avocat. Daca se gestioneaza intern, prin numirea unui angajat ca DPO (ofiter responsabil pentru protectia datelor), acest rol nu trebuie sa fie in conflict cu pozitia sa din cadrul companiei angajatoare", a declarat Andreea Manolache, senior associate Accace Romania, pentru wall-street.ro.

Conform informatiilor oferite de reprezentantul Accace, prevederile regulamentului vor trebui aplicate de catre toate companiile, care opereaza cu date cu caracter personal, din sistemul public, persoanele imputernicite de acestea, precum si companiile din sistemul privat cu mai mult de 250 angajati care ,de asemenea, opereaza cu date cu carecter personal .

In plus, regulamentul se aplica si in cazul in care prelucrarea datelor cu caracter personal efectuata de catre operator are potentialul de a genera un risc pentru drepturile si libertatile persoanelor vizate, prelucrarea nu este ocazionala sau prelucrarea include categorii speciale de date sau date cu caracter personal referitoare la condamnari penale si infractiuni.

Ce trebuie sa faca ofiterul de protectie a datelor

In procesul, denumit si cartografiere, prin care ofiterul de protectie a datelor tine evidenta modului in care sunt prelucrate datele cu caracter personal trebuie sa fie prezentate urmatoarele informatii:

numele si datele de contact ale operatorului si, dupa caz, ale operatorului asociat, ale reprezentantului operatorului si ale responsabilului cu protectia datelor.

scopurile prelucrarii.

descrierea categoriilor de persoane vizate si a categoriilor de date cu caracter personal.

categoriile de destinatari carora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din tari terte sau organizatii internationale.

daca este cazul, transferurile de date cu caracter personal catre o tara terta sau o organizatie internationala, inclusiv identificarea tarii terte sau a organizatiei internationale respective si, in cazul transferurilor mentionate la articolul 49 alineatul (1) al doilea paragraf, documentatia care dovedeste existenta unor garantii adecvate.

acolo unde este posibil, termenele-limita preconizate pentru stergerea diferitelor categorii de date.

acolo unde este posibil, o descriere generala a masurilor tehnice si organizatorice de securitate.

"Evidenta se va pastra in scris, inclusiv in format electronic. La cerere, operatorul sau persoana imputernicita de acesta, precum si, dupa caz, reprezentantul operatorului sau al persoanei imputernicite de operator vor pune evidentele la dispozitia autoritatii de supraveghere.", precizeaza Andreea Manolache.

Ce amenzi pot primi companiile daca nu au un ofiter de protectie a datelor

In cazul in care o companie nu respecta obligatiile ce tin de prelucarea datelor cu caracter personal asa cum sunt prezentante in regulamentul european care va intra in vigoare in mai 2018, aceasta va avea de suportat sanctiuni serioase care pot ajunge la zeci de milioane de euro.

"Regulamentul prevede sanctiuni severe de pana la 10-20 milioane de euro sau intre 2% si 4% din cifra de afaceri la nivel international pentru operatorii din sectorul privat.", precizeaza Andreea Manolache.

In ceea ce priveste costurile implementarii acestei masuri, reprezentantul Accace a precizat ca ele vor depinde in mod direct de impactul pe care prevederile Regulamentului le va avea asupra activitatii companiei. Factorii determinanti vor fi: tipul de date procesate, transferul de date, obiectivul de activitate al companiei si cat de multe modificari vor trebui implementate.

Regulamentul general privind protectia datelor (GDPR) 2016/679 a fost adoptat de Parlamentul European in data de 27 aprilie 2016 si va intra in vigoare incepand cu data de 25 mai 2018

Sursa foto: Imilian / Shutterstock.com