I. Cazurile in care este obligatorie desemnarea unui responsabil cu protectia datelor
>> Cand prelucrarea este efectuata de o autoritate publica sau un organism public, cu exceptia instantelor care actioneaza in exercitiul functiei lor jurisdictionale
>> Daca activitatile principale ale operatorului sau ale persoanei imputernicite de operator constau in operatiuni de prelucrare care necesita o monitorizare periodica si sistematica a persoanelor vizate pe scara larga
>> Daca activitatile principale ale operatorului sau ale persoanei imputernicite de operator constau in prelucrarea pe scara larga a unor categorii speciale de date sau a unor categorii de date cu caracter personal privind condamnari penale si infractiuni
Ce inseamna „Activitati principale”?
Pentru a stabili activitatea principala desfasurata de un operator sau imputernicit, aceasta trebuie analizata prin raportare la prelucrarile de date cu caracter personal efectuate.
La ce se refera „Monitorizarea periodica si sistematica”?
Aceasta presupune toate formele de urmarire si profilare pe Internet, inclusiv in scop de publicitate comportamentala, nefiind insa restrictionata in mediul online.
Sintagma „periodica si sistematica” presupune o activitate continua si recurenta, care implica prelucrari de date.
Ce presupune prelucrarea „Pe scara larga”?
Pentru a se stabili daca o prelucrare este pe scara larga trebuie tinut cont de 4 criterii:
– numarul persoanelor vizate – un numar exact ori un procent din populatia relevanta;
– volumul datelor si/sau gama de elemente diferite de date in curs de prelucrare;
– durata sau permanenta activitatii de prelucrare a datelor;
– suprafata geografica a activitatii de prelucrare.
Categoriile speciale sunt acele date cu caracter personal care dezvaluie originea rasiala sau etnica, opiniile politice, confesiunea religioasa sau convingerile filozofice sau apartenenta la sindicate si prelucrarea de date genetice, de date biometrice pentru identificarea unica a unei persoane fizice, de date privind sanatatea sau de date privind viata sexuala sau orientarea sexuala ale unei persoane fizice.
Exemple de situatii care pot constitui o monitorizare periodica si sistematica a persoanelor vizate:
– gestionarea unei retele de telecomunicatii;
– profilare si scoring in scopul evaluarii riscurilor (de exemplu, in scopul acordarii unui credit, stabilirea
primelor de asigurare, de prevenire a fraudelor, detectarea spalarii banilor);
– urmarirea locatiei, spre exemplu prin aplicatii mobile (geolocalizare);
– desfasurarea de programe de loialitate;
– monitorizarea starii de sanatate prin intermediul dispozitivelor portabile;
– televiziune cu circuit inchis – CCTV;
– prelucrarea datelor pacientilor de catre un spital;
– prelucrarea datelor de continut, locatie, trafic de catre furnizorii de servicii de internet;
– prelucrarea datelor personale de catre companii de asigurari;
– publicitate comportamentala.
Cand nu este necesara desemnarea unui responsabil cu protectia datelor?
– atunci cand nu se prelucreaza pe scara larga date cu caracter personal.
Spre exemplu:
– prelucrarea datelor pacientului de catre un cabinet medical individual;
– prelucrarea datelor personale referitoare la condamnarile penale si infractiuni de catre un cabinet individual de avocatura.
Desi in unele cazuri nu este necesara desemnarea unui responsabil cu protectia datelor, Autoritatea de Supraveghere recomanda numirea unei astfel de persoane, intrucat este utila operatorului pentru respectarea obligatiilor in domeniul protectiei datelor cu caracter personal.
II. Cine poate indeplini functia de responsabil cu protectia datelor
Articolul 37 alin. 5 din Regulamentul UE 2016/679 stabileste ca responsabilul cu protectia datelor sa fie „desemnat pe baza calitatilor profesionale si, in special, a cunostintelor de specialitate in dreptul si practicile din domeniul protectiei datelor, precum si pe baza capacitatii de a indeplini sarcinile prevazute la articolul 39”.
Responsabilul cu protectia datelor
– in domeniul public;
– in domeniul privat, raportat la situatiile prevazute expres de art. 37 RGDP.
Responsabilul cu protectia datelor poate fi angajat al operatorului/persoanei imputernicite de operator sau poate sasi indeplineasca sarcinile pe baza unui contract de prestari servicii.
In domeniul public, poate fi desemnat pentru mai multe autoritati sau institutii publice, luand in considerare structura organizatorica si dimensiunea acestora.
