Regulamentul general privind protecția datelor (GDPR) este un act normativ european care se va aplica în mod direct tuturor statelor membre UE, deci chiar și României, începând cu data de 25 mai 2018. Cu alte cuvinte, regulamentul nu trebuie nici să fie transpus în legislația autohtonă (așa cum se întâmplă în cazul directivelor europene, de exemplu), nici să fie detaliat prin norme de aplicare.
Una dintre marile schimbări aduse de actul normativ este introducerea funcției de DPO la firmele care se ocupă în principal cu prelucrarea datelor personale. Practic, vorbim nu doar de companiile mari, ci și de companiile medii sau mici care adună și folosesc date personale.
Un exemplu concret de companii obligate să aibă de anul viitor DPO este reprezentat de magazinele online. Totuși, putem spune asta numai în condițiile în care clienții magazinelor online trebuie să-și creeze conturi pentru a cumpăra produse, iar firmele în cauză adună anumite date personale pentru a personaliza ofertele către aceștia. Potrivit unui specialist în protecția datelor personale consultat de redacția noastră, concluzia trebuie trasă în funcție de îndeplinirea cumulativă a unor criterii stabilite de GDPR.
„Mai exact, dacă activitatea principală constă în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă”, a precizat Andreea Lisievici, avocat la PrivacyOne cu o experiență consistentă în legislația protecției datelor personale.
„Activitatea principală a deținătorului site-ului este, să zicem, vânzarea online de produse, iar modul cum și-a structurat afacerea deținătorul este că toți cumpărătorii trebuie să aibă cont, iar în funcție de istoricul de cumpărături și datele asociate contului, deținătorul face profilarea utilizatorilor pentru a adapta ofertele sale (de exemplu, pentru a sugera anumite produse unei femei între 25 și 35 de ani și altele unui bărbat între 40 și 50 de ani). Această profilare se întâmplă constant, cu privire la toți utilizatorii care, cel puțin teoretic, provin din întreaga țară. În acest caz sunt îndeplinite toate condițiile, pentru că activitatea principală (vânzarea online), prin modul său de efectuare, presupune monitorizarea periodică și sistematică a utilizatorilor”, a explicat specialista.
Cu toate acestea, concluzia ar fi alta dacă activitatea principală, adică vânzarea, ar fi desfășurată fără a monitoriza clienții, este de părere Andreea Lisievici. Cu alte cuvinte, vânzarea să fie făcută fără a fi adaptate ofertele în funcție de datele personale ale clienților. Obligația de a numi un DPO nu intervine nici atunci când o asociație profesională, de exemplu, permite crearea de conturi pe site-ul acesteia, însă fără a fi efectuată vreo monitorizare.
În esență, profilarea pe internet presupune o monitorizare periodică și sistematică a anumitor persoane prin strângerea și folosirea datelor personale ale acestora într-un scop sau altul (comercial, de exemplu).
DPO-ul poate fi un angajat sau un colaborator extern
GDPR prevede că ocuparea funcției de responsabil cu protecția datelor se poate face prin numirea cuiva din interiorul companiei sau prin încheierea unui contract de servicii cu un colaborator extern.
Practic, firmele vor fi libere să aleagă varianta cea mai potrivită pentru ele. Putem vorbi, așadar, de desemnarea ca DPO a unui salariat al societății (nou sau actual) sau de o colaborare contractuală cu un avocat, o persoană fizică autorizată (PFA), o societate de avocatură sau chiar o altă companie.
„Un responsabil cu protecția datelor poate fi salariat (deși astăzi în România nu există un cod COR dedicat), dar poate fi și extern - PFA, avocat, societate comercială. Este important însă de menționat că, și în cazul în care contractul se încheie cu o formă de organizare colaborativă (societate de avocați, societate comercială), trebuie în continuare desemnată o persoană anume care va deține funcția de responsabil cu protecția datelor”, ne-a spus cu altă ocazie Andreea Lisievici.
Chiar dacă ocupația de responsabil cu protecția datelor nu este inclusă în Clasificarea Ocupațiilor din România, specialista spune că un DPO poate fi încadrat pe o altă funcție. În acest sens, avocata a indicat că un DPO poate figura în organigramă ca manager de proiect, de exemplu.
În orice caz, DPO-ul nu va avea nevoie de anumite studii sau de o anumită experiență profesională pentru a ocupa această poziție. Prevederile GDPR dispun doar ca această persoană să aibă cunoștințe de specialitate în dreptul și practicile din domeniul protecției datelor.
----
PrivacyOne.ro organizează singura Academie practică de studiu și perfecționare pentru personalul DPO din România. Pentru detalii, click aici.