GDPR: Obligația de a avea un DPO la firmă nu e legată de numărul de angajați

Responsabilul cu protecția datelor este obligatoriu pentru anumite companii, dar, în discuția aceasta, numărul de angajați ai firmei nu are importanță. Așa se face că inclusiv afacerile de mai mici dimensiuni s-ar putea trezi obligate să aibă un astfel de specialist – fie angajat propriu, fie un colaborator extern.

Continuarea articolului este exclusivă pentru abonații avocatnet.ro premium. Aceștia pot afla mai multe despre:

• relevanța numărului de 250 de angajați în raport cu obligațiile impuse de GDPR;
• ce contează în analiza obligativității de a avea un DPO la firmă.

250, număr magic pentru altă obligație din GDPR

În avalanșa de informații legate de aplicarea GDPR-ului, numărul 250 a rămas în mintea unora asociat de obligativitatea numirii unui DPO. Mai exact, s-a reținut, în mod eronat, că cine are sub 250 de angajați nu are nevoie de DPO, indiferent cu ce s-ar ocupa firma respectivă, ce fel de date ar prelucra ș.a.m.d.

Locul acestui număr nu este însă în reglementarea obligației de a avea un DPO, ci apare în contextul evidențelor activităților de prelucrare a datelor. Fiecare operator și, după caz, reprezentantul acestuia păstrează o evidență a activităților de prelucrare desfășurate sub responsabilitatea lor, prevede GDPR-ul, iar fiecare operator/persoană împuternicită trebuie să păstreze o evidență a tuturor categoriilor de activități de prelucrare.

Aceste evidențe scrise nu trebuie ținute însă obligatoriu de firmele cu mai puțin de 250 de angajați. Face excepție însă cazul în care prelucrarea pe care o fac aceste firme mai mici e susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor vizate, nu este ocazională sau include categorii speciale de date.

Și micile afaceri pot fi nevoite să numească un DPO

Așa cum punctam mai sus, necesitatea de a avea un DPO se analizează în raport cu activitatea, iar nu cu dimensiunea firmei ori vreun prag minim la numărul de salariați. Firmele trebuie să caute dacă se identifică sau nu la unul dintre cele două cazuri de mai jos, stabilite î n GDPR:

• cazul în care activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă;
• cazul în care activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date sau a unor date cu caracter personal privind condamnări penale și infracțiuni.

Util: Un organism de experți de la nivelul Uniunii a publicat în urmă cu ceva timp un ghid util pentru înțelegerea mecanismului de funcționare a obligației de a avea un DPO. Ghidul este disponibil aici, în toate limbile statelor membre.

Iată, concret, câteva exemple de afaceri care nu au neapărat sute de angajați, dar care se văd nevoite să aibă un DPO, pentru că se încadrează într-unul dintre cazurile de mai sus: o firmă de securitate care supraveghează un centru comercial; o firmă ce prestează activități de profilare; o firmă care a dezvoltat o aplicație ce permite urmărirea locației sau monitorizarea datelor de sănătate; o organizație care prelucrează datele personale ale unor categorii aparte de persoane etc.

Notă: Mai multe materiale despre responsabilul cu protecția datelor puteți găsi aici.