Desemnarea unui responsabil cu protectia datelor: un angajat din Departamentul IT poate fi incadrat DPO?

Intr-un raspuns publicat pe PortalProtectiaDatelor.ro, expertii in GDPR explica in ce masura un angajat din Departamentul IT poate fi desemnat, in cadrul firmei, responsabil DPO. 

Situatie: Un angajat al departamentului IT (functie de executie intr-o institutie publica) cu urmatoarele atributii in fisa postului:Activitati de asigurare a suportului tehnic pentru realizarea analizei in vederea definirii specificatiilor pentru construirea efectiv a sistemelor/proiectelor informatice; Administrare computere; Administrare echipamente periferice; Administrare produse software; Asigurare servicii de asistenta de specialitate; Activitati de tehnoredactare si introducere de date; Administrare nomenclator adrese postale in cadrul sistemului informatic; Intretinerea nomenclatoarelor de persoane juridice si fizice ale sistemului informatic; Activitati in conformitate cu strategiile din domeniul societatii informationale; Este compatibil si cu functia de DPO? Va rog sa oferiti si o fundamentare a raspunsului.

Raspuns: Calitatea de responsabil cu protectia datelor a unui salariat cu o functie de executie in domeniul IT nu este de natura sa genereze un conflict de interese, la care se refera art. 38 alin. 6 GDPR.

Potrivit art. 37 alin. 6 GDPR, responsabilul cu protectia datelor poate fi un membru al personalului operatorului. Avand in vedere ca operatorul are obligatia de a sprijini responsabilul cu protectia datelor in indeplinirea sarcinilor sale, apreciem ca imprejurarea ca responsabilul are competente si atributii in domeniul IT este de natura sa faciliteze intelegerea problematicii referitoare la protectia datelor cu caracter personal si, deopotriva, sa usureze punerea in practica a exigentelor GDPR.

Pe de alta parte, faptul ca responsabilul cu protectia datelor cu caracter personal ofera indrumare operatorului in privinta protectiei datelor cu caracter personal nu intra in conflict cu atributiile de executie ale salariatului din departamentul IT, intrucat acesta nu are o functie de decizie, ci este subordonat sefului departamentului IT.

Responsabilul cu protectia datelor are sarcina sa semnaleze disfunctionalitatile, sa faca propuneri si sa vegheze la respectarea dispozitiilor legale referitoare la protectia datelor cu caracter personal, insa nu este el insusi cel care ia deciziile privind punerea in opera, ci conducerea operatorului, din care salariatul cu functie de executie in cadrul departamentului IT nu face parte.

Explicatii oferite in luna noiembrie 2023 de catre specialistii site-ului PortalProtectiaDatelor.ro. Dati click AICI pentru a vedea toate noutatile din GDPR + consultanta si raspunsuri detaliate de la experti.