vineri, 20 aprilie 2018

The General Data Protection Regulation – The Personal Data Protection OfficerRegulamentului General privind Protecția Datelor – Responsabilul cu protecţia datelor cu caracter personal

On December 7, 2017, the National Supervisory Authority for Personal Data Processing held a presentation at the professional gambling business event organized by the Casino Inside magazine – RPG 6, where issues were debated with regard to the conditions for the processing of personal data by private legal entities in this field as operators in the context of the (EU) Regulation 2016/679 on the protection of individuals with regard to the processing of personal data and on the free movement of these data and repealing Directive 95/46/EC.

Our goals

Our intention is to start a series of GDPR articles to provide you with as much information as possible. We considered, especially after consulting with a wide range of operators in our field, that we should first provide you with as much information as possible about the Personal Data Protection Officer that you should appoint.

The (EU) Regulation 2016/679 on the protection of individuals with regard to the processing of personal data and on the free movement of such data and repealing Directive 95/46/EC (General Data Protection Regulation) is to be applied in all Member States of the European Union as of May 25, 2018.

 

The Data Protection Officer, an element of novelty in the Romanian legal landscape

An element of novelty that this European normative act brings to the Romanian legal landscape is the establishment of the mandatory appointment, by the operator or the processor, in some cases, of a Data Protection Officer.

In order to ensure the unitary application of the General Data Protection Regulation, the Work Group Art. 29 attached to the European Commission issued the Data Protection Officer (DPO) Guide, which can be accessed in the section dedicated to the General Data Protection Regulation, at http://www.dataprotection.ro/servlet/ViewDocument?id=1384, accessible on the website of the National Supervisory Authority for Personal Data Processing.

The most important things we need to know about the Data Protection Officer:

When is it mandatory to appoint a Data Protection Officer?

  1. Where processing is carried out by a public authority or a public body, with the exception of courts acting in the exercise of their judicial functions.
  2. Where the main activities of the operator or of the processor consist of processing operations requiring regular and systematic monitoring of the data subjects on a large scale.
  3. Where the main activities of the operator or of the processor consist of the large-scale processing of special categories of data or categories of personal data on criminal convictions and offenses

What does „Main Activities” mean?

In order to establish the main activity carried out by an operator or processor, it must be analyzed by reference to the processing of personal data carried out.

What does „Regular and Systemic Monitoring” refer to?

This involves all forms of tracking and profiling on the Internet, including for behavioral advertising, but is not restricted to the online environment. The term „regular and systematic” implies a continuous and recurrent activity involving data processing.

What does „large-scale” processing mean?

In order to determine whether the processing is carried out on a large scale, four criteria must be taken into account:

  • the number of data subjects – an exact number or percentage of the relevant population;
  • the volume of processed data and/or range of different data elements;
  • the duration or permanence of the data processing activity;
  • the geographical area of the processing activity.

What do „Special Data Categories” mean?

Special categories are personal data revealing racial or ethnic origin, political opinions, religious beliefs or philosophical beliefs, or membership of trade unions and genetic data processing, biometric data for the sole identification of an individual, data on the health or sex life or sexual orientation of an individual.

Examples of situations that may constitute regular and systematic monitoring of the data subjects:

  • management of a telecommunication network;
  • profiling and scoring for the purposes of risk assessment (for example, granting loans, setting insurance premiums, fraud prevention, money laundering detection);
  • location tracking, for example through mobile applications (geolocation);
  • deployment of loyalty programs;
  • monitoring of health status through portable devices;
  • closed circuit television – CCTV;
  • patient data processing by a hospital;
  • processing of content data, location, traffic by Internet service providers;
  • processing of personal data by insurance companies;
  • behavioral advertising.

When is it not necessary to appoint a Data Protection Officer?

– when personal data are not processed on a large scale.

For example:

  • patient data processing by a private medical office;
  • processing of personal data relating to criminal convictions and offenses by a private law firm.

Please note!

Although in some cases it is not necessary to appoint a Data Protection Officer, the Supervisory Authority recommends the appointment of such a person, as it is useful for the operator to comply with the obligations in the field of personal data protection.

Who can be the Data Protection Officer?

