Proceduri şi autorităţi în Noul Drept European al protecţiei datelor cu caracter personal (I)
Călina Jugastru - iunie 1, 2017c) atunci când activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date, menționată la art. 9, sau a unor date cu caracter personal privind condamnări penale sau infracțiuni, conform art. 10.
Art. 9 alin. 1 prevede: „Se interzice prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filosofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice”. Textul instituie regula potrivit căreia prelucrarea datelor sensibile este interzisă. Alineatul 2 conţine situaţiile de excepţie, în care este legitimată prelucrarea, chiar în absenţa consimţământului celui vizat. Datele personale care se referă la condamnări penale sau infracţiuni se prelucrează sub controlul unei autorităţi de stat sau atunci când prelucrarea este autorizată de dreptul Uniunii ori de dreptul intern care prevede garanţii adecvate pentru drepturile şi libertăţile persoanelor vizate (art. 10).
Aşadar, obiectul prelucrării este cel care determină numirea obligatorie a unui responsabil cu protecţia datelor. Fiind în discuţie datele cu caracter sensibil (sau datele „speciale”), este necesară prezenţa responsabilului – ceea ce ar putea constitui o garanţie în plus de protecţie pentru cei vizaţi.
d) în cazurile prevăzute fie de dreptul Uniunii Europene, fie de dreptul statului membru (alte cazuri decât cele în care desemnarea responsabilului este obligatorie, conform Regulamentului)[11].
Desemnarea responsabilului pentru protecţia datelor este o facultate, în ipoteza descrisă de art. 37 alin. 4 teza I. În alte cazuri decât cele reglementate ca fiind obligatorii (alin. 1, art. 37), operatorul sau persoana împuternicită de operator ori asociațiile și alte organisme care reprezintă categorii de operatori sau de persoane împuternicite de operatori pot desemna un responsabil pentru protecţia datelor. Chiar de la primele observaţii pe marginea noului act normativ european, literatura de specialitate s-a pronunţat în favoarea numirii unui responsabil, chiar acolo unde legea nu obligă: „Chiar dacă Regulamentul nu prevede ca toți operatorii de date să desemneze un responsabil cu protecția datelor, ține de buna administrare a unei companii angajată în diverse operațiuni de prelucrare a datelor personale să creeze un astfel de rol. Sistemul sancțiunilor impuse de Regulamentul General pentru Protecția Datelor este usturător”[12].
Desemnarea unui responsabil unic
Regulamentul nr. 679/2016 prevede două situaţii în care este deschisă posibilitatea desemnării unui unic responsabil.
Un grup de întreprinderi poate numi un responsabil unic pentru protecția datelor; condiția cerută este ca responsabilul cu protecția datelor să fie ușor accesibil din fiecare întreprindere. Cerinţa accesibilităţii este impusă de sarcinile trasate responsabilului. Consilierea, monitorizarea şi cooperarea nu pot fi realizate decât atunci când responsabilul este accesibil fiecărei întreprinderi din grup. Nu numai întreprinderile, dar şi persoanele vizate trebuie să poată stabili contact cu responsabilul, în toate chestiunile relative la prelucrarea datelor lor şi la exercitarea drepturilor lor[13]. „Grupul de întreprinderi” trebuie înţeles ca entitate care exercită controlul și întreprinderile controlate de aceasta (art. 4 pct. 18-19 din Regulamentul nr. 679/2016).
De asemenea, în cazul în care operatorul sau persoana împuternicită de operator este o autoritate publică sau un organism public, poate fi desemnat un responsabil cu protecția datelor unic pentru mai multe dintre aceste autorități sau organisme, luând în considerare structura organizatorică și dimensiunea acestora. Varietatea activităţilor pe care le desfăşoară responsabilul cu protecţia datelor, în contextul funcţiei şi sarcinilor conferite de Regulament trebuie să se regăsească la fiecare nivel al structurii organizatorice a entităţii care l-a desemnat.
Cerinţe pentru numirea responsabilului cu protecţia datelor
Numirea responsabilului respectă criteriul competenţei profesionale, conform art. 37 alin. 5 din Regulament. În mod special, se va ţine seama de cunoştinţele sale de specialitate, de practica în domeniul protecţiei datelor personale, precum şi de capacitatea de a îndeplini sarcinile care îi revin.
