Fişa postului DPO (Data Protection Officer) (ediția 185). VIDEO+Transcript
Fişa postului DPO (Data Protection Officer)
Societatea de Științe Juridice (SSJ)
București 3, str. Turturelelor 50, et. 4
Miercuri, 4 aprilie 2018, ora 19:30
Participarea în sală este rezervată membrilor și invitaților.
[restrict]
Laurențiu Petre: Bună seara! Bine v-am regăsit la o ediție specială pe dreptul muncii dedicată fișei postului DPO. O să vă prezint invitații în primul rând și pe urmă o să urmeze un scurt moment publicitar. Primul invitat din această seară este doamna doctor Irina Alexe, cercetător științific asociat la Institutul de Cercetări Juridice “Andrei Rădulescu” al Academiei Române. Bună seara și bine v-am găsit!
Irina Alexe: Bună seara!
Laurențiu Petre: Domnul profesor universitar doctor Daniel-Mihail Șandru. Președintele Societății de Științe Juridice. Bună seara!
Daniel-Mihail Șandru: Bună seara! Mulțumesc pentru invitație!
Laurențiu Petre: Și invitatul nostru din această seară pe problematici privind protecția datelor, domnul profesor Andrei Săvescu în dreapta mea. Bună seara!
Laurențiu Petre: Bună seara! Și invitatul gazdă, ca să spun așa, al ediției domnul profesor doctor Gabriel Uluitu, deja un partener de discuție consacrat. Bună seara!
Gabriel Uluitu: Bună seara! Mulțumesc pentru aprecieri.
Laurențiu Petre: O să dau cuvântul în primul rând domnului profesor Șandru pentru o scurtă intervenție. Vă rog, domnule profesor!
Daniel-Mihail Șandru: Mulțumesc frumos. Mulțumesc pentru invitație domnului Andrei Săvescu și organizatorilor. Societatea de Științe Juridice este alături de mediul universitar și chiar de mediul postului universitar. Universitatea Danubius a deschis cursurile unui curs referitor la protecția juridică a datelor cu caracter personal. Și îi mulțumesc încă o data domnului Andrei Săvescu pentru posibilitatea de a fi alături de domnia voastră în emisiune, pentru contribuție referitoare la responsabilul privind protecția datelor cu caracter personal. Aș vrea să spun că suntem la Universitatea Danubius alături de cursanții ai acestui curs post universitar. Vă mulțumesc pentru intervenție și să trecem la treabă și să vedem cum arată fișa postului pentru DPO.
Laurențiu Petre: Mulțumim, domnule profesor! Aș da cuvântul doamnei cercetător Irina Alexe pentru scurta prezentare a tematicii și a aspectelor interesante privind fișa postului responsabilului cu protecția datelor.
Irina Alexe: Bună seara din nou de aici de la Galați. Eu în cadrul acestui program post universitar voi preda disciplina referitoare la responsabilul cu protecția datelor, respectiv partea care vizează competențele autorității naționale, respectiv regimul sancționator. În seara asta, așa cum a fost anunțată dezbaterea, ne-am propus să vorbim despre fișa postului al acestui responsabil cu protecția datelor. O ocupație nou introdusă în România în luna noiembrie a anului trecut, dar o ocupație care a existat și în temeiul directivei anterioare, într-adevăr nu era obligatorie. Ce face Regulamentul General pentru Protecția Datelor cu Caracter Personal, vine să instituie obligativitatea desemnării unui responsabil cu protecția datelor pentru autoritățile și instituțiile publice cu excepțiile prevăzute la art. 37 alin. (1), respectiv pentru acele situații prevăzute tot la art. 37 din Regulament în care se încadrează operatorii privați. Deci nu este un concept nou, nu este o instituție nouă, responsabilul cu protecția datelor. Ceea ce este nou pentru noi, este faptul că a fost introdusă în Clasificarea Ocupațiilor din România. Iar începând cu data de 19 martie avem aprobat pentru această ocupație și standardul ocupațional. Înțeleg din tema emisiunii că noi vom discuta în seara aceasta despre fișa postului. Și atunci aș vrea să fac distincția că responsabilul cu protecția datelor potrivit Regulamentului poate să fie desemnat în cadrul sau în afara raporturilor de muncă și, discutând despre fișa postului, este clar că ne situăm în cadrul raporturilor de muncă. Și aici o să fac referire din nou la o distincție între raportul de muncă instituit în temeiul Codului muncii și raportul de serviciu instituit în temeiul Legii 188, pentru că v-am spus deja, autoritățile și instituțiile publice au obligația desemnării acestui responsabil cu protecția datelor. Și atunci, bineînțeles că apare întrebarea ce este acest responsabil. Este funcționar public sau este personal contractual? Și sper ca în cursul serii acesteia să aflăm câteva răspunsuri, atât în ceea ce privește calificarea lui și regimul juridic aplicabil, cât mai ales sarcinile și responsabilitățile care, indiferent de regimul lui juridic, trebuie să fie trecute în fișa postului.
Laurențiu Petre:Vă mulțumim pentru intervenție. Domnule profesor Uluitu, ce ne puteți spune din perspectiva raporturilor juridice despre acest responsabil. Cum vedeți dumneavoastră?
Gabriel Uluitu: Am reținut și este pertinentă distincția referitoare la statutul juridic al responsabilului pentru protecția datelor, dată fiind obligativitatea existenței acestei fincții lato sensu în cadrul autorităților și institușiilor publice. Se pune problema calificării statutului său dacă este funcționar public sau este salariat. Acum, pentru răspunsul la această întrebare, este necesar să avem în vedere și statutul funcționarilor publici, Legea 188/1999 cu referire la necesitatea calificării statutului de funcționar public prin prisma exercitării unei funcții publice. Deci practic funcționarul pulbic împrumută din autoritatea instituției în cadrul căreia își desfășoară activitatea și exercită o componentă a acestei autorități. Este de discutat într-adevăr dacă prin prisma opțiunii pe care Legea 188/1999 face, responsabilul pentru protecția datelor ar fi în mod necesar funcționar public sau, cum înclin să cred, ar putea fi și salariat. Firește, dar nu vreau să se perceapă această înclinație a mea dată fiind manifestat un defect profesional, că eu mănânc o pâine din dreptul muncii. Dar cred că activitatea specifică, responsabilitățile specifice ale responsabilului cu protecția datelor nu s-ar încadra pe deplin, cel puțin la o primă analiză în expresia autorității publice, specifică exercitării unei funcții publice. Este o problemă pe care sunt convins că vom încerca cel puțin să o lămurim în această seară. Vroiam cu caracter prealabil totușisă mai pun în discuție câteva chestiuni. Avem distincția obligativității și respectiv a caracterului facultativ al existenței acestei funcții în cadrul operatorilor cum îi definește Legea întreprinderilor autorităților și instituțiilor publice. Eci despre obligativitate, menținându-ne în acest cadru, putem vorbi în cadrul instituțiilor publice și în cadrul acelor întreprinderi în sferă privată unde art. 37 ar impune prin interpretareape care o dăm literelor b și c din alin. (1) cu referire la existența acestei funcții în sferă privată. Dacă ne raportăm la angajatorul privat, la întreprinderea privată, o primă problemă este aceea dacă trebuie să acceptăm obligativitatea existenței unui salariat sau a unui funcționar în cadrul respectivei întreprinderi, sau putem să acceptăm și existența unei colaborări externe. Și dacă varianta de răspuns la această a doua problemă este afirmativă, ce formă de exercitare va avea responsabilul cu protecția datelor ăn regim extern? Este o persoană fizică autorizată? Poate fi vorba despre o societate care să aibă ca obiect de activitate această preocupare. Regulamentul nu precizează, dată fiind și structura generală de reglementare, nu aduce precizări în acest cadru. În al doilea rând, o problemă pe care mi-am pus-o este aceea dacă, indiferent de soluție, putem vorbi despre o singură persoană care să exercite atribuțiile specifice responsabilului cu protecția datelor, sau pot fi mai multe persoane. Să zic așa, activitatea asta putea desfășura numai în expresie unipersonală, așa cum dintr-o interpretare literară ar decurge din Cod, sau ar putea fi vorba de o comisie care să antreneze activitatea specifică de responsabil cu protecția datelor. Și în fine, aș vrea să mă opresc aici, paote am pus în discuție prea multe probleme, este extrem de interesantă și trebuie să dezvoltăm în seara asta problema răspunderii și modul în care aceasta se poate pune în relația cu operatorul pe de o parte, și în relația cu terții pe de altă parte. Mulțumesc! Și doresc să mă rezum la această intervenție momentan.
