RGPD – Cine trebuie să desemneze un responsabil cu protecția datelor? (V – Categorii speciale de date)

/in , /by

Încheiem seria de articole privind responsabilul cu protecția datelor personale cu explicații despre noțiunea de categorii speciale de date.

Categorii speciale de date

În sfârșit, avem o noțiune definită clar de RGPD prin art. 9 alin. (1): sunt categorii speciale de date cu caracter personal acele date „care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice.”

Studiu de caz

În exemplul nostru privind magazinul online, nu avem motive să credem că acesta ar solicita date dintre cele aparținând categoriilor speciale pentru crearea conturilor clienților pentru cumpărăturile online, astfel încât în măsura în care nu prelucrează astfel de date, lui nu i se aplică acest caz.

Cu toate acestea, dacă însumăm toate elementele analizate în articolele precedente prin raportare la activitatea unui magazin online, putem concluziona că acesta are nevoie de un responsabil cu protecția datelor dacă:

  • magazinul online folosește datele clienților săi pentru a transmite newslettere ori pentru a transmite sugestii de achiziții adiacente celor deja efectuate pe site
  • magazinul online are un număr relativ mare de clienți cu conturi pe site dintr-o anumită arie geografică, raportat la populația existentă în acea arie geografică.

Întrucât este greu de controlat numărul clienților/conturilor acestora pe site, astfel încât este greu de apreciat când prelucrarea este pe scară largă, considerăm că un magazin online ar trebui să își desemneze un responsabil cu prelucrarea datelor încă de la început.

Recomandarea A.N.S.P.D.C.P. privind desemnarea responsabilului

Mai mult, pe site-ul A.N.S.P.D.C.P. puteți găsi următoarea recomandare: „Deși în unele cazuri nu este necesară desemnarea unui responsabil cu protecția datelor, Autoritatea de Supraveghere recomandă numirea unei astfel de persoane, întrucât este utilă operatorului pentru respectarea obligațiilor în domeniul protecției datelor cu caracter personal.

Concluzii

Ținând cont de faptul că sunt precizate doar două situații clare în care nu este obligatorie numirea unui responsabil cu protecția datelor (a se vedea aici), recomandarea A.N.S.P.D.C.P. se poate transforma într-o realitate dură și anume aceea în care Autoritatea de Supraveghere să considere obligatorie numirea unui responsabil cu protecția datelor în mai toate cazurile care nu se subscriu celor două exemple: medic și avocat.

 

Considerăm că este nevoie de mai multă preocupare din partea A.N.S.P.D.C.P. pentru a clarifica modul de aplicare a noilor reguli, sau cel puțin pentru a ne informa asupra modului în care aceasta înțelege RGPD, prin publicarea de puncte de vedere și exemple practice raportate la situații de fapt specifice realității economice a țării noastre.    

 

Puteți citi artcolele anterioare pe subiectul responsabilului cu protecția datelor personale aici, aici, aici și aici.

PFA – Activități interzise

/in , /by

PFA – reglementare generală pentru persoanele fizice

Mulți dintre voi cunosc faptul că desfășurarea activităților economice de către persoanele fizice autorizate (PFA), întreprinderile individuale (II) și întreprinderile familiale (IF) este reglementată de către O.U.G. nr. 44/2008.

Acest act normativ reglementează:

  • accesul la activităţile economice din economia naţională astfel cum sunt prevăzute în Codul CAEN;
  • procedura de înregistrare în registrul comerțului;
  • procedura de autorizare a funcționării;
  • regimul juridic al persoanelor fizice autorizate să desfășoare activități economice, precum şi al întreprinderilor individuale și familiale.

Totuși, există o serie de profesii sau ocupații care nu se pot desfășura în baza O.U.G. nr. 44/2008. Conform art. 1 al ordonanței, aceasta nu se aplică:

  • profesiilor liberale;
  • activităților economice a căror desfășurare este organizată și reglementată prin legi speciale;
  • activităților economice pentru care, prin lege, sunt instituite anumite restricții de desfășurare ori alte interdicții;
  • activităților interzise expres prin lege pentru libera inițiativă.

Activități interzise

În cele ce urmează vom prezenta lista profesiilor sau ocupațiilor a căror desfășurare nu se poate realiza în formele prevăzute de O.U.G. nr. 44/2008:

Pază și protecție

  • agent de pază/gardă de corp;
  • detectiv particular.

Evaluare / audit

  • auditor financiar;
  • evaluator autorizat;
  • expert contabil/criminalist/tehnic judiciar/extrajudiciar.