Considerentul 97, teza ultimă, aduce unele precizări. Nivelul necesar al cunoștințelor de specialitate va fi apreciat, în mod particular, în funcție de operațiunile de prelucrare a datelor efectuate și de nivelul de protecție impus pentru datele cu caracter personal prelucrate de operator sau de persoana împuternicită de operator. Acești responsabili cu protecția datelor, indiferent dacă sunt sau nu angajați ai operatorului, ar trebui să fie în măsură să își îndeplinească atribuțiile și sarcinile în mod independent.
Trebuie reţinute şi explicaţiile Ghidului (p. 11), în sensul că nivelul de expertiză necesar nu este strict definit, dar trebuie să fie proporțional cu sensibilitatea, complexitatea și volumul de date prelucrate de organizație. Se oferă exemplul operațiunilor deosebit de complexe de prelucrare a datelor sau cazul în care este implicat un volum mare de date speciale – situaţii în care responsabilul cu protecţia datelor poate necesita un nivel mai ridicat de expertiză și suport. Există, de asemenea, diferențe, în funcție de faptul transferării datelor cu caracter personal în afara Uniunii, în mod sistematic sau ocazional. Opţiunea pentru un anumit responsabil este necesar a fi configurată ţinând seama de aspectele de protecție a datelor care apar în cadrul instituţiei/organizației respective.
Capacitatea de a îndeplini sarcinile este o cerinţă care se referă la calităţile personale (integritatea profesională, respectarea regulilor de etică) şi poziţia responsabilului cu protecţia datelor în cadrul organizaţiei/instituţiei respective[14].
Acești responsabili cu protecția datelor, indiferent dacă sunt sau nu angajați ai operatorului, trebuie să fie în măsură să își îndeplinească atribuțiile și sarcinile în mod independent.
Funcţia şi sarcinile responsabilului
Sub genericul „Funcţia responsabilului cu protecţia datelor” (secţiunea 4, art. 38) este dezvoltată cerinţa/problema accesibilităţii responsabilului cu protecţia datelor. Accesibilitatea este un aspect comun, atât situaţiilor în care numirea este obligatorie, cât şi ipotezelor de desemnare facultativă.
Responsabilul cu protecţia datelor are rolul de punct de contact (pentru responsabilul cu prelucrarea datelor, pentru persoanele vizate şi pentru autoritatea de supraveghere) în toate problemele referitoare la protecţia datelor cu caracter personal. El poate oferi consultanţă operatorului de date în realizarea studiului de impact, care este obligatoriu şi prealabil efectuării operaţiunilor de prelucrare a datelor speciale[15].
De asemenea, persoanele vizate de prelucrare trebuie să fie informate de manieră a putea intra în legătură cu responsabilul cu protecţia datelor. În acest sens, Regulamentul statuează că, în cazul în care datele cu caracter personal referitoare la o persoană vizată sunt colectate de la aceasta, operatorul, în momentul obținerii acestor date cu caracter personal, furnizează persoanei vizate o serie de informaţii obligatorii, între care datele de contact ale responsabilul cu protecţia datelor (art. 13 alin. 1 pct. b). Aceleaşi informaţii se comunică persoanei vizate şi dacă datele cu caracter personal supuse prelucrării nu au fost obţinute de la aceasta (art. 14 alin. 1 lit. b).
Ataşat rolului de punct de contact, toate informaţiile referitoare identificarea responsabilului cu protecţia datelor se păstrează în evidenţele activităţilor de prelucrare.
Câteva precizări se desprind din redactarea textului de lege:
a) numirea responsabilului cu protecţia datelor este o prerogativă care aparţine responsabilului cu prelucrarea datelor, persoanei împuternicite de acesta, asociațiilor și alte organisme care reprezintă categorii de operatori sau de persoane împuternicite de operatori. Responsabilul cu protecția datelor poate fi un angajat al operatorului sau persoanei împuternicite de operator ori poate să își îndeplinească sarcinile în baza unui contract de prestări servicii.
b) responsabilul cu protecţia datelor are îndatorirea de a se implica în mod corespunzător şi util în toate aspectele legate de protecția datelor cu caracter personal. Acest tip de implicare traduce, de fapt, prezenţa sa efectivă în viaţa entităţilor care l-au desemnat. Ceea ce presupune informarea în timp util a responsabilului cu protecţia datelor, cu privire la toate operaţiunile de prelucrare preconizate la nivelul instituţiei sau organizaţiei. În mod special, la momentul deciziilor ce implică aspecte de prelucrare a datelor cu caracter personal, este recomandabil să existe un aviz al responsabilului cu protecţia datelor[16]. În mod cert, informarea persoanei responsabile cu protecţia datelor trebuie să aibă loc ori de câte ori are loc încălcarea securităţii datelor[17]. Informarea completă este premisa îndeplinirii obligaţiei de consiliere ce revine responsabilului cu protecţia datelor, conform prevederilor Regulamentului.
