Breaking News
Home > Intel > Analize > Cine este responsabilul cu protecția datelor și cine are nevoie de el ?

Cine este responsabilul cu protecția datelor și cine are nevoie de el ?

Problematica ce face obiectul acestei teme a căpătat o amploare şi importanţă deosebită, ca urmare a tendinţelor relevate de consolidarea cadrului normativ, dar şi de crearea unor instituţii independente, cu atribuţii specifice domeniului abordat

Astfel Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal, are următoarele atribuţii:

  • are raspunderea ca drepturile şi libertăţile fundamentale ale persoanelor fizice, în special dreptul la viaţă privată, să fie respectate de către instituţiile şi organismele comunitare/naţionale în procesul de prelucrare a datelor cu caracter personal.
  • misiunea de a supraveghea şi de a asigura aplicarea corespunzătoare a prevederilor legale în materie, totodată revenindu-le şi sarcina de a consilia instituţiile, diferitele organisme şi subiecţii luaţi în evidenţă cu privire la toate aspectele referitoare la prelucrarea datelor cu caracter personal.

Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul General privind Protecția Datelor) urmează să fie pus direct în aplicare în toate statele membre ale Uniunii Europene începând cu data de 25 mai 2018.

Un element de noutate pe care acest act normativ european îl aduce în peisajul juridic românesc îl reprezintă instituirea obligativității desemnării la nivelul operatorului sau persoanei împuternicite de operator, în anumite cazuri, a unui responsabil cu protecția datelor.

Regulamentul General privind Protecția Datelor (RGPD)  ce urmează să devină aplicabil la data de 25 mai 2018, oferă un cadru legal modernizat, de conformitate bazat de responsabilitate pentru protecția datelor în Europa. Responsabilul cu protecția datelor (DPO) va reprezenta centrul acestui nou cadru juridic pentru multe organizații, facilitând respectarea prevederilor RGPD, adică a  Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (RegulamentulGeneral privind Protecția Datelor) (MO L 119, 4.5.2016).

Potrivit RGPD, este obligatoriu ca anumiți operatori și persoane împuternicite de operatori să desemneze un DPO.

Numirea unui DPO este obligatorie pentru autoritățile competente potrivit art. 32 din Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Decizie-Cadru 2008/977/JAI (MO L 119, 4.5.2016, p. 89–131) și legislația națională de implementare. În timp ce acest ghid se concentrează pe DPO potrivit RGPD, acesta este de asemenea relevant și în situația DPO potrivit Directivei 2016/680, în ceea ce privește dispozițiile similare.

Aceasta va fi situația pentru toate autoritățile și organismele publice (indiferent de tipul datelor prelucrate) și pentru celelalte organizații care – ca și activitate principală – monitorizează în mod sistematic și pe scară largă persoanele fizice sau prelucrează categorii speciale de date cu caracter personal pe scară largă.

Exemple de situații care pot constitui o monitorizare periodică și sistematică a persoanelor vizate:

  • gestionarea unei rețele de telecomunicații;
  • profilare și scoring în scopul evaluării riscurilor (de exemplu, în scopul acordării unui credit, stabilirea primelor de asigurare, de prevenire a fraudelor, detectarea spălării banilor);
  • urmărirea locației, spre exemplu prin aplicații mobile (geolocalizare);
  • desfășurarea de programe de loialitate;
  • monitorizarea stării de sănătate prin intermediul dispozitivelor portabile;
  • televiziune cu circuit închis – CCTV;
  • prelucrarea datelor pacienților de către un spital;
  • prelucrarea datelor datelor de conținut, locație, trafic de către furnizorii de servicii de internet;
  • prelucrarea datelor personale de către companii de asigurări;
  • publicitate comportamentală.

Chiar și în situația în care RGPD nu impune în mod expres numirea unui DPO, organizațiile pot găsi ca fiind utilă desemnarea unui DPO în mod voluntar.  Numirea acestuia reprezintă un prim pas, dar trebuie să se asigure că DPO are autonomie și resurse suficiente pentru îndeplinirea sarcinilor într-un mod eficient. RGPD recunoaște DPO ca un actor-cheie în noul sistem de guvernare al protecției datelor și stabilește condițiile pentru numirea sa, poziția și sarcinile sale.

  1. Cine este responsabilul cu protecția datelor

Articolul 37 alin. 5 din Regulamentul UE 2016/679 stabilește ca responsabilul cu protecția datelor să fie ”desemnat pe baza calităţilor profesionale şi, în special, a cunoştinţelor de specialitate în dreptul şi practicile din domeniul protecţiei datelor, precum şi pe baza capacităţii de a îndeplini sarcinile prevăzute la articolul 39.” De aici rezultă că acesta  poate fi angajat al operatorului/persoanei împuternicite de operator sau poate să-și îndeplinească sarcinile pe baza unui contract de prestări servicii. În domeniul public, poate fi desemnat pentru mai multe autorități sau  instituții publice, luând în considerare structura organizatorică și dimensiunea acestora. Iar în  domeniul privat, raportat la situațiile prevăzute expres de art. 37 RGDP.

