Protecția Datelor cu Caracter Personal In Cadrul Comp. Resurse Umane

=== f712962ee81702d98661e7ccee7847a0da51ccff_698196_1 ===

PROTECȚIA DATELOR CU CARACTER PERSONAL ÎN CADRUL COMPARTIMENTULUI RESURSE UMANE

În acest moment, protecția datelor cu caracter personal se realizează în conformitate cu regulamentul general special elaborat în acest sens, ce are directă aplicabilitate în cadrul tuturor statelor din spațiul comun european încă de la finele lunii mai a anului 2018, acesta imprimând atribuții deosebite responsabilului desemnat cu protecția datelor în cadrul oricărei organizații. Protecția datelor cu caracter personal a cunoscut modificări radicale încă de acum doi ani, ulterior adoptării Regulamentului anterior menționat, ca și a Directivelor (U.E.) nr. 2016/680 și nr. 2016/681 ale Parlamentului European și C.E.

În țara noastră, așa cum a remarcat și autoarea Irina Alexe, activitatea dedicată desemnării responsabilului cu protecția datelor implică mai multe opțiuni (ce au nu doar regimuri juridice diferite, ci și o serie de probleme specifice), ceea ce poate face destul de dificilă impunerea uniformă a unui regim de aplicabilitate în domeniu, la nivelul statelor din spațiul comun european.

Înaintea adoptării Regulamentului Uniunii Europene nr. 2016/679, România reușise să transpună în practică anterioara Directivă în domeniu, documentul conferindu-le diverșilor operatori în domeniu libertatea desemnării unui responsabil cu protecția datelor. Conform noii reglementări, autoritățile, ca și diversele organisme publice și private (special menționate în lege) au obligația de a desemna un responsabil pentru protecția datelor în cadrul organizației, cu stabilirea locului, a rolului, a atribuțiilor, ca a răspunderii aferente acestuia, implicit a obligațiilor operatorului (ori ale persoanei împuternicite) în raport cu acesta.

În cadrul oricărei organizații, funcția responsabilului cu protecția datelor se regăsește nu doar în cadrul organigramei specifice, ci și „ca rol și relaționare cu persoanele vizate, cu membrii, dar și cu conducerea organizației”, în vederea realizării de către responsabilul cu protecția datelor a tuturor sarcinilor ce îi revin (ca și a condițiilor dedicate atragerii răspunderii acestuia, în situația neîndeplinirii acestora). O atenție deosebită este acordată în acest moment diverselor particularități ce pot să se remarce ca urmare a modalităților dedicate angajării responsabilului cu protecția datelor, în raport cu funcțiile și sarcinile ce îi revin acestuia, cu diversele obligații aferente angajatorului (ori părții respectivului contract de servicii), ca și seriei responsabilităților ce le sunt asociate.

În acest sens se remarcă existența mai multor situații, respectiv a cazurilor în care responsabilul cu protecția datelor își desfășoară activitatea în cadrul unui raport juridic de muncă, a unui raport juridic de serviciu, în afara raporturilor juridice de muncă ori având la baza un contract civil încheiat între părți.

În situația în care responsabilul cu protecția datelor își exercită totalitatea atribuțiilor în cadrul raportului juridic de muncă determinat de un contract de muncă, poate fi remarcată situația în care organizația decide să angajeze o nouă persoană pentru această funcție sau optează pentru desemnarea unei persoane deja angajate pe o altă funcție în cadrul organigramei.

Demn de menționat este faptul că regimul juridic dedicat selectării responsabilului cu protecția datelor este impus de calitatea respectivului operator ori a persoanei pe care acesta o desemnează, mai precis dacă în speță este implicată o autoritate (un organism public) sau un organism privat.

În acest context, se impune a se preciza faptul că, în ciuda faptului că instituția responsabilului cu protecția datelor a fost inclusă încă din anul 1995 în conținutului Directivei 95/46/C.E., țara noastră a înțeles să o includă în cadrul clasificării ocupațiilor cu o întârziere de mai bine de două decenii, aprobarea standardului ocupațional dedicat responsabilului cu protecția datelor fiind în curs de derulare.

În situația în care responsabilul cu protecția datelor face parte din cadrul resurselor umane ale organizației, iar acestuia îi sunt acordate noi atribuții cumulate cu cele deja avute (ca și în cazul în care acesta este angajat în funcția dedicată protecției datelor cu normă întreagă) se impune o modificare a contractului de muncă al acestuia.