Laurențiu Petre: Vă mulțumim! Domnii profesori Șandru și Alexe, aveți completări la aspectele invocate de domnul Uluitu?
Irina Alexe: Da, aș vrea să nuanțez câteva dintre aspectele invocate de domnul Uluitu. Într-adevăr Regulamentul nu ne spune ce regim juridic trebuie să aibă responsabilul cu protecția datelor. Dar din dispozițiile art. 37 rezultă foarte clar, așa cum am spus, că el poate să fie desemnat în interiorul raporturilor de muncă, adică din rândul angajaților, sau pe baza unui contract de servicii. Dacă vorbim despre contract de servicii, evident că nu vorbim despre fișa postului, vorbim despre un contract. Și o să detaliem puțin mai încolo. Dacă vorbim despre exercitarea funcției misiunii responsabilului cu protecția datelor în cadrul raporturilor de muncă, într-adevăr, are dreptate domnul Uluitu, este evident că autoritățile și instituțiile publice pot să desemneze acest responsabil din rândul salariaților. Dar nu împiedică nimeni, nici măcar autoritățile sau instituțiile publice să încheie și acest contract de servicii. Numai că, din punctul meu de vedere, există mai multe chestiuni de discutat. În ceea ce privește opțiunea ca acest responsabil cu protecția datelor să fie sau nu funcționar public am identificat câteva dintre prerogativele de putere publică care s-ar plia pe sarcinile și misiunile pe care potrivit Regulamentului, responsabilul cu protecția datelor ar trebui sale îndeplinească, numai că în cazul Legii 188, adică desemnarea lui din rândul funcționarilor publici, avem cel puțin două discuții: din ce categorie să facă parte, dacă să facă parte din categoria funcționarilor de execuție sau a funcționarilor de conducere, sau din categoria națiilor de funcționari publici, având în vedere rolul și locul pe care Regulamentul îl prevăd pentru acest responsabil cu protecția datelor în cadrul unei organizații. Și cea mai importantă problemă, în opinia mea, despre care am și scris, este aceea că potrivit Legii 188 toate categoriile de funcții publice sunt prevăzute în Anexa nr.1 la Lege. Or această funcție este evident că nu este prevăzută în lege, și pânâ la o modificare a anexei la Legea 188, din punctul meu de vedere, apreciez că o autoritate sau o instituție publică nu poate să desemneze un responsabil cu protecția datelor ca funcționar public. A mai pus domnul Uluitu în discuție o problemă, cea referitoare dacă responsabilul cu protecția datelor trebuie să fie o singură persoană sau pot să fie mai multe persoane în cadrul unui operator. Așa am înțeles eu cel puțin. Regulamentul ne spune că responsabilul cu protecția datelor poate să fie desemnat responsabilul el, sau ca un conducător al unui serviciu specializat. De asemenea, art. 37 face două distincții în ceea ce privește desemnarea unui responsabil unic de către un grup de operatori economici. Și mai are o prevedere potrivit căreia mai multe autorități sau instituții publice pot decide să desemneze împreună un singur responsabil cu protecția datelor. Acum, aplicând aceste prevederi la legislația din România, evident că apar nenumărate probleme. Din punctul meu de vedere, opinia pe care o îmbrățișez este că ar trebui ca operatorii, fie ei publici sau privați, să se uite în primul rând în rândul angajațilorși să vadă care ar fi cel mai în măsură să se plieze pe cerințele pe care regulmanetul le prevede pentru un astfel de responsabil cu protecția datelor care să cunoască foarte bine activitățile pe care operatorul le desfășoară, și care să fie în măsură să îndeplinească sarcinile prevăzute la art. 39. Orice persoană, indiferent că este ea salariat sau funcționar, este evident că regulamentul lasă la latitudinea operatorului încheierea acelui contract de servicii care este prevăzut și el la art. 37 la alin. (6). Numai că în cazul acestui contract ar trebui să fim atenți la faptul că între operator și responsabilul desemnat în această modalitate pozițiile sunt egale, sunt pe picior de egalitate în cadrul contractului, și nu mai avem poziția relația dintre angajat și, a atins domnul Uluitu problematica răspunderii. Este evident că răspunderea va fri nuanțată în funcție de tipul de desemnare a responsabilului cu protecția datelor pentru că, știm cu toții, Regulamentul ne spune că responsabilul cu protecția datelor nu poate să fie sancționat și nici concediat pentru îndeplinirea sarcinilor sale și atât. Însă este evident că el paote să răspundă pentru neîndeplinirea sarcinilor sale. Și atunci, dacă ar fi desemnat din rândul angajaților funcționari publici, și se atrage cele 4 tipuri de răspundere în condițiile Legii 188, plecând de la răspunderea disciplinară și terminând cu răspunderea penală. Și la fel, dacă ar fi desemnat din rândul salariaților, la fel îi sunt atrase unul dintre cele 4 tipuri de răspundere prevăzută de Codul muncii pentru neîndeplinirea obligațiilor sale, încă o dată subliniez. Atât am vrut să nuanțez.
Laurențiu Petre: Vă mulțumesc! Vreau să fac o precizare din ghidul privind responsabilul cu protecția datelor emis de grupul de lucru pe art. 29. Și anume: Având în vedere mărimea și structura organizației, ar putea fi necesare crearea unei echipe DPO (un DPO ș personalul său, așa cum spunea domnul profesor Uluitu mai devreme). Grupul zice în felul următor, că în asemenea cazuri structura internă a echipei și sarcinile și responsabilitățile fiecărui membru ar trebui să fie în mod clar elaborate. În mod simialr, atunci când funcția de DPO este exercitată de un furnizăr extern de servicii, o echipă de persoane fizice care lucrează pentru respectiva entitate, poate îndeplini în mod eficient sarcinile unui DPO ca o echipă sub responsabilitatea unui punct de contact principal desemnat pentru client. Apropo și de obligația de a publica datele de contact ale responsabilului cu protecția datelor, și de a comunica cu aceste date autorității de supraveghere pe dispozițiile din art. 37 pct.7. Domnul Săvescu, ce puteți să ne spuneți, cum se văd lucrurile din perspectiva dumneavoastră?
Andrei Săvescu: Mie mi se pare că trebuie precizat mai întâi că DPO trebuie să fie, responsabilul cu protecția datelor, că va fi unul sau mai mulți, trebuie să fie persoană fizică indiferent cu cine se încheie contractul, că se încheie cu o casă de avocatură, dar trebuie să existe o persoană fizică pe această poziție care își asumă sarcinile respective. O a doua chestiune care cred că trebuie subliniată este că, după părerea mea, pot să existe mai multe persoane desemnate ca rsponsabil cu protecția datelor, mai mulți DPO la fel cum pot să existe mai mulți consilieri juridici pentru o organizație sau mai mulți avocați. Bineînțeles fiind precizate sarcinile fiecăruia, și bineînțeles pentru fiecare operator trebuie să existe o singură persoană care asumă rolul de punct de contact pentru autoritatea de supraveghere. Este adevărat că grupul de lucruri pe art. 29 pare să amestece puțin chestiunile, adică nu este foarte limpede, pentru că și art. respectiv din Regulament, respectiv art 37 a suferit numeroase modificări în timp când s-a discutat regulamentul. Iar poziția grupul de lucru pare a se referi la o versiune nu chiar aceasta care este publicată în jurnal. Dar părerea mea este că pot să fie mai mulți DPO.
Laurențiu Petre: Mulțumesc! V-aș propune să intrăm pe fișa postului concret pe ce înseamnă aceasta. Vă rog!
Gabriel Uluitu: Două chestiuni aș vrea să subliniez referitor la această preocupare. Una este legată de ceea ce prevede art. 37 alin., elementele pe care beneficiarul activității, instituție publică sau întreprindere privată le consemnează în fișa postului ca cerințe minime de ocuparea și exercitarea funcției respective. Textul zice în felul următor: “Responsabilul cu protecția datelor este desemnat pe baza calităților profesionale și în special a cunoștințelor de specialitate în dreptul și practicile din domeniul protecției datelor, precum și pe baza capacității de a îndeplini sarcinile.” Ar rezulta din formularea acestui text din Regulament că este necesară o pregătire juridică a responsabilului cu pregătirea datelor, fiind expresă referirea la specialist în drept. Calitățile invocate de Regulament cred că pot fi determinate atât extern, faptul că beneficiarul activității angajează ca personal intern sau apelează la un prestator extern care să ofere o persoană sau personalul care întrunește aceste calități. Dar cred că nimic nu împiedică, fiecare operator să-și pregătească intern responsabilul cu protecția datelor. Și să ateste cu valabilitate internă împrejurarea că respectiva persoană întrunește cerințele de ocuparea funcției respective. O a doua subliniere referitoare la miezul fișei postului responsabilului cu protecția datelor vizează opțiunea lui 39 alin. (1) din Regulament de a enumera numai exemplificativ sarcinile care ar reveni responsabilului cu protecția datelor. Alin. (1) evocă în mod expres această soluție, responsabilul cu protecția datelor are cel puțin următoarele sarcini. Ca atare în fișa postului vor trebui să existe cele din 39 alin. (1) lit. a, e la care angajatorul, instituția, autoritatea poate să adauge orice alt element îl consideră pertinent, fie dintr0o perspectivă de aplicare generală a normelor în material regulamentului și a legislației subsecvente, cât și din perspective particulară a specificului activității. Urmând ca din această însumare să rezulte în mod concret conținutul fișei postului responsabil cu protecția datelor. Ca atare, ca să concluzionez sub acest aspect, nu avem un format model, o fișă de post cadru la care să ne raportăm cu caracter general în determinarea conținutului acestui document. Avem miezul obligatoriu din textul din regulament, art. 39 alin. (1), pe care se poate broda în funcție de specificul activității și interesul general în materie al operatorului respectiv. Mulțumesc! Cam atât deocamdată.
Irina Alexe: Nimic nu împiedică angajatorul să stabilească pentru responsabilul cu protecția datelor și alte activități, și alte atribuții. Evident că apare întrebarea când le stabilește, pentru că potrivit Legii 188 fișa postului este atașată actului de numire în funcție. Și o situație similară apare și la contractul de muncă, atunci trebuie prezentată și însușită de către angașatm fișa postului. Dar aș mai vrea să fac o precizare. Atât Regulamentul, cât și ghidul întocmit de lucrul pentru art. 29 chiar precizează că poți să-i dai unui angajat desemnat ca responsabilul cu protecția datelor și alte sarcini și atribuții. Atenție! Această persoană poate să ocupe full time postul, sau part time, și trebuie să fim foarte foarte atenți la evitarea conflictelor de interese. Și a adus domnul Uluitu în discuție art. 39 unde într-adevăr sunt sarcini minimale prevăzute pentru responsabilul cu protecția datelor. V-aș propune să ne uităm și la alin. 6 al art. 38 care ne spune că responsabilul cu protecția datelor paote îndeplini și alte sarcini și atribuții. Și aici, această condiție strâns legată de evitarea conflictelor de interese. Într-adevăr în fișa postului trebuie să introducem toate sarcinile pe care le creionăm, le trasăm pentru acest responsabil cu protecția datelor. Atenție! Este obligatoriu să prevedem toate acele sarcini prevăzute la 39, pentru că art. 37 ne spune că responsabilul cu protecția datelor, pe lângă cunoștințele pe care trebuie să le aibă în dreptul și practicile din domeniul protecției datelor, trebuie să aibă capacitatea de a îndeplini sarcinile prevăzute la 39, adică aduce câteva nuanțe foarte foarte importante. Și într-adevăr în fișa postului trebuie să-i trasăm toate aceste atribuții prevăzute la 39. Deci da, sunt de acord în totalitate cu ce spune domnul Uluitu.
