Responsabilul cu protecția datelor ar trebui să aibă următoarele atribuții:
- Informarea, sfătuirea angajatorului și a celorlalți angajați, emiterea de recomandări către angajator, precum și către ceilalți angajați cu privire la obligaţiile care le revin în temeiul Regulamentului (EU) 2016/679 şi al altor dispoziţii de drept al Uniunii sau drept intern referitoare la protecţia datelor;
- Promovarea unei culturi a protecției datelor cu caracter personal în cadrul organizației;
- Organizarea de training-uri în vederea pregătirii și sensibilizării angajaților cu privire la prelucrarea datelor cu caracter personal;
- Participarea în mod regulat la ședințele conducerii unde se iau hotărâri cu implicații privind prelucrarea datelor și oferirea de opinii concrete și documentate;
- Colectarea informațiilor necesare pentru identificarea activităților de prelucrare;
- Colaborarea cu celelalte departamente precum HR, Juridic, IT, Securitate pentru a avea informațiile necesare îndeplinirii sarcinilor;
- Recomandări și sprijin concret în privința implementării cerințelor Regulamentului (EU) 2016/679, cum ar fi principiile prelucrării datelor, drepturile persoanei vizate, protecția datelor începând cu momentul conceperii și în mod implicit, păstrarea evidenței activităților de prelucrare, securitatea și managementul adecvat al incidentelor de securitate;
- Monitorizarea respectării Regulamentului, a altor dispoziții de drept al Uniunii sau de drept intern referitoare la protecția datelor;
- Monitorizarea respectării politicilor tehnice și organizaționale ale operatorului;
- Monitorizarea efectuării auditurilor necesare;
- Alocarea responsabilităților, sensibilizarea și formarea personalului implicat în operațiunile de prelucrare;
- Informarea organizației dacă este obligatorie sau necesară efectuarea unei evaluări de impact privind protecția datelor cu caracter personal, potrivit art. (35) din Regulament;
- Recomandări concrete în privința metodologiei care trebuie urmată pentru efectuarea unei evaluări de impact;
- În situația în care organizația nu dispune de resursele necesare pentru efectuarea internă a evaluării de impact, va recomanda externalizarea acestui proces și va îndruma organizația în alegerea corectă a persoanelor specializate care pot efectua evaluarea de impact;
- Recomandarea măsurilor care trebuie implementate (inclusiv politici tehnice și organizatorice) pentru a atenua orice riscuri la adresa drepturilor și intereselor persoanelor vizate;
- Sprijinirea conceperii și actualizării constante a evidenței activităților de prelucrare, potrivit art. (30) din Regulament;
- Cooperarea cu Autoritatea de Supraveghere;
- Asumarea rolului de punct de contact pentru Autoritatea de Supraveghere privind aspectele legate de prelucrare, inclusiv consultarea prealabilă menționată la articolul 36, precum şi, dacă este cazul, consultarea cu privire la orice altă chestiune;
- Asumarea rolului de punct de contact cu persoanele vizate privire la toate chestiunile legate de prelucrarea datelor lor şi la exercitarea drepturilor lor în temeiul Regulamentului;
- Oferirea de sprijin concret în situația unui incident de securitate și oferirea de sprijin cu privire la notificarea Autorității/Autorităților de Supraveghere competentă/competente și a persoanelor vizate;
- Respectarea secretului și a confidențialității în ceea ce privește îndeplinirea sarcinilor sale;
- Monitorizarea și oferirea de sprijin concret în orice alt aspect legat de protecția datelor cu caracter personal, conform dispozițiilor legale în vigoare.