Articolul 25. Desemnarea persoanei responsabile cu protecția datelor – Legea 133/2011 privind protecția datelor cu caracter personal
(1) Operatorul și persoana împuternicită de operator desemnează o persoană responsabilă cu protecția datelor ori de câte ori:
a) prelucrarea este efectuată de o autoritate sau o instituție publică, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale;
b) activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a subiecților de date pe scară largă;
c) activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date.
(2) Un grup de întreprinderi poate desemna o persoană responsabilă cu protecția datelor unică, cu condiția ca persoana respectivă să fie ușor accesibilă de fiecare întreprindere.
(3) În cazul în care operatorul sau persoana împuternicită de operator este autoritate publică ori instituție publică, poate fi desemnată o persoană responsabilă cu protecția datelor unică pentru mai multe dintre aceste autorități sau instituții, luând în considerare structura organizatorică și dimensiunea acestora.
(4) Persoana responsabilă cu protecția datelor este desemnată pe baza calităților profesionale și, în special, a cunoștințelor de specialitate privind reglementările și practicile din domeniul protecției datelor, precum și pe baza capacității de a îndeplini sarcinile prevăzute la art. 252.
(5) Persoana responsabilă cu protecția datelor poate activa în cadrul operatorului sau al persoanei împuternicite de operator ori poate să își îndeplinească sarcinile în baza unui contract de prestare servicii.
(6) Operatorul sau persoana împuternicită de operator publică datele de contact ale persoanei responsabile cu protecția datelor și le comunică Centrului.
(7) În alte cazuri decât cele menționate la alin. (1), operatorul sau persoana împuternicită de operator, precum și asociațiile și alte instituții care reprezintă categorii de operatori sau de persoane împuternicite de operatori pot desemna sau, în cazul în care legislația prevede, desemnează obligatoriu o persoană responsabilă cu protecția datelor. Persoana responsabilă cu protecția datelor poate să acționeze în favoarea unor astfel de asociații și a altor instituții care reprezintă operatori sau persoane împuternicite de operatori.
[Art.25 în redacția LP175 din 11.11.21, MO302-306/10.12.21 art.431; în vigoare 10.01.22]
Articolul 251. Funcția responsabilului cu protecția datelor – Legea 133/2011 privind protecția datelor cu caracter personal
(1) Operatorul și persoana împuternicită de operator asigură că persoana responsabilă cu protecția datelor este implicată în mod corespunzător și în timp util în toate aspectele legate de protecția datelor cu caracter personal.
(2) Operatorul și persoana împuternicită de operator oferă suport persoanei responsabile cu protecția datelor în îndeplinirea sarcinilor indicate la art. 252, asigurându-i resursele necesare pentru executarea sarcinilor respective, pentru menținerea cunoștințelor sale de specialitate, precum și accesul către datele cu caracter personal și către operațiunile de prelucrare.
(3) Operatorul și persoana împuternicită de operator asigură că persoana responsabilă cu protecția datelor nu primește instrucțiuni cu privire la îndeplinirea sarcinilor. Aceasta nu poate fi demisă ori sancționată de operator sau de persoana împuternicită de operator pentru îndeplinirea sarcinilor sale. Persoana responsabilă cu protecția datelor răspunde direct în fața celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator.
(4) Subiecții de date pot contacta persoana responsabilă cu protecția datelor cu privire la chestiunile legate de prelucrarea datelor acestora și la exercitarea drepturilor lor în temeiul prezentei legi.
(5) Persoana responsabilă cu protecția datelor are obligația de a respecta secretul sau confidențialitatea privind îndeplinirea sarcinilor, în conformitate cu actele normative.
(6) Persoana responsabilă cu protecția datelor poate îndeplini și alte sarcini și atribuții. Operatorul sau persoana împuternicită de operator asigură că niciuna dintre aceste sarcini și atribuții nu generează un conflict de interese.
[Art.251 introdus prin LP175 din 11.11.21, MO302-306/10.12.21 art.431; în vigoare 10.01.22]
Articolul 252. Sarcinile persoanei responsabile cu protecția datelor- Legea 133/2011 privind protecția datelor cu caracter personal
(1) Persoana responsabilă cu protecția datelor are cel puțin următoarele sarcini:
a) informarea și consilierea operatorului sau a persoanei împuternicite de operator, precum și a angajaților care se ocupă de prelucrarea datelor cu privire la obligațiile care le revin în temeiul prezentei legi și al altor acte normative;
b) monitorizarea respectării prezentei legi și a altor acte normative referitoare la protecția datelor și a politicilor operatorului sau ale persoanei împuternicite de operator în ceea ce privește protecția datelor cu caracter personal, precum și atribuirea responsabilităților, inclusiv privind acțiunile de sensibilizare și de formare a personalului implicat în operațiunile de prelucrare și privind auditurile aferente;
c) oferirea consilierii la cerere în ceea ce privește evaluarea impactului asupra protecției datelor și monitorizarea funcționării acesteia;
d) cooperarea cu Centrul;
e) asumarea rolului de punct de contact pentru Centru privind aspectele legate de prelucrarea datelor, inclusiv consultarea prealabilă, precum și, după caz, consultarea cu privire la alte chestiuni.
(2) În îndeplinirea sarcinilor, persoana responsabilă cu protecția datelor ține cont, în mod corespunzător, de riscul asociat operațiunilor de prelucrare, luând în considerare natura, domeniul de aplicare, contextul și scopurile prelucrării.
[Art.252 introdus prin LP175 din 11.11.21, MO302-306/10.12.21 art.431; în vigoare 10.01.22]