c) responsabilul cu protecţia datelor este sprijinit, în realizarea funcţiei/sarcinilor care îi revin, de către responsabilul cu prelucrarea datelor sau persoana împuternicită de acesta. Întâi de toate, sprijinul se va concretiza în asigurarea resurselor necesare pentru executarea acestor sarcini, precum și pentru accesarea datelor cu caracter personal și a operațiunilor de prelucrare. Resursele pot avea în vedere asigurarea echipamentelor specifice monitorizării activităţii de prelucrare a datelor, eventual asigurarea personalului necesar îndeplinirii rolului de punct de contact cu operatorul de date/persoanele vizate/autorităţile de profil naţionale şi internaţionale. Toate acestea presupun resurse financiare şi o infrastructură modernă, permanent adaptată evoluţiilor internaţionale (relativ rapide).
Punerea în practică în mod optim a sarcinilor este condiţionată şi de sprijinul oferit în menținerea/perfecţionarea cunoștințelor de specialitate (stagii de perfecţionare, achiziţionarea lucrărilor de specialitate). O consultanţă eficientă şi de înalt nivel implică o constantă conectare la realitatea internaţională dinamică în materie de date personale.
Una dintre recomandările Grupului 29 este ca responsabilul cu protecţia datelor să fie localizat pe teritoriul Uniunii, chiar dacă operatorul sau persoana împuternicită de operator este stabilită în afara acestui spaţiu[18]. Totuşi, recomandarea nu exclude faptul că, în anumite situații în care operatorul sau persoana împuternicită de operator nu are sediul în Uniunea Europeană, un responsabil își poate îndeplini sarcinile într-un mod mai eficient dacă este localizat în afara Uniunii.
d) responsabilul cu protecția datelor răspunde direct în fața celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator. Operatorul și persoana împuternicită de operator se asigură că responsabilul cu protecția datelor nu primește niciun fel de instrucțiuni în ceea ce privește îndeplinirea acestor sarcini (responsabilul cu protecţia datelor nu este demis sau sancționat de către operator şi nici de persoana împuternicită de operator, pentru îndeplinirea atribuţiilor sale). Aceste prevederi sunt o garanţie a faptului că, în toate cazurile (indiferent că este unul dintre angajaţii operatorului sau o persoană din afara organizaţiei), responsabilul cu protecţia datelor funcţionează independent.
e) responsabilul cu protecţia datelor are obligația de a respecta secretul sau confidențialitatea în ceea ce privește îndeplinirea sarcinilor sale, în conformitate cu dreptul Uniunii sau cu dreptul intern. Importanţa confidenţialităţii în materia datelor cu caracter personal este lesne de înţeles. Literatura de specialitate menţionează concluziile unui studiu efectuat de Microsoft în 12 ţări (SUA, Franța, Germania, Japonia, Coreea de Sud, Brazilia, India, Rusia, China, Turcia, Africa de Sud și Indonezia). La nivelul anului 2014, utilizatorii, într-un procent semnificativ, au declarat că nu sunt suficient informaţi cu privire la informaţiile colectate care îi vizează[19].
g) responsabilul cu protecția datelor poate îndeplini și alte sarcini și atribuții, cu condiţia ca niciuna dintre aceste sarcini și atribuții să nu genereze conflict de interese.
[11] În alte cazuri decât cele menționate la alin. 1, operatorul sau persoana împuternicită de operator ori asociațiile și alte organisme care reprezintă categorii de operatori sau de persoane împuternicite de operatori pot desemna sau, acolo unde dreptul Uniunii sau dreptul intern solicită acest lucru, desemnează un responsabil cu protecția datelor. Responsabilul cu protecția datelor poate să acționeze în favoarea unor astfel de asociații și alte organisme care reprezintă operatori sau persoane împuternicite de operatori (art. 37 alin. 4).
