UPDATE: DPO 2018: Toți angajatorii vor fi obligați să aibă un responsabil cu protecția datelor?

Folosirea Revisal reprezintă, așa cum reiese din legislația în vigoare, o prelucrare de date personale ale salariaților. Prin urmare, din moment ce angajatorii sunt obligați să folosească Revisal, acest lucru este de ajuns pentru a le oferi calitatea de operatori de date cu caracter personal, așa cum arătam și cu altă ocazie.

Astfel, în contextul introducerii obligației anumitor firme de a avea, începând cu data de 25 mai 2018, un responsabil cu protecția datelor personale, trebuie lămurit dacă toți angajatorii vor trebui să respecte noua prevedere europeană.

Mai exact, desemnarea unui DPO va fi obligatorie pentru entitățile publice (de principiu, autoritățile naționale, regionale și locale, exceptând instanțele) și pentru firmele care au ca activități principale prelucrarea periodică și pe scară largă a datelor personale sau prelucrarea pe scară largă a unor categorii speciale de date. Așa prevede Regulamentul general privind protecția datelor (GDPR), ce se va aplica, de la data amintită, direct în toate statele membre ale Uniunii Europene.

Pentru a lămuri situația, redacția noastră a stat de vorbă cu Andreea Lisievici, avocat PrivacyOne cu experiență extinsă în domeniul protecției datelor.

Din continuarea articolului poți afla:

• dacă toți angajatorii vor avea obligația de a desemna un responsabil cu protecția datelor;
• ce costuri ar putea implica pentru o firmă un responsabil cu protecția datelor.

Prelucrarea datelor salariaților nu este o activitate principală

Prelucrarea datelor personale ale salariaților, prin intermediul Revisal și a dosarelor personale, nu reprezintă, în mod obișnuit, o activitate principală pentru o firmă, chiar dacă vorbim de o companie foarte mare. Astfel, de aici rezultă că obligația de a desemna un DPO nu se aplică automat tuturor angajatorilor.

„Nu orice prelucrare de date atrage obligația de a numi un DPO, ci numai situațiile în care activitatea principală constă în monitorizare pe scară largă sau prelucrare pe scară largă de date sensibile. Activitatea principală trebuie înțeleasă drept activitatea «de bază», adică operațiunile-cheie pentru îndeplinirea obiectului de activitate al entității în cauză. Chiar dacă prelucrarea datelor personale nu este niciodată obiectul de activitate în sine al unei firme, ea poate fi intrinsec necesară îndeplinirii obiectului de activitate și, în acel caz, condiția va fi îndeplinită. Este cazul, de exemplu, al firmelor de monitorizare a spațiilor, care nu își pot îndeplini această activitate fără să prelucreze date personale (cum ar fi imaginea). Totuși, funcțiile-suport, cum ar fi plata angajaților proprii și operarea Revisal, chiar dacă sunt necesare, nu sunt de regulă activitatea principală”, a lămurit Andreea Lisievici.

Cu toate acestea, specialista de la PrivacyOne a atras atenția că obligația de a desemna un responsabil cu protecția datelor va apărea în cazul firmelor specializate strict în gestionarea obligațiilor precum salarizarea și folosirea Revisal: „Situația se schimbă în cazul firmelor către care se externalizează aceste servicii (plata angajaților și operarea Revisal - n. red.) și care, în mod evident, au ca activitate principală serviciile de tip «payroll»”.

Așadar, Andreea Lisievici a punctat că, în mod obișnuit, un angajator nu este obligat să desemneze un DPO doar pentru că prelucrează datele propriilor salariați prin intermediul Revisal. „Drept urmare, în principiu, prelucrarea datelor angajaților proprii nu atrage obligația de a numi un responsabil cu protecția datelor pentru că, indiferent de mărimea organizației și de tipul de date prelucrat, aceea nu reprezintă activitatea principală a angajatorului”, a conchis avocata.

Costurile aferente responsabilului cu protecția datelor

O altă nelămurire pe care o poate avea o firmă obligată din mai 2018 să aibă un responsabil cu protecția datelor este ce costuri va implica această măsură? Dincolo de plata unui salariu (și a taxelor aferente), dacă responsabilul este angajat, sau a unui onorariu, dacă responsabilul este un consultant extern al companiei, se poate vorbi și de necesitatea unor sume suplimentare, variabile de la caz la caz.

„Ce este important de reținut este că fiecare entitate obligată să numească un responsabil cu protecția datelor trebuie să îi asigure acestuia resursele necesare îndeplinirii activității, ceea ce înseamnă finanțarea programelor software adecvate, training, sprijin de la consultanți specializați, acolo unde este cazul, cooptarea altor persoane și crearea unui departament etc. În ansamblu, necesitatea numirii unui responsabil cu protecția datelor în contextul obligațiilor mult sporite ale operatorilor, potrivit GDPR, va atrage cheltuieli care depășesc cu mult salariul sau onorariul unui responsabil”, ne-a spus Andreea Lisievici.

De asemenea, avocata a specificat că vor putea fi necesare investiții în soluții IT și de securitate, care vor implica și ele costuri suplimentare pentru o companie. „Acolo unde un studiu de impact va rezulta în necesitatea unor măsuri de reducere a riscurilor, acele măsuri vor trebui implementate sau operațiunea nu se poate efectua. La fel, evaluările de conformare la GDPR, care e preferabil să aibă loc acum, înainte de intrarea în vigoare, deseori relevă necesitatea unor investiții în soluții IT și de securitate care iarăși depășesc stricta nevoie de numire a unui responsabil cu protecția datelor”, a declarat specialista de la PrivacyOne.

Concret, în GDPR este stabilit cât se poate de clar că „operatorul (firma - n. red.) și persoana împuternicită de operator sprijină responsabilul cu protecția datelor în îndeplinirea sarcinilor (...), asigurându-i resursele necesare pentru executarea acestor sarcini, precum și accesarea datelor cu caracter personal și a operațiunilor de prelucrare, și pentru menținerea cunoștințelor sale de specialitate”.

Notă: Informații suplimentare despre companiile ce vor avea obligația desemnării unui responsabil cu protecția datelor, începând cu data de 25 mai 2018, pot fi găsite aici. Totodată, aici sunt informații despre soluțiile pe care le va avea o companie pentru a ocupa funcția de DPO. Funcția de DPO a fost inclusă lunile trecute în Clasificarea ocupațiilor.