Article 37 par. 5 of the EU Regulation 2016/679 provides for the Data Protection Officer to be „appointed based on his/her professional qualities and, in particular, specialized knowledge of data protection law and practices, as well as based on his/her ability to perform the tasks provided for in Article 39.”

The Data Protection Officer may be employed by the operator/processor or may perform his/her duties under a service agreement.

In the public domain, he/she may be designated for several public authorities or institutions, taking into account their organizational structure and size.

Data Protection Officer qualities and competencies:

He/she must have the ability to perform tasks. Some personal qualities are needed for this purpose (e.g.: integrity and professional ethics), knowledge, but also a certain position within the organization.

He/she must have certain professional qualities, as follows:

  • experience in data protection laws and practices at a national and European level, as well as an adequate understanding of the GDPR;
  • the required level of knowledge in the field of data protection according to the data processing operations performed and the level of protection required for the processed personal data;
  • an understanding of the processing operations carried out, as well as of the information systems and data security and protection needs of the data processed by the operator;
  • in the case of a public authority or institution, the Data Protection Officer should also have knowledge of the legal regulations governing their organization and functioning, as well as of the internal administrative procedures related to the conduct of the activity.

The main concern of the Data Protection Officer must be to comply with the General Data Protection Regulation and the applicable national regulations.

He/she is bound to keep secrecy or confidentiality in the performance of his/her tasks in accordance with European Union law or national law.

The operator or the processor, with regard to its relationship with the Data Protection Officer, is required to:

  • publish the contact details of the officer (postal address, especially assigned telephone number and / or e-mail address).
  • communicate the contact details of the officer to the National Supervisory Authority for Personal Data Processing.

The Data Protection Officer is allowed to have other functions as well

Other tasks and duties may also be entrusted to him/her, provided that they do not give rise to conflicts of interest (e.g.: he/she may not be a Chief Executive Officer, Chief Operating Officer, Chief Financial Officer, Head of the Medical Service, Head of the Marketing Department, Head of the Human Resources Department or Head of the IT Department).

The Data Protection Officer may not be dismissed or sanctioned by the operator or the processor with regard to the performance of his/her duties. For example, the officer may not be dismissed for offering advice in accordance with his/her tasks.

A Data Protection Officer may, however, be legally dismissed for reasons other than those relating to the performance of his/her duties in this capacity. For example, the officer may be dismissed in case of theft, harassment or similar serious misconduct.

Data Protection Officer tasks:

  • to inform and advise the operator or the processor, as well as the employees handling the data processing;
  • to monitor compliance with the Regulation, or with other Union laws or national laws on data protection;
  • to advise the operator on carrying out an impact analysis on data protection and to monitor its implementation;
  • to cooperate with and to represent the point of contact with the Supervisory Authority;
  • to take due account of the risk associated with processing operations in the performance of his/her tasks.

For more information, we recommend consulting the Data Protection Officer (DPO) Guide, which is available in the special section on the New Regulation on the website of the National Supervisory Authority for Personal Data – www.dataprotection.ro.Pe data de 7 decembrie 2017 Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal a susținut o prezentare în cadrul evenimentului de business dedicat profesioniștilor din domeniului jocurilor de noroc organizat de revista Casino Inside – RPG 6, ocazie cu care s-au dezbătut aspecte privind condiţiile de prelucrare a datelor cu caracter personal de către persoanele juridice de drept privat din acest domeniu, în calitate de operatori, în contextul Regulamentului (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE.

Ce ne propunem

Intenția noastră este să demarăm o serie de articole dedicate RGPD care să vă ofere cât mai multe informații. Am considerat, în special după ce ne-am consultat cu o plajă largă de operatori din domeniul nostru, că mai întâi ar trebui să vă oferim cât mai multe informații despre Responsabilul cu protecţia datelor cu caracter personal pe care ar trebui să-l desemnați.

Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul General privind Protecția Datelor) urmează să fie pus direct în aplicare în toate statele membre ale Uniunii Europene începând cu data de 25 mai 2018.