Gabriel Uluitu: Este relevant, cred, din perspectiva posibilității de a acumula sarcini și atribuții distincte de cele specifice activității de responsabil cu protecția datelor. Și art. 38 alin. (1) unde se stabilește o cerință specială ca respectiva persoană să poată să-și realizeze activitatea în mod corespunzător și în timp util. Ca atare s-ar diminua obiectiv prin prisma acestei cerințe posibilitatea unui cumul dat fiind faptul că el practic din perspectiva activității de protecția datelor tot timpul trebuie să fie pregătit, se află în relație tot timpul cu operatorul și trebuie să-și desfășoare activitatea corelat cu această cerință specială. Identific și eu, și este în litera Regulamentului această opțiune de a-i permite cumulul și cu alte atribuții, firește respectându-se atât cerința referitoare la conflictul de interese, cât și ceea ce stabilește 38 alin. (5): Respecta obligația de respectarea secretului sau a confidențialității în ceea ce privește îndeplinirea sarcinilor sale. Este o concretizare a obligației de fidelitate care ar reveni, și aici mă refer la salariați, în temeiul art. 39 alin. (2) din Codul muncii, text care are o corespondență și în privința funcționarilor publici, și în privința acestora existând o obligație generală de confidențialitate. Aceasta a fost punctarea pe care voiam să o fac și eu, mărturisind nu formal că sunt în deplin acord cu cele susținute de către colega noastră.
Laurențiu Petre: Vorbim de conflicte de interese al responsabilului cu protecția datelor, un director executiv, un director financiar, un director de resurse umane. Ar putea să fie în conflict de interes cu aceste funcții? Domnul Săvescu?
Andrei Săvescu: După părerea mea, în mod vădit, da, pentru că responsabilul cu protecția datelor nu este un manager, el este consultant și pe o interfață a companiei în raport cu persoanele vizate care i se pot adresa direct. Însă el nu este un element de decizie la nivelul companiei, și cred că amestecul atribuțiilor DPO cu atribuțiile unor factori de decizie face practic imposibilă, mi se pare de neconceput, funcția de DPO în condițiile în care ea ar fi exercitată de o persoană cu drept de decizie. Nu acesta este nici pe de o parte conceptul Regulamentului.
Laurențiu Petre: Mulțumesc! Vorbim de responsabilul cu protecția datelor. O să vreau să vă referiți, paote pe rând, la ce înseamnă această responsabilitate a acestei persoane. Vă rog, în ce ordine doriți. Domnul Șandru, doamna Alexe, dacă doriți să vă referiți până unde poate să meargă această răspundere și această responsabilitate, după cum îi spune și funcția de responsabil. Este într-adevăr o responsabilitate sau este doar o denumire aceasta?
Irina Alexe: Este mai mult decât o responsabilitate, sau mai mult decât o denumire. M-aș întoarce puțin la evitarea conflictelor de interese. A punctat foarte corect domnul Săvescu, evitarea conflictelor de interese este strâns legată de cerința de independență pe care regulamentul o prevede pentru responsabil. Cerința de independență înțeleasă ca independența activității că responsabilul cu protecția datelor nu poate să fie subordonat, sau că nu răspunde în fața cuiva. Și v-ași indica, mai ales pentru cei care ne urmăresc, tot ghidul în ceea ce privește DPO întocmit de grupul de lucru pentru art. 29 care ne spune că într-adevăr responsabilului cu protecția datelor îi este permis să aibă și alte funcții și activități cu condiția ca acestea să nu dea naștere unor conflicte de interese și ne detaliază ghidul, pe lângă exemplele pe care ni le dă, ne spune că responsanilul cu protecția datelor nu poate să obțină o poziție în cadrul orhanizației care ar conduce la posibilitatea ca chiar el, adică DPO-ul, să stabilească scopurile și mijloacele de prelucrarea datelor cu caracter personal. Deci aici trebuie să fim foarte atenți. Dacă prin activitățile pe care le desfășoară el stabilește scopurile și mijloacele de prelucrare. Dacă nu stabilește, atunci nu s-ar putea afla în conflict de interese. Dacă stabilește, este clar conflict de interese în sensul regulamentului și în sensul pe care îl descrie grupul , și este clar că nu îi poate fi dat o astfel de sarcină sau responsabilitate, sau nu poate îndeplini prin cumul și misiunea lui de responsabil cu protecția datelor și aceste sarcini și responsabilități care îi sunt trasate.
Gabriel Uluitu: Am sesizat o problemă de interpretare a două texte din Regulament. Și aș fi interesat, nu mă raportez la o soluție certă în ceea ce mă privește, de asta supun discuției problema pe care am identificat-o. Art. 82 alin. (3) referitor la dreptul la despăgubiri și răspundere: Operatorul sau persoana împuternicită de operatori este exonerat/ă de răspundere în temeiul alin. 2 dacă dovedește că nu este răspunzător/răspunzătoare în niciun fel pentru evenimentul care a cauzat prejudiciul. Prin raportarea acestui text la 39 alin. (1) lit. b faptul că una dintre principalele sarcini ale responsabilului este monitorizarea respectării prezentului regulament, întreb: oare este posibil ca operatorul să fie exonerat de răspundere, aruncând vina pe responsabil în temeiul corelării celor 2 texte, sau referirea din art. 82 alin. (3) are un caracter obiectiv și nu implică și exonerarea prin prisma activității exclusive a responsabilului cu protecția datelor? Este o problemă, și mai am una, și dacă mi s-ar da prilejul s-o enunț aș fi mulțumit în seara aceasta.
Laurențiu Petre: Vă rog!
Gabriel Uluitu: Dar ca să rămână proaspătă aș dori să rămânem pe această chestiune, pentru că este de interes prin prisma răspunderii atât a operatorului, a persoanei împuternicite, dar și a responsabilului cu protecția datelor. Totul e bine și frumos până când se ajunge la răspundere, atunci toată lumea fuge de obicei.
Laurențiu Petre: Vă rog, domnule profesor Săvescu, 82 alin. (3) raportat la 39 alin. (1) lit. b. Ce părere aveți? Răspunderea pe 82?
Andrei Săvescu: Sunt de părere că ar putea părea că a fost o întrebare intenționată având în vedere răspunsul, dar aș prefera ca doamna Alexe să răspundă prima ca să nu pară că ne trimitem mingea de la unul la altul.
Irina Alexe: Din punctul meu de vedere, trebuie să aplicăm evident acel articol din Regulament care ne spune că resposabilitatea pentru conformarea activității unui operator cu prevederilor Regulamentului aparține operatorului. Și să-l corelăm cu articolul care ne spune că responsabilul cu protecția datelor, după cum am precizat deja, nu poate să fie nici sancționat, nici concediat pentru îndeplinirea atribuțiilor sale. Pentru neîndeplinirea atribuțiilor sale evident că responsabilul cu protecția datelor răspunde în temeiul dreptului comun, dreptului intern. Acum, ce se întâmplă dacă responsabilul cu protecția datelor care are o misiune de consiliere a celui care ia decizia, adică a operatorului propune anumite soluții, iar operatorul ține cont într-o mică sau mare măsură de aceste soluții pe care responsabilul cu protecția datelor i le propune. Evident că poate refuza să ia acele măsuri pe care i le propune responsabilul cu protecția datelor. Ghidul ne spune că ar trebui să existe o minimă motivare. Astfel încât, în situația producerii unui incident constatat ulterior, atunci când Autoritatea Națională de Supravechere a Prelucării Datelor cu Caracter Personal va individualiza măsura corectivă care va fi aplicată operatorului să fie avute în vedere inclusiv unul dintre criteriile foarte importante conduita operatorului. Din punctul meu de vedere, art. 82 se referă evident la despăgubirile pe care persoana fizică le poate solicita direct de la operatorul care i-a încălcat dreptul la protecția datelor cu caracter persoanal și evident că și în această situație operatorul răspunde el ca intitate, urmând ca după aceea să se ducă în cadrul organizației lui și să vadă cine se face responsabil de încălcare. Dar în relația cu persoana, editorul este cel care răspunde.
