Posts

A doua amendă aplicată de ANSPDCP. Operatorul despre care nu se menționează nimic

/in , , /by

Până în prezent ANSPDCP a anunţat că a aplicat deja patru amenzi operatorilor de date cu caracter personal pentru încălcarea GDPR. Aceasta ne indică faptul că autoritatea de supraveghere este activă și dornică să pună în aplicare prevederile GDPR.

În cuprinsul acestui material facem o scurtă analiză cu privire la cea de-a doua amendă, cea aplicată World Trade Center Bucharest S.A. (”WTCB”), în cuantum de 15.000 euro.

Potrivit comunicatului ANSPDCP, ”încălcarea securității datelor cu caracter personal a constat în faptul că o listă printată pe suport de hârtie, utilizată pentru verificarea clienților care serveau micul dejun și care conținea date cu caracter personal ale unui număr de 46 de clienți, cazați la unitatea hotelieră aparținând WORLD TRADE CENTER BUCHAREST S.A., a fost fotografiată de către persoane neautorizate din afara societății, ceea ce a condus la dezvăluirea în mediul on-line a datelor cu caracter personal ale unor clienți, prin publicare.”

Așadar, la o analiză atentă a situaţiei factuale, identificăm mai multe fapte de încălcare a GDPR, respectiv:

  1. Divulgare neautorizată de date – operatorul a permis (voit sau nu) fotografierea listei de clienţi conţinând datele lor personale, de către terţi din afara societăţii,

  2. Accesare neautorizată de date – terţii din afara societăţii au vizualizat şi fotografiat lista de clienţi, fără ca aceasta să le fie destinată ori fără să aibă permisiunea de a o face,

  3. Divulgare neautorizată de date – de data aceasta de către terţii din afara societăţii, care au publicat lista de clienţi în mediul online.

Ca atare, observăm că în fapt vorbim despre cel puțin doi operatori de date care au procedat contrar prevederilor GDPR, respectiv WTCB şi terţii („persoane neautorizate din afara societăţii”).

Indiferent dacă acești terți sunt persoane fizice sau juridice, ei devin operatori de date prin faptul publicării listei în mediul online. Aceasta deoarece, chiar și în calitate de persoane fizice, ei vor fi calificați ca operatori dacă pun la dispoziţia unui număr nelimitat de persoane (de exemplu prin publicare) date cu caracter personal care ar fi trebuit folosite doar în scop personal, domestic.

Cu toate că în spaţul public din România au circulat în ultima vreme mai multe informaţii contradictorii cu privire la posibilitatea unei persoane fizice de a fi operator, considerăm că nu există niciun dubiu în această privinţă. Atât GDPR (art. 2 alin. 2 litera c și considerentul 18), cât și European Data Protection Board (de ex. Ghidul nr. 3/2019) şi Curtea de Justiție a Uniunii Europene (de ex. cauza C‑25/17 privind Martorii lui Iehova sau cauza C-345/17 privind publicarea unui filmuleț cu o audiere efectuată de polițiști) au statuat fără echivoc faptul că persoanele fizice devin operatori de date atunci când le prelucrează în aşa manieră încât aceasta nu se mai efectuează în scop exclusiv personal sau domestic. De exemplu, divulgarea datelor către un număr nelimitat de persoane sau instalarea unei camere video într-un spaţiu public sunt activităţi de prelucrare care nu intră în sfera activităţilor pur personale.

Observăm, totuși, că Autoritatea nu ne comunică nimic despre aceşti terţi, în sensul de a ne informa despre măsurile luate în privința lor.

Considerăm că și ei, în calitate de operatori care au savârșit fapte de încălcare a prevederilor GDPR, ar fi trebuit sancționați alături de operatorul WTCB, mai ales că în fapt acțiunea lor de publicare a listei a agravat situația.

Recomandăm persoanelor fizice să fie mai atente atunci când iau cunoștință de date cu caracter personal și în niciun caz să nu le facă publice fără a avea un temei legal. Indiferent de modalitatea de răspuns a Autorității la diferite solicitări punctuale, legislația privind protecția datelor stabilește posibilitatea răspunderii și a persoanelor fizice pentru încălcarea sa.

