BULETIN LEGISLATIV – RESPONSABILUL PENTRU PROTECTIA DATELOR

I. GDPR si DPO

Din 25 mai 2018 toate statele membre UE (inclusiv Romania) au obligatia sa aplice direct Regulamentul (UE) 2016/679 privind protecția persoanelor fizice privind prelucrarea datelor cu caracter personal ( denumit in continuare: “Regulamentul General privind Protecția Datelor” sau “GDPR”).

Un element de noutate pe care acest act normativ european îl aduce îl reprezintă instituirea obligativității desemnării la nivelul diversilor operatori economici sau a persoanei împuternicite a operatorului economic, în anumite cazuri, a unui responsabil cu protecția datelor. ( denumit in continuare: “DPO”)

II. CAZURILE ÎN CARE ESTE OBLIGATORIE DESEMNAREA UNUI RESPONSABIL CU PROTECȚIA DATELOR (DPO).

Desemnarea responsabilului cu protectia datelor (DPO) va fi obligatorie atunci cand:

1. Prelucrarea datelor cu caracter personal este efectuată de o autoritate publică sau un organism public (cu excepția instanțelor de judecata);

2. Activitățile principale ale operatorului economic sau ale persoanei împuternicite de operator constau în operațiuni de prelucrarea a datelor cu caracter personal care necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă;

3. Activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date sau a unor categorii de date cu caracter personal privind condamnări penale și infracțiuni

Astfel pe langa autoritatile si organismele publice (care trebuie sa desemneze un DPO indiferent de datele prelucrate) societatile comerciale au obligatia de a desemna un DPO in cazul in care:

(i) Activitatea lor principala implica si/sau este indisolubil legata de prelucrarea datelor;

Nu este necesar ca această activitate principală să fie prestată prin mijloace proprii – o firmă cu un singur angajat și care subcontractează toată activitatea se poate încadra la obligația de a numi un responsabil cu protecția datelor dacă îndeplinește una dintre cele două condiții de mai jos.

(ii) Prelucrarea datelor necesita o monitorizarea periodica si sistematica a persoanelor

„Monitorizarea periodică și sistematică” presupune toate formele de urmărire și profilare pe Internet, inclusiv în scop de publicitate comportamentală, nefiind însă restrictionată în mediul online. La fel o activitatea trebuie sa fie continuă și recurentă si sa implice prelucrări de date.

(iii) Activitatea de prelucrare a datelor se realizeaza pe scara larga

Pentru a se stabili dacă o prelucrare este realizata sau nu pe scară largă trebuie ținut cont de 4 criterii:
numărul persoanelor vizate – un număr exact ori un procent din populația relevantă;
volumul datelor și/sau gama de elemente diferite de date în curs de prelucrare;
durata sau permanența activității de prelucrare a datelor;
suprafața geografică a activității de prelucrare.

Cu titlu de exemplu aratam ca vor avea obligatia de a numi un DPO:

  • spitalele, clinicile private – care trebuie să prelucreze datele de sănătate ale pacienților pentru a putea oferi asistență medicală într-un mod adecvat.
  • firmele de securitate care supraveghează centre comerciale și spații publice, din moment ce activitatea lor este strâns legată de prelucrarea datelor personale;
  • companiile de transport public, ce prelucrează datele deplasărilor călătorilor proprii ( de ex. prin urmărirea cu ajutorul cardurilor de călătorie);
  • societatile care au ca activitate urmărirea locației, spre exemplu prin aplicații mobile (geolocalizare); prelucrarea în timp real a datelor de geolocalizare a clienților unei rețele internaționale de fast food în scopuri statistice de către o persoană împuternicită de operator specializată în furnizarea serviciilor de acest tip;
  • societățile de asigurări sau băncile, ce prelucrează datele clienților proprii în activitatea lor regulată; profilare și scoring în scopul evaluării riscurilor (de exemplu, în scopul acordării unui credit, stabilirea primelor de asigurare, de prevenire a fraudelor, detectarea spălării banilor);
  • furnizorii de telefonie și internet, ce prelucrează datele de conținut, trafic și localizare ale clienților proprii; gestioneaza rețele de telecomunicații
  • magazine online;
  • societatile care realizeaza activitățile de marketing bazate pe date, urmărirea locației cu ajutorul aplicațiilor mobile, monitorizarea datelor de sănătate cu dispozitive portabile sau chiar dispozitivele conectate (contoare inteligente, mașini inteligente, automatizările de acasă etc.);
  • desfășurarea de programe de loialitate;
  • televiziune cu circuit închis – CCTV;
  • publicitate comportamentală.

(iv) Au ca activități principale prelucrarea pe scară largă a unor categorii speciale de date, care: “dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice”.

Nu este necesară desemnarea unui responsabil cu protecţia datelor atunci când nu se prelucrează pe scară largă date cu caracter personal.Spre exemplu prelucrarea datelor pacientului de către un cabinet medical individual;

III. CINE POATE FI DPO?.

Cand o companie va desemna un responsabil pentru protecția datelor, aceasta va avea la dispoziție două variante: fie să numească pe cineva din cadrul firmei ( de ex. un salariat – deși astăzi în România nu există un cod COR pentru aceasta activitate), fie să angajeze pe cineva din exteriorul ei.

