Cu ocazia Zilei Europene a Protecției Datelor (28 ianuarie) se reiterează importanța continuării procesului de implementare a măsurilor stabilite de GDPR, în vederea unei protecții adecvate și reale a datelor cu caracter personal.
Conform datelor furnizate de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, în anul 2023, în România s-au înregistrat peste 4.700 de de plângeri, sesizări și notificări privind incidente de securitate, cu o creștere de aproximativ 10% față de anul anterior și în scădere cu 18% față de 2020. Din cele 76 de amenzi aplicate în 2023, cu o valoare de peste 2 milioane lei, peste 90% de amenzi au fost aplicate în baza GDPR. Aceeași statistică ne arată că, deși operatorii au continuat să declare și în anul 2023, responsabilii cu protecția datelor, înregistrând 2.048 de responsabili numiți de către operatorii din domeniul public și privat, una din măsurile recomandate cu ocazia Zilei Europene a Datelor 2024 este discuția cu privire la rolul și importanța unui pion esențial în acest proces: Responsabilul privind Protecția Datelor (RPD sau DPO).
Responsabilul privind protecția datelor are rolul de a oferi asistență operatorului sau persoanei împuternicite de operator în toate aspectele care au legătură cu protecția datelor cu caracter personal. În special, RPD trebuie:
- să informeze și să consilieze operatorul sau persoana împuternicită de operator, precum și angajații acestora, cu privire la obligațiile care le revin în temeiul legislației privind protecția datelor;
- să monitorizeze respectarea de către organizație a tuturor legilor referitoare la protecția datelor, inclusiv prin audituri, prin activități de conștientizare și prin formarea personalului implicat în operațiunile de prelucrare;
- să își asume rolul de punct de contact pentru solicitările din partea persoanelor fizice privind prelucrarea datelor acestora cu caracter personal și exercitarea drepturilor acestora;
- să fie implicat de organizație în mod corespunzător și în timp util.
La nivel teoretic, rolul și importanța pe care o are RPD în mecanismul GDPR este bine definit în art. 37 din GDPR. În practică, se constată că RPD este evaluat superficial și are un rol neclar. Deși sunt obligate să desemneze RPD, companiile aleg să facă numirile din rândul angajaților existenți, care nu sunt instruiți în acest domeniu sau cărora nu li se asigură o platformă de învățare și independență în îndeplinirea rolului și, astfel, întreg procesul de implementare a unor măsuri eficiente este viciat. Pentru ca RPD să asigure cel mai bine conformitatea cu cerințele de protecție a datelor, operatorii și persoanele împuternicite de operatori trebuie să pună la dispoziție resursele necesare, în ceea ce privește formarea și bugetul, pentru a le permite să își îndeplinească în mod corespunzător sarcinile. Într-un moment în care o serie de acte legislative ale UE în domeniul digital sunt în curs de elaborare sau au fost recent intrate în vigoare, rolul RPD evoluează, iar claritatea atribuțiilor și recunoașterea importanței rolului este fundamentală.
Hațegan Attorneys îndeamnă toate organizațiile să analizeze cu atenție respectarea GDPR pentru a evita sancțiunile importante ale nerespectării reglementărilor.