Evidența activităților de prelucrare – cartografierea datelor cu caracter personal

/in , , , /by

Deși auzim des expresia ”eu nu prelucrez date cu caracter personal”, de cele mai multe ori se dovedește ca aceasta să fie eronată. Zi de zi profesioniștii prelucrează date în activitatea lor și mulți nu conștientizează cât de multe sunt în realitate.

Întrucât datele concurează strâns cu petrolul pentru titlul de ”cea mai valoroasă resursă”, operatorii ar trebui să fie conștienți de cantitatea și calitatea datelor pe care le prelucrează.

Cine trebuie să țină evidența activităților de prelucrare?

RGPD prevede la art. 30 obligația anumitor operatori de a ține evidența activităților de prelucrare aflate în responsabilitatea lor. Cerința nu este obligatorie pentru operatorii cu mai puțin de 250 angajați, cu excepția cazului în care prelucrarea pe care o efectuează este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor vizate, prelucrarea nu este ocazională sau prelucrarea include categorii speciale de date sau date cu caracter personal referitoare la condamnări penale și infracțiuni.

Așadar, simplul fapt că prelucrarea efectuată nu este ocazională obligă operatorii să țină evidența, deși aceștia au mai puțin de 250 angajați. De cele mai multe ori prelucrările de date nu sunt ocazionale, mai ales dacă există și angajați ale căror date sunt prelucrate constant în exercitarea relațiilor de serviciu și a contractului de muncă.

Totodată, dacă prelucrarea poate genera un risc, nu neapărat un risc ridicat, ea trebuie documentată într-un registru. De exemplu, prelucrarea datelor clienților persoane fizice prin intermediul unui terț (prestator de servicii) poate prezenta un risc, întrucât transferul datelor în sine este riscant.

Prin urmare, operatorii cu mai puțin de 250 angajați trebuie să își analizeze atent activitățile și să le identifice pe cele care presupun prelucrări de date ce sunt susceptibile  să genereze un risc pentru drepturile și libertățile persoanelor vizate, care nu sunt ocazionale sau care includ categorii speciale de date sau date cu caracter personal referitoare la condamnări penale și infracțiuni.

Ce este Registrul de cartografiere a datelor

Activitățile de prelucrare menționate anterior trebuie evidențiate într-un registru, denumit în general ”Registru de cartografiere”.

Acesta va cuprinde informațiile prevăzute la art. 30 alin. 1 din RGPD, printre care enumerăm: datele de contact ale operatorului, categoriile de date prelucrate, categoriile de persoane vizate, scopurile prelucrării etc.

Registrul trebuie revizuit și actualizat periodic, iar fiecare nouă activitate de prelucrare va trebui documentată în acesta.

Cum arată un Registru de cartografiere

Pentru a veni în ajutorul operatorilor, am pregătit un model de registru de cartografiere ce cuprinde informațiile minime necesare conform RGPD, pe care îl puteți găsi aici: registru de cartografiere Start Lawyers.

 

Pentru mai multe informații, nu ezitați să ne contactați aici.

DPIA – Beneficiile evaluării de impact

/in , , /by

Scriam într-un articol precedent faptul că și în situațiile în care unii operatori nu sunt obligați să efectueze evaluarea de impact, Grupul de Lucru „Articolul 29” recomandă efectuarea acesteia. Motivul acestei recomandări este acela că DPIA este un instrument util operatorilor de date pentru respectarea legislației privind protecția datelor.

Principalele beneficii ale întocmirii DPIA (Data Protection Impact Assessment)

  • ajută organizația să implementeze toate măsurile necesare pentru a asigura respectarea RGPD;
  • reprezintă un mijloc eficient de dovedire a respectării prevederilor RGPD atunci când Autoritatea de supraveghere solicită informații în aceste sens;
  • contribuie la îmbunătățirea transparenței în activitatea de prelucrare a datelor cu caracter personal;
  • se va îmbunătăți modul în care organizația va folosi informațiile confidențiale;
  • în cazul în care DPIA  se va publica, va ajuta organizația să-și consolideze poziția de operator de încredere;
  • prin identificarea din timp a eventualelor probleme, poate aduce avantaje financiare deoarece rezolvarea unei probleme descoperite din timp este mai puțin costisitoare;
  • întocmirea DPIA ajută la creșterea conștientizării organizației asupra importanței confidențialității și a protejării datelor cu caracter personal.