Medicină / farmacie

  • farmacist;
  • fizio-kinetoterapeut;
  • asistent medical generalist;
  • asistent medical;
  • logoped;
  • moașă;
  • optician-optometrist;
  • medic/dentist/veterinar;
  • practician în medicină complementară/alternativă;
  • psiholog.

Traducere și interpretariat

  • traducător / interpret autorizat de ministerul justiție;
  • interpret limbaj mimico – gestual.

Asistență socială

  • asistent maternal;
  • asistent social.

Arhitectură/construcții

  • arhitect;
  • auditor energetic pentru clădiri;
  • diriginte de șantier;
  • geodez;
  • proiectant drum forestier;
  • specialist în domeniul amenajării teritoriului și urbanismului;
  • instalator autorizat pentru activități de proiectare, execuție și exploatare în domeniul gazelor naturale.

Consultanță juridică/fiscală

  • avocat;
  • notar public;
  • practician în insolvență;
  • mediator;
  • consilier de probațiune;
  • consilier juridic;
  • consilier în proprietate industrială;
  • consultant fiscal;
  • contabil autorizat;
  • executor judecătoresc;
  • sociolog.

Tehnic

  • mecanic de locomotivă;
  • pilot aviația civilă;
  • pompier civil (personal de specialitate cu atribuții în domeniul apărării împotriva incendiilor);
  • scoală de conducători auto;
  • chimist/biochimist în sistemul sanitar;
  • restaurator;
  • conservator;
  • tehnician de proteze și orteze/de proteze auditive/de aparatură medicală.

Dacă aveți neclarități sau doriți mai multe detalii despre înființarea și funcționarea unui PFA, puteți folosi adresa noastră de contact.

RGPD – Cine trebuie să desemneze un responsabil cu protecția datelor? (IV – Prelucrare date pe scară largă)

/in /by

Analizăm astăzi o nouă noțiune dintre noțiunile cheie ale RGPD în stabilirea operatorilor obligați să desemneze un responsabil cu protecția datelor, respectiv aceea de prelucrare date ”pe scară largă”.

Prelucrare date „pe scară largă”

RGPD nu definește această noțiune, însă Grupul de lucru „Articolul 29” recomandă ca atunci când se stabilește dacă prelucrarea este efectuată pe o scară largă, să fie avute în vedere următoarele criterii:

  • numărul persoanelor vizate – ori un număr exact ori un procent din populația relevantă;
  • volumul datelor și/sau gama de elemente diferite de date în curs de prelucrare;
  • durata sau permanența activității de prelucrare a datelor;
  • suprafața geografică a activității de prelucrare.

Aceleași criterii sunt preluate și de către A.N.S.P.D.C.P., ceea ce înseamnă că se vor regăsi și în legislația națională și se vor aplica și în practica noastră.

În cuprinsul considerentului nr. 91 al RGPD pot fi identificate unele orientări, oferind exemple care sunt la extreme:

  • operațiuni de prelucrare date la scară largă sunt acelea care au drept obiectiv prelucrarea unui volum considerabil de date cu caracter personal la nivel regional, național sau supranațional;
  • operațiuni care nu reprezintă o prelucrare la scară largă – operațiuni de prelucrare de date cu caracter personal de la pacienți sau clienți de către un anumit medic, un alt profesionist în domeniul sănătății sau un avocat (caz în care nu este necesară desemnarea unui responsabil cu protecția datelor).

Practic, orice prelucrare făcută între aceste două extreme poate fi interpretată ca prelucrare pentru care este necesară numirea unui responsabil cu protecția datelor, cu excepția prelucrării datelor pacientului de către un medic sau a datelor personale referitoare la condamnările penale și infracțiuni de către un avocat.

Studiu de caz

Aplicând aceste explicații la cazul practic enunțat în articolele anterioare privitor la magazinul online, dacă acesta are un număr relativ mare de clienți cu conturi pe site dintr-o anumită arie geografică, raportat la populația existentă în acea arie geografică, atunci prelucrarea pe care societatea proprietară a magazinului o face are nevoie de un responsabil cu protecția datelor.

Puteți citi articolele anterioare pe subiectul responsabilului cu protecția datelor personale aici, aici și aici

RGPD – Cine trebuie să desemneze un responsabil cu protecția datelor? (III – Monitorizare periodică și sistematică)

/in , /by

Continuăm seria explicațiilor privind noțiunile problematice ale art. 37 din RGPD cu aceea de ‘monitorizare periodică și sistematică’.

Monitorizarea periodică și sistematică

Nici în acest caz RGPD nu ne oferă o definiție expresă, cu atât mai mult cu cât în fapt avem trei noțiuni: „monitorizare”, „periodic” și „sistematic”. Putem, însă, să extragem anumite explicații ale acestora din analiza extinsă a instrucțiunilor formulate pentru RGPD și a considerentelor acestuia.

