Specialistul de conformitate
si responsabilul cu protectia datelor

Autor: Maria Maxim, Partener Wolf Theiss și Coordonator practică de TMT (Tehnologie, Media, Telecom), Compliance și Protecția Datelor cu Caracter Personal. Publicat în “Legal Magazin”, ediția a XVII-a, Decembrie 2017, pp. 23-25. Articol publicat în grupajul “Noi orientări în domeniul Eticii și Conformității (1)”, coordonat de Cristian Ducu.

Ariile de conformitate, și implicit responsabilitățile specialistului de conformitate, din aproape orice industrie sunt caracterizate din ce în ce mai mult prin varietatea scenariilor de risc de neconformitate precum și prin complexitatea măsurilor de prevenire a acelor acțiuni sau inacțiuni ce pot constitui posibile încălcări ale dispozițiilor legale în vigoare. Asemenea arii de conformitate sunt prezente în materiile de prevenire a infracțiunilor de spălare a banilor sau de finanțare a terorismului, de prevenire a corupției, a evaziunii fiscale, a concurenței neloiale, dar și în domenii ce țin de proprietate intelectuala sau de protecție a dreptului la viața privată respectiv a drepturilor privind datele cu caracter personal.

Astfel, încă din anul 2016, Parlamentul European și Consiliul Uniunii Europene au adoptat un nou regulament general în domeniul protecției datelor („Regulamentul”) după o reformă legislativă de mai bine de 4 ani, în care unul din principalele obiective a fost adaptarea legislației la progresul tehnologic al zilelor noastre, când, la nivelul fiecărei entități, din domeniul privat sau public, asistăm la un proces omniprezent de colectare și prelucrare de date cu caracter personal ale persoanelor fizice în orice activitate, fie aceasta de natură comercială sau de interes public. Regulamentul General privind protecția datelor nu numai că reîntărește drepturile persoanelor vizate, respectiv ale persoanelor fizice ale căror date sunt prelucrate, dar si lărgește sfera obligațiilor operatorilor de date, respectiv ale persoanelor care colectează și prelucrează date cu caracter personal, și ale împuterniciților acestora, asigurându-se de conformitatea activității lor cu reglementările Regulamentului prin impunerea unor sancțiuni dintre cele mai mari cunoscute în sistemul juridic național sau în dreptul Uniunii, de până la 10.000.000 Euro, respectiv până la 2% din cifra anuala de afaceri globala, sau de până la 20.000.000 Euro, respectiv până la 4% din cifra anuală de afaceri globală, în funcție de contravenția săvârșită, după cum sunt reglementate în articolul 83 al Regulamentului.

Tocmai pentru a fi prevenite atât acțiunile de neconformitate cu Regulamentul General privind Protecția Datelor, dar și pentru a fi asigurată protecția persoanelor fizice în ceea ce privește modul în care se colectează și se prelucrează ulterior datelor lor personale, documentul normativ european instituie obligația operatorilor de date și a împuterniciților din domeniul public, dar și din domeniul privat să numească un responsabil cu protecția datelor care să monitorizeze modul în care sunt respectate de către entitatea respectiva obligațiile ce îi revin conform Regulamentului (articolul 37 și urm.). În domeniul public, obligația de numire a responsabilului cu protecția datelor revine fiecărei instituții publice, excepție făcând instanțele de judecata. În domeniul privat, persoanele juridice urmează să își desemneze un responsabil cu protecția datelor în cazul în care activitățile principale ale acestora „constau în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă” sau în situația în care acestea prelucrează „pe scară largă categorii speciale de date” , cum ar fi date privind sănătatea, date genetice, date biometrice, date referitoare la originea rasială sau etnică, la opiniile politice, privind confesiunea religioasă sau convingerile filozofice ale persoanelor vizate, respectiv apartenența acestora la sindicate, sau date privind săvârșirea de infracțiuni sau referitoare la condamnările penale (articolul 37 alineat (1), literele (b) si (c)).

Persoana desemnată de către operator să îndeplinească funcția de responsabil cu protecția datelor trebuie să fie independentă, trebuie să „răspundă direct în fața celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator”, la fel ca si managerul de conformitate. Responsabilul cu protecția datelor poate deține în principiu și o altă funcție în cadrul operatorului, dar acesta va deveni de cele mai multe ori incompatibil cu cea a managerului de conformitate prin prisma atribuțiilor pe care aceste doua funcții le presupun. Astfel, responsabilul cu protecția datelor trebuie să consilieze departamentele din cadrul operatorului sau al persoanei împuternicite în cauză sau să monitorizeze activitățile de prelucrare a datelor cu caracter personal realizate de către aceștia, putându-se găsi într-o situație de potențial conflict de interese față de faptul că specialistul de conformitate, nu de puține ori, este responsabilul principal pentru desfășurarea unor activități care implică prelucrare de date cu caracter personal, cum ar fi de exemplu procesul de evaluare a integrității în cazul intermediarilor, agenților sau altor furnizori ai operatorului/împuternicitului, respectiv procesul de cunoaștere a clientelei în cadrul exercițiului de prevenire a infracțiunilor de spălare a banilor sau de finanțare a terorismului.

