Ghiduri
DPO (responsabilul cu protecția datelor): când e obligatoriu pentru firma ta și ce face, de fapt
Nu orice firmă are nevoie de un DPO, dar multe cred greșit că sunt obligate, sau că nu sunt. Vezi cele trei cazuri clare din GDPR, ce face un responsabil cu protecția datelor și cum îl declari la ANSPDCP.
Un client mare îți cere „să ai un DPO". Te uiți la firma ta de zece oameni și nu știi dacă e ceva ce ești obligat să faci, ceva ce ți-ar prinde bine sau o cheltuială pe care o poți amâna. Iar pe internet găsești fie panică, orice firmă ar avea nevoie de DPO, fie liniștire falsă, e doar pentru corporații.
Adevărul e la mijloc și e clar în lege. DPO, responsabilul cu protecția datelor, e obligatoriu doar în câteva situații precise, poate fi un angajat sau o firmă externă, iar a-l numi nu te face automat conform cu GDPR. Vei vedea exact când ești obligat, ce face un DPO, ce calificări cere legea și ce mituri te costă timp și bani. Acesta este un ghid general, nu o consultanță juridică pentru cazul tău.
Ce este, pe scurt, un DPO
DPO (Data Protection Officer), în română responsabilul cu protecția datelor, este persoana care supraveghează modul în care firma ta respectă regulile de protecție a datelor. Nu ia el deciziile despre prelucrări, ci consiliază, monitorizează conformarea și ține legătura cu autoritatea, ANSPDCP. Pe scurt, e consilierul tău pe GDPR, cu un rol protejat prin lege, ca să poată spune adevărul fără să fie sancționat pentru asta.
Când ești obligat să ai un DPO
GDPR, prin articolul 37, impune un DPO doar în trei cazuri. Dacă te regăsești în oricare dintre ele, numirea e obligatorie. Dacă nu, poți numi unul voluntar, dar nu ești obligat.
Autoritate sau organism public
Ești o instituție sau un organism public, cu excepția instanțelor care acționează în exercitarea funcției judiciare. Aici DPO este mereu obligatoriu.
Monitorizare sistematică pe scară largă
Activitățile tale principale presupun monitorizarea regulată și sistematică a persoanelor pe scară largă: urmărirea comportamentului online, profilare amplă, supraveghere video extinsă.
Date sensibile sau penale pe scară largă
Activitățile tale principale constau în prelucrarea pe scară largă a datelor sensibile (de sănătate, biometrice și altele) sau a datelor privind condamnări și infracțiuni.
Două expresii contează enorm aici. „Activități principale" înseamnă activitățile care țin de esența afacerii tale, nu funcțiile obișnuite de suport, cum ar fi plata salariilor. Iar „scară largă" se apreciază după numărul de persoane vizate, volumul de date, durata și aria geografică. O clinică ce prelucrează curent date de sănătate ale multor pacienți este un exemplu clasic în care DPO devine obligatoriu, în timp ce un magazin online mic, care doar își procesează comenzile, de regulă nu intră aici.
Specific România: CNP-ul și autoritățile publice
În România se adaugă o regulă proprie. Legea 190/2018, care pune în aplicare GDPR la nivel național, leagă prelucrarea codului numeric personal (CNP) pe temeiul interesului legitim de o serie de garanții, printre care și desemnarea unui responsabil cu protecția datelor. Pentru multe firme din România, care lucrează frecvent cu CNP-uri în contracte, facturi și evidențe, asta împinge balanța spre a avea un DPO, chiar dacă din cele trei cazuri generale nu ar fi fost clar obligate. Tot Legea 190/2018 permite ca un singur DPO să fie desemnat pentru mai multe autorități sau organisme publice.
A numi un DPO nu te face automat conform
DPO intern sau extern: ce alegi
Legea îți lasă libertatea. Articolul 37(6) spune că DPO poate fi un angajat al firmei sau o persoană externă, pe bază de contract de servicii. Pentru firmele mici, varianta externă, un DPO ca serviciu, este de multe ori mai practică și mai ieftină decât un post cu normă întreagă: plătești expertiza de care ai nevoie, fără salariu, taxe și formare continuă pentru un om dedicat. Indiferent de variantă, persoana trebuie să fie ușor de contactat, să aibă timp și resurse pentru rol și să nu fie în conflict de interese, adică să nu decidă ea însăși scopurile prelucrărilor pe care apoi tot ea le verifică.
Ce face un DPO și de ce e protejat prin lege
Atribuțiile DPO sunt enumerate în articolul 39: informează și consiliază firma și angajații despre obligațiile lor, monitorizează respectarea GDPR, oferă consiliere la evaluările de impact (DPIA) și este punctul de contact cu ANSPDCP. Ca să își poată face treaba onest, articolul 38 îi dă o poziție specială: este implicat din timp în chestiunile de protecție a datelor, raportează la cel mai înalt nivel de conducere, nu primește instrucțiuni despre cum să își exercite rolul și nu poate fi demis sau sancționat pentru că și-a făcut datoria. Cu alte cuvinte, este construit special ca să poată spune unde greșește firma, fără frică.
