Regulamentul european de protecţie a datelor prevede ca de protecţia datelor să se ocupe o persoană care are cunoştinţe de specialitate în dreptul şi practicile din domeniul protecţiei datelor.
Într-un răspuns oferit revistei Capital la întrebarea cine poate deveni ofiţer de protecţie a datelor, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal precizează: referitor la desemnarea responsabilului cu protecția datelor, menționăm că este necesar ca operatorii să se raporteze la prevederile art. 37-39 din Regulament,
Astfel, potrivit prevederilor art. 37 alin. (1), desemnarea responsabilului cu protecția datelor se solicită atunci când:
a) prelucrarea este efectuată de o autoritate sau un organism public, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale;
b) activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă;
c) activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date sau a unor date cu caracter personal privind condamnări penale și infracțiuni.
Precizăm, totodată, că Regulamentul general privind protecția datelor nu conține prevederi referitoare la obligativitatea vreunei acreditări în domeniul protecției datelor de către responsabilul cu protecţia datelor desemnat.
Cu toate acestea, potrivit art. 37 alin. 5 din Regulamentul UE 2016/679 responsabilul cu protecția datelor cu caracter personal trebuie să fie ”desemnat pe baza calităţilor profesionale şi, în special, a cunoştinţelor de specialitate în dreptul şi practicile din domeniul protecţiei datelor, precum şi pe baza capacităţii de a îndeplini sarcinile prevăzute la articolul 39.”
Responsabilul cu protecția datelor poate fi angajat al operatorului/persoanei împuternicite de operator sau poate să-și îndeplinească sarcinile pe baza unui contract de prestări servicii.
Mai mult, responsabilul trebuie să aibă capacitatea de a îndeplini sarcinile fiind necesare anumite calități personale (ex: integritate și etica profesională), cunoștințe, dar și o anumită poziție în cadrul organizației.
Totodată, precizăm că potrivit art. 37 alin. (7) din Regulament operatorul sau persoana împuternicită de operator are obligația de a comunica autorităţii de supraveghere doar datele de contact ale responsabilului cu protecţia datelor.
În plus, precizăm că prin Ordinul nr. 1786/2017 privind modificarea şi completarea Clasificării ocupaţiilor din România – nivel de ocupaţie (şase caractere), aprobată prin Ordinul ministrului muncii, familiei şi protecţiei sociale şi al preşedintelui Institutului Naţional de Statistică nr. 1.832/856/2011 a fost introdusă în COR această nouă ocupație sub denumirea ”responsabil cu protecţia datelor cu caracter personal” – cod COR 242231.
Informații detaliate despre responsabilul cu protecția datelor se regăsesc în Ghidul privind Responsabilul cu protecția datelor (DPO), emis de Grupul de Lucru pentru protecția datelor de pe lângă Comisia Europeană, denumit Grupul de Lucru Art. 29, care este format din reprezentanții tuturor autorităților de supraveghere din statele membre ale Uniunii Europene și, printre altele, elaborează o serie de opinii/ghiduri, privind aplicarea coerentă și unitară a dispozițiilor regulamentului.
Autoritatea națională de supraveghere a pus la dispoziția publicului Ghidul anterior menționat, în limba română, acesta fiind accesibil la secțiunea specială dedicată Regulamentului la adresa https://www.dataprotection.ro/servlet/ViewDocument?id=1384, pe site-ul Autorității. În acest Ghid sunt clarificate o serie de noțiuni și sunt oferite o serie de exemple de situații în care nu este necesară numirea unui responsabil cu protecția datelor.