I. Desemnarea responsabilului cu protecția datelor
Temuta dată de 25 mai 2018, dată de la care Regulamentul general privind protecția datelor ("Regulamentul") a devenit aplicabil în toate Statele Membre ale Uniunii Europene, a trecut. Între timp, notele de informare au fost redactate și aduse la cunoștința persoanelor vizate, formularele de consimțământ au devenit o obișnuință, iar procedurile interne au fost revizuite pentru a reflecta noile schimbări în materia protecției datelor cu caracter personal.
Acestea fiind realizate, ce ar trebui făcut în continuare?
Ei bine, chiar dacă proiectele de implementare a cerințelor Regulamentului au fost finalizate sau se află în curs de finalizare, asigurarea protecției datelor cu caracter personal este un proces permanent, iar entitățile care prelucrează astfel de date au sarcina de a monitoriza în continuare acest domeniu. De cele mai multe ori o astfel de activitate implică nu doar un efort serios, ci și necesitatea desemnării unor persoane cu atribuții clare în acest sens.
Dacă numirea unui responsabil cu protecția datelor este obligatorie în anumite situații limitativ prevăzute de Regulament, practica a arătat că este mai degrabă recomandabil să aibă loc o astfel de numire tocmai din motive ce țin de complexitatea operațiunilor de prelucrare a datelor cu caracter personal și de incidența acestor operațiuni în activitatea obișnuită a oricărei entități juridice.
Ne propunem să abordăm, printr-o serie de trei articole, cele mai importante aspecte legate de activitatea și îndatoririle responsabilului cu protecția datelor, scopul urmărit fiind acela de a conștientiza importanța și impactul acestei funcții în lumina prevederilor Regulamentului.
Acest prim articol abordează problema desemnării unui responsabil cu protecția datelor, urmând a analiza cine are obligația unei astfel de numiri.
Articolul 37 din Regulament stabilește că obligația de a desemna un responsabil cu protecția datelor este incidentă pentru:
- autoritățile sau organismele publice, cu excepția instanțelor care acționează în exercițiul funcției jurisdicționale;
- operatorii sau persoanele împuternicite de operator ale căror activități principale, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate, pe scară largă;
- operatorii sau persoanele împuternicite de operator ale căror activități principale constau în prelucrarea pe scară largă a unor categorii speciale de date cu caracter personal sau a unor date cu caracter personal privind condamnările penale și infracțiunile.
Simpla lectură a celor de mai sus relevă dificultatea limbajului și a noțiunilor ce se regăsesc în Regulament, motiv pentru care apreciem că sunt necesare câteva clarificări.
Astfel, prima situație se referă la autoritățile sau organismele publice obligate să desemneze un responsabil cu protecția datelor.
Regulamentul nu indică exact autoritățile sau organismele publice supuse obligației de numire a unui responsabil cu protecția datelor. Soluția vine din partea Legii nr. 190/2018 de implementare în România a Regulamentului care oferă detalii, menționând Camera Deputaților, Senatul, Administrația Prezidențială, Guvernul, ministerele, celelalte organe de specialitate ale administrației publice centrale, autoritățile și instituțiile publice autonome, autoritățile administrației publice locale și de la nivel județean, alte autorități publice, precum și instituțiile din subordinea/coordonarea acestora. De asemenea, sunt asimilate autorităților/organismelor publice și unitățile de cult și fundațiile și asociațiile de utilitate publică.
Clarificări suplimentare vin și din partea Grupului de Lucru Articolul 29, potrivit căruia noțiunea de autoritate/organism public include și o serie de entități ce intră sub incidența dreptului public sau care îndeplinesc activități de interes public, indiferent că sunt persoane fizice sau juridice de drept public sau de drept privat (de exemplu, furnizorii de servicii de transport public, furnizorii de utilități, administratorii infrastructurii de transport, serviciile publice de televiziune și radio, organismele profesionale).
A doua situație în care numirea unui responsabil cu protecția datelor este obligatorie vizează la domeniul privat și privește operatorii sau persoanele împuternicite de operator ale căror activități principale, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate, pe scară largă
Nici în acest caz Regulamentul nu oferă claritate cu privire la criteriile avute în vedere pentru a determina incidența obligației de numire a responsabilului, prin urmare, se impune o analiză suplimentară.
Prima noțiune ce trebuie clarificată este cea de activitate principală. Considerentul 97 din Regulament stabilește că activitățile principale ale unui operator se referă la activitățile sale de bază și nu la prelucrarea datelor cu caracter personal ca și activitate auxiliară activității principale. Spre exemplu, activitatea principală a unui producător de mobilă este de a produce mobilier, chiar dacă auxiliar acestei activități sunt prelucrate datele cu caracter personal ale angajaților.
Mergând mai departe, se pune problema definirii monitorizării periodice și sistematice a datelor cu caracter personal. De această dată, răspunsurile vin din partea Grupului de Lucru Articolul 29.
Astfel, monitorizarea este periodică dacă are loc la anumite intervale într-o perioadă determinată, dacă este recurentă sau este repetată la intervale fixe sau dacă are loc constant sau regulat. Pe de altă parte, monitorizarea este sistematică dacă este realizată conform unui sistem organizat, este prestabilită, organizată și metodică, este realizată ca parte a unui plan general de colectare de date cu caracter personal sau este realizată ca parte a unei strategii.
