ACȚIUNE COORDONATĂ DE APLICARE – DESEMNAREA ȘI FUNCȚIA RESPONSABILILOR CU PROTECȚIA DATELOR
De Mugurel Olariu, RPD protectie date
Comitetul European pentru Protecția Datelor – CEPD, a adoptat un raport*1 prin care prezintă stadiul aplicării RGPD în ceea ce privește desemnarea și funcția Responsabililor cu Protecția Datelor.
În rezumat, precizăm că în luna octombrie 2020, CEPD a decis să instituie un cadru coordonat de aplicare a legii (CEF) în vederea eficientizării aplicării și cooperării între autoritățile de supraveghere, în conformitate cu Strategia EDPB 2021-2023. Un prim CEF a fost realizat în 2021 privind utilizarea serviciilor cloud de către organismele publice.
Pentru cel de-al doilea CEF, EDPB a selectat în septembrie 2022 „Desemnarea și poziția ofițerilor cu protecția datelor” pentru acțiunea sa coordonată de punere în aplicare din 2023.
Pe parcursul anului 2023, 25 de autorități de supraveghere („AS”) din SEE*2, au lansat investigații coordonate cu privire la rolul ofițerilor cu protecția datelor („RPD”). CEF a fost implementat la nivel național în unul sau mai multe dintre următoarele moduri: (1) exercițiu de stabilire a faptelor, (2) chestionar pentru a identifica dacă o investigație oficială este justificată și/sau (3) începerea unei investigații oficiale de executare; sau urmărirea investigațiilor formale în curs.
Între noiembrie 2022 și februarie 2023, aceste autorități de supraveghere au discutat despre obiectivele și mijloacele acțiunilor lor în contextul CEF. În acest context, AS au elaborat un chestionar într-un mod neutru, astfel încât să fie posibil fie pentru operator/procesor, fie pentru RPD să-l completeze.
În timp ce făceau acest lucru, ei s-au asigurat că va fi posibil ca AS să ajusteze chestionarul sau să-și elaboreze propriul chestionar, pe baza (sau inspirat de) chestionarul elaborat în mod obișnuit. Acest raport reunește constatările tuturor autorităților de supraveghere care participă la CEF. O atenție deosebită este acordată provocărilor identificate de autoritățile de supraveghere și/sau respondenți în timpul acțiunii CEF.
Acestea includ aspecte precum resursele insuficiente alocate RPD, cunoștințele și formarea insuficientă a experților RPD și riscurile de conflicte de interese.
Acest raport oferă, printre altele, o listă de recomandări pe care organizațiile, RPD și/sau AS le pot lua în considerare pentru a aborda provocările identificate, fără a aduce atingere dispozițiilor GDPR / EUDPR*3 și competențelor autorităților de supraveghere.
Lista de recomandări și punctele de atenție sunt următoarele:
➢ Absența desemnării unui RPD, chiar dacă este obligatorie.
➢ Resurse insuficiente alocate RPD.
➢ Cunoștințe și instruire insuficiente ale RPD.
➢ RPD nu li se încredințează în totalitate sau în mod explicit sarcinile cerute de GDPR/EUDPR.
➢ Conflict de interese și lipsa de independență a RPD.
➢ Lipsa raportării de către RPD la cel mai înalt nivel de management al organizațiilor.
➢ Îndrumări suplimentare din partea autorităților de supraveghere.
Unele dintre acțiunile întreprinse de autoritățile de supraveghere din CEF sunt încă în desfășurare la nivel național, mai ales când au fost lansate investigații formale. În consecință, acest document nu constituie o declarație definitivă a acțiunilor desfășurate în cadrul CEF și scopul acestui raport nu este de a concluziona asupra măsurilor care trebuie adoptate, ci de a reflecta asupra acțiunilor întreprinse de autoritățile de supraveghere competente și de a identifica posibilele puncte de atenție. Poate fi necesar să fie actualizat în cursul anului 2024 pentru a ține cont de progresul procedurilor care nu au fost încă finalizate până în prezent și având în vedere problemele identificate, dacă Orientările privind ofițerii cu protecția datelor sunt dezvoltate în continuare de către EDPB.
Raportul conține si ANEXA 1: RAPOARTE NAȚIONALE ALE AUTORITĂȚILOR DE SUPRAVEGHERE, cu Anexa 1.1: Rezultatele sondajului consolidat ale autorităților de supraveghere participante și Anexa 1.2: Rapoartele naționale ale autorităților de supraveghere participante cu privire la problemele de fond identificate și acțiunile întreprinse la nivel național.
În concluzie, în ciuda deficiențelor și preocupărilor identificate mai sus, rezultatele sondajului sunt încurajatoare. Cu toate acestea, se subliniază necesitatea de a consolida rolul și recunoașterea RPD – și necesitatea de a continua promovarea importanței rolului RPD. Pentru ca RPD să asigure cel mai bine conformitatea cu cerințele de protecție a datelor, operatorii și persoanele împuternicite trebuie să ofere resursele necesare, în ceea ce privește formarea și bugetul, pentru a le permite să își îndeplinească în mod corespunzător sarcinile. AS au recunoscut valoarea adăugată a activității coordonate în cadrul CEF, raportând că aceasta a servit, de asemenea, la conștientizarea operatorilor, persoanelor împuternicite și chiar a RPD cu privire la importanța și domeniul de aplicare al cerințelor RPD în conformitate cu RGPD. Multe AS participante iau în considerare adoptarea de orientări suplimentare cu privire la RPD în urma acestui CEF. Acest raport reprezintă situația, la sfârșitul anului 2023, a acțiunii CEF privind desemnarea și poziția RPD.
Raportul oferă o privire de ansamblu în ceea ce privește modalitățile practice de abordare și soluțiile identificate, atât la nivelul Statelor Membre și al Uniunii Europene, cât și al operatorilor și RPD chestionați, pentru problema supusă analizei referitoare la desemnarea și funcția unui actor esențial în aplicarea RGPD – Responsabilul cu Protecția Datelor.
––––––––––––––––––––––
*1 https://www.edpb.europa.eu/ourwork-tools/our-documents/other/coordinated-enforcement-action-designation-and-position-data_ro
*2 Austria, Belgia, Cipru, Cehia, Germania, Danemarca, AEPD, Estonia, Grecia, Spania, Finlanda, Franța, Croația, Ungaria, Irlanda, Italia, Liechtenstein, Lituania, Letonia, Malta, Olanda, Polonia, Portugalia, Suedia, Slovenia.
*3 Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/ CE (JO L 295, 21.11.2018, p. 39). În ceea ce privește Autoritatea Europeană pentru Protecția Datelor – AEPD, orice referire la „organizații”, „controlori/procesatori” și – în funcție de context – „state membre” ar trebui să fie înțelese ca referindu-se la instituțiile, organele, oficiile și agențiile Uniunii Europene. În plus, în ceea ce privește AEPD, orice referire la GDPR ar trebui să fie înțeleasă ca referințe corespunzătoare la EUDPR, în cazul în care acesta din urmă nu este menționat în mod explicit. Mai precis, articolele 43-45 din Regulamentul (UE) 2018/1725 se referă la RPD.
