In sistemul Directivei 95/46/CE privind protectia datelor cu caracter personal, Statele Membre puteau opta ca, la nivel national, controlul prelucrarilor de date sa fie realizat fie (a) in baza notificarilor prealabile cu privire la prelucrarea datelor (Sistemul Notificarilor); fie (b) de catre persoane specializate si independente numite de catre operatori si, dupa caz, de catre persoanele imputernicite - asa-numitii ofiteri de conformitate (DPO) (Sistemul DPO). Unele State Membre (cum ar fi Germania) au adoptat Sistemul DPO, in timp ce altele (inclusiv Romania) au apelat la Sistemul Notificarilor.

Ciprian TimofteFoto: Tuca Zbarcea & Asociatii

Regulamentul UE 2016/679 instituie o schimbare de paradigma, in sensul in care, pe de o parte, elimina in mod absolut Sistemul Notificarilor, iar pe de alta parte impune numirea unui DPO pentru anumite situatii.

Termenul limita de numire a DPO este 28 mai 2018.

Cand este obligatorie numirea unui DPO?

Potrivit Regulamentului UE 2016/679, operatorul si, dupa caz, persoana imputernicita vor trebui sa desemneze un DPO in urmatoarele situatii:

i.In cazul prelucrarilor de date cu caracter personal efectuate de autoritatile sau institutiile publice (exceptand instantele care actioneaza in exercitarea functiei lor jurisdictionale).

Grupul de Lucru Art. 29 a opinat ca, in aceasta categorie, intra si orice alta entitate publica sau chiar privata care desfasoara activitati de interes public ce implica prelucrari de date (e.g. servicii de transport public, furnizori de utilitati, servicii de televiziune publice etc.).

ii.In cazul prelucrarilor de date efectuate de operatori/persoane imputernicite ca activitate principala si care, prin natura, scopul si/sau sfera de aplicare, presupun o monitorizare pe scara larga, periodica si sistematica, a persoanelor vizate.

Potrivit Grupului de Lucru Art. 29, ca regula "activitatea principala" presupune ca obiectul principal de activitate al operatorului se refera la prelucrari de date cu caracter personal. Totusi, Grupul de Lucru Art. 29 a aratat ca vorbim de "activitate principala" si atunci cand, desi nu constituie obiectul principal de activitate al operatorului, prelucrarea este esentiala pentru materializarea acestuia. Spre exemplu, cazul unei societati de paza care asigura securitatea unor spatii publice prin supraveghere video - caz in care desi activitatea principala consta in asigurarea securitatii, ea nu se poate realiza fara prelucrarea datelor cu caracter personal.

Notiunea de monitorizare periodica si sistematica pe scara larga vizeaza orice forma de urmarire/creare de profiluri realizata prin intermediul internetului si care are ca subiecti un numar extins de persoane, respectiv de date cu caracter personal (notiunea de scara larga putand de asemenea viza si regiunea geografica vizata, durata prelucrarii ori alte asemenea criterii).

iii.In cazul prelucrarilor de date cu caracter special efectuate de operatori/persoane imputernicite pe scara larga si cu titlu de activitate principala

Datele cu caracter special se refera la date precum: originea rasiala sau etnica; opiniile politice, confesiunea religioasa, convingerile filozofice sau apartenenta la sindicate; date genetice, date biometrice, date privind sanatatea sau viata/orientarea sexuala; date referitoare la condamnari penale si infractiuni sau la masuri de securitate conexe.

De notat, Regulamentul UE 2016/679 permite Statelor Membre sa stabileasca si alte cazuri cand numirea unui DPO este obligatorie; de asemenea, atare cazuri ar putea fi stabilite si direct la nivelul UE (de ex., de Comisia Europeana). La data prezentului articol nu am identificat astfel de cazuri aditionale cand numirea unui DPO este obligatorie.

Cine poate fi numit DPO?