Dacă doriți să aflați mai multe despre RGPD puteți accesa articolele postate pe pagina dedicată protecției datelor sau, dacă aveți întrebări, ni le puteți adresa folosind pagina de contact.

Evaluarea de impact – Recomandări

/in , , /by

Chiar dacă reglementarea evaluării de impact nu este detaliată în RGPD, așa cum scriam într-un articol anterior, Grupul de lucru „Articolul 29” explică reglementarea sumară în scopul unei mai bune aplicări a Regulamentului. Pe lângă explicații, mai oferă și recomandări menite a ajuta operatorii să aplice noua reglementare. În cele ce urmează vom sumariza unele dintre recomandările referitoare la evaluarea de impact (DPIA).

Necesitatea revizuirii DPIA

Deși Regulamentul nu prevede expres, Grupul de lucru „Articolul 29” recomandă ca bună practică revizuirea continuă și reevaluarea regulată a DPIA.

Monitorizarea activităților de prelucrare

Se recomandă ca, în practică, operatorii să evalueze continuu riscurile create de activitățile lor de prelucrare pentru a identifica momentul în care un tip de prelucrare „ar putea duce la un risc ridicat pentru drepturile și libertățile persoanelor fizice”.

Utilitatea DPIA

Chiar dacă unii operatori nu se încadrează în situațiile în care obligativitatea întocmirii DPIA este evidentă, Grupul de Lucru „Articolul 29” recomandă efectuarea acesteia. Motivul acestei recomandări este acela că DPIA este un instrument util operatorilor de date pentru respectarea legislației privind protecția datelor.

Publicitatea DPIA

Printre bunele practici recomandate de Grupul de lucru „Articolul 29” se numără și publicarea DPIA de către operator atunci când membrii publicului sunt afectați de operațiunea de prelucrare, mai ales în cazul în care operatorul este o autoritate publică.

DPIA – Evaluarea impactului asupra protecției datelor: Q & A

/in , , /by

În rândurile următoare vă prezentăm răspunsurile la unele dintre cele mai întâlnite întrebări referitoare la evaluarea impactului asupra protecției datelor (DPIA).

Q: Ce este DPIA?

A: DPIA este un proces destinat să:

  • descrie prelucrarea de date cu caracter personal;

  • evalueze necesitatea și proporționalitatea prelucrării;

  • contribuie la gestionarea riscurilor la adresa drepturilor și libertăților persoanelor vizate (prin evaluarea riscurilor și stabilirea de măsuri pentru atenuarea lor).

Q: DPIA pentru o singură operațiune de prelucrare sau pentru toate operațiunile?

A: DPIA se poate întocmi doar pentru o singură operațiune de prelucrare sau pentru multiple operațiuni de prelucrare similare și care prezintă riscuri ridicate similare. În general, DPIA se întocmește atunci când operatorul decide să desfășoare un nou proiect sau când intervine o modificare a tehnologiilor folosite în activitatea de prelucrare.

Q: DPIA este obligatorie?

A: În principiu, da. Cu excepția cazului în care operațiunea de prelucrare se încadrează într-o excepție dintre cele de mai jos, trebuie să se efectueze o DPIA în cazul în care o operațiune de prelucrare este „susceptibilă să genereze un risc ridicat”.

Q: Care sunt excepțiile de la întocmirea DPIA?

A: DPIA nu este obligatorie atunci când:

  • prelucrarea nu este „susceptibilă să genereze un risc ridicat”;

  • există DPIA similară sau când prelucrarea a fost autorizată de autoritatea de supraveghere anterior lunii mai 2018;

  • există un temei legal al prelucrării și s-a efectuat deja o DPIA pentru aceasta.