A nu se înțelege faptul că responsabilul cu protecția datelor va fi compatibil cu celelalte funcții din cadrul unui operator de date, ci din contră, mai ales dacă avem în vedere funcții precum șeful departamentului juridic, al departamentului de IT sau al altor departamente operaționale. Pentru claritate, funcția de conformitate, la fel ca și funcția de securitate sau de securitate informatică se regăsesc într-o anume măsură compatibile din prisma obiectivelor și rolului lor direct de asigurare a securității bunurilor mobile, imobile, corporale sau incorporale ale operatorului, respectiv de prevenire a măsurilor de neconformitate, fiind cel mai puțin implicate din prisma realizării sau implicării directe a operațiunilor de afaceri, de exemplu a unei societăți comerciale.

Pe de alta parte, responsabilul cu protecția datelor trebuie sa coopereze cu aceste persoane care ocupă aceste funcții de monitorizare, iar din prisma specialistului de conformitate, cu atât mai mult, acesta din urma având responsabilitatea monitorizării activităților cu risc de conformitate la nivelul companiei sau instituției, inclusiv în materie de protecție și securitate a datelor cu caracter personal. În acest sens, este recomandabil ca în cadrul exercițiului anual de evaluare a riscurilor, managerul de conformitate să adauge acest risc în analiza realizată și să identifice împreună cu responsabilul de protecția datelor scenariile de risc aplicabile în sectorul de activitate al operatorului de date/împuternicitului acestuia. Măsurile pe care le pot recomanda împreună, sau separat, spre a fi luate la nivelul entității, trebuie mai departe discutate cu departamentele operaționale din cadrul companiei, respectiv ale instituției publice, și prezentate în cele din urma conducerii executive a acestora pentru decizie finală și implementare.

În situația existenței unei suspiciuni de încălcare a conformității în domeniul protecției datelor, respectiv a unui incident de securitate care aduce un risc asupra protecției datelor, incidentul trebuie notificat autorității de supraveghere competente în 72 de ore de la data la care s-a luat la cunoștința de săvârșirea sa. În aceste 72 de ore este imperios necesar ca responsabilul de protecția datelor si managerul de conformitate, împreuna cu celelalte persoane responsabile din cadrul operatorului/împuternicitului să colaboreze pentru identificarea cât mai exactă a circumstanțelor în care incidentul a apărut, precum și pentru stabilirea cât mai promptă a măsurilor de diminuare a riscurilor asupra protecției datelor personale și a persoanelor vizate, care pot fi dintre cele mai diverse (furt de identitate, defăimare, acces neautorizat la date ce pot constitui secret profesional, etc.).

Să nu omitem, de asemenea, să menționăm obligația ce revine operatorului de date și împuternicitului de a implementa programe de formare profesională și de conformitate în domeniul protecției datelor, ce pot fi realizate fie direct de către cei doi actori, fie printr-un furnizor extern specializat. Indiferent de opțiunea selectată, atât managerul de conformitate cât și responsabilul de protecția datelor vor contribui la îmbogățirea conținutului unui asemenea program de training prin adăugarea acelor circumstanțe specifice activității angajatorului lor, care fac ca acesta să fie un program aplicat la nevoile de ordin practic ale salariaților operatorului și împuternicitului lor. Contribuția acestora este una foarte valoroasa ce va face diferența din perspectiva modului de comunicare a mesajului și de înțelegere teoretică, dar și practică a acestuia.

Acestea sunt doar o parte dintre noile atribuții ce privesc aria de conformitate cu reglementările privind protecția datelor ce poate fi identificată la nivelul unei entități, persoana juridică. Atribuțiile sunt în mod evident într-o continuă creștere, dată fiind complexitatea riscurilor aduse asupra drepturilor persoanelor vizate prin natura activităților operatorilor de date și a persoanelor împuternicite ce implică din ce în ce mai mult folosirea unei tehnologii avangardiste, în continua schimbare, într-un context de globalizare economica și culturală fără precedent.

0 Comments

Leave a reply

Your email address will not be published. Required fields are marked *

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.