În funcție de modalitatea în care organizația ta prelucrează datele cu caracter personal, trebuie implementată ”funcția” DPO în cadrul organizație.
Cadrul legal este reprezentat de art.37 din DGPR ”Desemnarea responsabilului cu protecția datelor ” (1) Operatorul și persoana împuternicită de operator desemnează un responsabil cu protecția datelor ori de câte ori:
(a) prelucrarea este efectuată de o autoritate sau un organism public, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale;
(b) activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă; sau
(c) activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date, menționată la articolul 9, sau a unor date cu caracter personal privind condamnări penale și infracțiuni, menționată la articolul 10.
Clarificări conceptuale
- „activități principale” reprezintă principalele activități ale organizației, aceste activități sunt diferite de prelucrarea datelor cu caracter personal pentru alte scopuri secundare, activitate secundară care de asemenea poate să fie continuă (ex. prelucrarea date salariați/HR), dar această prelucrare secundară nu face parte din realizarea activităților principale.
- „prelucrare pe scară largă” trebuie ținut cont în calificarea unei prelucrări ca fiind „pe scară largă”: numărul de persoane vizate / proporția din populația relevantă, volumul și varietatea datelor personale prelucrate, durata prelucrării, întinderea geografică.
Conceptul de „monitorizare periodică și sistematică”
-
monitorizare înseamnă orice formă de urmărire și profilare în mediu online, dar nu sunt excluse și forme de monitorizare „clasică”;
-
periodică înseamnă în principiu, fie continuă, fie recurentă / repetată la intervale fixe de timp;
-
sistematică înseamnă în principiu, realizată pe baza unui sistem, pre-aranjată, organizată sau metodică, fiind realizată ca parte a unui plan general sau strategie de colectare de date.
Conceptul de categorii speciale de date include: originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice, datele cu caracter personal privind condamnări penale și infracțiuni.
Răzvan Petrea – avocat Timișoara