Raspunderea si sarcinile Responsabilului cu Protectia Datelor

Regulamentul (UE) 2016/679 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul General privind Protectia Datelor) instituie obligativitatea desemnarii la nivelul operatorului sau persoanei imputernicite de operator, in anumite cazuri, a unui responsabil cu protectia datelor.

Astfel, desemnarea unui responsabil cu protectia datelor este obligatorie in urmatoarele cazuri:

1. Cand prelucrarea este efectuata de o autoritate publica sau un organism public, cu exceptia instantelor care actioneaza in exercitiul functiei lor jurisdictionale;

2. Daca activitatile principale ale operatorului sau ale persoanei imputernicite de operator constau in operatiuni de prelucrare care necesita o monitorizare periodica si sistematica a persoanelor vizate pe scara larga;

3. Daca activitatile principale ale operatorului sau ale persoanei imputernicite de operator constau in prelucrarea pe scara larga a unor categorii speciale de date sau a unor categorii de date cu caracter personal privind condamnari penale si infractiuni .

Responsabilul cu protectia datelor poate fi un angajat al operatorului sau persoanei imputernicite de operator . De asemenea, operatorul sau persoana imputernicita pot desemna ca responsabil cu protectia datelor un tert, care isi va indeplini sarcinile in baza unui contract de prestari servicii .

Datele de contact ale Responsabilului cu Protectia Datelor sunt publice. Acestea sunt, de asemenea, comunicate de catre operator sau de catre persoana imputernicita Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal. Ratiunea caracterului public si al comunicarii indicate anterior, este aceea ca Responsabilul cu Protectia Datelor reprezinta punctul de contact, puntea de legatura, intre persoana vizata, operator (sau persoana imputernicita de operator) si Autoritatea de Supraveghere .

Persoanele vizate pot contacta responsabilul cu protectia datelor cu privire la toate chestiunile legate de prelucrarea datelor lor si la exercitarea drepturilor lor. Responsabilul cu protectia datelor are obligatia de a respecta secretul sau confidentialitatea in ceea ce priveste indeplinirea sarcinilor sale, in conformitate cu dreptul Uniunii sau cu dreptul intern.

Responsabilul cu protectia datelor poate indeplini si alte sarcini si atributii . Operatorul sau persoana imputernicita de operator se asigura ca niciuna dintre aceste sarcini si atributii nu genereaza un conflict de interese.

Responsaibilul cu protectia datelor are cel putin urmatoarele sarcini: de a informa si consilia operatorul, sau persoana imputernicita de operator, precum si angajatii care se ocupa de prelucrarile de date; de a monitoriza respectarea Regulamentului, a altor dispozitii de drept al Uniunii sau de drept intern referitoare la protectia datelor; de a consilia operatorul in ceea ce priveste realizarea unei analize de impact asupra protectiei datelor si de a monitoriza executarea acesteia; de a coopera cu Autoritatea de Supraveghere si de a reprezenta punctul de contact cu aceasta, precum si de a tine seama in mod corespunzator de riscul asociat operatiunilor de prelucrare, la indeplinirea sarcinilor sale.

Notiunea de ``incident de securitate`` in ceea ce priveste protectia datelor cu caracter personal, aceasta se intinde nu doar asupra securitatii unor sisteme ale operatorului sau persoanei imputernicite care contin date cu caracter personal, ci si asupra oricaror prelucrari de date cu caracter personal, realizate prin actiuni sau inactuni, neconforme cu principiile de prelucrare pervazute de Regulamentul General privind Protectia Datelor.^[1]

Regulamentul General privind Protectia Datelor cu caracter personal defineste incidentul de securitate ca fiind acea situatie apta de a conduce la distrugerea, pierderea, alterarea, divulgarea neautorizata sau accesul in mod nelegal sau accidental, la datele cu caracter personal transmise, stocate sau procesate in orice alt mod.

In cazul in care are loc o incalcare a securitatii datelor cu caracter personal, operatorul notifica acest lucru Autoritatii de Supraveghere, fara intarzieri nejustificate si, daca este posibil, in termen de cel mult 72 de ore de la data la care a luat cunostinta de existenta incalcarii, cu exceptia cazului in care este putin probabil ca aceasta sa genereze un risc pentru drepturile si libertatile persoanelor fizice.

Persoana imputernicita de operator instiinteaza operatorul fara intarzieri nejustificate dupa ce ia cunostinta de o incalcare a securitatii datelor cu caracter personal.

In cuprinsul notificarii sus-mentionate, se vor indica numele si datele de contact ale Responsabilului cu Protectia datelor.

In situatia unui incident de securitate, sarcinile Responsabilului cu Protectia Datelor includ cooperarea cu Autoritatea de supraveghere si realizarea legaturii dintre aceasta si persoanele vizate.

Cu toate acestea, este important de subliniat faptul ca Responsabilul pentru Protectia Datelor nu raspunde direct in fata Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal, aceasta raspundere revenind operatorului sau persoanei imputernicite de operator, ci va raspunde doar in fata angajatorului sau.

In acest sens, daca incidentul de securitate a fost generat chiar de catre Responsabilul cu Protectia Datelor, de neindeplinirea sau indeplinirea necorespunzatoare a sarcinilor incredintate privind prelucrarea datelor, acesta va raspunde disciplinar, administrativ sau civil in fata operatorului sau persoanei imputernicite, ori, dupa caz, penal daca actiunile ori inactiunile sale constituie elementele constitutive ale unei infractiuni .^[2]

De asemenea, in situatia in care Responsabilul pentru Protectia Datelor este un salariat al operatorului sau persoanei imputernicite, iar in urma unui incident de securitate generat din culpa sa, se angajeaza raspunderea patrimoniala a angajatorului, operatorul-angajator (sau persoana imputernicita de operator, dupa caz) se va putea intoarce impotriva salariatului sau Responsabil pentru Protectia Datelor, in temeiul art. 254 din Codul Muncii, potrivit caruia ``salariatii raspund patrimonial, in temeiul normelor si principiilor raspunderii civile contractuale, pentru pagubele materiale produse angajatorului din vina si in legatura cu munca lor``.

Concluzionand, Responsabilul pentru Protectia Datelor, desi poate juca un rol-cheie in ceea ce priveste raportarea si gestionarea incidentului de securitate privind datele cu caracter personal, acesta nu va prelua raspunderea angajatorului (fie acesta un operator de date cu caracter personal, fie o persoana imputernicita de operator) in fata Autoritatii de Supraveghere ori a altor institutii abilitate.

Raspunderea Responsabilului pentru Protectia Datelor este, asadar, una personala in relatia cu autoritatile, independenta de raspunderea angajatorului sau, atunci cand fapta generatoare de incident de securitate a Responsabilului intruneste caracteristicile unei contraventii sau chiar infractiuni .

In ceea ce priveste raspunderea disciplinara si/sau patrimoniala a Responsabilului cu Protectia Datelor, aceasta isi gaseste temeiul in contractul individual de munca, ci nu in Regulamentul General privind Protectia Datelor.

[1] Conf. univ. dr. Nicolae-Dragos Ploesteanu, ``Comparatie intre conceptul de ``incident de securitate`` si ``incalcare a securitatii datelor cu caracter personal`` in contextul GDPR si ISO 27001`` 22.07.2019.