Posts

DPIA – Evaluarea impactului asupra protecției datelor: Q & A

În rândurile următoare vă prezentăm răspunsurile la unele dintre cele mai întâlnite întrebări referitoare la evaluarea impactului asupra protecției datelor (DPIA).

Q: Ce este DPIA?

A: DPIA este un proces destinat să:

  • descrie prelucrarea de date cu caracter personal;

  • evalueze necesitatea și proporționalitatea prelucrării;

  • contribuie la gestionarea riscurilor la adresa drepturilor și libertăților persoanelor vizate (prin evaluarea riscurilor și stabilirea de măsuri pentru atenuarea lor).

Q: DPIA pentru o singură operațiune de prelucrare sau pentru toate operațiunile?

A: DPIA se poate întocmi doar pentru o singură operațiune de prelucrare sau pentru multiple operațiuni de prelucrare similare și care prezintă riscuri ridicate similare. În general, DPIA se întocmește atunci când operatorul decide să desfășoare un nou proiect sau când intervine o modificare a tehnologiilor folosite în activitatea de prelucrare.

Q: DPIA este obligatorie?

A: În principiu, da. Dacă operațiunea de prelucrare se încadrează într-o excepție arătată mai jos, DPIA este obligatorie în toate cazurile în care o operațiune de prelucrare este „susceptibilă să genereze un risc ridicat”.

Q: Care sunt excepțiile de la întocmirea DPIA?

A: DPIA nu este obligatorie atunci când:

  • prelucrarea nu este „susceptibilă să genereze un risc ridicat”;

  • există DPIA similară sau când ea a fost autorizată anterior lunii mai 2018;

  • există un temei legal al prelucrării.

Q: Ce se înțelege prin „ risc ridicat”

A: O operațiune de prelucrare este susceptibilă să genereze „riscuri ridicate” atunci când:

  • presupune o evaluare sistematică și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, și care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă;

  • se face o prelucrare pe scară largă a unor categorii speciale de date sau a unor date cu caracter personal privind condamnări penale și infracțiuni;

  • se face o monitorizare sistematică pe scară largă a unei zone accesibile publicului.

În practică, Grupul de lucru Articolul 29 recomandă ca operatorii să evalueze în mod continuu riscurile create de activităților lor de prelucrare pentru a identifica momentul în care un tip de prelucrare „ar putea duce la un risc ridicat pentru drepturile și libertățile persoanelor fizice”.

Q: Când se efectuează DPIA?

A: DPIA trebuie realizată „anterior prelucrării” întrucât este un instrument destinat să ajute la luarea deciziilor cu privire la prelucrare.

Q: Pentru operațiunile de prelucrare existente mai este necesară?

A: Doar în situația în care operațiunile de prelucrare existente pot conduce la un risc ridicat pentru drepturile și libertățile persoanelor fizice, și pentru care s-a produs o schimbare a riscurilor, luând în considerare natura, obiectivul, contextul și scopurile prelucrării.

Q: Care sunt caracteristicile minime ale DPIA?

A: DPIA trebuie să conțină informații cu privire la:

  • Descrierea prelucrării preconizate (tipul de operațiuni și scopul prelucrării);

  • Evaluarea necesității și proporționalității;

  • Evaluarea riscurilor pentru drepturile și libertățile persoanelor vizate;

  • Măsurile preconizate pentru abordarea riscurilor;

  • Documentare;

  • Monitorizare și revizuire.

Dacă aveți alte întrebări sau dacă aveți nevoie de lămuriri, vă rugăm să folosiți pagina noastră de contact.

DPO – Independență. Conflict de interese

Am scris pe acest blog despre nivelul de expertiză și calitățile profesionale ale responsabilului cu protecția datelor. Pe lângă aceste aspecte, este foarte important de știut că responsabilul cu protecția datelor trebuie să fie independent și să nu se afle în conflict de interese.

Prevederile legale din RGPD

Astfel, în cuprinsul considerentului nr. 97 se prevede că „Acești responsabili cu protecția datelor, indiferent dacă sunt sau nu angajați ai operatorului, ar trebui să fie în măsură să își îndeplinească atribuțiile și sarcinile în mod independent.”

În ceea ce privește conflictul de interese, articolul nr. 38 alin. (6) precizează că atribuțiile responsabilului cu protecția datelor trebuie să nu genereze un conflict de interese în situația în care acesta îndeplinește și alte sarcini și atribuții în cadrul organizației.

Având în vedere aceste prevederi, se pune următoarea întrebare: cum ne putem da seama că responsabilul cu protecția datelor este independent și deci, nu se află în conflict de interese?

Lămuriri ale Grupului de lucru „Articolul 29”

Regulamentul nu oferă astfel de exemple. Pentru astfel de situații, șa cum ne-am obișnuit, Grupul de lucru „Articolul 29” ne oferă unele indicii precizând că nu sunt candidați potriviți pentru poziția de DPO persoanele cu funcții de conducere superioare, cum ar fi director executiv, director operațional, director financiar, șeful serviciului medical, șeful departamentului de marketing, șef departamentului de resurse umane sau șeful departamentului IT), dar, în același timp, și alte funcții inferioare dacă acestea conduc la posibilitatea de a stabili scopurile și mijloacelor de prelucrare.

Mai mult, se arată că un conflict de interese poate apărea de exemplu, în situația în care un DPO extern este rugat să reprezinte operatorul sau persoana împuternicită de operator în instanță, în cazurile care implică probleme de protecție a datelor.

Practica Autorității pentru Protecția Datelor din Bavaria pentru sectorul privat

Deși ne oferă unele indicii despre cum să procedăm la numirea responsabilului cu protecția datelor, opinia Grupului de lucru „Articolul 29” este orientativă, autoritățile de supraveghere putând avea o opinie mai restrictivă. De exemplu, Autoritatea pentru Protecția Datelor din Bavaria pentru sectorul privat a precizat într-un raport de activitate că membrii departamentului juridic pot, în anumite cazuri, să fie în conflict de interese care să îi descalifice să acționeze ca DPO. Conform celor menționate în raport, în cazul în care consilierul juridic poate reprezenta societatea într-o procedură legală (în special în ceea ce privește acțiunile în justiție împotriva angajaților sau a clienților, care pot include aspecte legate de protecția datelor personale), consilierul juridic este supus unui conflict de interese și, prin urmare, nu este independent.

În practică se pot întâlni o multitudine de situații care pot fi asimilate ca situații de incompatibilitate sau conflict de interese. Rămâne să vedem și punctul de vedere al ANSPDCP atunci când va fi exprimat.

DPO – Nivelul de expertiză și calitățile profesionale

Conform RGPD în anumite cazuri operatorii de date personale trebuie să-și numească un „responsabil cu protecția datelor personale” (Data Protection Officer – DPO). Mai multe despre acest subiect puteți găsi aici.

Din păcate, Regulamentul reglementează sumar DPO-ul, făcând astfel dificilă stabilirea condițiilor pe care trebuie să le întrunească persoana care dorește să fie DPO.

DPO – reglementarea din RGPD

La art. 37 alin. (5) din RGPD se arată că „Responsabilul cu protecția datelor este desemnat pe baza calităților profesionale și, în special, a cunoștințelor de specialitate în dreptul și practicile din domeniul protecției datelor, precum și pe baza capacității de a îndeplini sarcinile prevăzute la articolul 39.”

Aceasta înseamnă că responsabilul cu protecția datelor personale trebuie să cunoască cel puțin legislația privind datele personale și procedurile aferente acestui domeniu (guvernanța informațiilor și securitate cibernetică). Mai mult, ținând cont de atribuțiile sale (informare și consiliere a operatorului), responsabilul cu protecția datelor personale trebuie să aibă acces la nivelul de top management.