Calitati si competente:
Trebuie sa aiba capacitatea de a indeplini sarcinile. In acest sens sunt necesare anumite calitati personale (ex.: integritate si etica profesionala), cunostinte, dar si o anumita pozitie in cadrul organizatiei.
Trebuie sa aiba anumite calitati profesionale, astfel:
- experienta in legislatia si practicile de protectie a datelor la nivel national si european, precum si o intelegere adecvata a RGPD;
Categoriile speciale sunt acele date cu caracter personal care dezvaluie originea rasiala sau etnica, opiniile politice, confesiunea religioasa sau convingerile filozofice sau apartenenta la sindicate si prelucrarea de date genetice, de date biometrice pentru identificarea unica a unei persoane fizice, de date privind sanatatea sau de date privind viata sexuala sau orientarea sexuala ale unei persoane fizice.
Exemple de situatii care pot constitui o monitorizare periodica si sistematica a persoanelor vizate:
– gestionarea unei retele de telecomunicatii;
– profilare si scoring in scopul evaluarii riscurilor (de exemplu, in scopul acordarii unui credit, stabilirea primelor de asigurare, de prevenire a fraudelor, detectarea spalarii banilor);
– urmarirea locatiei, spre exemplu prin aplicatii mobile (geolocalizare);
– desfasurarea de programe de loialitate;
– monitorizarea starii de sanatate prin intermediul dispozitivelor portabile;
– televiziune cu circuit inchis – CCTV;
– prelucrarea datelor pacientilor de catre un spital;
– prelucrarea datelor de continut, locatie, trafic de catre furnizorii de servicii de internet;
– prelucrarea datelor personale de catre companii de asigurari;
– publicitate comportamentala.
Cand nu este necesara desemnarea unui responsabil cu protectia datelor?
– atunci cand nu se prelucreaza pe scara larga date cu caracter personal.
Spre exemplu:
– prelucrarea datelor pacientului de catre un cabinet medical individual;
– prelucrarea datelor personale referitoare la condamnarile penale si infractiuni de catre un cabinet
individual de avocatura.
Desi in unele cazuri nu este necesara desemnarea unui responsabil cu protectia datelor, Autoritatea de Supraveghere recomanda numirea unei astfel de persoane, intrucat este utila operatorului pentru respectarea obligatiilor in domeniul protectiei datelor cu caracter personal.
II. Cine poate indeplini functia de responsabil cu protectia datelor
Articolul 37 alin. 5 din Regulamentul UE 2016/679 stabileste ca responsabilul cu protectia datelor sa fie „desemnat pe baza calitatilor profesionale si, in special, a cunostintelor de specialitate in dreptul si practicile din domeniul protectiei datelor, precum si pe baza capacitatii de a indeplini sarcinile prevazute la articolul 39”.
Responsabilul cu protectia datelor
– in domeniul public;
– in domeniul privat, raportat la situatiile prevazute expres de art. 37 RGDP.
Responsabilul cu protectia datelor poate fi angajat al operatorului/persoanei imputernicite de operator sau poate sasi indeplineasca sarcinile pe baza unui contract de prestari servicii.
In domeniul public, poate fi desemnat pentru mai multe autoritati sau institutii publice, luand in considerare structura organizatorica si dimensiunea acestora.
Calitati si competente:
Trebuie sa aiba capacitatea de a indeplini sarcinile. In acest sens sunt necesare anumite calitati personale (ex.: integritate si etica profesionala), cunostinte, dar si o anumita pozitie in cadrul organizatiei.
Trebuie sa aiba anumite calitati profesionale, astfel:
- experienta in legislatia si practicile de protectie a datelor la nivel national si european, precum si o intelegere adecvata a RGPD;
III. Sarcinile responsabilului cu protectia datelor
- de a informa si a consilia operatorul, sau persoana imputernicita de operator, precum si angajatii care se ocupa de prelucrarile de date;
- de a monitoriza respectarea Regulamentului, a altor dispozitii de drept al Uniunii sau de drept intern referitoare la protectia datelor;
- de a consilia operatorul in ceea ce priveste realizarea unei analize de impact asupra protectiei datelor si de a monitoriza executarea acesteia;
- de a coopera cu Autoritatea de Supraveghere si de a reprezenta punctul de contact cu aceasta;
- de a tine seama in mod corespunzator de riscul asociat operatiunilor de prelucrare, la indeplinirea sarcinilor sale