Ce calificări cere legea (și de ce nu există certificare obligatorie)
Articolul 37(5) cere ca DPO să fie ales pe baza „cunoștințelor de specialitate în dreptul și practicile din domeniul protecției datelor", pe măsura complexității și riscului prelucrărilor tale. Atât. Nu există în lege o certificare obligatorie, un curs anume sau cerința ca DPO să fie avocat. O certificare recunoscută poate ajuta să demonstrezi competența în fața unui client sau a autorității, dar nu e o condiție legală. Mai important decât o diplomă este să înțeleagă în profunzime atât regulile de protecție a datelor, cât și procesele reale ale firmei, inclusiv partea de IT și de securitate.
Mituri despre DPO, pe scurt
Mit: orice firmă trebuie să aibă DPO
Fals. Doar cele trei cazuri din articolul 37, plus situațiile din Legea 190/2018, impun un DPO. Multe firme mici nu sunt obligate.
Mit: DPO răspunde personal pentru breșe
Fals. Răspunderea rămâne la operator. DPO consiliază și monitorizează, iar legea îl protejează tocmai ca să nu fie țap ispășitor.
Mit: trebuie o certificare scumpă, obligatorie
Fals. Legea cere cunoștințe de specialitate, nu un certificat anume. Certificarea ajută, dar nu e impusă.
Mit: DPO trebuie să fie avocat
Fals. Poate fi orice persoană cu expertiza potrivită. Contează experiența în protecția datelor și înțelegerea proceselor, nu titlul.
De unde începi
Dacă nu ești sigur că intri în cele trei cazuri, fă întâi o evaluare onestă a prelucrărilor tale, exact informația pe care o strângi oricum în registrul de evidență a prelucrărilor. Vezi ghidul despre registrul de evidență a prelucrărilor și, dacă vrei să înțelegi ce te poate costa lipsa măsurilor de bază, citește despre amenzile GDPR din 2025. Iar dacă firma ta intră sub NIS2, rolul de protecție a datelor se suprapune cu obligațiile de securitate, despre care vorbim în ghidul despre NIS2 pentru IMM și furnizori.
Vrei un DPO extern, fără bătăi de cap
Întrebări frecvente
Orice firmă trebuie să aibă un DPO?
Nu. GDPR impune un responsabil cu protecția datelor doar în trei situații (articolul 37): ești o autoritate sau un organism public; activitățile tale principale presupun monitorizarea sistematică, pe scară largă, a persoanelor; ori prelucrezi pe scară largă date sensibile (de sănătate, biometrice și altele) sau date privind condamnări penale. Multe firme mici nu sunt obligate, dar pot numi voluntar un DPO. În România, Legea 190/2018 cere în plus un DPO în anumite cazuri legate de prelucrarea CNP-ului pe bază de interes legitim.
DPO-ul trebuie să fie angajat sau poate fi extern?
Poate fi oricare. Articolul 37(6) din GDPR spune clar că DPO poate fi un angajat al firmei sau o persoană externă, pe bază de contract de servicii. Pentru firmele mici, varianta externă e des mai practică și mai ieftină decât un post cu normă întreagă, atât timp cât persoana e ușor de contactat și are independența cerută de lege. Important: trebuie să publici datele de contact ale DPO și să le comunici la ANSPDCP.
Ce calificare oficială trebuie să aibă un DPO?
Legea cere „cunoștințe de specialitate în dreptul și practicile din domeniul protecției datelor" (articolul 37(5)), pe măsura riscului prelucrărilor tale. Nu există însă o certificare obligatorie prin lege și DPO nu trebuie să fie avocat. Un curs sau o certificare pot ajuta să demonstrezi competența, dar nu sunt o condiție legală. Contează experiența reală și înțelegerea proceselor firmei, inclusiv a celor IT și de securitate.
Răspunde DPO-ul personal pentru o breșă de date?
Nu. Răspunderea pentru conformare rămâne la operator sau la persoana împuternicită, nu la DPO. Rolul DPO este să informeze, să consilieze, să monitorizeze conformarea și să fie punct de contact cu ANSPDCP (articolul 39). În plus, articolul 38 îl protejează: nu poate primi instrucțiuni privind modul de a-și exercita atribuțiile și nu poate fi demis sau sancționat pentru că și-a făcut treaba. A numi un DPO nu te face automat conform, dar te ajută să ajungi acolo.
Citește și
GhiduriRegistrul de prelucrări GDPR: cine e obligat să-l țină
Mulți cred că, dacă au sub 250 de angajați, nu trebuie să țină registrul de prelucrări. Greșit, din cauza a trei excepții. Vezi cine e obligat, ce conține registrul operatorului și al persoanei împuternicite și cum îl ții corect.
GhiduriNIS2 pentru IMM: ești obligat? Test rapid și ce faci
Toată lumea vorbește despre NIS2, dar nimeni nu îți spune clar dacă te aplică pe tine. Vezi un test rapid pentru IMM și furnizori, ce obligații ai și de unde începi, fără jargon juridic.
AmenințăriAmenzi GDPR 2025: firme sparte, sancțiuni reale
O firmă spartă nu plătește doar incidentul. Plătește și amenda GDPR care vine după. Iată cazurile reale din România și cele patru greșeli care apar mereu în deciziile ANSPDCP.