[12] G. Zanfir Fortuna, Toate autoritățile publice precum și unii operatori de date privați, obligați să desemneze un responsabil cu protecția datelor din 2018, articol disponibil la adresa https://www.juridice.ro/476072/toate-autoritatile-publice-precum-si-unii-operatori-de-date-privati-obligati-sa-desemneze-un-responsabil-cu-protectia-datelor-din-2018.html (accesat la 30 martie 2017).
[13] Prin „întreprindere” înţelegem persoana fizică sau juridică ce desfășoară o activitate economică, indiferent de forma juridică a acesteia, inclusiv parteneriate sau asociații care desfășoară în mod regulat o activitate economică. „Grup de întreprinderi” înseamnă o întreprindere care exercită controlul și întreprinderile controlate de aceasta (art. 4 pct. 18 din Regulamentul nr. 679/2016).
[14] Ghidul privind responsabilul pentru protecţia datelor, op. cit., p. 11.
[15] Art. 35 alin. 1 din Regulamentul nr. 679/2016 prevede: „Având în vedere natura, domeniul de aplicare, contextul și scopurile prelucrării, în cazul în care un tip de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este susceptibil să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul efectuează, înaintea prelucrării, o evaluare a impactului operațiunilor de prelucrare prevăzute asupra protecției datelor cu caracter personal. O evaluare unică poate aborda un set de operațiuni de prelucrare similare care prezintă riscuri ridicate similare”.
[16] Ghidul recomandă ca, în cazul în care nu se dă curs opiniei responsabilului cu protecţia datelor, să se procedeze la precizarea motivelor pentru care decizia nu este conformă avizului acestuia (p. 13).
[17] „Încălcarea securității datelor cu caracter personal” este acea încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea” (art. 4 pct. 12 din Regulamentul nr. 679/2016).
[18]Ghidul privind responsabilul pentru protecţia datelor (DPO), op. cit., p. 10-11.
[19] A. Lisievici, Cum sporim confidenţialitatea navigării online, în revista Universul Juridic nr. 2/2015, p. 13.
Arhive
- martie 2024
- februarie 2024
- ianuarie 2024
- decembrie 2023
- noiembrie 2023
- octombrie 2023
- septembrie 2023
- august 2023
- iulie 2023
- iunie 2023
- mai 2023
- aprilie 2023
- martie 2023
- februarie 2023
- ianuarie 2023
- decembrie 2022
- noiembrie 2022
- octombrie 2022
- septembrie 2022
- august 2022
- iulie 2022
- iunie 2022
- mai 2022
- aprilie 2022
- martie 2022
- februarie 2022
- ianuarie 2022
- decembrie 2021
- noiembrie 2021
- octombrie 2021
- septembrie 2021
- august 2021
- iulie 2021
- iunie 2021
- mai 2021
- aprilie 2021
- martie 2021
- februarie 2021
- ianuarie 2021
- decembrie 2020
- noiembrie 2020
- octombrie 2020
- septembrie 2020
- august 2020
- iulie 2020
- iunie 2020
- mai 2020
- aprilie 2020
- martie 2020
- februarie 2020
- ianuarie 2020
- decembrie 2019
- noiembrie 2019
- octombrie 2019
- septembrie 2019
- august 2019
- iulie 2019
- iunie 2019
- mai 2019
- aprilie 2019
- martie 2019
- februarie 2019
- ianuarie 2019
- decembrie 2018
- noiembrie 2018
- octombrie 2018
- septembrie 2018
- august 2018
- iulie 2018
- iunie 2018
- mai 2018
- aprilie 2018
- martie 2018
- februarie 2018
- ianuarie 2018
- decembrie 2017
- noiembrie 2017
- octombrie 2017
- septembrie 2017
- august 2017
- iulie 2017
- iunie 2017
- mai 2017
- aprilie 2017
- martie 2017
- februarie 2017
- ianuarie 2017
- decembrie 2016
- noiembrie 2016
- octombrie 2016
- septembrie 2016
- august 2016
- iulie 2016
- iunie 2016
- mai 2016
- aprilie 2016
- martie 2016
- februarie 2016
- ianuarie 2016
- decembrie 2015
- noiembrie 2015
- octombrie 2015
- septembrie 2015
- august 2015
- iulie 2015
- iunie 2015
- mai 2015
- aprilie 2015
- martie 2015
- februarie 2015
- ianuarie 2015
Calendar
L | Ma | Mi | J | V | S | D |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 |
Lasă un răspuns
Trebuie să fii autentificat pentru a publica un comentariu.