Gabriel Uluitu: Eu precizez în acest cadru tocmai pentru a lămuri. Alin. (3) din art. 82 vizează o situație de excepție în care operatorul este exonerat, adică nu răspunde față de persoana care a suferit prejudiciul material sau moral.
Irina Alexe: Dacă dovedește… .
Gabriel Uluitu: Operează doar dacă operatorul sau persoana împuternicită ar dovedi că nu este răspunzătoare în nici un fel, subliniează textul pentru persoana care nu a cauzat nici un prejudiciu. Ar putea să arunce măgăreața în spatele responsabilului? Aceasta cred că ar fi esența.
Irina Alexe: Eu cred, apreciez că această condiție dacă dovedește că nu este răspunzătoare în nici un fel, înseamnă că el și-a luat toate măsurile de prevedere și a conformat activitatea cu Regulamentul și totuși în aceste situații a apărut o situație neprevăzută pe care nu putea să o aibă în vedere, deci el trebuie să dovedească din punctul meu de vedere în fața unei instanțe de data aceasta că el nu este responsabil în nici un fel, nu este răspunzător în nici un fel pentru evenimentul care a cauzat un prejudiciu. Și când mă refer la operator, mă refer la operator și toate persoanele angajate operatorului. Eu cred că la această situație se referă acest aliniat.
Gabriel Uluitu: Deci nu ar putea să invoce o exonerare, invocând exclusiv… .
Irina Alexe: Culpa angajatului sau vinovăția angajatului lui. Cred că nu.
Gabriel Uluitu: Da, exact.
Irina Alexe: Eu cred că nu, pentru că atunci nu ar mai fi în nici un fel.
Gabriel Uluitu: Și eu cred la fel.
Irina Alexe: Pentru că el are obligația. Dacă să ne uităm un pic, ne întoarcem tot la art. 37-39 care reglementează responsabilul cu protecția datelor operatorul este obligat să asigure acestui responsabil toate resursele de care el are nevoie, inclusiv cele necesare perfecționării pregătirii profesionale mai ales în acest domeniu foarte fluent și foarte sensibil al protecției datelor. Deci dacă textul Regulamentului îmi spune că operatorul nu este responsabil în nici un fel înseamnă că a asigurat tot ce trebuia, a asigurat condițiile de imparțialitate și că incidentul nu s-a produs din vina unui angajat al lui, pentru că dacă s-a produs din vina unui angajat al lui nu ar mai exista această sintagmă în nici un fel, pentru că el are obligații de instruire și de asigurare a resurselor pentru perfecționarea profesională a angajațiilor lui.
Gabriel Uluitu: Sunt întru totul de acord cu doamna Alexe și este și opinia mea. Cred că ne-am confirmat această modalitate de interpretare.
Laurențiu Petre: Domnule profesor Săvescu?
Andrei Săvescu: Acum eu nu vreau să fiu împotrivă. Și eu sunt de acord cu o mică precizare. Deși alin. (3) de la art. 82 arată foarte urât și pare o definiție circulară din care n-o să ne poată scoată decât Curtea de Justiție a Uniunii Europene. Nu este chiar așa, alin. (3) ne spune că suntem exonerați de răspundere dacă reușim să dovedim că nu suntem răspunzători. Chestiunea este însă, după părerea mea, alin. (2) are înțelesul că răspunderea intervine dacă operațiunile de prelucrare au fost ilegale, adică dacă au încălcat Regulamentul, ceea ce este firesc. Dacă a apărut un prejudiciu în cadrul unor operațiuni care exced Regulamentul, adică îl încalcă să intervină răspunderea. Alin. (3) însă ne ușurează, ne face viața mai ușoară. Face viața mai ușoară operatorului, pentru că alin. (3) ne spune că deși s-au încălcat prin acele operațiuni dispozițiile Regulamentului, deși suntem în afara Regulamentului, dacă operatorul reușește să dovedească faptul că evenimentul respectiv, de exemplu o breșă de securitate nu este în răspunderea lui, adică i-a ieșit de sub control, răspunderea lui nu va fi angajată pentru prejudiciul respectiv, deși operațiunea nu a fost pe tărâmul Regulamentului. Adică îi permite operatorului, este o modalitate de ușurare dacă vreți, a răspunderii operatorului deplasând probațiunea către acel eveniment exterior. Ideea centrală este că evenimentul exterior nefericit te exonerează de răspundere indiferent dacă operațiunile tale erau sau nu în interiorul Regulamentului. Deci deși pare fioros alin. (3), el este îmbucurător pentru operator. În ce privește chestiunea de la care pornisem de fapt, dacă DPO-ul este răspunzător în legătură cu aceasta, cred că în speță nu despre aceasta se discută pe fond, pentru că acel DPO este în realitate un consultat care răspunde ca orice fel de avocat. Bine, este un consultant în concepția Regulamentului, că în conceția standartului ocupațional din România este ceva mai… . Dar nu am ajuns cu discuția la aceasta. Deci DPO-ul răspunde ca orice avocat, el are obligația specifică de consultanță, iar bineînțeles dacă salariații fac vreo boacănă, ei răspund ca orice prepus al operatorului. Deci aici suntem de acord.
Laurențiu Petre: Mai vreți aici să punctăm ceva pe fișa de post, pe sarcini, pe pregătire?
Gabriel Uluitu: Doar cu referire la modificare ar fi o problemă.
Andrei Săvescu: Și eu aș mai avea o chestiune o privire la standardul ocupațional.
Laurențiu Petre: La standardul ocupațional aș vrea să ne referim imediat după ce abordăm problematica.
Gabriel Uluitu: În concret dacă operatorul este sau nu să modifice unilateral atribuțiile responsabilului pe parcursul existenței raportului de muncă sau de serviciu.
Laurențiu Petre: Deci avem o fișă de post… .
Gabriel Uluitu: Fișă de post asumată.
Laurențiu Petre: Semnată.
Gabriel Uluitu: Cu un conținut pe care părțile l-au avut în vedere și în exercitarea atribuțiilor specifice angajatorul identifică necesitatea sau dorește să modifice unilateral atribuțiile responsabilului cu protecția datelor cuprinse în fișa postului. Opinia mea este că în principiu această măsură nu s-ar putea realiza ca regulă cu privire la acest element de conținut al fișei postului și anume atribuțiile propriu-zise care sunt în sarcina responsabilului date fiind textele din Codul muncii, mă refer la statutul de salariat art. 17 alin. (3), art. 41, art. 40 alin. (1). O posibilitate de modificare în sensul îmbogățirii sau al adăugării unor atribuții noi în această materie ar fi exclusiv apanajul realizării unui acord de voință între părți.