Calități și competențe unui  responsabilul cu protecția datelor (DPO) :

Pentru a fi capabil  de a îndeplini sarcinile sunt necesare anumite calități personale (ex: integritate și etica profesională), cunoștințe, dar și o anumită poziție în cadrul organizației.

Din punct de vedere profesional trebuie să aibă o anumită pregătire ce inseamnă:

  • experiență în legislația și practicile de protecție a datelor la nivel național și european, și evident  o bună cunoaștere a RGPD;
  • să dețină nivelul necesar de cunoștințe în  domeniul protecției  datelor în funcție de operațiunile de prelucrare a datelor efectuate și de nivelul de protecție necesar pentru datele cu caracter personal prelucrate;
  • să înțeleagă operațiunile de prelucrare efectuate, precum și sistemele de informații și necesitățile de securitate și protecție a datelor prelucrate de operator;
  • în cazul unei autorități sau instituții publice, responsabilul cu protecția datelor trebuie să dețină, de asemenea, cunoștințe privind reglementările legale referitoare la organizarea și funcționarea acestora, precum și a procedurilor interne administrative ce vizează desfășurarea activității.
  • Respectarea Regulamentului General privind Protecția Datelor și a reglementărilor naționale la incidente.
  • Este obligat să păstreze secretul sau confidențialitateaîn ceea ce privește îndeplinirea sarcinilor sale, în conformitate cu dreptul Uniunii sau cu dreptul intern.

Operatorul sau persoana împuternicită de operator, în ceea ce privește raporturile cu responsabilul cu protecția datelor, este obligat să:

  • publice datele de contact ale responsabilului (adresă poștală, număr de telefon alocat special și/sau o adresă de email alocată special).
  • comunice datele de contact ale responsabilului către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

Trebuie menționat faptul că responsabilului cu protecția datelor îi este permis să aibă și alte funcții.Acestuia îi pot fi încredințate și alte sarcini și atribuții, cu condiția ca el să nu dea naștere unor conflicte de interese (de ex: nu poate fi director executiv, director operațional, director financiar, șeful serviciului medical, șeful departamentului de marketing, șeful departamentului de resurse umane sau șeful departamentului IT).

Responsabilul pentru protecția datelor nu poate fi demis sau sancționat de operator sau persoana împuternicită de operator pentru îndeplinirea sarcinilor sale, dar  ar putea fi totuși demis, în mod legal, din alte motive decât cele privind îndeplinirea sarcinilor sale în această calitate. De exemplu, responsabilul poate fi demis în caz de furt, hărțuire ori o abatere gravă similară.

  1. II. Care ar fi sarcinile responsabilului cu protecția datelor este de subliniat că fisa postului resposabilului DPO trebuie să cuprindă  
  • obligația de a informa şi consilia operatorul, sau persoana împuternicită de operator, precum şi angajaţii care se ocupă de prelucrările de date;
  •  monitorizarea respectării Regulamentului, a altor dispoziţii de drept al Uniunii sau de drept intern referitoare la protecţia datelor;
  •  consilierea operatorul în ceea ce priveşte realizarea unei analize de impact asupra protecţiei datelor şi de a monitoriza executarea acesteia;
  • Cooperarea  cu Autoritatea de Supraveghere și de a reprezenta punctul de contact cu aceasta;
  • de a ține seama în mod corespunzător de riscul asociat operațiunilor de prelucrare, la îndeplinirea sarcinilor sale.

III. Care sunt  cazurile în care este obligatorie desemnarea unui responsabil cu protecția datelor

Există acceastă obligativitate atunci când prelucrarea este efectuată de o autoritate publică sau un organism public, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale, dar și dacă activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrarea care necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă. De asemena dacă activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date sau a unor categorii de date cu caracter personal privind condamnări penale și infracțiuni, pentru a stabili activitatea principală desfășurată de un operator sau împuternicit, aceasta trebuie analizată prin raportare la prelucrările de date cu caracter personal efectuate.

Când nu este necesară desemnarea unui responsabil cu protecţia datelor?

– atunci când nu se prelucrează pe scară largă date cu caracter personal.

Spre exemplu: prelucrarea datelor pacientului de către un cabinet medical individual sau prelucrarea datelor personale referitoare la condamnările penale și infracțiuni de către un cabinet individual de avocatură.

Menționam că deși în unele cazuri nu este necesară desemnarea unui responsabil cu protecția datelor, Autoritatea de Supraveghere recomandă numirea unei astfel de persoane, întrucât este utilă operatorului pentru respectarea obligațiilor în domeniul protecției datelor cu caracter personal.

