18 nov. Numirea responsabilului cu protecția datelor
- Raportat la cazul indicat la litera b) a art. 37 alin. 1 din Regulamentul general privind protecția datelor – activităţile principale ale operatorului sau ale persoanei împuternicite de operator constau în operaţiuni de prelucrare care, prin natura, domeniul de aplicare şi/sau scopurile lor, necesită o monitorizare periodică şi sistematică a persoanelor vizate pe scară largă
Sunt importante clarificările aduse de GL 29 prin Orientările privind responsabilii cu protecția datelor adoptate la 13 decembrie 2016, revizuite și adoptate în noua formă la 5 aprilie 2017. Astfel, GL 29 specifică faptul că noțiunea de ”activitate principală” folosită în dispozițiile legislative se referă la activitățile de bază, cheie, iar nu la prelucrarea de date ca activitate auxiliară. Cu titlu de exemplu e amintită societatea de pază care are ca activitate principală supravegherea obiectivelor, ce necesită deci prelucrarea de date personale cum sunt imaginile sau datele din buletin, și care deci se înscrie în cazul prevăzut de litera b a alin. 1 din art. 39, în care este obligatorie desemnarea unui responsabil cu protecția datelor. Cu toate acestea, o societate care se ocupă de comerțul cu utilaje și care prelucrează date ale propriilor săi angajați, efectuează astfel de prelucrări doar ca o activitate suport celei principale (anume cea de comerț) și deci nu există obligația desemnării unui responsabil cu protecția datelor.
În ceea ce privește sintagma „pe scară largă”, legiuitorul european nu oferă o definiție clară, motiv pentru care soluția o găsim în documentele complementare. Astfel, există liniile directoare indicate în considerentul 91 al GDPR, dar și indicațiile oferite de ANSPDCP și de GL 29 în Orientările antemenționate, prin care se recomandă luarea în considerare, în special, a următorilor factori pentru a se determina dacă o prelucrare este efectuată sau nu pe scară largă:
- numărul persoanelor vizate, ori un număr exact, ori un procent din populația relevantă;
- volumul datelor și/sau gama de elemente diferite de date în curs de prelucrare;
- durata sau permanența activității de prelucrare a datelor;
- suprafața geografică a activității de prelucrare.
Cu privire la înțelesul noțiunii de „monitorizare ”, considerentul 24 din Regulament și GL 29 explică faptul că aceasta se referă la toate formele de urmărire și profilare, inclusiv în scop de publicitate comportamentală, nefiind cuprinse în aceasta doar prelucrările făcute în mediul online. Prin „periodic” se face referire la efectuarea de prelucrări cu caracter de repetitivitate, iar „sistematic” înseamnă conform unui plan prestabilit.
În acest sens, se oferă și anumite exemple de prelucrări ce presupun o monitorizare periodică şi sistematică a persoanelor vizate pe scară largă, anume: prelucrarea datelor pacienților de către un spital, procesarea datelor clienților de către companiile de asigurări sau bănci, procesarea datelor pentru crearea de profile prin motoarele de căutare, efectuare de profilare și scoring în scopul evaluării riscurilor (de exemplu, în scopul acordării unui credit, stabilirea primelor de asigurare, de prevenire a fraudelor, detectarea spălării banilor), geolocalizare sau desfășurarea de programe de loialitate, transmiterea de e-mail-uri cu direcționare repetată, activități de marketing. Sunt oferite însă și exemple de situații ce nu pot fi încadrate în această categorie, anume prelucrarea datelor privind condamnările penale făcută de un avocat sau a datelor privind starea de sănătate făcută de un medic individual.
- Raportat cazul indicat la litera c) de mai sus – activităţile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date, menţionată la articolul 9, sau a unor date cu caracter personal privind condamnări penale şi infracţiuni, menţionată la articolul 10
Cele mai multe dintre societățile comerciale prelucrează date sensibile, colectând și stocând informații ale propriilor angajați, cum sunt confesiunea religioasă și datele privind sănătatea (incluse în art. 10), atunci când se solicită zile de concediu legal pentru sărbătorile altor confesiuni religioase sau concediu medical, în temeiul dispozițiilor Codului muncii.
