Sunt obligat să am DPO?

Sunt obligat să numesc un DPO?

Răspunsul pe scurt: cel mai probabil, nu.

Test rapid pentru pentu necesitatea unui DPO

Pentru a vedea dacă trebuie să numiți un DPO, efectuați următorul test de numire DPO.

Situația 1:

  • Prelucrați date speciale sau date din sfera penalului; sau efectuați o monitorizare periodică și sistematică;

  • Aceste activități sunt legate de activitatea principală a companiei;

  • Aceste activități sunt efectuate la scară largă.

Situația 2:

  • Prelucrați CNP pe baza interesului legitim al companiei.

Dacă ați bifat toate afirmațiile din situația 1 sau ați bifat situația 2, atunci trebuie să numiți un DPO. În caz contrar, nu aveți această obligație.

Înainte de toate… ce este DPO-ul?

DPO-ul (Data Protection Officer) sau cum s-ar traduce în română RPD (Responsabil cu Protecția Datelor) este persoana din cadrul companiei (sau din afara acesteia, în baza un contract de prestări servicii):

  1. care are atribuții în protecția datelor cu caracter personal; și
  2. care este numită ca DPO la autoritatea competentă (ANSPDCP - Autoritatea Națională de Supraveghere a Prelucrării Datelor).

Cu toate că există un mit ca DPO-ul este obligatoriu pentru toate companiile, GDPR-ul nu prevede aceasta obligație absolută și generală. Astfel, potrivit GDPR (art. 37), numirea unui DPO este obligatorie doar în unul dintre următoarele cazuri (alternativ):

  1. prelucrarea este efectuată de o autoritate sau un organism public, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale;

  2. activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă; sau

  3. activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date, sau a unor date cu caracter personal privind condamnări penale și infracțiuni.

Pe lângă aceste trei cazuri, mai există o situație când este obligatorie numirea unui DPO, situație reglementată de o lege internă (Legea 190/2018), anume cazul în care se prelucrează CNP în temeiul interesului legitim al operatorului.

Lăsând la o parte acest caz particular prevăzut de legislația internă și revenind la cele 3 cazuri prevăzute de GDPR, observăm că doar 2 dintre ele sunt de interes pentru companiile private (mai precis doar cazurile 2 și 3).

Dar ce înseamnă în concret aceste cazuri? Cum ne dăm seama dacă ni se aplică?

Pentru a răspunde la aceste întrebări, trebuie să înțelegem mai bine câteva dintre elementele care atrag obligativitatea numirii DPO-ului:

  1. activități principale;
  2. scară largă;
  3. monitorizare periodică și sistematică; și
  4. categorii speciale de date cu caracter personal / date despre condamnări penale.

1. Activități principale

Potrivit unui considerent din GDPR (considerentul 87), activitățile principale ale unui operator se referă la „activitățile sale de bază, și nu la prelucrarea datelor cu caracter personal drept activități auxiliare”. Astfel, activitățile principale sunt operațiunile cheie necesare pentru îndeplinirea obiectivelor companiei.

Exemple de activități principale

  • Pentru o companie care are o platformă sau un magazin online, activități principale ar fi cele legate de funcționarea platformei / a magazinului online;
  • Pentru o agenție de marketing, furnizarea serviciilor de marketing pentru clienți;
  • Pentru o clinică, furnizarea serviciilor medicale către pacienți.

Cu toate acestea, nu toate activitățile unei companii intră în categoria celor principale. De exemplu, activitățile administrative pentru funcționarea unei companii (precum plata salariaților, emiterea facturilor, încheierea contractelor cu furnizorii) nu intră în sfera celor principale.

2. Scară largă

GDPR nu conține o definiție a conceptului de prelucrare pe scară largă. Mai departe, potrivit Comitetului European pentru Protecția Datelor (“Comitetul”), nu este posibil să se stabilească un număr exact nici în ceea ce privește cantitatea de date prelucrate, nici în ceea ce privește numărul de persoane implicate.

Atunci când se stabilește dacă suntem în cazul unei prelucrări la scară largă, Comitetul recomandă să avem în vedere următorii factori:

  • Numărul persoanelor vizate respective;
  • Volumul de date;
  • Durata sau caracterul permanent al activității de prelucrare a datelor;
  • Întinderea geografică a activității de prelucrare.

