Posts

RGPD – Cine trebuie să desemneze un responsabil cu protecția datelor? (V – Categorii speciale de date)

Încheiem seria de articole privind responsabilul cu protecția datelor personale cu explicații despre noțiunea de categorii speciale de date.

Categorii speciale de date

În sfârșit, avem o noțiune definită clar de RGPD prin art. 9 alin. (1): sunt categorii speciale de date cu caracter personal acele date „care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice.”

Studiu de caz

În exemplul nostru privind magazinul online, nu avem motive să credem că acesta ar solicita date dintre cele aparținând categoriilor speciale pentru crearea conturilor clienților pentru cumpărăturile online, astfel încât în măsura în care nu prelucrează astfel de date, lui nu i se aplică acest caz.

Cu toate acestea, dacă însumăm toate elementele analizate în articolele precedente prin raportare la activitatea unui magazin online, putem concluziona că acesta are nevoie de un responsabil cu protecția datelor dacă:

  • magazinul online folosește datele clienților săi pentru a transmite newslettere ori pentru a transmite sugestii de achiziții adiacente celor deja efectuate pe site
  • magazinul online are un număr relativ mare de clienți cu conturi pe site dintr-o anumită arie geografică, raportat la populația existentă în acea arie geografică.

Întrucât este greu de controlat numărul clienților/conturilor acestora pe site, astfel încât este greu de apreciat când prelucrarea este pe scară largă, considerăm că un magazin online ar trebui să își desemneze un responsabil cu prelucrarea datelor încă de la început.

Recomandarea A.N.S.P.D.C.P. privind desemnarea responsabilului

Mai mult, pe site-ul A.N.S.P.D.C.P. puteți găsi următoarea recomandare: „Deși în unele cazuri nu este necesară desemnarea unui responsabil cu protecția datelor, Autoritatea de Supraveghere recomandă numirea unei astfel de persoane, întrucât este utilă operatorului pentru respectarea obligațiilor în domeniul protecției datelor cu caracter personal.

Concluzii

Ținând cont de faptul că sunt precizate doar două situații clare în care nu este obligatorie numirea unui responsabil cu protecția datelor (a se vedea aici), recomandarea A.N.S.P.D.C.P. se poate transforma într-o realitate dură și anume aceea în care Autoritatea de Supraveghere să considere obligatorie numirea unui responsabil cu protecția datelor în mai toate cazurile care nu se subscriu celor două exemple: medic și avocat.

 

Considerăm că este nevoie de mai multă preocupare din partea A.N.S.P.D.C.P. pentru a clarifica modul de aplicare a noilor reguli, sau cel puțin pentru a ne informa asupra modului în care aceasta înțelege RGPD, prin publicarea de puncte de vedere și exemple practice raportate la situații de fapt specifice realității economice a țării noastre.    

 

Puteți citi artcolele anterioare pe subiectul responsabilului cu protecția datelor personale aici, aici, aici și aici.

RGPD – Cine trebuie să desemneze un responsabil cu protecția datelor? (IV – Prelucrare date pe scară largă)

Analizăm astăzi o nouă noțiune dintre noțiunile cheie ale RGPD în stabilirea operatorilor obligați să desemneze un responsabil cu protecția datelor, respectiv aceea de prelucrare date ”pe scară largă”.

Prelucrare date „pe scară largă”

RGPD nu definește această noțiune, însă Grupul de lucru „Articolul 29” recomandă ca atunci când se stabilește dacă prelucrarea este efectuată pe o scară largă, să fie avute în vedere următoarele criterii:

  • numărul persoanelor vizate – ori un număr exact ori un procent din populația relevantă;
  • volumul datelor și/sau gama de elemente diferite de date în curs de prelucrare;
  • durata sau permanența activității de prelucrare a datelor;
  • suprafața geografică a activității de prelucrare.

Aceleași criterii sunt preluate și de către A.N.S.P.D.C.P., ceea ce înseamnă că se vor regăsi și în legislația națională și se vor aplica și în practica noastră.

În cuprinsul considerentului nr. 91 al RGPD pot fi identificate unele orientări, oferind exemple care sunt la extreme:

  • operațiuni de prelucrare date la scară largă sunt acelea care au drept obiectiv prelucrarea unui volum considerabil de date cu caracter personal la nivel regional, național sau supranațional;
  • operațiuni care nu reprezintă o prelucrare la scară largă – operațiuni de prelucrare de date cu caracter personal de la pacienți sau clienți de către un anumit medic, un alt profesionist în domeniul sănătății sau un avocat (caz în care nu este necesară desemnarea unui responsabil cu protecția datelor).

Practic, orice prelucrare făcută între aceste două extreme poate fi interpretată ca prelucrare pentru care este necesară numirea unui responsabil cu protecția datelor, cu excepția prelucrării datelor pacientului de către un medic sau a datelor personale referitoare la condamnările penale și infracțiuni de către un avocat.

Studiu de caz

Aplicând aceste explicații la cazul practic enunțat în articolele anterioare privitor la magazinul online, dacă acesta are un număr relativ mare de clienți cu conturi pe site dintr-o anumită arie geografică, raportat la populația existentă în acea arie geografică, atunci prelucrarea pe care societatea proprietară a magazinului o face are nevoie de un responsabil cu protecția datelor.

Puteți citi articolele anterioare pe subiectul responsabilului cu protecția datelor personale aici, aici și aici

RGPD – Cine trebuie să desemneze un responsabil cu protecția datelor? (III – Monitorizare periodică și sistematică)

Continuăm seria explicațiilor privind noțiunile problematice ale art. 37 din RGPD cu aceea de ‘monitorizare periodică și sistematică’.

Monitorizarea periodică și sistematică

Nici în acest caz RGPD nu ne oferă o definiție expresă, cu atât mai mult cu cât în fapt avem trei noțiuni: „monitorizare”, „periodic” și „sistematic”. Putem, însă, să extragem anumite explicații ale acestora din analiza extinsă a instrucțiunilor formulate pentru RGPD și a considerentelor acestuia.

Monitorizare

În considerentul nr. 24 putem găsi conceptul de „monitorizare a comportamentului persoanelor vizate”: „Pentru a se determina dacă o activitate de prelucrare poate fi considerată ca „monitorizare a comportamentului” persoanelor vizate, ar trebui să se stabilească dacă persoanele fizice sunt urmărite pe internet, inclusiv posibila utilizare ulterioară a unor tehnici de prelucrare a datelor cu caracter personal care constau în crearea unui profil al unei persoane fizice, în special în scopul de a lua decizii cu privire la aceasta sau de a analiza sau de a face previziuni referitoare la preferințele personale, comportamentele și atitudinile acesteia.”

Este foarte important să știm că în opinia Grupului de lucru „Articolul 29” noțiunea de monitorizare nu este restricționată în mediul online, iar urmărirea online ar trebui să fie considerată doar ca un exemplu de monitorizare a comportamentului persoanelor vizate.

Periodic

Tot Grupului de lucru „Articolul 29” i-a revenit sarcina de a ne ajuta și în acest caz, stabilind că „periodic” poate fi interpretat astfel:

  • în curs de desfășurare sau care apare la anumite intervale într-o anumită perioadă;
  • recurente sau repetate la perioade fixe;
  • constante sau care au loc periodic.

Sistematic

În aceeași manieră, Grupul de lucru „Articolul 29” interpretează termenul „sistematic” ca însemnând una sau mai multe din următoarele:

  • apărut conform sistemului prearanjat, organizat sau metodic;
  • luând loc ca parte a unui plan general de colectare a datelor;
  • efectuat ca parte a unei strategii.

Studiu de caz

Prin urmare, monitorizarea sistematică și periodică înseamnă urmărirea persoanelor vizate și/sau crearea de profiluri ale acestora în mod recurent/periodic/constant și în contextul unei strategii/plan/sistem.

Astfel, în exemplul nostru din articolul anterior, dacă magazinul online folosește datele clienților săi pentru a transmite newslettere ori pentru a transmite sugestii de achiziții adiacente celor deja efectuate pe site, putem concluziona că acesta efectuează o monitorizare sistematică și periodică a datelor personale.

 

Puteți citi articolele anterioare pe subiectul responsabilului cu protecția datelor personale aici și aici.

RGPD – Cine trebuie să desemneze un responsabil cu protecția datelor? (I)

Începem astăzi o serie de articole despre noul concept introdus de RGPD de ”responsabil cu protecția datelor personale” (Data Protection Officer – DPO). Facem o analiză a dispozițiilor legale, dar și a instrucțiunilor Grupului de lucru ”Articolul 29” și a recomandărilor autorității românești din domeniu, astfel încât să răspundem la întrebarea ”Cine trebuie să desemneze un responsabil cu protecția datelor?” Află de la noi dacă și tu ai nevoie de un asemenea responsabil!

Ce stabilește RGPD cu privire la un astfel de responsabil cu protecția datelor?

Desemnarea obligatorie a responsabilului cu protecția datelor se face în următoarele cazuri:

  • când prelucrarea este efectuată de o autoritate publică sau un organism public, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale;
  • dacă activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă;
  • dacă activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date sau a unor categorii de date cu caracter personal privind condamnări penale și infracțiuni.

Observăm, deci, că sunt prevăzute anumite criterii în funcție de care desemnarea devine obligatorie.

Însă aceste criterii necesită clarificări, fiindcă ele lasă loc de interpretări, RGPD lăsând în seama autorităților naționale să precizeze în mod specific cui i se aplică dispoziția obligatorie.

Astfel, principalele chestiuni de clarificat privesc următoarele noțiuni:

  • Activități principale;
  • Monitorizarea periodică și sistematică;
  • Pe scară largă;
  • Categorii speciale de date.

Ce ne spune Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (A.N.S.P.D.C.P.)?

Practic, nimic nou. Pe site-ul autorității sunt preluate informațiile direct din RGPD, cu mici nuanțări preluate din cuprinsul instrucțiunilor Grupului de lucru „Articolul 29”.

Vom detalia în articolele următoare fiecare dintre noțiunile precizate mai sus raportându-ne la modul în care acestea au fost explicate de A.N.S.P.D.C.P. și de Grupul de lucru „Articolul 29”.

RGPD – Consimțământul persoanei vizate

Din mai 2018, persoanele vizate cărora li se colectează si prelucrează date cu caracter personal își vor acorda consimțământul în condiții diferite decât în prezent.

Astfel, Regulamentul European definește consimțământul persoanei vizate ca fiind ”orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate”.

Ce caracteristici trebuie să aibă consimțământul

În primul rând, observăm chiar din textul definiției faptul că pe viitor consimțământul trebuie acordat printr-o acțiune (declarație sau acțiune fără echivoc). Aceasta înseamnă că simpla mențiune existentă în prezent pe multe dintre site-uri care spune că ”prin continuarea navigării pe acest site sunteți de acord cu prelucrarea datelor dvs.” nu mai este suficientă.

Asfel, consimțământul va trebui acordat printr-o acțiune neechivocă care să constituie o manifestare liber exprimată, specifică, informată și clară a acordului persoanei vizate. Astfel de acțiuni pot fi declarații scrise, inclusiv în format electronic, ce includ bifarea unei căsuțe atunci când persoana vizitează un site.

Pentru ca manifestarea să fie specifică, informată și clară, operatorul care urmează a prelucra datele trebuie să ofere informații clare, simple și transparente în ceea ce privește scopul prelucrării datelor, temeiul prelucrării, perioada de timp pentru care datele sunt prelucrate, dar și dreptul său de a-și retrage consimțământul oricând.

De asemenea, persoana vizată trebuie să fie informată privind identitatea operatorului și a responsabilului cu protecția datelor, destinatarul datelor și eventualele interese și intenții de transferuri ale acestora către state terțe.

Atenție! Dacă datele urmează a fi prelucrate pentru mai multe scopuri, consimțământul trebuie acordat pentru fiecare dintre acestea!

Când nu este considerat consimțământul ca fiind colectat în mod legal

Regulamentul stabilește că absența unui răspuns la solicitarea consimțământului, căsuțele bifate în prealabil pe site sau absența unei acțiuni nu consituie un consimțământ, în sensul legal.

Totodată, consimțământul este considerat a nu fi acordat în mod liber atunci când operatorul nu permite să se acorde consimțământul separat pentru diferitele operațiuni de prelucrare a datelor cu caracter personal sau dacă executarea unui contract, inclusiv furnizarea unui serviciu este condiționată de consimțământ, în ciuda faptului că consimțământul în cauză nu este necesar pentru executarea contractului.

Dacă persoana vizată nu dispune cu adevărat de libertatea de alegere sau nu este în măsură să refuze sau să își retragă consimțământul fără a fi prejudiciată, consimțământul nu este acordat în mod liber.

Dreptul persoanei vizate de a-și retrage consimțământul

Persoanele vizate au dreptul în orice moment de a-și retrage consimțământul și trebuie informate cu privire la acest drept chiar din momentul în care consimțământul le este cerut. În acest sens, vorbim de dreptul de a fi uitat. Acest drept este relevant în special în cazul în care persoana vizată și-a dat consimțământul când era copil și nu cunoștea pe deplin riscurile pe care le implică prelucrarea.

Astfel, din momentul retragerii consimțământului, operatorul este obligat să șteargă datele personale cu privire la acea persoană, fără ca acest lucru să afecteze legalitatea prelucrării anterioare retragerii consimțământului. Obligația de ștergere cunoaște și excepții care numără printre altele păstrarea în interes public, pentru exercitarea dreptului la libertatea de exprimare și informare ori pentru respectarea unei obligații legale.

Obligația de eliminare a datelor se aplică atât pentru operator, cât și pentru toate persoanele cărora le-au fost transferate, inclusiv dacă datele au fost făcute publice.

Cazul special al consimțământului acordat de copii

Potrivit RGPD, prelucrarea datelor cu caracter personal ale unui copil este legală dacă copilul are cel puțin vârsta de 16 ani. Dacă copilul are sub vârsta de 16 ani, respectiva prelucrare este legală numai dacă și în măsura în care consimțământul respectiv este acordat sau autorizat de titularul răspunderii părintești asupra copilului.

 

Prin urmare, obținerea consimțământului persoanelor vizate pentru prelucrarea datelor personale ale acestora trebuie făcută cu mare atenție în vederea respectării cerințelor legale, care sunt mult mai drastice din mai 2018.

Este important de precizat că operatorii trebuie să poată face dovada faptului că au primit consimțământul și că acesta îndeplinește condițiile legale.

Așteptăm eventualele întrebări pe adresa noastră de contact.