GDPR: Dacă o firmă împuternicește pe cineva să prelucreze date, cine trebuie să aibă DPO?

Continuarea articolului este exclusivă pentru abonații avocatnet.ro premium. Aceștia pot afla mai multe despre cum interpretează experții necesitatea de a avea un DPO în tandemul operator-împuternicit, precum și consulta câteva exemple practice.

"Operatorul și persoana împuternicită de operator desemnează un responsabil cu protecția datelor ori de câte ori: (a) prelucrarea este efectuată de o autoritate sau un organism public, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale; (b) activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă; sau (c) activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date, menționată la articolul 9, sau a unor date cu caracter personal privind condamnări penale și infracțiuni", scrie în GDPR.

Ambii pot fi vizați de obligația de a numi un astfel de responsabil, dacă se încadrează în vreuna dintre cele trei situații expuse. Dar dacă operatorul e obligat să-l aibă, asta nu înseamnă automat că și persoana împuternicită are această obligație.

"În funcție de cine îndeplinește criteriile privind numirea obligatorie, în unele cazuri doar operatorul sau doar persoana împuternicită de către operator, în alte cazuri, atât operatorul, cât și persoana împuternicită de către operator au obligația de a numi un DPO (aceștia trebuind apoi să colaboreze). Este important să se sublinieze faptul că, chiar și în cazul în care operatorul îndeplinește criteriile pentru numirea obligatorie, persoana împuternicită de către acest operator nu trebuie să numească neapărat un DPO. Însă acesta ar putea fi un exemplu de bună practică", sunt de părere cei din Grupul de lucru articolul 29 (organism european independent format din reprezentanții autorităților naționale pentru protecția datelor din statele membre ale Uniunii Europene).

Însă dacă ambii ar avea nevoie de un DPO, conform regulamentului, faptul că operatorul și-a numit unul nu l-ar scăpa pe împuternicit de obligația sa. Dacă amândoi au numit câte un DPO, obligați sau în mod voluntar, atunci experții din Grupul de lucru arată că cei doi responsabili trebuie să colaboreze.

Câteva exemple de situații practice

"O mică întreprindere familială cu activitate de distribuire de aparate de uz casnic într-un singur oraș, utilizează serviciile unei persoane împuternicite de către operator, a cărei activitate principală este de a furniza servicii de analiză pe internet și asistență pentru publicitate și comercializare vizată. Activitățile întreprinderii familiale și clienții acesteia nu generează prelucrarea datelor «pe scară largă», având în vedere numărul redus de clienți și activitățile relativ limitate. Însă activitățile persoanei împuternicite de către operator, care are mulți clienți precum această întreprindere mică, luate împreună, realizează o prelucrare pe scară largă. Prin urmare, persoana împuternicită de către operator trebuie să numească un DPO în conformitate cu articolul 37 alineatul (1) litera (b) (prelucrare sistematică ș.a - n.red.). În același timp, întreprinderea familială în sine nu are obligația de a numi un DPO", exemplifică Grupul de lucru articolul 29.

Mai departe, Alin Popescu, co-fondator la Academia DPO, ne-a oferit ca exemplu pentru situațiile în care și operatorul, și împuternicitul au nevoie de un DPO companiile din domeniul marketingului, unde agențiile, persoane împuternicite, sunt adesea obligate să aibă DPO, chiar dacă clienții lor au deja astfel de responsabili.

Alt exemplu oferit de Grupul de lucru, de data aceasta pentru situațiile când împuternicitul are nevoie de un DPO, e următorul: "O întreprindere mijlocie producătoare de plăci ceramice își subcontractează serviciile de sănătate în muncă unei persoane împuternicite de către operator din exterior, care are un număr mare de clienți similari. Persoana împuternicită de către operator numește un RPD în temeiul articolului 37 alineatul (1) litera (c) cu condiția ca prelucrarea să fie realizată pe scară largă. Însă producătorul nu are neapărat obligația de a numi un RPD".