Laurențiu Petre: Aveți alte păreri?
Irina Alexe: Și eu am precizat de la început că în ceea ce privește funcția publică, de exemplu potrivit art. 62 alin. (5) din Legea 188, Fișa postului este anexă la actul de numiri în funcție. Respectiv dacă o să vă uitați pe diversele ordine ale miniștrilor care vizează organizarea și funcționarea anumitor structuri că cel puțin pentru nivelul de conducere public în Monitor și fișa postului. Apare evident întrebarea, ar putea salariatul să refuze o astfel de modificare ulterioară a fișei postului? Și de aici apare și întrebarea. După știința mea potrivit Codului muncii fișa postului poate să fie modificată unilateral de către angajator, deci fără acceptul salariatului, doar în situații de forță majoră. Deci sunt de acord cu ce spune și colegul nostru. Nu văd însă un salariat care ar refuza o modificare a fișei postului. Întrebarea a fost dacă poate să fie făcută unilateral această modificare și eu o apreciez că unilateral nu, doar dacă ar apărea sarcini noi pentru acel angajat. Este evident că trebuie să și-l asume și el. Ce se întâmplă în cazul în care refuză? Îl dăm afară? Îl sancționăm? Ce facem cu el? Sau negociem și modificăm nu în mod unilateral, ci de comun acord fișa postului.
Gabriel Uluitu: Eu cred că în acest context al refuzului de a accepta o atribuție instituită unilateral suplimentar de ceea ce exista, salariatului nu se face vinovat de săvârșirea unei abateri disciplinare.
Irina Alexe: Da, corect. Și eu cred la fel. Și aici legat de fișa postului cred că ar mai putea să apară și o altă întrebare, o altă chestiune care ar trebui discutată despre subordonarea acestui responsabil cu protecția datelor, pentru că am precizat deja că el este independent în ceea ce privește desfășurarea activității lui, dar asta nu înseamnă că el nu poate să fie subordonat cuiva și este evident că în fișa postului avem și relațiile de subordonare, respectiv relațiile de cooperare pe care acest responsabil cu protecția datelor le are în cadrul organismului fie el public sau privat. Și consider că este foarte important acest instrument, această fișă a postului pentru a creiona de la început rolul responsabilului cu protecția datelor în cadrul organizației.
Gabriel Uluitu: Dar cred că este mai simplu din acest punct de vedere prin ce prevedere art. 38 alin. (3) din Regulament, pentru că la noi angajatorul este unic și el se manifestă subiectiv, adică din punct de vedere al expresiei personale prin reprezetantul său legal. Ori ceea ce spune Teza a III-a: Responsabilul cu protecția datelor răspunde direct în fața celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator. Înseamnă tradus în Dreptul muncii din România că subordonarea acestui responsabil se face exclusiv față de angajator și niciodată în zonele ierarhice intermediare unde în alte sisteme de drept pot fi luate și decizii executive cu privire la raporturile de muncă. La noi frust în interpretarea acestui text, responsabilul cu protecția datelor se subordonează exclusiv angajatorului. Este opinia pe care o pot exprima în interpretarea textului din Regulament.
Irina Alexe: Și în acele situații în care avem organisme colective de conducere? Apreciați că ar trebui să fie acolo în zona aceea de nivel de subordonare?
Gabriel Uluitu: Da, la nivelul cel mai înalt de decizie.
Irina Alexe: Da, și eu cred la fel.
Gabriel Uluitu: Deci dacă am un consiliu de adminitrație mă raportez la consiliul de administrație, nu la vreun director care are atribuții executive conform Legii 31 în relațiile cu salariații. Dacă am sistem dual, la fel mă raportez la forma cea mai înaltă de expresie a personalității juridice a entității respective.
Irina Alexe: Și atunci apare cealaltă întrebare legată de cumulul de funcții evident, pentru că acest responsabil cu protecția datelor poate să exercite funcția de responsabil cu protecția datelor și are acest nivel de subordonare și independența pe care o asigură ca o garanție pe care îi asigură Regulamentul, independența în execitarea atribuțiilor sale de responsabil cu protecția datelor, dar în același timp pentru celelalte activități pe care le cumulul de funcții, el este clar într-o anumită organigramă poate să fie subordonat unui director numai că trebuie să fim foarte atenți la această condiție de independență în exercitarea atribuțiilor și funcției lui de responsabil cu protecția datelor. Și ghidul întocmit de grupul de lucru pentru art. 29 ne face și el aceste precizări.
Laurențiu Petre: Vă rog, domnul profesor Săvescu. Ziceați că aveți o cu totul altă opinie pe chestiunile discutate.
