dpo, ISO27001

DPO – Nivelul de expertiză și calitățile profesionale

Conform RGPD în anumite cazuri operatorii de date personale trebuie să-și numească un „responsabil cu protecția datelor personale” (Data Protection Officer – DPO). Mai multe despre acest subiect puteți găsi aici.

Din păcate, Regulamentul reglementează sumar DPO-ul, făcând astfel dificilă stabilirea condițiilor pe care trebuie să le întrunească persoana care dorește să fie DPO.

DPO – reglementarea din RGPD

La art. 37 alin. (5) din RGPD se arată că „Responsabilul cu protecția datelor este desemnat pe baza calităților profesionale și, în special, a cunoștințelor de specialitate în dreptul și practicile din domeniul protecției datelor, precum și pe baza capacității de a îndeplini sarcinile prevăzute la articolul 39.”

Aceasta înseamnă că responsabilul cu protecția datelor personale trebuie să cunoască cel puțin legislația privind datele personale și procedurile aferente acestui domeniu (guvernanța informațiilor și securitate cibernetică). Mai mult, ținând cont de atribuțiile sale (informare și consiliere a operatorului), responsabilul cu protecția datelor personale trebuie să aibă acces la nivelul de top management.

Prin urmare, un DPO trebuie să aibă competențele și experiența combinată a unor roluri tipice separate, cum ar fi un manager, avocat și specialist IT.

Recomandarea Grupului de lucru „Articolul 29”

Conform Ghidului Grupului de lucru „Articolul 29” aptitudinile și expertiza relevante includ:

  • experiență în legislația și practicile de protecție a datelor la nivel național și european;

  • o înțelegere complexă a RGPD;

  • înțelegerea operațiunilor de prelucrare efectuate;

  • înțelegerea tehnologiilor de informații și de securitate a datelor;

  • cunoașterea sectorului de afaceri și a organizației;

  • abilitatea de a promova protecția datelor în cadrul organizației.

Totodată, Grupul de lucru „Articolul 29” recomandă ca autoritățile de supraveghere să promoveze o formă adecvată și regulată pentru DPO. În consecință vom aștepta punctul de vedere al A.N.S.P.D.C.P.

Menționăm, de asemenea, că la acest moment autoritatea națională din România nu oferă traininguri pentru DPO și deși această ocupație a fost introdusă de curând în Clasificarea Ocupațiilor din România, nu au fost emise norme care să prevadă calificările minime necesare pentru ca o persoană să poată ocupa această funcție.

În același timp, atragem atenția că nicio entitate care susține că oferă traininguri de calificare a unui DPO nu emite certificări sau diplome recunoscute de autoritatea națională în domeniu.