Monitorizarea respectării RGPD


Art. 39(1)b) încredințează DPO, printre alte sarcini, obligația de a monitoriza respectarea RGPD. Considerentul 97 precizează în continuare că DPO „
ar trebui să acorde asistență operatorului sau persoanei împuternicite de operator pentru monitorizarea conformității cu prezentul Regulament“.

Ca parte a acestor sarcini de monitorizare a conformității, DPO poate, în special:
1 să colecteze informații pentru a indentifica operațiunilor de prelucrare
2 să analizeze și să verifice conformitatea operațiunilor prelucrare
3
să informeze, să consilieze și să emită recomandări operatorului sau persoanei împuternicite de operator.

Monitorizarea conformității nu înseamnă că DPO este personal responsabil în situația în care există un caz de nerespectare. RGPD spune clar că operatorul, și nu DPO, are obligația de a „pune în aplicare măsuri tehnice și orgnizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul Regulament” (art. 24(1)).

Respectarea normelor de protecției a datelor este o responsabilitate corporativă a operatorului și nu a DPO.

Potrivit art. 35(1), operatorul și nu DPO efectuează, atunci când este necesar, o evaluare a impactului operațiunilor de prelucrare („DPIA”). Cu toate acestea, DPO poate avea un rol foarte important și util în asistarea operatorului. Potrivit principiului protecția datelor începând cu momentul conceperii, art. 35(2) prevede în mod expres ca operatorul „să solicite avizul” DPO la realizarea DPIA. La rândul său, art. 39(1)c) prevede ca și sarcină pentru DPO „să ofere consiliere la cerere în ceea ce privește DPIA și să monitorizese funcționarea acesteia, în conformitate cu art. 35”.

Potrivit art. 39(1)d) și c), DPO ar trebui „să coopereze cu autoritatea de supraveghere” și „să-și asume rolul de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare, inclusive consultarea prealabilă mențională la art. 36, precum și, dacă este cazul,consultarea cu privire la orice altă chestiune”.

Art. 39(2) impune ca DPO „să țină seamă în mod corespunzător de riscul asociat operațiunilor de prelucrare, luând în considerare natura, domeniul de aplicare, contextul și scopurile prelucrării”. Acest articol reamintește de un principiu general și de bun simț care poate fi relevant pentru mai multe aspecte din activitatea zilnică a DPO. În esență, este nevoie ca DPO să prioritizeze activitățile sale și să-și concentreze eforturile asupra problemelor care prezintă riscuri mai mari pentru protecția datelor.

Potrivit art. 30(1) și (2) operatorul sau persoana împuternicită de operator, și nu DPO, are obligația de a „păstra o evidență a operațiunilor de prelucrare desfășurate sub resbonsabilitatea sa” sau de „păstra o evidență a tuturor categoriilor de operațiuni de prelucrare efectuate în numele operatorului”.

DPO, cu ajutorul unei echipe, dacă este necesar, trebuie să fie în măsură să comunice eficient cu persoanele vizate și să coopereze cu autoritățile de supraveghere implicate. Acest lucru înseamnă că respectiva comunicare trebuie să aibă loc în limba sau limbile utilizate de autoritățile de supraveghere și persoanele vizate. Disponibilitatea unui DPO (fie fizică în același sediu cu angajații, prin intermediul unei linii telefonice sau prin alte mijloace sigure de comunicare) este esențială pentru a garanta că persoanele vizate vor fi în măsură să contacteze DPO.