Prin urmare, un DPO trebuie să aibă competențele și experiența combinată a unor roluri tipice separate, cum ar fi un manager, avocat și specialist IT.

Recomandarea Grupului de lucru „Articolul 29”

Conform Ghidului Grupului de lucru „Articolul 29” aptitudinile și expertiza relevante includ:

  • experiență în legislația și practicile de protecție a datelor la nivel național și european;

  • o înțelegere complexă a RGPD;

  • înțelegerea operațiunilor de prelucrare efectuate;

  • înțelegerea tehnologiilor de informații și de securitate a datelor;

  • cunoașterea sectorului de afaceri și a organizației;

  • abilitatea de a promova protecția datelor în cadrul organizației.

Totodată, Grupul de lucru „Articolul 29” recomandă ca autoritățile de supraveghere să promoveze o formă adecvată și regulată pentru DPO. În consecință vom aștepta punctul de vedere al A.N.S.P.D.C.P.

Menționăm, de asemenea, că la acest moment autoritatea națională din România nu oferă traininguri pentru DPO și deși această ocupație a fost introdusă de curând în Clasificarea Ocupațiilor din România, nu au fost emise norme care să prevadă calificările minime necesare pentru ca o persoană să poată ocupa această funcție.

În același timp, atragem atenția că nicio entitate care susține că oferă traininguri de calificare a unui DPO nu emite certificări sau diplome recunoscute de autoritatea națională în domeniu.

RGPD – Cine trebuie să desemneze un responsabil cu protecția datelor? (II – Activitățile principale)

Dintre noțiunile menționate în articolul anterior, cea pe care o vom analiza în acest articol este noțiunea de ”activități principale”.

Activitățile principale

RGPD nu definește activitățile principale în mod expres, însă le găsim menționate în considerentul nr. 97: „În sectorul privat, activitățile principale ale unui operator se referă la activitățile sale de bază, și nu la prelucrarea datelor cu caracter personal drept activități auxiliare.

A.N.S.P.D.C.P. ne informează că „Pentru a stabili activitatea principală desfășurată de un operator sau împuternicit, aceasta trebuie analizată prin raportare la prelucrările de date cu caracter personal efectuate.

Conform Instrucțiunilor Grupului de lucru „Articolul 29” activitățile principale pot fi considerate ca operațiuni cheie necesare pentru îndeplinirea obiectivelor operatorului sau persoanei împuternicite de operator. Din cuprinsul acestora nu pot fi excluse acele activități în care prelucrarea datelor reprezintă o parte indisolubilă a activității operatorului sau persoanei împuternicite de operator.

Astfel, în exemplul oferit de Grupul de lucru „Articolul 29”, prelucrarea datelor privind starea de sănătate (dosarele medicale ale pacienților) ar trebui să fie considerată a fi una dintre activitățile principale în orice spital.

Pentru a ne ajuta să distingem între tipurile de activități și să identificăm mai ușor activitățile principale în sensul RGPD, le putem compara cu activitățile auxiliare, ce sunt definite de către Grupul de lucru „Articolul 29” astfel: funcții de sprijin necesare pentru activitatea de bază sau principală a organizației cum ar fi plata angajaților lor sau deținerea de activități standard de suport IT.

Studiu de caz

Analizând definițiile și informațiile menționate anterior, putem lua ca exemplu un magazin online. Deși activitatea principală prevăzută în actul constitutiv al societății este comerțul cu amănuntul prin intermediul caselor de comenzi sau prin internet, din perspectiva RGPD activitatea principală include și prelucrarea datelor clienților săi care și-au creat un cont pe site-ul magazinului și au achiziționat produsele vândute de acesta. Explicația constă în faptul că operatorul (magazinul online) nu ar putea vinde produsele sale fără a colecta datele personale ale clienților.