Exemple de prelucrare pe scară largă propuse de Comitet

  • prelucrarea datelor despre pacienți în cadrul activității obișnuite desfășurate de către un spital;
  • prelucrarea datelor referitoare la călătorii ale persoanelor care utilizează sistemul de transport public al unui oraș (de exemplu, urmărire prin intermediul permiselor de călătorie);
  • prelucrarea datelor de geolocalizare în timp real a clienților unui lanț de restaurante fast-food în scopuri statistice de către un operator specializat în furnizarea de astfel de servicii;
  • prelucrarea datelor despre clienți în cadrul activității obișnuite desfășurate de către o societate de asigurări sau o bancă;
  • prelucrarea datelor cu caracter personal în scopuri de publicitate comportamentală de către un motor de căutare;
  • prelucrarea datelor (conținut, trafic, localizare) de către furnizorii de servicii de telefonie sau de internet.

Dar prelucrarea datelor despre pacienți de către un medic la nivel individual nu reprezintă nu constituie o prelucrare pe scară largă.

3. Monitorizare periodică și sistematică

GDPR conține o referire la conceptul de monitorizare, mai precis „monitorizare a comportamentului persoanelor vizate” care include, în mod clar, toate formele de urmărire și creare de profiluri pe internet, inclusiv în scopul publicității comportamentale.

Cu toate acestea, potrivit Comitetului, monitorizarea nu trebuie limitate doar la mediul online, iar în stabilirea existenței unei monitorizări periodice și sistematice ar trebui avute în vedere semnificațiile termenilor de “periodic” și “sistematic”.

Potrivit Comitetului, cuvântul „periodică” ar avea una sau mai multe dintre următoarele semnificații:

  • în regim permanent sau la anumite intervale, pentru o anumită perioadă;
  • în mod recurent sau repetat, la ore fixe;
  • în mod constant sau periodic.

De asemenea, cuvântul „sistematică” ar avea una sau mai multe dintre următoarele semnificații:

  • care se realizează conform unui sistem;
  • în mod predeterminat, organizat sau metodic;
  • care are loc în cadrul unui plan general de colectare a datelor;
  • care are loc în cadrul unei strategii.

Exemple de activități care ar putea constitui monitorizare periodică și sistematică propuse de Comitet

  • exploatarea unei rețele de telecomunicații;
  • furnizarea de servicii de telecomunicații;
  • reorientarea către adrese de e-mail (e-mail retargeting);
  • activități de comercializare bazate pe date;
  • crearea de profiluri și acordarea de puncte în scopul evaluării riscurilor (de exemplu, în scopul evaluării bonității, al stabilirii primelor de asigurare, al prevenirii fraudelor, al depistării acțiunilor de spălare a banilor);
  • urmărirea locației, de exemplu, prin aplicații mobile;
  • introducerea de programe de fidelizare;
  • publicitatea comportamentală;
  • monitorizarea datelor despre starea de bine, aptitudini și starea de sănătate prin intermediul dispozitivelor portabile;
  • introducerea de dispozitive conectate, cum ar fi dispozitivele de măsurare inteligente, vehiculele inteligente, sistemele automate la domiciliu etc.

4. Categorii speciale de date cu caracter personal / date despre condamnări penale

Un ultim aspect pe care trebuie să îl luăm în considerare atunci când analizăm dacă avem sau nu nevoie de un DPO este tipul de date cu caracter personal prelucrate: anume, dacă prelucrăm sau nu categorii speciale de date cu caracter personal sau date despre condamnări penale și infracțiuni.

Dacă este evident la ce se referă datele despre condamnări penale și infracțiuni, rămâne de clarificat:

Ce sunt categoriile speciale? Așa numitele date speciale sau senzitive, adică date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice.

În loc de concluzie

Aveți obligația de a numi un DPO doar în cazul în care răspundeți da la una dintre următoarele întrebări:

  • În cadrul activității principale a companiei, prelucrați la scară largă, date speciale sau date din sfera penalului;
  • În cadrul activității principale a companiei, efectuați la scară largă, o monitorizare periodică și sistematică;
  • Prelucrați CNP pe baza interesului legitim al companiei.

Dacă nu vă aflați într-una dintre aceste situații, nu aveți obligația de a numi un DPO. Cu toate acestea, nimic nu vă împiedică să numiți un DPO sau o persoană cu atribuții în GDPR (chiar dacă nu DPO).