Q: Ce se înțelege prin „ risc ridicat”

A: O operațiune de prelucrare este susceptibilă să genereze „riscuri ridicate” atunci când:

  • presupune o evaluare sistematică și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, și care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă;

  • se face o prelucrare pe scară largă a unor categorii speciale de date sau a unor date cu caracter personal privind condamnări penale și infracțiuni;

  • se face o monitorizare sistematică pe scară largă a unei zone accesibile publicului.

În practică, Grupul de lucru Articolul 29 recomandă ca operatorii să evalueze în mod continuu riscurile create de activităților lor de prelucrare pentru a identifica momentul în care un tip de prelucrare „ar putea duce la un risc ridicat pentru drepturile și libertățile persoanelor fizice”.

Q: Când se efectuează DPIA?

A: DPIA trebuie realizată „anterior prelucrării” întrucât este un instrument destinat să ajute la luarea deciziilor cu privire la prelucrare.

Q: Pentru operațiunile de prelucrare existente mai este necesară?

A: Doar în situația în care operațiunile de prelucrare existente pot conduce la un risc ridicat pentru drepturile și libertățile persoanelor fizice, și pentru care s-a produs o schimbare a riscurilor, luând în considerare natura, obiectivul, contextul și scopurile prelucrării.

Q: Care sunt caracteristicile minime ale DPIA?

A: DPIA trebuie să conțină informații cu privire la:

  • Descrierea prelucrării preconizate (tipul de operațiuni și scopul prelucrării);

  • Evaluarea necesității și proporționalității;

  • Evaluarea riscurilor pentru drepturile și libertățile persoanelor vizate;

  • Măsurile preconizate pentru abordarea riscurilor;

  • Documentare;

  • Monitorizare și revizuire.

Dacă aveți alte întrebări sau dacă aveți nevoie de lămuriri, vă rugăm să folosiți pagina noastră de contact.

RGPD și certificarea în conformitate cu ISO27001

/in , , /by

Ce este ISO / IEC 27001?

Standardul ISO/IEC 27001:2013 este un standard internațional de securitate a informației și constă într-o specificație pentru sistemul de management al securității informației (SMSI).

Structura standardului include:

  1. Domeniul de aplicare a standardului,

  2. Modalitatea în care se efectuează referințe în documente,

  3. Reutilizarea termenilor și definițiilor din ISO/IEC 27000,

  4. Context organizațional și părțile interesate,

  5. Sprijin la nivelul cel mai înalt al conducerii pentru securitatea informației și politica organizației,

  6. Planificarea unui sistem de management al securității informației; evaluarea riscurilor; tratarea riscului,

  7. Sprijinirea unui sistem de management al securității informației,

  8. Realizarea unui sistem de management al securității informației operaționale,

  9. Revizuirea performanței sistemului,

  10. Acțiune corectivă.

Prin ce poate ajuta certificarea ISO27001

Elementele relevante ale standardului ISO27001 care pot ajuta companiile să faciliteze implementarea RGPD sunt următoarele:

  • evaluarea riscurilor;

  • conformitatea;

  • înștiințarea privind încălcarea protecției datelor;

  • managementul datelor cu caracter personal;

  • abordarea privacy by design;

  • protejarea datelor personale în relația cu furnizorii.

Certificarea în conformitate cu ISO / IEC 27001 nu este suficientă

Cu toate că ISO27001 ajută la implementarea RGPD, există unele cerințe ale regulamentului care nu sunt acoperite în mod direct de acest standard, cum ar fi dreptul persoanelor vizate:

  • de a fi informate asupra colectării;

  • la ștergerea datelor;

  • la portabilitatea datelor.

Prin urmare, chiar dacă un operator deține certificarea în conformitate cu ISO / IEC 27001, aceasta nu înseamnă că activitatea sau organizarea acestuia este în conformitate cu prevederile RGPD.