DPO nu poate deține o poziție în cadrul organizației care ar conduce la posibilitatea ca acesta să stabilească scopurile și mijloacele de prelucrare a datelor cu caracter personal, aspect ce se analizeaza de la caz la caz, in functie de structura organizațională specifică fiecărei organizații.

Ca regulă generală, funcții din cadrul organizației cu care poate intra în conflict un DPO pot include funcții de conducere (cum ar fi director executiv, director operațional, director financiar, șeful serviciului medical, șeful departamentului de marketing, șef departamentului de resurse umane sau șeful departamentului IT), dar, în același timp, și alte funcții inferioare dacă acestea conduc la posibilitatea de a stabili scopurile și mijloacelor de prelucrare.

În plus, un conflict de interese poate apărea, de asemenea, de exemplu, în situația în care un DPO extern este rugat să reprezinte oporatorul sau persoana împuternicită de operator în instanță, în cazurile care implică probleme de protecție a datelor.

IV. ATRIBUTIILE SI RESPONSABILITATILE DPO

DPO trebuie să aibă cunoștințe de specialitate în dreptul și practicile din domeniul protecției datelor.
DPO este desemnat pe baza calităților profesionale și, în special, a cunoștințelor de specialitate în dreptul și practicile protecției datelor, precum și pe baza capacității de a îndeplini sarcinile sale (Art. 37(5) din GDPR).

Nu se prevad insa concret care sunt calitatile profesionale solicitate acestui DPO ci doar se recomanda ca nivelul necesar al cunoștințelor sale de specialitate să fie stabilit în funcție de operațiunile de prelucrare a datelor efectuate și de nivelul de protecție impus pentru datele cu caracter personal prelucrate.

DPO acționează ca intermediar între părțile interesate relevante (de exemplu autoritățile de supraveghere, persoanele vizate și unitățile de afaceri din cadrul unei organizații).

DPO nu este personal responsabil în caz de nerespectare a GDPR, responsabilitatea apartinand tot operatorului sau persoanei împuternicită de operator care trebuie să se asigure și să fie în măsură să demonstreze că prelucrarea este efectuată în conformitate cu dispozițiile Regulamentului (art. 24(1) din GDPR).

DPO nu trebuie să primească niciun fel de instrucțiuni pentru îndeplinirea sarcinilor sale. Pe deasupra, acesta  nu va putea fi demis sau sancționat pentru îndeplinirea sarcinilor pe care le are si va răspunde direct în fața celui mai înalt nivel al conducerii companiei sau entității in numele careia prelucrează date.

DPO se va ocupa de sarcini precum:

  • informarea și consilierea firmei și a angajaților care se ocupă de prelucrare referitor la obligațiile legale care le revin privind protecția datelor;
  • monitorizarea respectării legislației protecției datelor și a politicilor companiei în ceea ce privește protecția datelor, inclusiv alocarea responsabilităților și acțiunile de sensibilizare și de formare a personalului implicat în operațiunile de prelucrare, precum și auditurile aferente;
  • furnizarea de consiliere la cerere în ceea ce privește evaluarea impactului asupra protecției datelor și monitorizarea funcționării acesteia;
  • cooperarea cu autoritatea de supraveghere a țării, dar și asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare și consultarea cu privire la orice altă chestiune.
  • DPO este invitat să participe în mod regulat la ședințele conducerii la nivel înalt și la nivel mediu. Prezența DPO este recomandată în cazul în care se iau decizii cu implicații asupra protecției datelor.
  • Toate informațiile relevante trebuie să fie transmise DPO în timp util pentru a permite ca acesta să ofere o consiliere corespunzătoare. Avizului DPO trebuie să i se acorde întotdeauna o importanță deosebită. În caz de dezacord se recomandă, ca bună practică, documentarea motivelor pentru care nu a fost urmat avizul DPO.
  • DPO trebuie să fie consultat cu promptitudine imediat ce a avut loc o încălcare a securității datelor sau un alt incident.Art. 37(7) din GDPR impune operatorului sau persoanei împuternicite de operator: să publice datele de contact ale DPO si să le comunice autorităților de supraveghere relevante.

V. SANCTIUNI

Entitățile ce nu vor respecta obligația de a desemna un responsabil cu protecția datelor (DPO) vor risca amenzi drastice, amenzi administrative de până la zece milioane de euro sau, în cazul întreprinderilor, de până la 2% din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior. (art. 37 coroborat cu art. 83 alin.4 lit.a) din GDPR).

Verificari si sanctiuni pot si realizate de Autoritatea Nationala pentru Supravegherea Prelucrării Datelor cu Caracter Personal.

SCA Crisan si Boncaciu
Av. Cristina Boncaciu

About the Author

alex.pop
alex.pop
administrator