GDPR permite responsabilului cu protecția datelor personale (DPO) „să îndeplinească și alte sarcini și atribuții”. Cu toate acestea, este nevoie ca organizația să se asigure că „niciuna dintre aceste sarcini și atribuții nu generează un conflict”.
Absența conflictului de interese este strâns legată de obligația de a acționa în mod independent. Cu toate că îi este permis să aibă și alte funcții, acestuia îi pot fi încredințate alte sarcini și atribuții cu condiția ca acestea să nu dea naștere unor conflicte de interese.
Acest lucru presupune, în special, faptul că DPO nu poate deține o poziție în cadrul organizației care ar conduce la posibilitatea ca el să stabilească scopurile și mijloacele de prelucrare a datelor cu caracter personal. Acest lucru trebuie luat în considerare de la caz la caz, ținându-se cont de structura organizațională specifică fiecărei organizații.
Ca regulă generală, funcții din cadrul organizației cu care poate intra în conflict pot include funcții de conducere (cum ar fi director executiv, director operațional, director financiar, șeful serviciului medical, șeful departamentului de marketing, șef departamentului de resurse umane sau șeful departamentului IT), dar, în același timp, și alte funcții inferioare dacă acestea conduc la posibilitatea de a stabili scopurile și mijloacelor de prelucrare.
În plus, un conflict de interese poate apărea, de asemenea, de exemplu, în situația în care un DPO extern este rugat să reprezinte operatorul sau persoana împuternicită de operator în instanță, în cazurile care implică probleme de protecție a datelor.
În funcție de activitățile, dimensiunea și structura organizației, o bună practică pentru operatori și persoanele împuternicite de operatori ar putea fi:
- să identifice funcțiile ce ar fi incompatibile cu funcția de DPO;
- să elaboreze norme interne în acest sens pentru a evita conflictele de interese;
- să includă o explicație mai generală cu privire la conflictele de interese;
- să declare că DPO lor nu are niciun conflict de interese în ceea ce privește funcția sa, ca modalitate de creștere a gradului de conștientizare a acestei cerințe;
- să includă garanții în normele interne ale organizației și să se asigure că anunțul de post vacant pentru funcția de DPO sau contractul de prestări servicii este suficient de precis și detaliat pentru a evita conflictul de interese.
Sursa – Ghidul privind Responsabilul cu protecția datelor, Grupul de lucru „Articolul 29” pentru protecția datelor
Sursă foto: Oguzhan Akdogan Unsplash.com
