Author: Andra

RGPD. Ce firme vor fi obligate sa aiba un responsabil cu protectia datelor din 2018?

Regulamentul General privind Protecția Datelor (RGPD) ce se va aplica în România la data de 25 mai 2018 oferă un cadru legal modernizat, de conformitate bazat de responsabilitate pentru protecția datelor în Europa.

Responsabilul cu protecția datelor (DPO) va reprezenta centrul acestui nou cadru juridic pentru multe organizații, facilitând respectarea prevederilor RGPD.

Potrivit RGPD, este obligatoriu ca anumiți operatori și persoane împuternicite de operatori să desemneze un DPO2 . Aceasta va fi situația pentru toate autoritățile și organismele publice (indiferent de tipul datelor prelucrate) și pentru celelalte organizații care – ca și activitate principală – monitorizează în mod sistematic și pe scară largă persoanele fizice sau prelucrează categorii speciale de date cu caracter personal pe scară largă.

 În ce situații este obligatorie desemnare unui DPO?

a) atunci când prelucarea este efectuată de o autoritate publică sau un organism public;

b) atunci când activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrarea care necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă;

c) atunci când activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date sau a unor categorii de date cu caracter personal privind condamnări penale și infracțiuni.

 

Ce înseamnă prelucrare pe scară largă?

Pentru a se stabili dacă prelucrarea este efectuată pe scară largă trebuie să se ia în calcul anumite următoarele:

  • numărul persoanelor vizate – ori un număr exact ori un procent din populația relevantă
  • volumul datelor și/sau gama de elemente diferite de date în curs de prelucrare
  • durata sau permanența activității de prelucrare a datelor
  • suprafața geografică a activității de prelucrare

Exemple de prelucrări pe scară largă includ:

  • prelucrarea datelor pacienților în activitatea regulată a unui spital
  • prelucrarea datelor de călătorie a unei persoane fizice ce utilizează sistemul de transport public (spre exemplu urmărire cu ajutorul cardurilor de călătorie)
  • prelucrarea în timp real a datelor de geolocalizare a clienților unei rețele internaționale de fast food în scopuri statistice de către o persoană împuternicită de operator specializată în furnizarea serviciilor de acest tip
  • prelucrarea datelor clienților în activitatea regulată a unei companii de asigurări sau a unei bănci
  • prelucrarea datelor personale de către un motor de căutare în scop de publicitate comportamentală
  • prelucrarea datelor (conținut, trafic, localizare) de către furnizorii de telefonie sau servicii de Internet

Exemple ce nu constituie de prelucrări pe scară largă includ:

  • prelucrarea datelor pacientului de către un medic individual
  • prelucrarea datelor personale referitoare la condamnările penale și infracțiuni de către un avocat individual

Ce înseamnă monitorizarea periodică și sistematică?

Noțiunea de monitorizare periodică și sistematică a persoanelor vizate nu este definită în RGPD, dar conceptul de „monitorizare a comportamentului persoanelor vizate” include în mod clar toate formele de urmărire și profilarea pe Internet, inclusiv în scop de publicitate comportamentală.

Cu toate acestea, noțiunea de monitorizare nu este restrictionată în mediul online, iar urmărirea online ar trebui să fie considerată doar ca un exemplu de monitorizare a comportamentului persoanelor vizate.

Exemple de activități care pot constitui o monitorizare periodică și sistematică a persoanelor vizate:

  • operarea unei rețele de telecomunicații;
  • furnizarea de servicii de telecomunicații;
  • e-mail de direcționare repetată;
  • activități de marketing bazate pe date;
  • profilare și scoring în scopul evaluării riscurilor (de exemplu, în scopul de credit scoring, stabilirea primelor de asigurare, de prevenire a fraudelor, detectarea spălării banilor);
  •  urmărirea locației, spre exemplu, prin aplicații mobile;
  • programe de loialitate;
  • publicitate comportamentală;
  • monitorizarea wellness, fitness și a datelor de sănătate prin intermediul dispozitivelor portabile; televiziune cu circuit închis;
  • dispozitive conectate spre exemplu, contoare inteligente, mașini inteligente, automatizare acasă, etc.

Cine poate fi numit responsabil cu protecția datelor?

Art. 37(5) prevede că DPO „este desemnat pe baza calităților profesionale și, în special, a cunoștințelor de specialitate în dreptul și practicile în domeniul protecției datelor, precum și pe baza capacității de a îndeplini sarcinile prevăzute la art. 39”

Firma are de ales între a angaja un responsabil cu protecția datelor intern – pe bază de contract de muncă (situație în care persoana respectivă trebuie să aibă studii juridice, dar și cunoștințe și experiență în protecția datelor) sau să contracteze cu un specialist, în baza unui contract de prestări servicii,  de exemplu, cu un avocat.

În toate cazurile, trebuie ținut cont de faptul că desemnarea responsabilului cu protecția datelor trebuie să nu genereze un conflict de interese.

Potrivit Grupului de lucru art. 29, funcții din cadrul organizației cu care DPO poate intra în conflict sunt:

  • funcții de conducere (cum ar fi director executiv, director operațional, director financiar, șeful serviciului medical, șeful departamentului de marketing, șef departamentului de resurse umane sau șeful departamentului IT),
  • alte funcții inferioare dacă acestea conduc la posibilitatea de a stabili scopurile și mijloacelor de prelucrare.

Ce atributii are un responsabil cu protectia datelor?

  • informarea și consilierea firmei și a angajaților care se ocupă de prelucrare referitor la obligațiile legale care le revin privind protecția datelor;
  • monitorizarea respectării legislației protecției datelor și a politicilor companiei în ceea ce privește protecția datelor, inclusiv alocarea responsabilităților și acțiunile de sensibilizare și de formare a personalului implicat în operațiunile de prelucrare, precum și auditurile aferente;
  • furnizarea de consiliere la cerere în ceea ce privește evaluarea impactului asupra protecției datelor și monitorizarea funcționării acesteia;
  • cooperarea cu autoritatea de supraveghere a țării, dar și asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare și consultarea cu privire la orice altă chestiune.

Responsabilul cu protecția datelor nu trebuie să primească niciun fel de instrucțiuni pentru îndeplinirea sarcinilor sale si nu va putea fi demis sau sancționat pentru îndeplinirea sarcinilor pe care le are.

 

Av. Mihaela Ruxandra Sava

Data Protection Specialist

0745.073.156

avruxandrasava@gmail.com

 

SURSA

http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_en_40855.pdf