RGPD – Cine trebuie să desemneze un responsabil cu protecția datelor? (I)

Începem astăzi o serie de articole despre noul concept introdus de RGPD de ”responsabil cu protecția datelor personale” (Data Protection Officer – DPO). Facem o analiză a dispozițiilor legale, dar și a instrucțiunilor Grupului de lucru ”Articolul 29” și a recomandărilor autorității românești din domeniu, astfel încât să răspundem la întrebarea ”Cine trebuie să desemneze un responsabil cu protecția datelor?” Află de la noi dacă și tu ai nevoie de un asemenea responsabil!

Ce stabilește RGPD cu privire la un astfel de responsabil cu protecția datelor?

Desemnarea obligatorie a responsabilului cu protecția datelor se face în următoarele cazuri:

  • când prelucrarea este efectuată de o autoritate publică sau un organism public, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale;
  • dacă activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă;
  • dacă activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date sau a unor categorii de date cu caracter personal privind condamnări penale și infracțiuni.

Observăm, deci, că sunt prevăzute anumite criterii în funcție de care desemnarea devine obligatorie.

Însă aceste criterii necesită clarificări, fiindcă ele lasă loc de interpretări, RGPD lăsând în seama autorităților naționale să precizeze în mod specific cui i se aplică dispoziția obligatorie.

Astfel, principalele chestiuni de clarificat privesc următoarele noțiuni:

  • Activități principale;
  • Monitorizarea periodică și sistematică;
  • Pe scară largă;
  • Categorii speciale de date.

Ce ne spune Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (A.N.S.P.D.C.P.)?

Practic, nimic nou. Pe site-ul autorității sunt preluate informațiile direct din RGPD, cu mici nuanțări preluate din cuprinsul instrucțiunilor Grupului de lucru „Articolul 29”.

Vom detalia în articolele următoare fiecare dintre noțiunile precizate mai sus raportându-ne la modul în care acestea au fost explicate de A.N.S.P.D.C.P. și de Grupul de lucru „Articolul 29”.

RGPD – Domeniul teritorial de aplicare

RGPD se aplică doar operatorilor aflați pe teritoriul UE?

Conform art. 3 din RGPD, regulamentul se aplică prelucrării datelor cu caracter personal:

  • în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii;

  • ale unor persoane vizate care se află în Uniune de către un operator sau o persoană împuternicită de operator care nu este stabilit(ă) în Uniune, atunci când activitățile de prelucrare sunt legate de:

    • oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent dacă se solicită sau nu efectuarea unei plăți de către persoana vizată; sau

    • monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii;

  • de către un operator care nu este stabilit în Uniune, ci într-un loc în care dreptul intern se aplică în temeiul dreptului internațional public.

Concret, RGPD se aplică direct în toate statele membre, chiar și în cazul în care sediul operatorului de date nu se află pe teritoriul UE cu condiția ca bunurile sau serviciile operatorului să fie adresate cetățenilor UE. Prin urmare, nu contează locul unde sunt prelucrate datele cu caracter personal atâta timp cât sunt întrunite cerințele de mai sus.

Interpretări date de Curtea de Justiție a Uniunii Europene (CJUE)

În ceea ce privește sediul, CJUE în cauza C-230/14 (Weltimmo vs. NAIH), a reținut că noțiunea de sediu „înlătură orice abordare formalistă conform căreia o întreprindere ar fi stabilită exclusiv în locul în care este înmatriculată și se extinde la orice activitate reală și efectivă, chiar minimă, exercitată într-o formă de instalare stabilă.”

Organizațiile care dețin birouri de vânzări pe teritoriul UE, prin intermediul cărora efectuează activități de promovare sau de publicitate/marketing care vizează rezidenții din UE, vor trebui să respecte prevederile RGPD având în vedere faptul că, așa cum a declarat CJUE în cauza C-131/12 (Google Spain SL, Google Inc. vs.(AEPD), Mario Costeja González), „o prelucrare a datelor cu caracter personal este efectuată în cadrul activităților unui sediu al operatorului pe teritoriul unui stat membru, în sensul acestei dispoziții, în cazul în care operatorul unui motor de căutare înființează într-un stat membru o sucursală sau o filială destinată promovării și vânzării spațiului publicitar de pe pagina acestui motor, a cărei activitate este orientată către locuitorii acelui stat membru.”

