Publicat pe

Este compania ta obligată să desemneze DPO (responsabil cu protecția datelor)?

Este compania ta obligată să desemneze DPO?
Am observat recent, că la o distanță de aproape un an de la data intrării în vigoare a noului regulament GDPR, lumea tot nu s-a lămurit cu privire la faptul dacă este sau nu nevoie de numirea unui responsabil cu protecția datelor în cadrul unei companii anume.

Mai mult, am constatat faptul că în continuare circulă informații false în privința acestui subiect, iar prin urmare ne-am propus ca prin această postare să clarificăm această situație confuză.

Regulamentul nr. 679/2016 tratează această problemă în preambulul 97 și în art. 37-39. Prin aceste prevederi sunt prevăzute cazurile în care o entitate are nevoie de DPO, calitățile de care trebuie să dispună această persoană și atribuțiile acestuia.

Numirea unui DPO este obligatorie în cazurile în care:
  1. prelucrarea este efectuată de o autoritate sau un organism public, cu excepția instanțelor de judecată;
  2. activitatea principală constă în monitorizare periodică și sistematică, pe scară largă, a persoanelor vizate;
  3. activitatea principală constă în prelucrarea pe scară largă a unor categorii speciale de date.

Prin sintagma activitatea principală se înțeleg operațiunile cheie pentru îndeplinirea obiectului de activitate al entității și nu funcțiile auxiliare (de ex. plata angajaților este o funcție a oricărei companii, însă de regulă nu este obiectul principal).

Pentru definirea sintagmei “pe scară largă” vom putea avea în vedere numărul persoanelor vizate (ori un număr exact ori un procent din populaţia relevantă), volumul datelor prelucrate, durata sau permanenţa activităţii de prelucrare a datelor sau suprafaţa geografică a activităţii de prelucrare.

Conform preambulului 24 din Regulament pentru a se determina dacă o activitate de prelucrare poate fi considerată ca „monitorizare a comportamentului” persoanelor vizate, ar trebui să se stabilească dacă persoanele fizice sunt urmărite pe internet, inclusiv posibila utilizare ulterioară a unor tehnici de prelucrare a datelor cu caracter personal care constau în crearea unui profil al unei persoane fizice, în special în scopul de a lua decizii cu privire la aceasta sau de a analiza sau de a face previziuni referitoare la preferinţele personale, comportamentele şi atitudinile acesteia.

Prin urmare, ca să dăm un exemplu, companiile ale căror obiect de activitate implică prelucrarea datelor pe scară largă pentru publicitate comportamentală, profilare online sau monitorizarea spaţiilor (CCTV) intră în sfera de aplicare a ipotezei de la pct. 2.

Categoria datelor speciale sunt definite la art. 9 din Regulament, ca fiind date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenenţa la sindicate şi prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viaţa sexuală sau orientarea sexuală ale unei persoane fizice.

Dacă o entitate se încadrează în una dintre aceste trei categorii, numirea unui DPO este obligatorie.

Însă de cele mai multe ori firmele mici și mijlocii nu au obligația de a numi un responsabil cu protecția datelor (subliniem încă o dată, că nu mărimea firmelor este criteriul de selecție, însă de multe ori există o suprapunere în sensul că de obicei firmele mai mari au obligativitatea numirii unui responsabil).

Pentru acest motiv vă sfătuim, că în ceea ce privește implementarea GDPR, să analizați atent situația companiei dumneavoastră, pentru că nu merită să vă expuneți la costuri suplimentare achiziționând cursuri, pachete sau documentații GDPR care nu vă sunt necesare sau sunt concepute pentru alte tipuri de societăți.

Spor la implementare!

Echipa GDPR Rapid