Andrei Săvescu: Da, cu totul altă opinie. Deci sunt două chestiuni: modificarea fișei postului și chestiunea subordonării. După părerea mea, să începem cu a doua. DPO este un salariat cu totul special. Cu totul și cu totul special. Din pricina textului de la art. 38 alin. (4) din Refulament, teza a II-a, adică: DPO nu este emis sau sancționat de către un operator pentru îndeplinirea sarcinilor sale. Adică există răspundere disciplinară de exemplu, doar dacă nu vine la birou, doar dacă nu face nimic. Altminteri, nu. De asemenea, el nu primește instrucțiuni în ce privește sarcinile pe care le are, adică angajatorul nu se comportă cu el ca și cu un salariat obișnuit căruia îi dă directivă cum să procedeze în îndeplinirea sarcinilor, ci DPO acționează bazându-se direct pe Lege, are atribuții practic izvorâte din Regulament și eventual din reglementările interne ale fiecărui stat, ceea ce poate să nuanțeze angajatorul în relația cu un DPO salariat este să precizeze care anume dintre sarcinile specifice funcției, poziției de DPO revin unei anumite persoane. Și ca să fie mai ușor de înțeles și mai soft această informație care pare foarte dură, aș vrea să avem în vedere art. 38 alin. (4) din Regulament care prevedere că: Persoanele vizate pot contacta responsabilul cu protecția datelor cu privire la toate chestiunile legate de prelucrarea datelor și exercitarea dreptului lor în temeiul prezentului Regulament. Adică este aspectul de interfață la persoanele vizate care poate să fie o chestiune independentă. Acesta poate să fie un job full-time. Contactul direct la o companie care are milioane de persoane vizate în curs de procesare, poate să fie un job fuller. El este responsabil cu protecția datelor. Responsabilul cu protecția datelor trebuie să fie disponibil la acest contact direct. Poate să fie altă persoană care ține legătura cu autoritatea, care face studiile de impact, care asigură consultanță. Pot să fie mai mulți, cum spuneam. Și această persoană care asigură contactul poate să fie un salariat. Dacă angajatorul îi modifică fișa postului, zice: „Bine, mai luăm pe cineva, pentru că ești foarte obosit să ai legătura cu persoanele vizate și te profesionalizezi, poate nu mai vrei să… . Poate sunt multe. Poate se depășește programul. O să faci doar o parte din timp răspunsul către persoanele vizate, cealaltă parte din timp să faci un studiu de impact că vrem să facem nu știu ce.” Sunt tot chestiune specifice DPO. Se modifică fișa postului. După părera mea, este limpede că în mod unilateral, adică angajatorul spune: „Aș vrea să faci și asta. Ești pregătit să faci orice.” În afară de jurisprudența pe care o întemeiez – jurisprudența națională pe art. 17 din Codul muncii. Aici, practic, ar fi obiecția de unde s-ar înțelege că ar fi un fel de anexă la contract fișa postului. Cred că acest art. 17 din Codul muncii și așa s-a menționat și în jurisprudență trebuie citit împreună cu art. 39 „Principalele drepturi și obigații ale salariatului” din Codul muncii. La alin. (2): Salariatului îi revin în principal următoarele obligații a. Obligația de a realiza norma de muncă sau după caz de a îndeplini atribuțiile ce îi revvin conform fișei postului. Se pare și așa s-a reținut și în jurisprudență, se pare că concepția Codului muncii român este că aceste atribuții din fișa postului sunt împreună toate, nu fiecare este o obligație, sunt un coșuleț, un buchet de obligații de chestiuni care trebuie făcute subsumate acestei obligații de la lit. a) alături de obligația de a respecta disciplina muncii, de a respecta prevederile din Regulamentul Intern. Este vorba în realitate de obligația de a respecta directivele cu caracter personal ale angajatorului. Lit. a) de la alin. (2) al art. 39 se referă la directivele cu caracter profesional ale angajatorului care trebuie respectate de către salariat, care sunt curprinse în fișa postului sau dacă este o altfel de muncă, o normă de muncă dacă este ceva repetitiv. Apoi la lit. b) este vorba de directivele de ordin disciplinar, apoi de regulile interne de Regulamentul Intern și contractele colective. Apropo de Regulamentul Intern profit prilej ca să introducem un mic moment publicitar neautorizat. Pe data de 18 Mai o să avem o conferință care se anunță cu totul ieșită din comun, foarte interesantă, exact pe Regulamentul Intern care oferă niște oportunități încă insuficient exploatate în practică atât pentru angajat, cât și pentru salariat. Dar o să vedeți, este vorba de Conferința „Ion Traian Ștefănescu” care o să fie condusă științific de domnul profesor Gabriel Uluitu. Dar, revenind, ziceam că alin. (2) cu obligațiile salariatului le tratează în calup. În acest sens s-a orientat și jurisprudența, că fișa postului cuprinde, de fapt, directivele de ordin profesional. Revin și arăt, în ce privește DPO, nu se pot face directive de ordin profesional. Ele sunt prevăzute în Regulament direct și eventual în Legislația Națională în măsura în care nu se încalcă Regulamentul, dar aceasta este altă discuție. Prin urmare, o schimbare la nivelul atribuțiilor din fișa postului unui DPO salariat, nu are nevoie de acordul salariatului în speță, după părerea mea. Dacă iau un muncitor care este frezor și vreau să-l fac strugar sau îi modific norma de muncă, aceasta este cu totul altceva. Sunt afectate drepturile salariatul. Adică ce vreau să spun este sunt de principiu, după părerea mea, fișa postului se poate modifica. Și sunt convins că n-o să mă contrazică domnul profersor Uluitu, doar că trebuie verificat ca nu cumva să fie încălcate drepturile lui. Și sunt de acord că nu poate fi concediat disciplinar. Am spus aceasta la început ca să vă atrag atenția că sunt exact împotrivă. Nu sunt chiar împotrivă, dar voiam să spun această chestiune cu privire la DPO salariat. Bine, aceasta este o chestiune un pic contra naturii – DPO salariați, dacă mă întrebați pe mine. Că după părerea mea, fișa postului se poate modifica atât vreme cât suntem în interiorul prevederilor Regulamentul cu privire la sarcinile lui. Inclusiv dacă i-ar fi funcționar public, ce părere aveți doamna Alexe?
Irina Alexe: Modific fișa postului s-o anexez actului de numire. V-am spus că Legea 188 prevedere că fișa postului este atașată actului de numire în funcția publică. Nu prea se întâmplă, cel puțin în cazul națiurilor funcțional, ne uităm un pic în Monitor și nu vedem atasată fișa postului, dar aceasta este o altă discuție. În ceea ce privește sarcinile acestui responsabil cu protecția datelor, simt nevoia să fac două precizări. Într-adevăr, acele sarcini minimale prevăzute la art. 39 trebuie să existe, nu pot să îi fie luate, pentru că atât ghidul întocmai de grupul de lucru pentru art. 29 cât și au și niște orientări, ne precizează că responsabilul cu protecția datelor trebuie să-i asigurăm toate garanțiile și sarcinile evident, atribuțiile prevăzute de Regulament. În caz contrar, Autoritatea Națională de Supraveghere nu va considera că am desemant responsabilul cu protecția datelor în sensul Regulamentului. Și atunci poate să aplice una dintre măsurile prevăzute acolo. În ceea ce privește sprijinul, că tot am invocat cu toții art. 38. Articolul ne spune o chestiune foarte interesantă. Acest responsabil cu protecția datelor trebuie să fie sprijinit în mod activ de către managementul de nivel superior al organizației respective că trebuie să-i asigurăm în cadrul resurselor necesare pe de o parte timp suficient și s-a aici timp suficient pentru îndeplinirea atribuțiilor sale, că trebuie să-i asigurăm sprijin corespunzător în ceea ce privește resursele și Ghidul detaliază aceste resurse ca fiind financiare, infrastructură inclusiv personal când este cazul să fie acel conducător al unui serviciu specializat. De asemenea, ca o chestiune de bună practică din partea angajatorului, Ghidul vine și ne spune că ar trebui să existe o comunicare oficială din partea managementului către personalul operatorului cu privire la desemnarea și atribuțiile DPO-ului. La fel trebuie să aibă acces și sprijin din partea celorlaltor servicii din cadrul operatorului și aici Ghidul distinge între serviciile resurse umane, IT juridic, securitate, astfel încât acest responsabil cu protecția datelor să beneficieze de un sprijin real din partea acestor structuri cu care el trebuie să colaboreze pentru a furniza cea mai bună consultanță către decidentul din cadrul operatorului. Am spus și eu deja despre pregătirea continuă care trebuie să-i fie asigurată acestui responsabil cu protecția datelor a-ți spus dumneavoastră și prevede și Ghidul că în funcție de structura și mărimea, și mai ales sarcinile din cadrul organizației poate să fie necesară crearea unei echipe. Dar a-ți subliniat și este bine să rămânem cu toții cu această idee că în relația cu autoritatea de supraveghere este desemnat ca punct de contact un singur responsabil cu protecția datelor. Iar acest responsabil trebuie să aibă în fișa postului prevăzute toate aceste chestiuni.
