Alegerea unei persoane potrivite pentru functia de responsabil cu protectia datelor cu caracter personal in cadrul unei companii se poate dovedi a fi, de multe ori, un proces dificil. Capacitatea de indeplinirea a sarcinilor alocate ar trebui sa fie raportata atat la calitatile personale, cat si la cele profesionale.

Calitati personale si profesionale ale responsabilului cu protectia datelor

Pentru a-si desfasura activitatea in mod eficient, un DPO ar trebui sa detina mai multe atribute personale si profesionale.

In ceea ce priveste calitatile personale, integritatea si etica profesionala reprezinta o cerinta obligatorie,  mai ales ca responsabilul cu protectia datelor joaca un rol-cheie in promovarea unei culturi de protectie a datelor cu caracter personal in cadrul companiei, dar se si asigura ca sunt implementate masurile necesare in acord cu Regulamentul 2016/679.

De asemenea, persoana desemnata trebuie sa detina o buna capacitate de analiza a informatiilor, rigurozitate, capacitate de a sintetiza informatia si de a evalua riscurile de prelucrare.

In ceea ce priveste calitatile profesionale, responsabilul cu protectia datelor va fi selectat in acord cu articolul 37 alineatul (5) din Regulament, in special pe baza cunostintelor de specialitatesi a capacitatii de a-si indeplini sarcinile.

Printre competentele si expertiza relevante enumeram:

• expertiza in legislatia si practicile nationale si europene in materie de protectie a datelor, inclusiv intelegerea aprofundata a prevederilor Regulamentului;
• intelegerea operatiunilor de prelucrare desfasurate in cadrul companiei;
• intelegerea tehnologiilor informatiei si a securitatii datelor;
• cunoasterea domeniului de activitate a societatii, astfel incat riscurile sa poata fi identificate in mod facil.

Cu cat domeniul de activitate al companiei presupune sarcini mai importante (de exemplu, prelucrarea de date cu caracter personal sensibile sau realizarea de transferuri de date cu carater personal, in mod frecvent, in afara Uniunii Europene), cu atat nivelul necesar al cunostintelor de specialitate al responsabilului cu protectia datelor trebuie sa fie mai rafinat.

Regulamentul 2016/679 nu defineste in mod strict nivelul de expertiza necesar, insa acesta ar trebui stabilit in functie de tipul de date prelucrat de catre companie. Caracterul sensibil al datelor prelucrate, complexitatea procesului de prelucrare, cantitatea de date prelucrate sunt cateva criterii care trebuie avute in vedere si sunt indicii care ne atentioneaza ca persoana ce va fi selectata trebuie sa posede un nivel mai ridicat de cunostinte.

Cerinte minime privind nivelul de educatie pentru DPO

In Standardul Ocupational pentru COR 242231 se regasesc cerintele minime privind nivelul de educatie al responsabilului cu protectia datelor, cerinte speciale de exercitare a ocupatiei precum:

• vechime in munca;
• studii absolvite;
• cursuri de specializare/perfectionare;
• cunoasterea aprofundata a legislatiei din domeniu;
• abilitati de comunicare;
• responsabilitate;
• seriozitate;
• punctualitate;
• empatie;
• capacitate de analiza-sinteza;
• capacitatea de a asigura confidentialitatea datelor la care are acces.

Identificarea unei persoane potrivite in rolul de responsabil cu protectia datelor cu caracter personal reprezinta un proces complex si tine de nevoile concrete ale fiecarei companii, de domeniul in care activeaza si de varietatea operatiunilor de prelucrare desfasurate.