DPO – Independență. Conflict de interese

/in , , /by

Am scris pe acest blog despre nivelul de expertiză și calitățile profesionale ale responsabilului cu protecția datelor. Pe lângă aceste aspecte, este foarte important de știut că responsabilul cu protecția datelor trebuie să fie independent și să nu se afle în conflict de interese.

Prevederile legale din RGPD

Astfel, în cuprinsul considerentului nr. 97 se prevede că „Acești responsabili cu protecția datelor, indiferent dacă sunt sau nu angajați ai operatorului, ar trebui să fie în măsură să își îndeplinească atribuțiile și sarcinile în mod independent.”

În ceea ce privește conflictul de interese, articolul nr. 38 alin. (6) precizează că atribuțiile responsabilului cu protecția datelor trebuie să nu genereze un conflict de interese în situația în care acesta îndeplinește și alte sarcini și atribuții în cadrul organizației.

Având în vedere aceste prevederi, se pune următoarea întrebare: cum ne putem da seama că responsabilul cu protecția datelor este independent și deci, nu se află în conflict de interese?

Lămuriri ale Grupului de lucru „Articolul 29”

Regulamentul nu oferă astfel de exemple. Pentru astfel de situații, șa cum ne-am obișnuit, Grupul de lucru „Articolul 29” ne oferă unele indicii precizând că nu sunt candidați potriviți pentru poziția de DPO persoanele cu funcții de conducere superioare, cum ar fi director executiv, director operațional, director financiar, șeful serviciului medical, șeful departamentului de marketing, șef departamentului de resurse umane sau șeful departamentului IT), dar, în același timp, și alte funcții inferioare dacă acestea conduc la posibilitatea de a stabili scopurile și mijloacelor de prelucrare.

Mai mult, se arată că un conflict de interese poate apărea de exemplu, în situația în care un DPO extern este rugat să reprezinte operatorul sau persoana împuternicită de operator în instanță, în cazurile care implică probleme de protecție a datelor.

Practica Autorității pentru Protecția Datelor din Bavaria pentru sectorul privat

Deși ne oferă unele indicii despre cum să procedăm la numirea responsabilului cu protecția datelor, opinia Grupului de lucru „Articolul 29” este orientativă, autoritățile de supraveghere putând avea o opinie mai restrictivă. De exemplu, Autoritatea pentru Protecția Datelor din Bavaria pentru sectorul privat a precizat într-un raport de activitate că membrii departamentului juridic pot, în anumite cazuri, să fie în conflict de interese care să îi descalifice să acționeze ca DPO. Conform celor menționate în raport, în cazul în care consilierul juridic poate reprezenta societatea într-o procedură legală (în special în ceea ce privește acțiunile în justiție împotriva angajaților sau a clienților, care pot include aspecte legate de protecția datelor personale), consilierul juridic este supus unui conflict de interese și, prin urmare, nu este independent.

În practică se pot întâlni o multitudine de situații care pot fi asimilate ca situații de incompatibilitate sau conflict de interese. Rămâne să vedem și punctul de vedere al ANSPDCP atunci când va fi exprimat.

RGPD. Informarea persoanei vizate – principalele puncte de atins

/in , , /by

Ca și în legislația actuală din materia protecției datelor personale, prin RGPD s-a prevăzut obligația informării persoanei vizate la momentul preluării consimțământului său cu privire la numeroase aspecte. Însă spre deosebire de prezent, RGPD subliniază o importanță crescută a acestei informări și instituie informații suplimentare de comunicat către cei cărora operatorii le prelucrează datele.

1. Informații despre prelucrarea datelor: scop, temei, perioadă, transfer

Operatorii trebuie să ofere persoanelor vizate detalii cu privire la scopul prelucrării și temeiul prelucrării (dacă acesta nu este consimțământul, dar este de exemplu un contract). Dacă operatorul dorește să folosească datele în alt scop decât cel inițial, el trebuie să informeze persoana vizată și să îi ceară consimțământul, dacă este necesar.

De asemenea, trebuie comunicate informații cu privire la perioada prelucrării și ce se întâmplă cu datele la finalul acesteia, dar și cu privire la logica de prelucrare automată a datelor.

