Sunt obligat să am DPO?

Ești obligat să numești un DPO?

Răspuns scurt: În cele mai multe cazuri, NU trebuie să numești un DPO!
Totuși, există excepții specifice, iar acest ghid te va ajuta să înțelegi dacă afacerea ta are această obligație conform GDPR.

Ce este un DPO (Data Protection Officer)?

Un DPO (Responsabil cu Protecția Datelor) este persoana care are atribuții de monitorizare a conformității cu GDPR, desemnată în acest sens ANSPDCP - Autoritatea Națională de Supraveghere a Prelucrării Datelor.

Mit fals: GDPR NU impune tuturor companiilor să numească un DPO. Numirea este obligatorie doar în anumite cazuri stabilite de Articolul 37 din GDPR și Legea 190/2018.

Când este obligatoriu să numești un DPO?

Conform GDPR și legislației românești privind prelucrarea datelor, ai obligația să desemnezi un DPO dacă:

1. Ești o autoritate publică (excepție: instanțele judecătorești în activitatea lor jurisdicțională).
2. Monitorizezi periodic și sistematic persoanele fizice la scară largă.
3. Prelucrezi categorii speciale de date sau date privind condamnările penale la scară largă.
4. Prelucrezi CNP-uri pe baza interesului legitim al companiei (conform Legii 190/2018).

Cum îți dai seama dacă ai obligația de a numi un DPO?

Pentru a vedea dacă ai nevoie de un DPO, trebuie să înțelegi mai bine câteva dintre elementele care atrag obligativitatea numirii DPO-ului:

1. activități principale;
2. scară largă;
3. monitorizare periodică și sistematică; și
4. categorii speciale de date cu caracter personal / date despre condamnări penale.

1. Ce înseamnă „activitate principală”?

Se referă la operațiunile de bază ale companiei, nu la activități administrative.

Exemple de activități principale:

• Pentru un magazin online: gestionarea comenzilor.
• Pentru o agenție de marketing: furnizarea serviciilor de marketing pentru clienți.
• Pentru o clinică medicală: furnizarea serviciilor medicale către pacienți.

Cu toate acestea, nu toate activitățile unei companii intră în categoria celor principale. De exemplu, activitățile administrative pentru funcționarea unei companii (precum plata salariaților, emiterea facturilor, încheierea contractelor cu furnizorii) nu intră în sfera celor principale.

2. Ce înseamnă „scară largă”?

GDPR nu oferă o definiție exactă, dar Comitetul European pentru Protecția Datelor sugerează să analizezi:

• Numărul de persoane afectate.
• Volumul datelor prelucrate.
• Durata procesării datelor.
• Extinderea geografică.

Exemple de prelucrare la scară largă:

• Spitale care gestionează datele pacienților.
• Bănci care procesează date despre clienți.
• Companii de telecomunicații care colectează date despre utilizatori.

Ce NU este considerat prelucrare la scară largă?

• Un medic individual care prelucrează datele pacienților săi.
• Un avocat care procesează datele clienților săi.

3. Ce înseamnă „monitorizare periodică și sistematică”?

GDPR conține o referire la conceptul de monitorizare, mai precis „monitorizare a comportamentului persoanelor vizate” care include, în mod clar, toate formele de urmărire și creare de profiluri pe internet, inclusiv în scopul publicității comportamentale.

Cu toate acestea, potrivit Comitetului, monitorizarea nu trebuie limitate doar la mediul online, iar în stabilirea existenței unei monitorizări periodice și sistematice ar trebui avute în vedere semnificațiile termenilor de “periodic” și “sistematic”.

Potrivit Comitetului, cuvântul „periodică” ar avea una sau mai multe dintre următoarele semnificații:

• În regim permanent sau la anumite intervale, pentru o anumită perioadă;
• În mod recurent sau repetat, la ore fixe;
• În mod constant sau periodic.

De asemenea, cuvântul „sistematică” ar avea una sau mai multe dintre următoarele semnificații:

• Care se realizează conform unui sistem;
• În mod predeterminat, organizat sau metodic;
• Care are loc în cadrul unui plan general de colectare a datelor;
• Care are loc în cadrul unei strategii.

Exemple de monitorizare periodică:

• Publicitate comportamentală.
• Sisteme de supraveghere video în spații publice.
• Monitorizarea locației prin aplicații mobile.
• Activități de retargeting.
• Introducerea de programe de fidelizare.
• Monitorizarea datelor despre starea de bine, aptitudini și starea de sănătate prin intermediul dispozitivelor portabile.

4. Ce sunt „categorii speciale de date”?

Un ultim aspect pe care trebuie să îl iei în considerare atunci când analizezi dacă ai sau nu nevoie de un DPO este tipul de date cu caracter personal prelucrate: anume, dacă prelucrezi sau nu categorii speciale de date cu caracter personal sau date despre condamnări penale și infracțiuni.

Dacă este evident la ce se referă datele despre condamnări penale și infracțiuni, rămâne de clarificat ce sunt datele speciale.

GDPR definește „date speciale” drept informații sensibile, cum ar fi:

• Originea rasială sau etnică.
• Opiniile politice.
• Convingerile religioase.
• Date biometrice sau genetice.
• Date despre sănătate.

Concluzie: trebuie să numești un DPO?

DA, ai obligația să numești un DPO dacă te încadrezi în unde dintre aceste situații:

• În cadrul activității principale a companiei, prelucrezi la scară largă, date speciale sau date din sfera penalului;
• În cadrul activității principale a companiei, efectuezi la scară largă, o monitorizare periodică și sistematică;
• Prelucrezi CNP pe baza interesului legitim al companiei.

NU ai obligația de a numi un DPO dacă nu te încadrezi în aceste situații.

Recomandare: Chiar dacă nu ai obligația legală, poți desemna un specialist în protecția datelor pentru conformitate și siguranță.