În opinia specialiștilor, varianta optimă este cea a desemnării responsabilului cu protecția datelor din cadrul resurselor umane proprii, persoana desemnată cunoscând organizația în care deja este angajată (cu specificul activităților derulate de aceasta) și îndeplinind totalitatea cerințelor ce sunt conținute de regulament.

În situația în care se ia în calcul varianta demarării procesului de recrutare a responsabilului de resurse umane din surse externe organizației, se impune declanșarea procedurii dedicate încheierii contractului de muncă individual, fie acesta pe o perioadă de timp determinată ori nedeterminată, avându-se în vedere necesitățile organizației angajatoare. Se apreciază că cea mai bună variantă este cea a recrutării „pentru o perioadă nedeterminată, tocmai pentru a asigura stabilitatea unui astfel de responsabil și continuitatea derulării activității, inclusiv în beneficiul angajatorului”.

În cazul în care se optează pentru varianta cumulului de funcții (mai precis a cumulului de sarcini și de atribuții), se impune nu doar o asigurare a independenței responsabilului cu protecția datelor în cadrul îndeplinirii tuturor sarcinilor ce îi revin, ci și evitarea apariției oricărui conflict de interese.

În situația în care este aleasă varianța cumulului de funcții pentru responsabilului cu protecția datelor, ca și a cea a contractului de muncă de tip part-time, se impune nu doar prioritizarea îndeplinirii tuturor sarcinilor într-un timp rezonabil, ci și alocarea unor anumiți timpi pentru derularea activității specifice acestei funcții.

În situația responsabilului pentru protecția datelor ce este angajat într-o anumită funcție publică, în baza unui raport de serviciu, s-au remarcat o serie întreagă de particularități incluzând obligativitatea desemnării acestuia în cadrul diverselor autorități ori a organismelor publice, raportul de serviciu fiind guvernat de o multitudine de prevederi legale și atribuții specifice incluse în cadrul regulamentelor interne de funcționare și de organizare.

În plus, funcție de autoritatea ori de organismul public ce prevede respectiva funcție publică a responsabilului cu protecția datelor, există posibilitatea ca acesta să se bucure de un statut special, în condițiile legii.

La o simplă analiză a textului de lege dedicat protecției datelor se pot regăsi o serie de asemănări între activitățile pe care le derulează funcționarii publici și cele desfășurate de responsabilul cu protecția datelor, incluzând implementarea diverselor acte normative (cu o monitorizare a modului de respectare a regulamentului, dar și cu informarea și implicit cu consilierea dedicată asigurării conformității), controlul și auditul intern (cu consilierea dedicată evaluării impactului la nivelul protecției datelor, ca și cu o monitorizare a modului de funcționare a protecției datelor), dar și cu o reprezentare a diverselor interese ale autorităților ori ale instituțiilor publice în raport cu persoanele fizice și/sau persoanele juridice.

Urmare a acestor asemănări, se poate concluziona că responsabilul cu protecția datelor în cadrul diverselor autorități ori în ale organismelor publice are posibilitatea ocupării unei funcții publice (respectiv nu doar a unui post de tip contractual) căreia îi sunt aplicabile diversele statute speciale pe care legea pe prevede.

În situația exercitării funcției responsabilului pentru protecția datelor ca parte a unui contract de prestări servicii, ce poate să fie încheiat fie cu persoane fizice, fie cu organizații din exteriorul organizației unui operator, se impune ca

fiecare membru din respectiva organizație ce exercită această funcție să îndeplinească totalitatea cerințelor regăsite în cadrul regulamentului specific.

În situația în care, în speță, nu este parte a contractului o persoană fizică, ci o organizație, se impune precizarea în cadrul respectivului contract a rolurilor ce le revin membrilor respectivei organizații.

O particularitate a acestui contract civil (ce este menționat în legislație ca fiind unul sinalagmatic), ce impune între părți diverse interdependențe și obligații reciproce, se remarcă în egalitatea juridică a părților, egalitate neregăsită în cadrul raportului de muncă și nici în cadrul raportului de serviciu.

Conform Irinei ALEXE, „obligațiile părților ar trebui preluate și detaliate în cuprinsul contractului, pentru a fi reglementate toate aspectele ce decurg dintr-o astfel de relație contractuală, dar respectând și regulamentul, evitând conflictele de interese și alocând resursele în mod eficient”.

De asemenea, se apreciază că se impune acordarea unei atenții deosebite răspunderii responsabilului cu protecția datelor, ca parte dintr-un astfel de contract de servicii, subliniindu-se că „în cazul unui astfel de contract, răspunderea disciplinară nu ar putea fi angajată în situația nerespectării obligațiilor legale și contractuale”, dar și că ar fi „dificil de argumentat cum ar putea fi îndeplinită, în situația existenței unui astfel de contract, obligația de sprijin al responsabilului cu protecția datelor prin asigurarea resurselor necesare pentru menținerea cunoștințelor sale de specialitate, prevăzută la art. 38 alin. (2) teza ultimă din regulament”.

