Trebuie sa numesc un DPO?

Trebuie sa numesc un DPO?

Un subiect foare discutat in aceasta perioada este daca un procesator de date este obligat sa numeasca un DPO sau nu. Recunoastem, criteriile de necesitate a numirii nu sunt tocmai foarte clare. Vom incerca sa aducem in cele ce urmeaza o doza de “lumina” pe acest subiect.

In conformitate cu GDPR, anumiti operatori si persoane imputernicite de operatori au obligtia de a desemna un DPO. Acest lucru va fi valabil pentru toate autoritatile si organismele publice (indiferent de datele pe care le prelucreaza), precum si pentru alte organizatii care, ca activitate de baza, monitorizeaza persoane în mod sistematic si la scara larga, sau care prelucreaza categorii speciale de date cu caracter personal la scara larga.

Daca prima situatie cand numirea unui DPO este clara (i.e. operatoul sau persoana imputernicita este o autoritate publica), celelalte doua cazuri ridica anumite semne de intrebare din perspectiva interpretarii sensului textului din GDPR, astfel:

a. organizatiile care, ca activitate de baza, monitorizeaza persoane în mod sistematic si la scara larga

Acesta situatie implica analiza mai multor variabile, respectiv:

a.1 Criteriul de “activitate de baza

GDPR prevede faptul ca activitatile principale ale unui operator se refera la „activitatile sale de baza, si nu la prelucrarea datelor cu caracter personal drept activitati auxiliare”. „Activitatile principale” pot fi considerate drept operatiunile-cheie necesare pentru îndeplinirea obiectivelor operatorului sau ale persoanei împuternicite de catre operator. Cu toate acestea, „activitatile principale” nu ar trebui sa fie interpretate ca excluzând activitatile în cazul în care prelucrarea datelor constituie o parte indisolubila a activitatii operatorului sau a persoanei împuternicite de catre operator.

De exemplu, activitatea principala a unei clinici medicale este de a furniza asistenta medicala. Cu toate acestea, clinica medicala nu ar putea furniza asistenta medicala în conditii de siguranta si în mod eficient, fara prelucrarea datelor privind starea de sanatate, cum ar fi dosarele medicale ale pacientilor. Prin urmare, prelucrarea acestor date ar trebui sa fie considerata drept una dintre activitatile principale ale oricarei clinici medicale, iar aceastea trebuie, prin urmare, sa numeasca un DPO.

a.2 Criteriul ”pe scara larga”

GDPR nu ofera o definitie exacta a ce trebuie inteles prin acest termen. Totusi, practica indica evaluarea dupa urmatoarele criterii:

  1. Numarul persoanelor vizate respective - fie canumar specific, fie ca proportie din populatia relevanta;
  2. Volumul de date si/sau intervalul diferitelor elemente de date prelucrate;
  3. Durata sau caracterul permanent al activitatii de prelucrare a datelor;
  4. Întinderea geografica a activitatii de prelucrare.

Practica indica urmatoarele exemple practice:

  1. Un spital este obligat sa numeasca un DPO, pe cand un doctor individual nu are aceasta obligatie;
  2. Prelucrarea datelor de geolocalizare în timp real a clientilor unui lant de restaurante fast-food necesita numirea unui DPO;
  3. Prelucrarea datelor privind cazierul judiciar de catre un avocat nu necesita numirea unui DPO.

a.3 Criteriul “monitorizare în mod periodic si sistematic“

Notiunea de monitorizare periodica si sistematica nu este definita în GDPR, însa conceptul de „monitorizare a comportamentului persoanelor vizate” este mentionat si include, în mod clar, toate formele de urmarire si creare de profiluri pe internet, inclusiv în scopul publicitatii comportamentale. Monitorizarea nu trebuie considerate doar in situatia in care aceasta este realizata in mediul online.

Practica indica faptul ca prin “periodic“ ar trebui sa se inteleaga o prelucrare efectuata permanent sau la anumite interval, in mod recurent sau repetat, la ore fixe etc.

Prin sistematic ar trebui sa se inteleaga o monitorizare care se realizeaza conform unui sistem, în mod predeterminat, organizat sau metodic, în cadrul unui plan general de colectare a datelor, în baza unei strategii care are acest scop. Printre exemplele de activitati care ar putea constitui monitorizare periodica si sistematica a persoanelor vizate se numara: reorientarea catre adrese de e-mail (e-mail retargeting); activitati de comercializare bazate pe date; urmarirea locatiei, de exemplu, prin aplicatii mobile; introducerea de programe de fidelizare; publicitatea comportamentala; monitorizarea datelor despre starea de bine, introducerea de programe de televiziune în circuit închis (monitorizare video).

Vrei sa afli mai multe? Citeste articolele de pe site-ul www.gdpradvisors.ro sau adreseaza-ne o intrebare pe grupul nostru de suport https://www.facebook.com/groups/gdpradvisors/

Acest site foloseste cookie-uri. Navigand in continuare va exprimati acordul pentru folosirea cookie-urilor. Detalii aici.

OK