Conform Art. 30 Alin 5, operatorii care au sub 250 de angajati nu au obligatia sa pastreze o evidenta a activitatilor de prelucrare desfasurate sub responsabilitatea lor, daca prelucrarea nu este ocazionala sau prelucrarea include categorii speciale de date.

Existenta unui singur angajat si prelucrarile lunare cu privire la salarii, prelucrari care contin date sensibile obliga operatorul sa detina registre de evidenta.

Mai mult exceptia de la intocmirea acestor registre nu presupune ca celelalte prevederi ale Regulamentului nu se aplica.

Rolul DPO consta in  informarea si consilierea operatorului, monitorizarea respectarii prezentului regulament, furnizarea de consiliere la cerere in ceea ce priveste evaluarea impactului asupra protectiei datelor, cooperarea cu autoritatea de supraveghere si asumarea rolului de punct de contact pentru autoritatea de supraveghere.

Operatorul respectiv persoana imputernicita este insa direct responsabil de aplicarea tuturor masurilor legale si a recomandarilor DPO, aspect re-enuntat de Regulament la capitolul Sanctiuni. Mai mult acesta are obligatia de a documenta refuzul masurilor propuse de DPO.

Colectiile de documente bine redactate si cu instructiuni de folosire clare si detaliate, tintite pentru un domeniu anume de activitate, in care activezi sunt un foarte bun punct de plecare, care iti asigura foarte repede documentarea corespunzatoare a proiectului de implementare.

E foarte important sa existe o congruenta intre parte scrisa si activitatea reala a companiei tale.

Un kit bun si o consultanta calificata la nevoie iti pot asigura un grad bun de complianta cu costuri mici.

Exista solutii software de tip project management, solutii software care realizeaza automat inventar de date si care te pot asista in luarea unor decizii.

De regula insa decizia iti apartine si costul unei aplicatii “bune” este prohibitiv pentru sectorul intreprinderi mici și mijlocii.

Testul corectitudinii aplicarii deciziilor apare de regula in cazul breselor de date cu caracter personal. Corectarea riscului prin simulari de brese de date reprezinta un test al evaluarii corecte a deciziilor de prelucrare, pe care il avem  in vedere atunci cand emitem recomandari.

In plus niciun software nu poate suplini know-how-ul.

Nivelul necesar al cunostintelor de specialitate ar trebui sa fie stabilit in special in functie de operatiunile de prelucrare a datelor efectuate si de nivelul de protectie impus pentru datele cu caracter personal prelucrate de operator sau de persoana imputernicita de operator. Acesti responsabili cu protectia datelor, indiferent daca sunt sau nu angajați ai operatorului, ar trebui sa fie in masura sa isi indeplineasca atributiile si sarcinile in mod independent.

De asemenea exista situatii de incompatibilitate. De exemplu un manager HR , IT, in general CxO nu pot indeplini functia de DPO.

Este de preferat ca persoana desemnata ca si DPO sa detina o certificare si o autorizare naționala, conform standardului ocupational pentru educatia si formare profesionala a Responsabililor cu protectia datelor cu caracter personal – cod COR 242231.

Mai mult, functia de DPO presupune efort de documentare continua si consultarea periodica atat a recomandarilor EPDB si ANSPDCP, precum si a cazuisticii diverse a autoritatilor europene si deciziilor judecatoresti cu privire la prelucrarile de date cu caracter personal.

Calitatea de operator sau persoana imputernicita este apanajul contextului si specificului prelucrarilor de date cu caracter personal. Ea este determinata de puterea de a determina scopurile si mijloacele de prelucrare.

Deși frecvent determinarea scopurilor si în special a mijloacelor de prelucrare este dificila si necesita criterii specifice de evaluare, determinarea calitatii de operator/persoana imputernicita nu este niciodata o decizie arbitrara a unei parti, care sa urmeze intereselor acesteia.

Unul din testele indirecte a corectitudinii evaluarii acestei calitati este reprezentata de perceptia si asteptarile persoanei vizate, careia ii sunt prelucrate datele.

Spre deosebire de alte legi, Regulamentul enunta obligatiile operatorilor avand focus pe drepturile persoanelor fizice.

Controlul inopinat, de fond al Autoritătii are intr-adevar probabilite mica.

Exista însa trei situatii in care acesta devine cert: plangerile inaintate de catre persoanele vizate, angajati nemulțumiti si bresele de securitate care devin vizibile.

Sanctiunile prevazute de Regulament sunt invers proportionale cu diligenta operatorului sau a persoanei imputernicite in materie de protectie a datelor personale, asa cum este enuntat in capitolul “Sanctiuni”.

Astfel o entitate care trateaza corespunzator principiile de protectie a datelor cu caracter personal, va primi mai degraba masuri de remediere din partea Autoritatii decat penalitati financiare

Autoritatea de Supraveghere are pe langa rolul de control si rol consultativ.

Mai mult conform Art. 36 GDPR autoritatea de supraveghere  ofera consiliere in scris operatorului si, dupa caz, persoanei imputernicite de operator, in cel mult opt saptamani de la primirea cererii de consultare si informeaza operatorul si, dupa caz, persoana împuternicita de operator, in termen de o luna de la primirea cererii, cu privire la orice astfel de prelungire, prezentand motivele intarzierii.

Raspunsul la cereri ofera atat orientare corecta in abordarea prelucrarilor de date cu caracter personal in diferite situatii, dar si argumente in documentarea acestora.

Conform Art. 33 GDPR, bresele de securitate a datelor cu caracter personal trebuie raportate in cel mult 72 de ore de la data la care operatorul  a luat cunoștinta de aceasta, cu exceptia cazului in care bresa de securitate nu reprezinta un risc pentru drepturile si libertatile persoanelor fizice.

Decizia raportarii bresei de securitate nu este expresia vointei operatorului, ci este legata de particularitatile si contexul bresei.

Bresa de securitate necesita evaluare specifica si in toate cazurile documentare corespunzatoare, iar decizia de a nu notifica Autoritatea trebuie argumentata in scris.

Printre bresele care trebuie raporate se inscriu: incidentele de securitate de tip ransomware, pierderea de documente care contin date sensibile, acces neautorizat la resurse informatice, imposibilitatea recuperarii datelor dupa un incident care afecteaza in mod semnificativ persoanele vizate