Regulamentul UE 2016/679 traseaza o serie de linii directoare in ceea ce priveste numirea DPO, anume:

  • DPO va putea fi numit fie dintre angajatii entitatii (i.e. in baza unui contract de munca), fie dintre persoanele din afara organizatiei (i.e. in baza unui contract de prestari servicii).
  • DPO va trebui sa detina cunostinte de specialitate (i.e. legislatie si practica) in materia protectiei datelor cu caracter personal, de natura sa permita indeplinirea functiilor specifice DPO.
  • Indiferent de calitatea sa (i.e. angajat sau tert de organizatie), DPO va trebui sa fie independent. In acest sens, Regulamentul UE 2016/679 prevede o serie de garantii privind independenta DPO, anume (a) DPO nu poate primi instructiuni cu privire la atributiile sale specifice (inclusiv atunci cand DPO are calitatea de salariat); (b) DPO raporteaza direct catre top management; (c) DPO nu poate fi demis si nici sanctionat pentru motive ce tin de indeplinirea atributiilor sale. Referitor la acest ultim punct, ramane de vazut cum va fi aplicat in practica; consideram totusi ca DPO va putea fi revocat cel putin atunci cand se dovedeste neindeplinirea defectuoasa a atributiilor sale.
  • Teoretic, DPO va putea indeplini si alte atributii in cadrul organizatiei; totusi, in acest caz operatorul/persoana imputernicita va trebui sa se asigure ca un atare cumul de responsabilitati nu genereaza un conflict de interese (e.g. DPO nu va putea avea atributii legate de implementarea de diverse proiecte ce implica prelucrari de date cu caracter personal).

Notam ca Regulamentul UE 2016/679 permite numirea aceluiasi DPO la nivelul entitatilor apartinand aceluiasi grup; singura cerinta este ca, in acest caz, DPO sa fie in masura sa isi exercite atributiile de o maniera efectiva si corespunzatoare.

Se ridica totusi intrebarea in ce masura acelasi DPO ar putea fi desemnat (a) de catre un operator si imputernicitul acestuia, respectiv (b) de catre entitati care nu apartin aceluiasi grup. Fara a exclude la nivel de principiu o atare posibilitate, consideram ca numirea unui DPO comun va trebui analizata de la caz la caz, prin raportare la toti factorii relevanti (e.g. relatiile dintre entitatile respective, atributiile efective ale DPO la nivelul acestora, inclusiv cele suplimentare functiei de DPO etc.).

Sanctiuni

Nerespectarea regulilor privind numirea DPO (inclusiv omisiunea de desemnare a unui DPO, atunci cand aceasta este obligatorie) va putea fi sanctionata cu amenda contraventionala de pana la 10.000.000 euro sau, in cazul unei intreprinderi, de pana la 2% din cifra de afaceri mondiala totala anuala corespunzatoare exercitiului financiar anterior, luandu-se in calcul cea mai mare valoare dintre cele doua.

In loc de concluzii:

  • Desi termenul-limita de numire a DPO este 28 mai 2018, ar fi prudent si recomandabil ca entitatile vizate sa initieze din timp procedurile in acest sens, pentru a nu intra in criza de timp privind identificarea unui DPO eligibil.
  • Situatiile in care numirea unui DPO este obligatorie sunt reglementate expres de Regulamentul UE 2016/679. Totusi, Statele Membre/Comisia Europeana pot stabili si alte cazuri cand numirea DPO este obligatorie. Pana la acest moment, nu avem cunostinta de astfel de decizii.
  •  Regulamentul UE 2016/679 instituie un regim sanctionator extrem de drastic pentru nerespectarea regulilor privind desemnarea DPO (amenda contraventionala de pana la 10.000.000 euro sau, in cazul unei intreprinderi, de pana la 2% din cifra de afaceri mondiala totala anuala corespunzatoare exercitiului financiar anterior).

Ciprian TIMOFTE, Managing Associate al Tuca Zbarcea & Asociatii

Pentru alte detalii, accesati http://dataprivacyblog.tuca.ro/