Toate autoritățile publice precum și unii operatori de date privați, obligați să desemneze un responsabil cu protecția datelor din 2018
1 noiembrie 2016 | Gabriela ZANFIR FORTUNA
Gabriela Zanfir Fortuna
Una dintre schimbările semnificative ce vor avea loc începând cu 25 mai 2018 în domeniul protecției datelor cu caracter personal, odată cu intrarea în vigoare a Regulamentului 2016/679[1] („Regulamentul General pentru Protecția Datelor – RGPD) este obligativitatea numirii unui responsabil cu protecția datelor („data protection officer”) de către toate autoritățile și organismele publice, precum și de către toți operatorii privați de date personale, și persoanele împuternicite de operator, care prelucrează date la scară largă în activitatea lor principală.
Conform articolului 37 al RGPD, operatorii de date și persoanele împuternicite de operatori sunt obligați, în anumite situații, să desemneze un responsabil cu protecția datelor.
Operatorii de drept public
Toate „autoritățile sau organismele publice” din domeniul de aplicare al Regulamentului au obligația să numească un responsabil cu protecția datelor, cu excepția instanțelor care acționează în exercițiul funcției judecătorești. Spre exemplu, primăriile, consiliile județene, prefecturile, spitalele, administrațiile fiscale, universitățile de stat vor fi obligate să desemneze un responsabil cu protecția datelor. Obligația din articolul 37 alin. (1) RGPD este clară și se referă în sens larg la autorități și organisme publice.
Regulamentul prevede și posibilitatea ca un responsabil cu protecția datelor unic să fie desemnat pentru mai multe autorități sau organisme, dar numai „luând în considerare structura organizatorică și dimensiunea acestora” (articolul 37 alin. (3)).
Pentru a fi ținute de obligația prevăzută la articolul 37, activitatea autorităților publice trebuie să facă parte din domeniul material de aplicare al Regulamentului, care este foarte larg și exclude numai prelucrările de date în domenii care nu intră sub incidența dreptului Uniunii – precum domeniul securității naționale, prelucrările de date din domeniul politicii externe și de securitate comune, precum și prelucrările de date în activitatea de prevenire și sancționare a infracțiunilor (a se vedea articolul 3 RGPD).
Acestea din urmă sunt însă guvernate de Directiva 680/2016[2], care trebuie transpusă în legislația națională până pe 6 mai 2018. Aceasta conține, de asemenea, obligația desemnării unui responsabil cu protecția datelor de către operatori, conform articolului 32. De regulă, operatorii din câmpul de aplicare al Directivei 680/2016 sunt inspectoratele de poliție, parchetele, orice alte structuri ale statului care își desfășoară activitatea în domeniul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor.
Operatorii de drept privat
Companiile care prelucrează date cu caracter personal vor fi și ele obligate să desemneze un responsabil cu protecția datelor, în măsura în care activitățile lor principale presupun „monitorizarea periodică și sistematică a persoanelor vizate pe scară largă” sau dacă presupun prelucrarea pe scară largă a unor categorii speciale de date, precum datele care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă, date genetice, date biometrice sau orice date privind sănătatea unei persoane. În Preambul, la considerentul 97, legiuitorul precizează că „activitățile principale ale unui operator se referă la activitățile sale de bază, și nu la prelucrarea datelor cu caracter personal drept activități auxiliare”.
Spre exemplu, în prima categorie ar putea intra companiile de marketing online care monitorizează comportamentul utilizatorilor de internet pentru targetarea anunțurilor publicitare, companiile de asigurări sau instituțiile de credit care monitorizează comportamentul clienților persoane fizice cu privire la solvabilitatea lor, dar și agențiile de pază care folosesc sisteme de monitorizare video. În a doua categorie pot intra clinicile private, companiile farmaceutice.
Pentru aceste două categorii de operatori privați, desemnarea unui responsabil cu protecția datelor este obligatorie. Pe lângă acestea, Regulamentul încurajează asociațiile și alte organisme care reprezintă categorii de operatori să desemneze un responsabil cu protecția datelor (a se vedea articolul 37 alin. (4)).