Responsabilul cu protecția datelor, un element de noutate în peisajul juridic românesc

Un element de noutate pe care acest act normativ european îl aduce în peisajul juridic românesc îl reprezintă instituirea obligativității desemnării la nivelul operatorului sau persoanei împuternicite de operator, în anumite cazuri, a unui responsabil cu protecția datelor.

Pentru asigurarea unei aplicări unitare a Regulamentului General privind Protecția Datelor, Grupul de Lucru Art. 29 de pe lângă Comisia Europeană a emis Ghidul privind Responsabilul cu protecția datelor (DPO), accesibil la secțiunea specială dedicată Regulamentului General privind Protecția Datelor, la adresa http://www.dataprotection.ro/servlet/ViewDocument?id=1384, accesibilă pe site-ul Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal.

Cele mai importante lucruri pe care trebuie să le știm despre Responsabilul cu protectia datelor:

Când este obligatoriu să desemnăm un responsabil cu protecția datelor?

  1. Când prelucrarea este efectuată de o autoritate publică sau un organism public, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale.
  2. Dacă activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă.
  3. Dacă activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date sau a unor categorii de date cu caracter personal privind condamnări penale și infracțiuni

Ce înseamnă ”Activități principale”?

Pentru a stabili activitatea principală desfășurată de un operator sau împuternicit, aceasta trebuie analizată prin raportare la prelucrările de date cu caracter personal efectuate.

La ce se referă „Monitorizarea periodică și sistematică”?

Aceasta presupune toate formele de urmărire și profilare pe Internet, inclusiv în scop de publicitate comportamentală, nefiind însă restrictionată în mediul online. Sintagma ”periodică și sistematică” presupune o activitate continuă și recurentă, care implică prelucrări de date.

Ce presupune prelucrarea ”Pe scară largă”?

Pentru a se stabili dacă o prelucrare este pe scară largă trebuie ținut cont de 4 criterii:

  • numărul persoanelor vizate – un număr exact ori un procent din populația relevantă;
  • volumul datelor și/sau gama de elemente diferite de date în curs de prelucrare;
  • durata sau permanența activității de prelucrare a datelor;
  • suprafața geografică a activității de prelucrare.

Ce înseamnă ”Categorii speciale de date”?

Categoriile speciale sunt acele date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice.

Exemple de situații care pot constitui o monitorizare periodică și sistematică a persoanelor vizate:

  • gestionarea unei rețele de telecomunicații;
  • profilare și scoring în scopul evaluării riscurilor (de exemplu, în scopul acordării unui credit, stabilirea primelor de asigurare, de prevenire a fraudelor, detectarea spălării banilor);
  • urmărirea locației, spre exemplu prin aplicații mobile (geolocalizare);
  • desfășurarea de programe de loialitate;
  • monitorizarea stării de sănătate prin intermediul dispozitivelor portabile;
  • televiziune cu circuit închis – CCTV;
  • prelucrarea datelor pacienților de către un spital;
  • prelucrarea datelor de conținut, locație, trafic de către furnizorii de servicii de internet;
  • prelucrarea datelor personale de către companii de asigurări;
  • publicitate comportamentală.

Când nu este necesară desemnarea unui responsabil cu protecţia datelor?

– atunci când nu se prelucrează pe scară largă date cu caracter personal.

Spre exemplu:

  • prelucrarea datelor pacientului de către un cabinet medical individual;
  • prelucrarea datelor personale referitoare la condamnările penale și infracțiuni de către un cabinet individual de avocatură.

De reținut!

Deși în unele cazuri nu este necesară desemnarea unui responsabil cu protecția datelor, Autoritatea de Supraveghere recomandă numirea unei astfel de persoane, întrucât este utilă operatorului pentru respectarea obligațiilor în domeniul protecției datelor cu caracter personal.

Cine poate îndeplini funcția de responsabil cu protecția datelor?

Articolul 37 alin. 5 din Regulamentul UE 2016/679 stabilește ca responsabilul cu protecția datelor să fie ”desemnat pe baza calităţilor profesionale şi, în special, a cunoştinţelor de specialitate în dreptul şi practicile din domeniul protecţiei datelor, precum şi pe baza capacităţii de a îndeplini sarcinile prevăzute la articolul 39.”