 

IV Despre Regulamentul General pentru Protecţia Datelor

Regulamentul este rezultatul unui proces inceput in anul 2009, care a inclus elaborarea de studii, conferinte si mese rotunde, dar si consultarea cu partile implicate (autoritati nationale de reglementare, organizatii de protectia consumatorilor etc.). și a fost adoptat în aprilie 2016 şi va intra în vigoare în luna mai a acestui an, UE oferind companiilor şi instituţiilor vizate doi ani să se alinieze la noile norme.

  • Regulamentul are ca obiective:

crearea unui cadru unitar de reglementare a protectiei datelor cu caracter personal la nivelul Uniunii Europene
– largirea din punct de vedere teritorial a sferei de aplicare a reglementarilor Uniunii Europene privind datele cu caracter personal
– impunerea de noi obligatii si recunoasterea de noi drepturi, prevazand totodata amenzi semnificative pentru incalcarea lor (pana la 20 de milioane euro sau 4% din cifra de afaceri globala).

  • Regulamentul abroga Directiva 95/46/CE privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date.

De menționat că orice companie care stochează sau procesează date personale ale cetăţenilor europeni trebuie să se alinieze regulamentului pentru protecţia datelor. Dar principala noutate o reprezintă introducerea acestei obligativităţi pentru companiile din afara UE, care nu au vreo prezenţă încorporată în cele 28 de state membre. Astfel, datele personale ale europenilor ar urma să fie protejate în centrele de date ale companiilor americane de servicii online, sub ameninţarea cu amenzi care pot ajunge până la 4% din cifra de afaceri.Tot la capitolul drepturi noi pentru consumatori, cetăţenii europeni vor trebui notificaţi în termen de 72 de ore în cazul în care sunt afectaţi de compromiterea datelor personale şi fiecare persoană va putea obţine informaţii privind datele colectate despre ea, scopul pentru care au fost colectate, şi unde sunt stocate şi procesate. De asemenea, cetăţenii europeni vor putea obţine, gratuit, copii în format electronic privind datele persoale care au fost colectate, practică asemănătoare descărcării istoricului personal de la Google sau Facebook.De asemenea, regulamentul extinde “dreptul de a fi uitat”: orice persoană va putea cere companiilor să şteargă datele care o vizează, inclusiv în cazul în care informaţiile au fost diseminate către terţi.

O obligație foarte importantă pentru companii este comunicarea permanentă cu autorităţile de protecţie a datelor din statele membre şi, în cazul organizaţiilor care procesează volume mari de date personale, înfiinţarea unui Departament de Protecţie a Datelor condus de un director de protecţie a datelor (data protection officer – DPO).

Aceste prevederi principale şi restul drepturilor, obligaţiilor şi procedurilor din noul regulament de protecţie a datelor din UE ar putea genera costuri semnificative pentru compani şi a stimulat deja dezvoltarea unui ecosistem de firme de consultanţă care oferă sprijin contra-cost companiilor în implementarea noilor reglementări. Dar , Comisia Europeană estimează însă că regulamentul va genera reduceri de cheltuieli de 2,3 miliarde de euro pe an pentru companii, deoarece va omogeniza legislaţia de resort din toate statele membre UE. În prezent, fiecare stat UE are propria lege pentru protecţia datelor cu caracter personal.

Regulamentul General pentru Protecţia Datelor va schimba felul în care companiile pot folosi şi procesa datele personale pe care le adună despre clienţii şi angajaţi. Cel mai mare impact va fi probabil resimţit de industria de publicitate online, dependentă în mare măsură de procesarea datelor privind obiceiurile de navigare pe internet, interesele utilizatorilor şi profilul lor demografic.

Datele care intră sub incidenţa regulamentului sunt împărţite în două categorii: date personale, care se referă la informaţii de identificare – nume, adresă, adresă IP etc.și date personale sensibile: convingeri politice şi religioase, orientare sexuală, informaţii medicale. Deci, categoriile speciale sunt acele date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice.Astfel de informaţii sunt deja protejate de legile naţionale de protecţie a datelor şi de vechea directivă UE, însă regulamentul aduce ca noutate protejarea datelor colectate anonim sau sub pseudonim.

Ghid

Pentru mai multe informații recomandăm consultarea Ghidului privind Responsabilul cu protecția datelor (DPO), accesibil în secțiunea specială privind Noul Regulament de pe site-ul Autorității Naționale de Supraveghere a Datelor cu Caracter Personal –www.dataprotection.ro.

Obiectivul acestui ghid este de a clarifica prevederile relevante din RGPD pentru a ajuta operatorii și persoanele împuternicite de operator în vederea respectării legii, dar și pentru a ajuta DPO în ceea ce privește rolul său. Ghidul oferă, de asemenea, recomandări de bune practici, bazându-se pe experiența acumulată în unele state membre UE.

Autor: Tiberiu TĂNASE

Check Also

ASE: Un nou curs postuniversitar de Intelligence Economic Internaţional

Începând cu 19 octombrie 2018, Academia de Studii Economice (ASE) împreună cu Centrul de Strategii …

Leave a Reply

Your email address will not be published. Required fields are marked *