În situația în care datele sunt transferate și unei alte persoane, această informație trebuie adusă la cunoștința persoanei vizate, împreună cu motivul transferului și identitatea destinatarului lor.

2. Drepturile persoanei vizate

Este foarte important ca persoanei vizate să i se comunice drepturile pe care le are conform legislației, iar dintre acestea amintim: dreptul de acces la date, de rectificare a lor, de ștergere a acestora, de a se opune prelucrării, de portabilitate a datelor, de a fi informată cu privire la încălcări ale legii.

Mai multe despre drepturile persoanei vizate vom scrie într-un articol ulterior, dată fiind importanța lor semnificativă,

3. Dreptul de a se opune prelucrării în scop de marketing direct

Regulamentul dă o importanță sporită prelucrării datelor în scop de marketing direct și creării de profiluri legate de marketingul direct, instituind obligația de a informa separat și în mod expres persoana vizată că are dreptul de a se opune la o astfel de prelucrare și creare de profiluri.

Totodată, trebuie informate persoanele vizate despre consecințele prelucrării, în special dacă prelucrarea se bazează pe crearea de profiluri.

4. Dreptul de a formula plângeri și cereri. Datele de identificare ale operatorului și autorității naționale

Persoana vizată trebuie să știe că are dreptul de a formula plângere împotriva modului în care i se prelucrează datele ori împotriva oricărei acțiuni ce încalcă RGPD. Plângerea se poate înainta atât operatorului, cât și autorității naționale.

De asemenea, persoana vizată are dreptul de a formula cereri în exercitarea drepturilor sale prevăzute la punctul 2.

Operatorul trebuie să răspundă oricărei cereri sau plângeri primite de la persoana vizată în maximum o lună, conform RGPD.

Operatorul trebuie să informeze persoana vizată cu privire la datele sale de identificare și de contact, dar și cu privire la datele de identificare și de contact ale autorității naționale – în cazul nostru Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

Excepții de la obligativitatea informării

RGPD prevede și excepții de la obligativitatea informării persoanelor vizate cu privire la cele de mai sus în următoarele cazuri:

  1. persoanele vizate dețin deja informațiile respective;
  2. înregistrarea sau divulgarea datelor e prevăzută în mod expres de lege;
  3. informarea persoanelor vizate se dovedește imposibilă;
  4. informarea persoanelor vizate ar implica eforturi disproporționate.

Nu lăsați pe ultima sută de metri implementarea măsurilor prevăzute de RGPD, așa că ne puteți contacta aici pentru mai multe detalii.

DPO – Nivelul de expertiză și calitățile profesionale

/in /by

Conform RGPD în anumite cazuri operatorii de date personale trebuie să-și numească un „responsabil cu protecția datelor personale” (Data Protection Officer – DPO). Mai multe despre acest subiect puteți găsi aici.

Din păcate, Regulamentul reglementează sumar DPO-ul, făcând astfel dificilă stabilirea condițiilor pe care trebuie să le întrunească persoana care dorește să fie DPO.

DPO – reglementarea din RGPD

La art. 37 alin. (5) din RGPD se arată că „Responsabilul cu protecția datelor este desemnat pe baza calităților profesionale și, în special, a cunoștințelor de specialitate în dreptul și practicile din domeniul protecției datelor, precum și pe baza capacității de a îndeplini sarcinile prevăzute la articolul 39.”

Aceasta înseamnă că responsabilul cu protecția datelor personale trebuie să cunoască cel puțin legislația privind datele personale și procedurile aferente acestui domeniu (guvernanța informațiilor și securitate cibernetică). Mai mult, ținând cont de atribuțiile sale (informare și consiliere a operatorului), responsabilul cu protecția datelor personale trebuie să aibă acces la nivelul de top management.

Prin urmare, un DPO trebuie să aibă competențele și experiența combinată a unor roluri tipice separate, cum ar fi un manager, avocat și specialist IT.