Responsabilul cu protecția datelor poate fi angajat al operatorului/persoanei împuternicite de operator sau poate să-și îndeplinească sarcinile pe baza unui contract de prestări servicii.

În domeniul public, poate fi desemnat pentru mai multe autorități sau  instituții publice, luând în considerare structura organizatorică și dimensiunea acestora.

Calități și competențe ale Responsabilului cu protecția datelor:

Trebuie să aibă capacitatea de a îndeplini sarcinile. În acest sens sunt necesare anumite calități personale (ex: integritate și etica profesională), cunoștințe, dar și o anumită poziție în cadrul organizației.

Trebuie să aibă anumite calități profesionale, astfel:

  • experiență în legislația și practicile de protecție a datelor la nivel național și european, precum și o înțelegere adecvată a RGPD;
  • nivelul necesar de cunoștințe în domeniul protecției datelor în funcție de operațiunile de prelucrare a datelor efectuate și de nivelul de protecție necesar pentru datele cu caracter personal prelucrate;
  • să înțeleagă operațiunile de prelucrare efectuate, precum și sistemele de informații și necesitățile de securitate și protecție a datelor prelucrate de operator;
  • în cazul unei autorități sau instituții publice, responsabilul cu protecția datelor trebuie să dețină, de asemenea, cunoștințe privind reglementările legale referitoare la organizarea și funcționarea acestora, precum și a procedurilor interne administrative ce vizează desfășurarea activității.

Principala preocupare a responsabilului cu protecția datelor trebuie să fie respectarea Regulamentului General privind Protecția Datelor și a reglementărilor naționale incidente.

Este obligat să păstreze secretul sau confidențialitatea în ceea ce privește îndeplinirea sarcinilor sale, în conformitate cu dreptul Uniunii Europene sau cu dreptul intern.

Operatorul sau persoana împuternicită de operator, în ceea ce privește raporturile cu responsabilul cu protecția datelor, este obligat să:

  • publice datele de contact ale responsabilului (adresă poștală, număr de telefon alocat special și/sau o adresă de email alocată special).
  • comunice datele de contact ale responsabilului către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

Responsabilului cu protecția datelor îi este permis să aibă și alte funcții

Acestuia îi pot fi încredințate și alte sarcini și atribuții, cu condiția ca acestea să nu dea naștere unor conflicte de interese (de ex: nu poate fi director executiv, director operațional, director financiar, șeful serviciului medical, șeful departamentului de marketing, șeful departamentului de resurse umane sau șeful departamentului IT).

Responsabilul pentru protecția datelor nu poate fi demis sau sancționat de operator sau persoana împuternicită de operator pentru îndeplinirea sarcinilor sale. De exemplu, responsabilul nu poate fi demis pentru oferirea unui sfat conform sacinilor sale.

Un responsabil cu protecția datelor ar putea fi totuși demis, în mod legal, din alte motive decât cele privind îndeplinirea sarcinilor sale în această calitate. De exemplu, responsabilul poate fi demis în caz de furt, hărțuire ori o abatere gravă similară.

Sarcinile responsabilului cu protecția datelor:

  • de a informa şi consilia operatorul, sau persoana împuternicită de operator, precum şi angajaţii care se ocupă de prelucrările de date;
  • de a monitoriza respectarea Regulamentului, a altor dispoziţii de drept al Uniunii sau de drept intern referitoare la protecţia datelor;
  • de a consilia operatorul în ceea ce priveşte realizarea unei analize de impact asupra protecţiei datelor şi de a monitoriza executarea acesteia;
  • de a coopera cu Autoritatea de Supraveghere și de a reprezenta punctul de contact cu aceasta;
  • de a ține seama în mod corespunzător de riscul asociat operațiunilor de prelucrare, la îndeplinirea sarcinilor sale.

Pentru mai multe informații recomandăm consultarea Ghidului privind Responsabilul cu protecția datelor (DPO), accesibil în secțiunea specială privind Noul Regulament de pe site-ul Autorității Naționale de Supraveghere a Datelor cu Caracter Personal – www.dataprotection.ro.





Author: Editor

Share This Post On

Submit a Comment

Adresa ta de email nu va fi publicată.