Posts

RGPD – Cine trebuie să desemneze un responsabil cu protecția datelor? (IV – Prelucrare date pe scară largă)

Analizăm astăzi o nouă noțiune dintre noțiunile cheie ale RGPD în stabilirea operatorilor obligați să desemneze un responsabil cu protecția datelor, respectiv aceea de prelucrare date ”pe scară largă”.

Prelucrare date „pe scară largă”

RGPD nu definește această noțiune, însă Grupul de lucru „Articolul 29” recomandă ca atunci când se stabilește dacă prelucrarea este efectuată pe o scară largă, să fie avute în vedere următoarele criterii:

  • numărul persoanelor vizate – ori un număr exact ori un procent din populația relevantă;
  • volumul datelor și/sau gama de elemente diferite de date în curs de prelucrare;
  • durata sau permanența activității de prelucrare a datelor;
  • suprafața geografică a activității de prelucrare.

Aceleași criterii sunt preluate și de către A.N.S.P.D.C.P., ceea ce înseamnă că se vor regăsi și în legislația națională și se vor aplica și în practica noastră.

În cuprinsul considerentului nr. 91 al RGPD pot fi identificate unele orientări, oferind exemple care sunt la extreme:

  • operațiuni de prelucrare date la scară largă sunt acelea care au drept obiectiv prelucrarea unui volum considerabil de date cu caracter personal la nivel regional, național sau supranațional;
  • operațiuni care nu reprezintă o prelucrare la scară largă – operațiuni de prelucrare de date cu caracter personal de la pacienți sau clienți de către un anumit medic, un alt profesionist în domeniul sănătății sau un avocat (caz în care nu este necesară desemnarea unui responsabil cu protecția datelor).

Practic, orice prelucrare făcută între aceste două extreme poate fi interpretată ca prelucrare pentru care este necesară numirea unui responsabil cu protecția datelor, cu excepția prelucrării datelor pacientului de către un medic sau a datelor personale referitoare la condamnările penale și infracțiuni de către un avocat.

Studiu de caz

Aplicând aceste explicații la cazul practic enunțat în articolele anterioare privitor la magazinul online, dacă acesta are un număr relativ mare de clienți cu conturi pe site dintr-o anumită arie geografică, raportat la populația existentă în acea arie geografică, atunci prelucrarea pe care societatea proprietară a magazinului o face are nevoie de un responsabil cu protecția datelor.

Puteți citi articolele anterioare pe subiectul responsabilului cu protecția datelor personale aici, aici și aici