Monitorizare

În considerentul nr. 24 putem găsi conceptul de „monitorizare a comportamentului persoanelor vizate”: „Pentru a se determina dacă o activitate de prelucrare poate fi considerată ca „monitorizare a comportamentului” persoanelor vizate, ar trebui să se stabilească dacă persoanele fizice sunt urmărite pe internet, inclusiv posibila utilizare ulterioară a unor tehnici de prelucrare a datelor cu caracter personal care constau în crearea unui profil al unei persoane fizice, în special în scopul de a lua decizii cu privire la aceasta sau de a analiza sau de a face previziuni referitoare la preferințele personale, comportamentele și atitudinile acesteia.”

Este foarte important să știm că în opinia Grupului de lucru „Articolul 29” noțiunea de monitorizare nu este restricționată în mediul online, iar urmărirea online ar trebui să fie considerată doar ca un exemplu de monitorizare a comportamentului persoanelor vizate.

Periodic

Tot Grupului de lucru „Articolul 29” i-a revenit sarcina de a ne ajuta și în acest caz, stabilind că „periodic” poate fi interpretat astfel:

  • în curs de desfășurare sau care apare la anumite intervale într-o anumită perioadă;
  • recurente sau repetate la perioade fixe;
  • constante sau care au loc periodic.

Sistematic

În aceeași manieră, Grupul de lucru „Articolul 29” interpretează termenul „sistematic” ca însemnând una sau mai multe din următoarele:

  • apărut conform sistemului prearanjat, organizat sau metodic;
  • luând loc ca parte a unui plan general de colectare a datelor;
  • efectuat ca parte a unei strategii.

Studiu de caz

Prin urmare, monitorizarea sistematică și periodică înseamnă urmărirea persoanelor vizate și/sau crearea de profiluri ale acestora în mod recurent/periodic/constant și în contextul unei strategii/plan/sistem.

Astfel, în exemplul nostru din articolul anterior, dacă magazinul online folosește datele clienților săi pentru a transmite newslettere ori pentru a transmite sugestii de achiziții adiacente celor deja efectuate pe site, putem concluziona că acesta efectuează o monitorizare sistematică și periodică a datelor personale.

 

Puteți citi articolele anterioare pe subiectul responsabilului cu protecția datelor personale aici și aici.

RGPD – Cine trebuie să desemneze un responsabil cu protecția datelor? (II – Activitățile principale)

/in , , /by

Dintre noțiunile menționate în articolul anterior, cea pe care o vom analiza în acest articol este noțiunea de ”activități principale”.

Activitățile principale

RGPD nu definește activitățile principale în mod expres, însă le găsim menționate în considerentul nr. 97: „În sectorul privat, activitățile principale ale unui operator se referă la activitățile sale de bază, și nu la prelucrarea datelor cu caracter personal drept activități auxiliare.

A.N.S.P.D.C.P. ne informează că „Pentru a stabili activitatea principală desfășurată de un operator sau împuternicit, aceasta trebuie analizată prin raportare la prelucrările de date cu caracter personal efectuate.

Conform Instrucțiunilor Grupului de lucru „Articolul 29” activitățile principale pot fi considerate ca operațiuni cheie necesare pentru îndeplinirea obiectivelor operatorului sau persoanei împuternicite de operator. Din cuprinsul acestora nu pot fi excluse acele activități în care prelucrarea datelor reprezintă o parte indisolubilă a activității operatorului sau persoanei împuternicite de operator.

Astfel, în exemplul oferit de Grupul de lucru „Articolul 29”, prelucrarea datelor privind starea de sănătate (dosarele medicale ale pacienților) ar trebui să fie considerată a fi una dintre activitățile principale în orice spital.

Pentru a ne ajuta să distingem între tipurile de activități și să identificăm mai ușor activitățile principale în sensul RGPD, le putem compara cu activitățile auxiliare, ce sunt definite de către Grupul de lucru „Articolul 29” astfel: funcții de sprijin necesare pentru activitatea de bază sau principală a organizației cum ar fi plata angajaților lor sau deținerea de activități standard de suport IT.

Studiu de caz

Analizând definițiile și informațiile menționate anterior, putem lua ca exemplu un magazin online. Deși activitatea principală prevăzută în actul constitutiv al societății este comerțul cu amănuntul prin intermediul caselor de comenzi sau prin internet, din perspectiva RGPD activitatea principală include și prelucrarea datelor clienților săi care și-au creat un cont pe site-ul magazinului și au achiziționat produsele vândute de acesta. Explicația constă în faptul că operatorul (magazinul online) nu ar putea vinde produsele sale fără a colecta datele personale ale clienților.