Cine poate îndeplini funcția de responsabil cu protecția datelor?
Conform Regulamentului, responsabilul cu protecția datelor poate fi un membru al personalului autorității publice sau companiei, având deci contract de muncă exclusiv cu operatorul. De asemenea, responsabilul „poate să își îndeplinească sarcinile în baza unui contract de servicii” (articolul 37 alin. (6)). Cu alte cuvinte, serviciul poate fi externalizat.
Indiferent de calea aleasă de operator, conform articolului 37 alin. (5), acesta trebuie să desemneze responsabilul cu protecția datelor „pe baza calităților profesionale și, în special, a cunoștințelor de specialitate în dreptul și practicile din domeniul protecției datelor, precum și pe baza capacității de a îndeplini sarcinile” specifice, detaliate în articolul 39 al Regulamentului.
Ce face un responsabil cu protecția datelor?
Sarcinile responsabilului cu protecția datelor sunt detaliate în articolul 39 din Regulament.
Responsabilul cu protecția datelor informează și consiliază operatorul și angajații operatorului care au contact direct cu datele personale cu privire la obligațiile care le revin în temeiul RGPD și al altor dispoziții legale naționale ori europene din domeniul protecției datelor.
De asemenea, responsabilul cu protecția datelor consiliază operatorul în elaborarea evaluării studiului de impact asupra protecției datelor al diferitelor operațiuni de prelucrare care impun efectuarea unui astfel de studiu, în conformitate cu articolul 35 RGPD.
Responsabilul cu protecția datelor este și punctul de legătură cu persoanele vizate de prelucrări și cu Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP). În acest sens, operatorul este obligat să publice datele de contact ale responsabilului cu protecția datelor, precum și să le comunice ANSPDCP, conform art. 37 alin. (7).
Astfel, orice persoană care dorește să își exercite drepturile cu privire la prelucrarea datelor, spre exemplu, dacă dorește acces la propriile date, ori dacă solicită ștergerea datelor, va adresa solicitările sale responsabilului cu protecția datelor. Acesta va trebui să analizeze fiecare cerere și să propună conducerii operatorului o rezoluție. Decizia este însă luată de operator, având în vedere că operatorul este responsabil din punct de vedere legal cu respectarea Regulamentului. Soluționarea acestor cereri este importantă, întrucât persoanele vizate de prelucrare au dreptul, ulterior, să înainteze o plângere ANSPDCP dacă sunt nemulțumite de soluționarea cererii, ori chiar să se adreseze direct instanței. Regulamentul sancționează încălcarea drepturilor persoanei vizate cu amenzi administrative de până la 20 de milioane de euro sau, în cazul unei întreprinderi, până la 4% din cifra de afaceri globală totală anuală pentru anul precedent, conform articolului 83 alin. (5).
De asemenea, chiar dacă această sarcină nu este expres menționată în articolul 39, este de așteptat ca operatorul să îl desemneze pe responsabilul cu protecția datelor să întocmească și să actualizeze evidența activităților de prelucrare, conform articolului 30.
Cea mai dificilă sarcină însă este cea care impune „monitorizarea respectării” Regulamentului și a altor dispoziții de protecția datelor relevante, precum și monitorizarea funcționării studiilor de impact asupra protecției datelor, acolo unde este cazul. Aceasta va solicita un efort constant, o familiarizare continuă cu detaliile operațiunilor de prelucrare, dar, mai ales, va presupune cunoașterea în profunzime a Regulamentului, a altor dispoziții relevante, a evoluției jurisprudențiale la nivel european, precum și a deciziilor și ghidurilor emise de autoritățile de supraveghere.
Responsabilul cu protecția datelor are statut cvasi-independent în cadrul instituției ori companiei
Regulamentul stabilește în detaliu funcția responsabilului cu protecția datelor, la articolul 38. O obligație semnificativă este ca operatorul de date, fie el public sau privat, să se asigure că responsabilul cu protecția datelor „nu primește niciun fel de instrucțiuni” în ceea ce privește îndeplinirea sarcinilor de serviciu. Mai mult, conform alineatului (3) al articolului 38, „acesta nu este demis sau sancționat de către operator … pentru îndeplinirea sarcinilor sale”. Responsabilul cu protecția datelor „răspunde direct în fața celui mai înalt nivel al conducerii operatorului” (același art. 38 alin. (3)).
