Obligația anumitor firme mari de a desemna un responsabil cu protecția datelor personale (sau DPO, de la „data protection officer”) este prevăzută în Regulamentul general privind protecția datelor (sau, pe scurt, GDPR). Documentul a fost publicat deja în Jurnalul Oficial al UE și se va aplica, începând cu data de 25 mai 2018, direct în toate statele Uniunii, fără să fie necesar ca autoritățile să-l transpună în legislația României.
Concret, desemnarea unui responsabil cu protecția datelor va fi obligatorie pentru entitățile publice (de principiu, autoritățile naționale, regionale și locale, exceptând instanțele) și pentru firmele care au ca activități principale prelucrarea periodică și pe scară largă a datelor personale sau prelucrarea pe scară largă a unor categorii speciale de date. Pentru ca aceste prevederi să fie mai ușor de înțeles, există și un ghid al unui organ consultativ european independent care se ocupă, potrivit legislației europene, cu protecția și confidențialitatea datelor.
Din următoarele paragrafe puteți afla:
- exemple relevante de companii și activități pentru care DPO-ul va fi obligatoriu;
- variantele ocupării poziției de responsabil cu protecția datelor;
- sarcinile principale pe care le va avea un DPO;
- sancțiunile pe care le vor risca firmele ce nu vor respecta obligația numirii DPO-ului.
Exemple de firme ce vor avea nevoie de DPO
În cazul companiilor care au ca activități principale prelucrarea periodică și pe scară largă a datelor personale, ghidul citat dă câteva exemple relevante. Astfel, vorbim, printre altele, de spitale, care trebuie să prelucreze datele de sănătate ale pacienților pentru a putea oferi asistență medicală într-un mod adecvat. De asemenea, obligația de a desemna un responsabil cu protecția datelor va reveni și firmelor de securitate care supraveghează centre comerciale și spații publice, din moment ce activitatea lor este strâns legată de prelucrarea datelor personale.
Totodată, dacă ne referim la ideea de prelucrare pe scară largă, organul consultativ european dă alte exemple demne de luat în seamă:
- companiile de transport public, ce prelucrează datele deplasărilor călătorilor proprii prin urmărirea cu ajutorul cardurilor de călătorie;
- societățile de asigurări sau băncile, ce prelucrează datele clienților proprii în activitatea lor regulată;
- furnizorii de telefonie și internet, ce prelucrează datele de conținut, trafic și localizare ale clienților proprii.
În orice caz, ideea de prelucrare pe scară largă ar trebui să se aplice în funcție de factori precum numărul persoanelor vizate, volumul datelor, durata activității de prelucrare a datelor și suprafața geografică a activității de prelucrare, conform documentului citat.
Tot la capitolul companiilor care au ca activități principale prelucrarea periodică și pe scară largă a datelor personale este lămurită și ideea de monitorizare periodică și sistematică. Astfel, vorbim de toate formele de urmărire și profilarea pe internet, inclusiv pentru publicitatea comportamentală, dar nu numai. În acest sens, câteva exemple ilustrative sunt furnizarea de servicii de telecomunicații (telefonie și internet), activitățile de marketing bazate pe date, urmărirea locației cu ajutorul aplicațiilor mobile, monitorizarea datelor de sănătate cu dispozitive portabile sau chiar dispozitivele conectate (contoare inteligente, mașini inteligente, automatizările de acasă etc.).
În fine, am ajuns și la societățile care au ca activități principale prelucrarea pe scară largă a unor categorii speciale de date. Aici, regulamentul european este destul de clar, făcând referire la „prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice”.
Atenție! Desemnarea unui DPO va fi obligatorie pentru firme doar dacă acestea practică o prelucrare pe scară largă a datelor personale. Din acest motiv, o firmă mică ce vinde aparate de uz casnic, de exemplu, nu va fi nevoită să aibă un responsabil cu protecția datelor. Cu toate acestea, vorbim de o practică recomandabilă oricărei companii ce prelucrează date personale, indiferent cât de restrânsă e aceasta.
Responsabilul va putea fi cineva care deja lucrează la companie
Atunci când o companie va desemna un responsabil pentru protecția datelor, aceasta va avea la dispoziție două variante: fie să numească pe cineva din cadrul firmei, fie să angajeze pe cineva din exteriorul ei. Însă în ambele cazuri va fi necesar ca responsabilul să aibă cunoștințe de specialitate în dreptul și practicile din domeniul protecției datelor.
„Responsabilul cu protecția datelor este desemnat pe baza calităților profesionale și, în special, a cunoștințelor de specialitate în dreptul și practicile din domeniul protecției datelor, precum și pe baza capacității de a îndeplini sarcinile prevăzute la articolul 39 (cele pentru funcția de responsabil cu protecția datelor - n. red.). Responsabilul cu protecția datelor poate fi un membru al personalului operatorului sau persoanei împuternicite de operator sau poate să își îndeplinească sarcinile în baza unui contract de servicii”, scrie în GDPR.
În principal, un responabil cu protecția datelor se va ocupa de sarcini precum:
- informarea și consilierea firmei și a angajaților care se ocupă de prelucrare referitor la obligațiile legale care le revin privind protecția datelor;
- monitorizarea respectării legislației protecției datelor și a politicilor companiei în ceea ce privește protecția datelor, inclusiv alocarea responsabilităților și acțiunile de sensibilizare și de formare a personalului implicat în operațiunile de prelucrare, precum și auditurile aferente;
- furnizarea de consiliere la cerere în ceea ce privește evaluarea impactului asupra protecției datelor și monitorizarea funcționării acesteia;
- cooperarea cu autoritatea de supraveghere a țării, dar și asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare și consultarea cu privire la orice altă chestiune.
„Operatorul și persoana împuternicită de operator (adică firma și entitatea ce prelucrează date în numele acesteia - n. red.) sprijină responsabilul cu protecția datelor în îndeplinirea sarcinilor (...), asigurându-i resursele necesare pentru executarea acestor sarcini, precum și accesarea datelor cu caracter personal și a operațiunilor de prelucrare, și pentru menținerea cunoștințelor sale de specialitate”, este prevăzut în regulamentul european, fiind subliniat că responsabilul cu protecția datelor nu trebuie să primească niciun fel de instrucțiuni pentru îndeplinirea sarcinilor sale.
Pe deasupra, responsabilul nu va putea fi demis sau sancționat pentru îndeplinirea sarcinilor pe care le are, iar acesta va răspunde direct în fața celui mai înalt nivel al conducerii companiei sau entității ce prelucrează date în numele acesteia.
Entitățile ce nu vor respecta obligația de a desemna un responsabil cu protecția datelor vor risca amenzi drastice, așa cum reiese din regulamentul european aplicabil din 25 mai 2018. Concret, vorbim de amenzi administrative de până la zece milioane de euro sau, în cazul întreprinderilor, de până la 2% din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior.
Important! Legislația europeană oferă posibilitatea ca un grup de întreprinderi să numească un responsabil unic cu protecția datelor. Totodată, opțiunea este valabilă și atunci când este vorba de mai multe autorități publice.