Recomandarea Grupului de lucru „Articolul 29”

Conform Ghidului Grupului de lucru „Articolul 29” aptitudinile și expertiza relevante includ:

  • experiență în legislația și practicile de protecție a datelor la nivel național și european;

  • o înțelegere complexă a RGPD;

  • înțelegerea operațiunilor de prelucrare efectuate;

  • înțelegerea tehnologiilor de informații și de securitate a datelor;

  • cunoașterea sectorului de afaceri și a organizației;

  • abilitatea de a promova protecția datelor în cadrul organizației.

Totodată, Grupul de lucru „Articolul 29” recomandă ca autoritățile de supraveghere să promoveze o formă adecvată și regulată pentru DPO. În consecință vom aștepta punctul de vedere al A.N.S.P.D.C.P.

Menționăm, de asemenea, că la acest moment autoritatea națională din România nu oferă traininguri pentru DPO și deși această ocupație a fost introdusă de curând în Clasificarea Ocupațiilor din România, nu au fost emise norme care să prevadă calificările minime necesare pentru ca o persoană să poată ocupa această funcție.

În același timp, atragem atenția că nicio entitate care susține că oferă traininguri de calificare a unui DPO nu emite certificări sau diplome recunoscute de autoritatea națională în domeniu.

RGPD – Cine trebuie să desemneze un responsabil cu protecția datelor? (V – Categorii speciale de date)

/in , /by

Încheiem seria de articole privind responsabilul cu protecția datelor personale cu explicații despre noțiunea de categorii speciale de date.

Categorii speciale de date

În sfârșit, avem o noțiune definită clar de RGPD prin art. 9 alin. (1): sunt categorii speciale de date cu caracter personal acele date „care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice.”

Studiu de caz

În exemplul nostru privind magazinul online, nu avem motive să credem că acesta ar solicita date dintre cele aparținând categoriilor speciale pentru crearea conturilor clienților pentru cumpărăturile online, astfel încât în măsura în care nu prelucrează astfel de date, lui nu i se aplică acest caz.

Cu toate acestea, dacă însumăm toate elementele analizate în articolele precedente prin raportare la activitatea unui magazin online, putem concluziona că acesta are nevoie de un responsabil cu protecția datelor dacă:

  • magazinul online folosește datele clienților săi pentru a transmite newslettere ori pentru a transmite sugestii de achiziții adiacente celor deja efectuate pe site
  • magazinul online are un număr relativ mare de clienți cu conturi pe site dintr-o anumită arie geografică, raportat la populația existentă în acea arie geografică.

Întrucât este greu de controlat numărul clienților/conturilor acestora pe site, astfel încât este greu de apreciat când prelucrarea este pe scară largă, considerăm că un magazin online ar trebui să își desemneze un responsabil cu prelucrarea datelor încă de la început.

Recomandarea A.N.S.P.D.C.P. privind desemnarea responsabilului

Mai mult, pe site-ul A.N.S.P.D.C.P. puteți găsi următoarea recomandare: „Deși în unele cazuri nu este necesară desemnarea unui responsabil cu protecția datelor, Autoritatea de Supraveghere recomandă numirea unei astfel de persoane, întrucât este utilă operatorului pentru respectarea obligațiilor în domeniul protecției datelor cu caracter personal.

Concluzii

Ținând cont de faptul că sunt precizate doar două situații clare în care nu este obligatorie numirea unui responsabil cu protecția datelor (a se vedea aici), recomandarea A.N.S.P.D.C.P. se poate transforma într-o realitate dură și anume aceea în care Autoritatea de Supraveghere să considere obligatorie numirea unui responsabil cu protecția datelor în mai toate cazurile care nu se subscriu celor două exemple: medic și avocat.

 

Considerăm că este nevoie de mai multă preocupare din partea A.N.S.P.D.C.P. pentru a clarifica modul de aplicare a noilor reguli, sau cel puțin pentru a ne informa asupra modului în care aceasta înțelege RGPD, prin publicarea de puncte de vedere și exemple practice raportate la situații de fapt specifice realității economice a țării noastre.    

 

Puteți citi artcolele anterioare pe subiectul responsabilului cu protecția datelor personale aici, aici, aici și aici.