În cazul în care se optează pentru încheierea unui contract de prestări servicii pentru responsabilului cu protecția datelor, se impune a se analiza „dacă operatorul sau persoana împuternicită de acesta este o autoritate sau un organism public, procedura de selecție a unui responsabil cu protecția datelor trebuie să fie realizată în mod transparent, respectând regulile concurențiale și pe cele ale cheltuirii eficiente ale resurselor publice”.

În această situație se consideră că modalitatea dedicată desemnării responsabilului cu protecția datelor se dovedește a fi una recomandată și eficientă „atunci când în rândul angajaților nu este identificată o persoană care să aibă pregătirea și capacitățile necesare pentru a îndeplini sarcinile unui responsabil cu protecția datelor”.

Cu toate acestea se impune a se avea în vedere faptul că „principala vulnerabilitate o constituie investiția în două resurse importante ce ar trebui să

guverneze un astfel de contract: timpul și, respectiv, încrederea pe care părțile trebuie să și le acorde reciproc”.

O situație aparte este sesizată în cazul responsabilului cu protecția datelor ce este reprezentantul comun al unui grup de întreprinderi, caz în care regulamentul specific instituie numai „condiția accesibilității responsabilului cu protecția datelor cu ușurință, din fiecare întreprindere”.

În ceea ce privește această accesabilitate, ea vizează „sarcinile responsabilului cu protecția datelor ca punct de contact în ceea ce privește persoanele vizate,autoritatea de supraveghere dar și pe plan intern în cadrul organizației”, cu mențiunea că se recomandă localizarea responsabilului cu protecția datelor pe teritoriul spațiului comun european, în paralel cu precizarea faptului că „pot exista și situații în care operatorul sau persoana împuternicită nu își are sediul în Uniunea Europeană”, caz în care responsabilului cu protecția datelor poate să își ducă la îndeplinire sarcinile „cu mai multă eficiență dacă este și el localizat în afara acestui teritoriu”.

De asemenea, responsabilul pentru protecția datelor poate fi unic pentru o serie de autorități ori de organisme publice în cazul în care „operatorul sau persoana împuternicită este o autoritate sau un organism public”, situație în care se impune analizarea nu doar a structurii organizatorice a autorităților ori organismelor publice, ci și a dimensiunii acestor autorități/organisme publice.

În acest caz, se apreciază că se impune acordarea unei atenții deosebite modalității de desemnarea responsabilului cu protecția datelor, acesta putând fie să fie angajat în cadrul unei autorități ori a unui organism public, fie parte dintr-un contract de serviciu. Indiferent de modalitatea dedicată desemnării responsabilului cu protecția datelor se impune nu doar o respectare strictă a regulamentului în domeniu, ci și „evitarea conflictelor de interese”.

În cazul în care responsabilului cu protecția datelor, ca parte din cadrul unui contract de servicii nu este o persoană fizică ci o entitate, se apreciază că se impune acordarea unei atenții deosebite „rolului de coordonator al echipei, respectiv desemnării unui responsabil cu protecția datelor dintre membrii echipei, pentru autoritățile sau organismele publice”.

Urmare a analizei diverselor modalități prin care se poate desemna un responsabil cu protecția datelor, se poate remarca faptul că acesta poate fi și conducătorul unui structuri specializate, apreciindu-se că, în funcție de structura și de dimensiunea unei organizații, s-ar putea impune necesitatea generării unei echipe a acestui responsabil, respectiv a responsabilului cu protecția datelor și a personalului acestuia. În această situație, „structura internă a echipei și sarcinile și responsabilitățile fiecărui membru ar trebui să fie în mod clar elaborate”.

În cazul în care funcția responsabilului cu protecția datelor se exercită de către un furnizor de servicii extern, se remarcă faptul că „o echipă de persoane fizice care lucrează pentru respectiva entitate poate îndeplini în mod eficient sarcinile unui responsabil cu protecția datelor ca o echipă, sub responsabilitatea unui punct de contact principal desemnat pentru client”. Cel mai bun exemplu în acest sens îl reprezintă Oficiul Responsabilului cu Protecția Datelor Personale, o structură ce funcționează în cadrul M.A.I. și este specializată în protecția datelor, în fruntea căreia se poziționează un funcționar ce are un statut special.