Laurențiu Petre: Vă mulțumim pentru precizări! O să vreau să ne mai referim la un singur aspect și anume la standardul ocupațional al responsabilului cu protecția datelor. Aș vrea să ne referim punctual a un singut aspect și anume la Cap. 3, secțiunea A – „Standardul ocupațional. Competențe și deprinderi”. Sunt enumerate zece astfel de competențe și deprinderi pentru DPO. O să le citesc foarte pe scurt. Primul se referă la informarea organizației; doi – monitorizarea modalității în care organizația, operatorul respectă legislația; emiterea de recomandări la trei; patru – gestionarea relației cu autoritatea (ne-am mai referit în dezbatere la acest lucru); cinci – respectarea principiului obiectivității; șase – asigurarea și gestionarea registrului de evidență a datelor cu caracter personal; șapte – gestionarea și coordonarea resurselor umane financiare, tehnice necesare realizării sarcinilor; opt – dezvoltarea profesională continuă; nouă – monitorizarea aplicării instrumentelor și metodelor de îmbunătățire a eficacității sistemului de managament al securității informatice; zece – analiza și evalarea riscurilor de prelucrare. Aș vrea să ne referim și în special o să-l rog pe domnul profesor Săvescu să-și spună opinia, dar nu numai pe pct. 6 din acest capitol la „Competențe și deprinderi” și anume: Asigurarea și gestionarea registrului de evidență a prelucrării datelor cu caracter personal. Cum vedeți această competență și atribuție raportată la dispozițiile din Regulament 37-39 al responsabilului cu protecția datelor.
Andrei Săvescu: Aceasta este o întrebare de tipul „Mănăstire într-un picior, ghici ciupercă ce-i?”, pentru că pct. 6 și 7 din Standarde exced dispozițiile Regulamentului, îl și văd pe DPO gestionând registrul de evidență. Nici vorbă, nu aceasta este concepția. Și gestionând și coordonând resurse umane, financiare necesare realizării… .El nu gestionează săracul nimic. El cere de la operator. Lui trebuie să i se asigure chestiunile respective. Dar pct. 6 este vădit, dar probabil din cauza vitezei. Acest pct. 6 cred că vine să… , cine a făcut acest standard ocupațional, o prestigioasă casă de avocatură de altfel, probabil că s-a gândit să contracareze cumva faptul că DPO este greu de ucis. Adică această atribuție ar putea să ajute un operator să îndepărteze un DPO. Altminteri, acum nu eu sunt moderator, dar ca o provocare de final încercați să vă imaginați care ar fi criteriile de evaluare? Care ar fi indicatorii de performanță profesională pentru un DPO? Ce criterii de evaluare a activității profesionale poți să-i spui unui DPO, că indisciplinat probabil că n-o să fie. Adică să vină la servici și n-o să scuipe pe jos probabil și n-o să se bată cu colegii. Dar altminteri, eu spun cui stă să mă asculte, că dacă sunteți salariați și reușiți să prindeți un job de DPO, l-ați prins de Dumnezeu de picior. Este un job for life. În plus, acceptați orice salariu inițial, pentru că o să vi-l măriți după aceea. E atât de greu, de complicat job-ul încât o să puteți să arătați o anumită disproporție între activități și resurse. Nu, glumesc în parte în legătură cu aceasta. Întrebarea ar fi, care ar fi niște criterii de evaluare? Măcar unul-două dacă ar putea exista niște criterii evaluare a performaței profesionale a DPO.
Gabriel Uluitu: Trebuie să existe.
Andrei Săvescu: Da, da. Trebuie să existe.
Gabriel Uluitu: Unul este așa că ai întrebat… .
Andrei Săvescu: Lipsa amenzilor.
Gabriel Uluitu: Nu. Eficacitatea sau timpul de care are nevoie pentru a răspunde solicitărilor specifice, pentru că el trebuie să fie extrem – extrem de rapid în reacție. Și acesta ar fi un criteriu.
Laurențiu Petre: Respectarea termenilor.
Gabriel Uluitu: Da, dar unitatea timp este un criteriu de evaluare, cred că important din ce mi s-a părut mie în referirile la specificul activității. Și pot fi și altele.
Andrei Săvescu: Să vină la timp la servici.
Gabriel Uluitu: Aceasta nu, evident. Ar contraveni statutului său preferențial.
Andrei Săvescu: Și dacă mai este și funcționar public, doamna Alexe, s-a terminat. Gata!
Irina Alexe: Nu, domnul Săvescu.
Andrei Săvescu: De ce? Funcția de DPO funcționează prin deces. Este riscant să vrei să-l pensionezi. Glumesc!
Irina Alexe: Acum trebuie să fim foarte fermi și să spunem că funcționarii avem condiții prevăzute de lege și proceduri pentru ca funcționarii să răspundă pentru încălcarea atribuțiilor de serviciu, dar în egală măsură trebuie să avem autorități competente să asigure respectarea garanțiilor pe cae legea le prevede pentru funcționarul public și să procedăm în mod legal, astfel încât sancțiunile pe care le propune comisia de disciplină sau sancțiunile pe care le aplică în final conducătorul organizației, să respecte prevederile legii.
Laurențiu Petre: Încercăm să concluzinăm. Dacă mai aveți alte aspecte de spus. Ar mai fi multe lucruri de discutat despre responsabil. Suntem în plin proces de discuții pe acest aspect și nu numai, pe întreg Regulamentul. Așteptăm cu nerăbdare data de 25 mai. Dacă mai aveți ceva de spus, ceva de adăugat?
Gabriel Uluitu: Doar să vă urez și să le urez celor care ne privesc: Paște fericit și pe cât posibil liniștit!
Laurențiu Petre: Vă mulțumim!
Andrei Săvescu: Eu aș avea două recomandări opuse, sugestii pentru salariați și angajatori. Dacă sunteți salariați doriți-vă acest job! Să-și dorească neapărat. Este un job foarte bun job-ul de DPO. Iar dacă sunteți angajator, ar fi mai prudent ca DPO-ul dacă nu este fratele patronului, ar fi mai bine să fie un prestator extern măcar, pentru pretestatorul extern nu este apărat de dispozițiile de Dreptul muncii în ce privește oprirea contractului.
Laurențiu Petre: Doamne Alexe, mai doriți să adăugați ceva?
Irina Alexe: Doar că vă salutăm și noi de aici de la Galați, în această oră destul de târzie. Vă mulțumim pentru invitație, pentru dezbateri împreună cu cursanții noștri de la programul „Post universitar” și vă dorim tuturor sărbători frumoase!
Laurențiu Petre: De aici de la București, doresc și eu privitorilor JURIDICE.ro și celor care ne-au urmărit, sărbători fericite și să ne auzim cu bine după Paște. O seară bună! Mulțumim!
[/restrict]