Responsabilul cu protecția datelor poate îndeplini și alte sarcini și atribuții pentru operator. Art. 38 alin. (6) precizează însă că operatorul trebuie să se asigure că „niciuna dintre aceste sarcini și atribuții nu generează un conflict de interese”.
În afara conflictelor de interese evidente care ar putea apărea dacă o persoană cu putere de decizie în organizație ar îndeplini și funcția de responsabil cu protecția datelor, astfel de situații pot fi generate, spre exemplu, și dacă un angajat al departamentului de resurse umane ar îndeplini și funcția de responsabil cu protecția datelor, atât timp cât în multe organizații un procent semnificativ al prelucrărilor de date ține de gestionarea informațiilor resurselor umane.
De ce ar trebui ca toți operatorii mari de date din domeniul privat să numească responsabili cu protecția datelor?
Chiar dacă Regulamentul nu prevede ca toți operatorii de date să desemneze un responsabil cu protecția datelor, ține de buna administrare a unei companii angajată în diverse operațiuni de prelucrare a datelor personale să creeze un astfel de rol. Sistemul sancțiunilor impuse de Regulamentul General pentru Protecția Datelor este usturător. Există două categorii de amenzi administrative impuse de Regulament, conform articolului 83.
Prima dintre ele se referă la amenzi de până la 10 milioane de euro sau, în cazul unei întreprinderi, de până la 2% din cifra globală de afaceri anuală corespunzătoare exercițiului financiar anterior – luându-se în calcul cea mai mare valoare dintre cele două. Aceste amenzi pot fi impuse dacă nu sunt respectate regulile cu privire la consimțământul minorilor pentru prelucrarea datelor, la evidențele activităților de prelucrare, la măsurile tehnice și organizatorice pentru asigurarea securității datelor, precum și la desemnarea unui responsabil cu protecția datelor.
A doua categorie se referă la amenzi de până la 20 de milioane de euro sau, în cazul unei întreprinderi, de până la 4% din cifra globală de afaceri anuală corespunzătoare exercițiului financiar anterior – luându-se în calcul cea mai mare valoare dintre cele două. Aceste amenzi pot fi impuse pentru nerespectarea principiilor de bază pentru prelucrare, nerespectarea drepturilor persoanelor vizate, sau nerespectarea obligațiilor cu privire la transferurile transfrontaliere de date.
Spre comparație, actuala lege a protecției datelor din România, Legea nr. 677/2001, prevede amenzi maxime de până la circa 11.000 de euro.
Pe de altă parte, aplicarea sancțiunilor devine o chestiune complexă de cooperare europeană și, în cazurile transfrontaliere, nu va mai ține doar de jurisdicția autorității române de protecția datelor. Aceasta va trebui să coopereze cu toate autoritățile europene de supraveghere ce au un interes într-o anumită cauză. În situația în care acestea nu se vor înțelege cu privire la soluționarea unei cauze, dosarul respectiv este înaintat la nivel european. Regulamentul creează o autoritate europeană nouă – Comitetul European pentru Protecția Datelor, ce are ca principală sarcină „aplicarea coerentă” a Regulamentului, inclusiv prin impunerea unor decizii administrative în cauzele transfrontaliere.
Care sunt următorii pași?
Toate autoritățile publice, precum și companiile vizate de obligația de a desemna un responsabil cu protecția datelor trebuie să prevadă acest rol în organigramă și în bugetele aferente, astfel încât, pe 25 mai 2018, acestea să fie pregătite.
Dincolo de pregătirea din punct de vedere administrativ pentru desemnarea responsabililor cu protecția datelor, operatorii de date ar trebui să înceapă deja să se pregătească pentru acomodarea tuturor celorlalte schimbări semnificative aduse de Regulament.
[1] Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), JO L 119/1 din 4.5.2016.
[2] Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului, JO L 119/89 din 4.5.2016.