Prin urmare, prelucrarea unor astfel de date ale angajaților este inerentă în activitatea oricărei societăți comerciale. Rămâne însă deschisă chestiunea îndeplinirii condiției de prelucrare ale unor astfel de date sensibile „pe scară largă” și încadrarea acestei prelucrări în categoria de „activitate principală” a respectivului angajator.
În acest sens, după cum am precizat și în cele de mai sus, lipsa unei definiții clare a acestor sintagme va pune cu siguranță probleme societăților comerciale.
Din perspectiva noastră, considerăm că se impune raportarea la excepția oferită cu titlu de exemplu de către GL 29 atunci când a făcut vorbire despre ce înseamnă activitate principală pentru societățile comerciale. Astfel, s-ar putea considera că dacă o societate doar înregistrează date ale angajaților săi pentru acordarea de concedii medicale (spre exemplu), acest demers este doar o activitate auxiliară, secundară celei principale (cum e cea de comerț) și necesară nu pentru derularea activității de bază, ci pentru îndeplinirea unei obligații legale separate. Drept urmare, o astfel de companie nu se încadrează nici în cazul prevăzut de litera (c) și deci nu e obligată să își desemneze un responsabil cu protecția datelor.
Mai mult, se pune problema dacă putem vorbi despre o prelucrare pe scară largă a unor date dintre cele prevăzute de art. 10 în cazul unei atare societăți. S-ar putea argumenta că nu se realizează o prelucrare pe scară largă atât timp cât nu toți angajații accesează concediul medical și nu discutăm despre firme cu extrem de mulți angajați raportat la piața muncii relevantă.
Rămâne însă de văzut dacă practica se va baza într-o astfel de situație pe justificarea că acele date nu se prelucrează pe scară largă, sau se va prefera insistarea asupra neefectuării respectivei prelucrări cu titlu de activitate principală a angajatorului.
***
De asemenea, atragem atenția că legiuitorul european a prevăzut obligația, respectiv recomandarea numirii unui responsabil cu protecția datelor nu doar în cazul operatorului de date cu caracter personal, ci și în cazul persoanei împuternicite de operator. Așadar, este posibil ca în anumite situații, operatorul să nu se afle într-o situație de obligativitate a desemnării, dar persoana împuternicită de acesta să se afle. Totul depinde de cine îndeplinește criteriile de desemnare obligatorie prevăzute de Regulament.
Un exemplu oferit de GL 29 în acest sens este cel al unei mici afaceri de familie ce distribuie aparate de uz casnic într-un oraș și are ca persoană împuternicită o firmă ce prestează activități de marketing. Afacerea de familie nu presupune o prelucrare de date pe scară largă, ținând cont de numărul relativ redus al vânzărilor și clienților. Compania de marketing însă are mulți clienți și se poate considera că prelucrează date cu caracter personal pe scară largă ca activitate principală. În consecință, deși operatorul de date este afacerea de familie, ea nu e obligată la numirea unui responsabil cu protecția datelor, însă firma ce se ocupă de marketing și care are în acest construct calitatea de persoană împuternicită de operator, trebuie să efectueze acest demers.
E de la sine înțeles faptul că responsabilul cu protecția datelor desemnat de persoana împuternicită va avea această calitate și va îndeplini sarcinile corespunzătoare ei indiferent dacă cel pentru care prestează această activitate este operator sau persoană împuternicită. Astfel, raportându-ne la exemplu de mai sus, responsabilul cu protecția datelor numit de compania de marketing, se va asigura că aceasta respectă dispozițiile Regulamentului atât în situațiile în care are calitatea de persoană împuternicită (cum se întâmplă în relația avută cu afacerea de familie), cât și în cele în care este chiar operator de date cu caracter personal (cum se întâmplă în relația avută cu angajații ei).