Ca exemple de monitorizare periodică și sistematică, indicăm salarizarea, operarea unei rețele de telecomunicații sau localizarea prin sisteme de monitorizare mobile. Pe de altă parte, un exemplu de monitorizare periodică dar nesistematică poate fi reprezentat de raportările legale obligatorii către autoritățile de supraveghere financiară. Iar un exemplu de monitorizare sistematică dar neperiodică poate fi reprezentat de situația în care operatorul stabilește că la momentul în care o aplicație ajunge la un număr prestabilit de utilizatori, sistemul să trimită un email de informare.
Ultimul aspect ce trebuie clarificat este legat de prelucrarea pe scară largă a datelor cu caracter personal. În acest sens ar trebui avut în vedere numărul persoanelor vizate (stabilit fie ca un număr fix sau ca procent din populația relevantă), volumul de date sau categoriile de date prelucrate, durata sau caracterul permanent al prelucrări sau răspândirea geografică a prelucrării.
Subliniem că, pentru a deveni incidentă cea de-a doua situație în care desemnarea unui responsabil cu protecția datelor este obligatorie, criteriile menționate anterior trebuie îndeplinite cumulativ.
Mai mult decât atât, pentru a fi incidentă această a doua situație în care numirea unui responsabil cu protecția datelor este nevoie ca monitorizarea periodică și sistematică pe scară largă a persoanelor vizate să fie necesară pentru desfășurarea activității principale a operatorului sau a persoanei împuternicite de operator. Cu titlu de exemplu, în această situație s-ar putea înscrie de exemplu, activitatea băncilor, asiguratorilor sau furnizorilor de servicii de telefonie.
A treia situație în care este necesară desemnarea unui responsabil cu protecția datelor se referă tot la domeniul privat și vizează acei operatori sau persoane împuternicite de operator a căror activitate principală constă în prelucrarea pe scară largă unor categorii speciale de date sau a unor date cu caracter personal privind condamnări penale și infracțiuni.
Pentru că o parte din noțiunile cu care operează această a treia situație au fost deja dezbătute anterior, vom insista doar în a clarifica care sunt categoriile speciale de date cu caracter personal. De această dată, Regulamentul este mai clar și include în această categorie datele cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate, datele genetice, datele biometrice pentru identificarea unică a unei persoane fizice, datele privind sănătatea și datele privind viața sexuală sau orientarea sexuală ale unei persoane fizice.
Un exemplu elocvent în acest sens este al unui spital a cărui activitate principală constă în prelucrarea pe scară largă a datelor privind sănătatea ce aparțin pacienților beneficiari ai serviciilor medicale (pornind de la premisa că avem de-a face cu un spital județean sau regional, de exemplu, ce acoperă o arie geografică semnificativă).
Este evident că cele succint prezentate anterior relevă nevoia de interpretare punctuală și aplicată situațiilor practice cu care se confruntă entitățile juridice care prelucrează în mod curent date cu caracter personal. De altfel, experiența practică a demonstrat că stabilirea incidenței obligației de numire a unui responsabil cu protecția datelor este, de cele mai multe ori, greu de realizat. Spre exemplu, autoritatea de supraveghere din Suedia a constant că, din 365 de entități controlate, un sfert nu au aplicat corect aceste dispoziții ale Regulamentului și nu au numit un responsabil cu protecția datelor.
Subliniem că nerespectarea obligației de numire a responsabilului cu protecția datelor poate avea consecințe serioase asupra celor operatorilor sau persoanelor împuternicite de operator, amenda stabilită de Regulament fiind de până la 10.000.000 euro sau de până la 2% din cifra de afaceri mondială totală anuală, luându-se în calcul cea mai mare valoare.
Următoarele noastre articole vor analiza modul în care responsabilul cu protecția datelor trebuie integrat în organigrama entității care l-a desemnat, sarcinile pe care trebuie să le îndeplinească și modul în care acesta contribuie la asigurarea nu doar a respectării prevederilor Regulamentului, dar și la creșterea gradului de conștientizare a importanței prevederilor acestuia în rândul angajaților sau colaboratorilor care prelucrează date cu caracter personal în activitatea zilnică.
În România, ocupația de Responsabil cu Protecția Datelor a fost recunoscută oficial la începutul anului 2018, după ce PwC România și D&B David şi Baias au obţinut validarea standardului ocupaţional aferent acestei funcții de la Comitetul Sectorial Administraţie şi Servicii Publice din cadrul Autorităţii Naţionale pentru Calificări, structură a Ministerului Educaţiei Naţionale.
Începând cu luna septembrie 2018, PwC România și D&B David şi Baias organizează cursuri autorizate de pregătire a Reponsabilului cu Protecția Datelor, absolvenții primind diplome eliberate de Ministerul Educației Naționale și Ministerul Muncii și Justiției Sociale. Mai multe detalii pot fi obținute accesând acest link.
Următorul articol din această serie va fi publicat în data de 18 martie.
Un articol semnat de Manuela Guia - Avocat Partener, D&B David si Baias și Daniel Vinerean - Avocat Asociat, D&B David si Baias
