Desemnarea unui DPO este obligatorie, conform regulamentului, pentru cei care au ca activitate de bază monitorizarea persoanelor în mod sistematic și pe scară largă ori pentru cei care prelucrează categorii speciale de date personale la scară largă.
Continuarea articolului este exclusivă pentru abonații avocatnet.ro premium. Aceștia pot afla mai multe despre:
- indicatorii de luat în calcul pentru a stabili că se prestează o activitate de prelucrare pe scară largă;
- câteva exemple de astfel de prelucrări.
Pentru că reglementarea din GDPR poate să nu ofere suficiente lămuriri celor care vor să-și dea seama dacă prelucrează sau nu date personale pe scară largă, Grupul de lucru articolul 29 (un organism european independent format din reprezentanții autorităților naționale pentru protecția datelor din statele membre ale Uniunii Europene) vine cu câteva lămuriri în acest sens.
În primul rând, nu se pot atașa cifre de ideea de prelucrare pe scară largă. Cei care se așteaptă la oferirea unor praguri ca orientare vor fi dezamăgiți. Dar, susțin experții, nu e exclus ca, în timp, să se contureze practici și standarde care să servească drept instrument pentru a stabili ce înseamnă prelucrare la scară largă.
O mână de ajutor e oferită într-unul dintre considerentele din preambulul GDPR-ului, unde operațiunile de prelucrare pe scară largă sunt caracterizate astfel: "au drept obiectiv prelucrarea unui volum considerabil de date cu caracter personal la nivel regional, național sau supranațional, care ar putea afecta un număr mare de persoane vizate și care sunt susceptibile de a genera un risc ridicat".
Astfel, Grupul de lucru recomandă firmelor să țină seama, în special, de următoarele chestiuni atunci când vor să-și dea seama dacă fac sau nu o prelucrare pe scară largă:
- care este numărul de persoane vizate de prelucrările lor (ca număr specific sau ca proporție din populația relevantă);
- volumul de date și/sau intervalul diferitelor elemente de prelucrare de date;
- durata sau caracterul permanent al activității de prelucrare;
- care este întinderea geografică a activității de prelucrare.
Exemple de prelucrare de date pe scară largă
Grupul de lucru articolul 29 oferă câteva exemple extrem de utile pentru cei nelămuriți despre cine face o prelucrare de date pe scară largă. Astfel, spun experții, prelucrează date pe scară largă un spital în privința pacienților săi, furnizorii de servicii de telefonie mobilă/internet, o societate de asigurări sau o bancă, entitatea care deține un motor de căutare ce permite prelucrare datelor în scopuri de publicitate comportamentală, dar și prelucrarea datelor de geolocalizare în timp real a clienților unui lanț de restaurante fast-food se încadrează aici.
Citește și: Despre profilarea clienților și de ce numirea unui DPO e obligatorie pentru activitatea asta
Pe de altă parte, lămurește Grupul de lucru, un medic care prelucrează datele despre pacienții săi la nivel individual nu face o prelucrare pe scară largă, tot așa cum nici un avocat ce prelucrează date referitoare la condamnări sau infracțiuni ale clienților săi nu face o prelucrare pe scară largă.
În încercarea de a exemplifica ideea că, uneori, numirea obligatorie a unui DPO la operatorul de date nu e concomitentă cu numirea obligatorie a unui DPO și la persoana împuternicită, Grupul de lucru oferă un exemplu în care lămurește că o întreprindere familială nu are o activitate de așa natură încât să fie considerată că prelucrează date personale pe scară largă.
Comentarii articol (0)