Referitor la situația oferirii de bunuri sau servicii persoanelor vizate situate pe teritoriul UE, simpla accesare a unui site din interiorul UE nu este suficientă pentru a declanșa aplicabilitatea Regulamentului.  În acest sens, a se vedea cauzele conexate C-585/08 și C-144/09.

RGPD – Domeniul material de aplicare a Regulamentului privind prelucrarea datelor personale

În ce situații de aplică RGPD?

Regulamentul se aplică pentru prelucrarea datelor cu caracter personal așa cum au fost definite în articolul precedent.

Conform Regulamentului, nu prezintă importanță dacă prelucrarea s-a făcut total sau parțial prin mijloace automatizate. În aceeași măsură Regulamentul se aplică și datelor cu caracter personal care au fost prelucrate prin alte mijloace decât cele automatizate.

Pentru a clarifica limita aplicabilității Regulamentului, la articolul 2 alin. 2 sunt reglementate situațiile în care Regulamentul nu se aplică.

Situații de excepție privind prelucrarea datelor cu caracter personal

Astfel, nu se vor aplica prevederile Regulamentului atunci când:

  • datele cu caracter personal sunt prelucrate în cadrul unei activități care nu intră sub incidența dreptului Uniunii;

  • statele membre desfășoară activități care intră sub incidența capitolului 2 al titlului V din Tratatul UE – Dispoziții speciale privind politica externă și de securitate comună;

  • este vorba de o persoană fizică în cadrul unei activități exclusiv personale sau domestice;

  • autoritățile competente prelucrează datele cu caracter personal în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor, sau al executării sancțiunilor penale, inclusiv al protejării împotriva amenințărilor la adresa siguranței publice și al prevenirii acestora.

RGPD – Datele cu caracter personal

Pentru că protecția datelor cu caracter personal este un subiect din ce în ce mai ”fierbinte”, vom începe de astăzi să explicăm principalele noțiuni vizate de noua reglementare și drepturi și obligații pe care diverși actori din domeniu le au.

Nu uitați că RGDP (Regulamentul UE 2016/679) devine aplicabil din 25.05.2018.

Ce înseamnă date cu caracter personal?

RGPD definește datele cu caracter personal ca fiind „orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.”

Noutăți introduse de RGPD

Față de actuala reglementare (DIRECTIVA 95/46/CE privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date), RGPD clarifică și chiar extinde în unele cazuri noțiunea de date cu caracter personal, cum ar fi:

  • identificatorii unici – din cuprinsul definiției de mai sus rezultă că în noțiunea de „date cu caracter personal” sunt incluse date de localizare sau identificatorul online. Aceasta înseamnă că adresele de IP sau ID-urile telefoanelor mobile sunt date cu caracter personal care trebuie protejate.

  • datele pseudonimizate – este vorba despre o noțiune nou introdusă de RGPD și se referă la datele personale care au fost supuse unor măsuri tehnologice (cum ar fi hashing-ul sau criptarea) astfel încât să nu se mai poată identifica direct o persoană fără a utiliza informații suplimentare.

  • datele genetice și datele biometrice – RGPD definește separat aceste noțiuni și ambele sunt tratate ca date personale sensibile. Acestea beneficiază de protecție sporită și, de regulă, este nevoie de consimțământul expres al persoanelor în cazul în care aceste date urmează să fie procesate.

Reglementarea detaliată a noțiunii de „date cu caracter personal” prin RGPD are implicații majore pentru afacerile online, în special cele din sectoarele de analiză, publicitate, marketing și social media.