Responsabilul cu protectia datelor 1

Responsabilul cu protectia datelor potrivit GDPR

6 minute • Redactia • 11 martie 2018


Regulamentul General privind Protecția Datelor (RGPD) ce se va aplica în România la data de 25 mai 2018 oferă un cadru legal modernizat, de conformitate bazat de responsabilitatea pentru protecția datelor în Europa.

Responsabilul cu protecția datelor (DPO) va reprezenta centrul acestui nou cadru juridic pentru multe organizații, facilitând respectarea prevederilor RGPD.

Potrivit RGPD, este obligatoriu ca anumiți operatori și persoane împuternicite de operatori să desemneze un DPO . Aceasta va fi situația pentru toate autoritățile și organismele publice (indiferent de tipul datelor prelucrate) și pentru celelalte organizații care – ca și activitate principală – monitorizează în mod sistematic și pe scară largă persoanele fizice sau prelucrează categorii speciale de date cu caracter personal pe scară largă.

 

În ce situații este obligatorie desemnare unui DPO?

a) atunci când prelucarea este efectuată de o autoritate publică sau un organism public

b) atunci când activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrarea care necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă

c) atunci când activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date sau a unor categorii de date cu caracter personal privind condamnări penale și infracțiuni.

Prelucrarea pe scară largă

Pentru a se stabili dacă prelucrarea este efectuată pe scară largă trebuie să se ia în calcul anumite următoarele:

  • numărul persoanelor vizate – ori un număr exact ori un procent din populația relevantă
  • volumul datelor și/sau gama de elemente diferite de date în curs de prelucrare
  • durata sau permanența activității de prelucrare a datelor
  • suprafața geografică a activității de prelucrare

Exemple de prelucrări pe scară largă includ:

  • prelucrarea datelor pacienților în activitatea regulată a unui spital
  • prelucrarea datelor de călătorie a unei persoane fizice ce utilizează sistemul de transport public (spre exemplu urmărire cu ajutorul cardurilor de călătorie)
  • prelucrarea în timp real a datelor de geolocalizare a clienților unei rețele internaționale de fast food în scopuri statistice de către o persoană împuternicită de operator specializată în furnizarea serviciilor de acest tip
  • prelucrarea datelor clienților în activitatea regulată a unei companii de asigurări sau a unei bănci
  • prelucrarea datelor personale de către un motor de căutare în scop de publicitate comportamentală
  • prelucrarea datelor (conținut, trafic, localizare) de către furnizorii de telefonie sau servicii de Internet

Exemple ce nu constituie de prelucrări pe scară largă includ:

  • prelucrarea datelor pacientului de către un medic individual
  • prelucrarea datelor personale referitoare la condamnările penale și infracțiuni de către un avocat individual

Monitorizarea periodică și sistematică

Noțiunea de monitorizare periodică și sistematică a persoanelor vizate nu este definită în RGPD, dar conceptul de „monitorizare a comportamentului persoanelor vizate” include în mod clar toate formele de urmărire și profilarea pe Internet, inclusiv în scop de publicitate comportamentală.

Cu toate acestea, noțiunea de monitorizare nu este restrictionată în mediul online, iar urmărirea online ar trebui să fie considerată doar ca un exemplu de monitorizare a comportamentului persoanelor vizate.

Exemple de activități care pot constitui o monitorizare periodică și sistematică a persoanelor vizate: operarea unei rețele de telecomunicații;

  • furnizarea de servicii de telecomunicații;
  • e-mail de direcționare repetată;
  • activități de marketing bazate pe date;
  • profilare și scoring în scopul evaluării riscurilor (de exemplu, în scopul de credit scoring, stabilirea primelor de asigurare, de prevenire a fraudelor, detectarea spălării banilor);
  •  urmărirea locației, spre exemplu, prin aplicații mobile;
  • programe de loialitate;
  • publicitate comportamentală;
  • monitorizarea wellness, fitness și a datelor de sănătate prin intermediul dispozitivelor portabile; televiziune cu circuit închis;
  • dispozitive conectate spre exemplu, contoare inteligente, mașini inteligente, automatizare acasă, etc.

Cine poate fi numit responsabil cu protecția datelor?

Art. 37(5) prevede că DPO „este desemnat pe baza calităților profesionale și, în special, a cunoștințelor de specialitate în dreptul și practicile în domeniul protecției datelor, precum și pe baza capacității de a îndeplini sarcinile prevăzute la art. 39”

Firma are de ales între a angaja un responsabil cu protecția datelor intern – pe bază de contract de muncă (situație în care persoana respectivă trebuie să aibă studii juridice, dar și cunoștințe și experiență în protecția datelor) sau să contracteze cu un specialist, în baza unui contract de prestări servicii, ca de exemplu, cu un avocat.

În toate cazurile, trebuie ținut cont de faptul că desemnarea responsabilului cu protecția datelor trebuie să nu genereze un conflict de interese.

Potrivit Grupului de lucru art. 29, funcții din cadrul organizației cu care DPO poate intra în conflict sunt:

  • funcții de conducere (cum ar fi director executiv, director operațional, director financiar, șeful serviciului medical, șeful departamentului de marketing, șef departamentului de resurse umane sau șeful departamentului IT),
  • dar, în același timp, și alte funcții inferioare dacă acestea conduc la posibilitatea de a stabili scopurile și mijloacelor de prelucrare.

In plus, un conflict de interese poate apărea, de asemenea, de exemplu, în situația în care un DPO extern este rugat să reprezinte oporatorul sau persoana împuternicită de operator în instanță, în cazurile care implică probleme de protecție a datelor.

Atunci când o companie va desemna un responsabil pentru protecția datelor, aceasta va avea la dispoziție două variante: fie să numească pe cineva din cadrul firmei, fie să angajeze pe cineva din exteriorul ei. Însă în ambele cazuri va fi necesar ca responsabilul să aibă cunoștințe de specialitate în dreptul și practicile din domeniul protecției datelor.

Sursa: Data protection

Explicam GDPR pe intelesul tuturor! Scrie-ne cum te putem ajuta!

[wpforms id=”13083″]
Vrei sa afli si mai multe despre GDPR?

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *