marți, 14 noiembrie 2017

Cine are nevoie de ofițer de date personale


Photo by Catherine McMahon on Unsplash
De la 25 mai 2018 va intra în vigoare Regulamentul European privind protecția datelor personale (abreviat în engleză GDPR).

Acesta prevede o obligația pentru anumite categorii de entități de avea angajat (fie ca cu contract de muncă fie ca și colaborator) un ofițer de date personale.



Situațiile în care este obligatorie numirea unui Ofițer de date personale sunt:



a)prelucrarea este efectuată de o autoritate sau un organism public, cu excepţia instanţelor care acţionează în exerciţiul funcţiei lor jurisdicţionale;

b)activităţile principale ale operatorului sau ale persoanei împuternicite de operator constau în operaţiuni de prelucrare care, prin natura, domeniul de aplicare şi/sau scopurile lor, necesită o monitorizare periodică şi sistematică a persoanelor vizate pe scară largă; sau

c)activităţile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date, sau a unor date cu caracter personal privind condamnări penale şi infracţiuni.



Situațiile de la literele b și c cer anumite explicații.



Activitatea de prelucrare de date personale trebuie să privească „activitățile principale ale operatorului sau ale persoanei împuternicite de operator”. Prin urmare un restaurant care livrează pizza la comanda nu este necesar să aibă un ofițer de date personale, chiar dacă strânge informații despre clienții săi pentru a putea face livrările. Principalele vizate sunt serviciile societății informaționale pentru care prelucrarea de date personale este obiect principal de activitate sau obiectul lor de activitate este inseparabil de activități de prelucrare de date personale.

De asemenea prelucrarea de  date trebuie să reprezinte o „monitorizare periodică şi sistematică”.  Această se referă la monitorizări care au loc cu o anumită frecvență în timp și metodic, conform unui plan. Îndrumările de interpretare date de autoritățile europene enumeră ca exemple activități de publicitate on line contextuală, bazată pe comportamentul utilizatorului serviciului electronic, activități privind profiluri de risc (de exemplu cel de risc financiar făcut de bănci), diverse aplicații de urmărire a stării de sănătate prin monitorizare permanentă, supraveghere video și tehnologii conexe acesteia.

Pentru a aprecia dacă prelucrarea se face „pe scară largă” se au în vedere:

-          Numărul de persoane vizate,

-          Numărul de date diferite prelucrate despre o anumită persoană,

-          Durata activității de prelucrare,

-          Extinderea geografică.

-          Revenind la exemplul cu serviciul de livrare de pizza, dacă datele strânse despre clienți sunt strânse de pe  o arie geografică mai mare, și sunt folosite pentru a crea modele de marketing (nu numai pentru a livra comenzile) atunci se poate pune problema că este o prelucrare sistematică, periodică și pe scară mare, caz în care ar fi nevoie ca acea activitate să fie supravegheată de un ofițer de date personale.

În ce privește litera c) datele sensibile sunt legate de originea rasială sau etnică, de convingerile politice, religioase, filozofice sau de natură similară, de apartenenţa sindicală, privind starea de sănătate sau viaţa sexuală, datele genetice, biometrice, orientarea sexuală și datele care permit identificarea unică a persoanei. De oricâte ori astfel de date sunt cerute prelucrarea datelor trebuie făcută numai sub condiția ca un ofițer de date personale să supravegheze instituția care face acea prelucrare.

În ce privește datele privind condamnările penale și infracțiunile angajatorii va fi nevoie să se abțină să mai solicite astfel de date (cazierul judiciar) fără niciun motiv serios, căci vor intra sub incidența obligației de a avea un ofițer de date personale.. Totuși, sunt profesii reglementate unde astfel de informații sunt solicitate prin lege. În acest caz, angajatorii vor fi nevoiți să asigure serviciile unui ofițer de date personale.


Niciun comentariu: