În sistemul Directivei 95/46/CE privind protecția datelor cu caracter personal, Statele Membre puteau opta ca, la nivel național, controlul prelucrărilor de date să fie realizat fie (a) în baza notificărilor prealabile cu privire la prelucrarea datelor (Sistemul Notificărilor); fie (b) de către persoane specializate și independente numite de către operatori și, după caz, de către persoanele împuternicite – așa-numiții ofițeri de conformitate (DPO) (Sistemul DPO). Unele State Membre (cum ar fi Germania) au adoptat Sistemul DPO, în timp ce altele (inclusiv România) au apelat la Sistemul Notificărilor.
Regulamentul UE 2016/679 instituie o schimbare de paradigmă, în sensul în care, pe de o parte, elimină în mod absolut Sistemul Notificărilor, iar pe de altă parte impune numirea unui DPO pentru anumite situații.
Termenul limită de numire a DPO este 28 mai 2018.
Când este obligatorie numirea unui DPO?
Potrivit Regulamentului UE 2016/679, operatorul și, după caz, persoana împuternicită vor trebui să desemneze un DPO în următoarele situații:
1. În cazul prelucrărilor de date cu caracter personal efectuate de autoritățile sau instituțiile publice (exceptând instanțele care acționează în exercitarea funcției lor jurisdicționale).
Grupul de Lucru Art. 29 a opinat că, în această categorie, intră și orice altă entitate publică sau chiar privată care desfășoară activități de interes public ce implică prelucrări de date (e.g. servicii de transport public, furnizori de utilități, servicii de televiziune publice etc.).
2. În cazul prelucrărilor de date efectuate de operatori/persoane împuternicite ca activitate principală și care, prin natura, scopul și/sau sfera de aplicare, presupun o monitorizare pe scară largă, periodică și sistematică, a persoanelor vizate.
Potrivit Grupului de Lucru Art. 29, ca regulă „activitatea principală” presupune că obiectul principal de activitate al operatorului se referă la prelucrări de date cu caracter personal. Totuși, Grupul de Lucru Art. 29 a arătat că vorbim de „activitate principală” și atunci când, deși nu constituie obiectul principal de activitate al operatorului, prelucrarea este esențială pentru materializarea acestuia. Spre exemplu, cazul unei societăți de pază care asigură securitatea unor spații publice prin supraveghere video – caz în care deși activitatea principală constă în asigurarea securității, ea nu se poate realiza fără prelucrarea datelor cu caracter personal.
Noțiunea de monitorizare periodică și sistematică pe scară largă vizează orice formă de urmărire/creare de profiluri realizată prin intermediul internetului și care are ca subiecți un număr extins de persoane, respectiv de date cu caracter personal (noțiunea de scară largă putând de asemenea viza și regiunea geografică vizată, durata prelucrării ori alte asemenea criterii).
3. În cazul prelucrărilor de date cu caracter special efectuate de operatori/persoane împuternicite pe scară largă și cu titlu de activitate principală
Datele cu caracter special se referă la date precum: originea rasială sau etnică; opiniile politice, confesiunea religioasă, convingerile filozofice sau apartenența la sindicate; date genetice, date biometrice, date privind sănătatea sau viața/orientarea sexuală; date referitoare la condamnări penale și infracțiuni sau la măsuri de securitate conexe.
De notat, Regulamentul UE 2016/679 permite Statelor Membre să stabilească și alte cazuri când numirea unui DPO este obligatorie; de asemenea, atare cazuri ar putea fi stabilite și direct la nivelul UE (de ex., de Comisia Europeană). La data prezentului articol nu am identificat astfel de cazuri adiționale când numirea unui DPO este obligatorie.
Cine poate fi numit DPO?
Regulamentul UE 2016/679 trasează o serie de linii directoare în ceea ce privește numirea DPO, anume:
- DPO va putea fi numit fie dintre angajații entității (i.e. în baza unui contract de muncă), fie dintre persoanele din afara organizației (i.e. în baza unui contract de prestări servicii).
- DPO va trebui să dețină cunoștințe de specialitate (i.e. legislație și practică) în materia protecției datelor cu caracter personal, de natură să permită îndeplinirea funcțiilor specifice DPO.
- Indiferent de calitatea sa (i.e. angajat sau terț de organizație), DPO va trebui să fie independent. În acest sens, Regulamentul UE 2016/679 prevede o serie de garanții privind independența DPO, anume (a) DPO nu poate primi instrucțiuni cu privire la atribuțiile sale specifice (inclusiv atunci când DPO are calitatea de salariat); (b) DPO raportează direct către top management; (c) DPO nu poate fi demis și nici sancționat pentru motive ce țin de îndeplinirea atribuțiilor sale. Referitor la acest ultim punct, rămâne de văzut cum va fi aplicat în practică; considerăm totuși că DPO va putea fi revocat cel puțin atunci când se dovedește neîndeplinirea defectuoasă a atribuțiilor sale.
- Teoretic, DPO va putea îndeplini și alte atribuții în cadrul organizației; totuși, în acest caz operatorul/persoana împuternicită va trebui să se asigure că un atare cumul de responsabilități nu generează un conflict de interese (e.g. DPO nu va putea avea atribuții legate de implementarea de diverse proiecte ce implică prelucrări de date cu caracter personal).
Notăm că Regulamentul UE 2016/679 permite numirea aceluiași DPO la nivelul entităților aparținând aceluiași grup; singura cerință este ca, în acest caz, DPO să fie în măsură să își exercite atribuțiile de o manieră efectivă și corespunzătoare.
Se ridică totuși întrebarea în ce măsură același DPO ar putea fi desemnat (a) de către un operator și împuternicitul acestuia, respectiv (b) de către entități care nu aparțin aceluiași grup. Fără a exclude la nivel de principiu o atare posibilitate, considerăm că numirea unui DPO comun va trebui analizată de la caz la caz, prin raportare la toți factorii relevanți (e.g. relațiile dintre entitățile respective, atribuțiile efective ale DPO la nivelul acestora, inclusiv cele suplimentare funcției de DPO etc.).
Sancțiuni
Nerespectarea regulilor privind numirea DPO (inclusiv omisiunea de desemnare a unui DPO, atunci când aceasta este obligatorie) va putea fi sancționată cu amendă contravențională de până la 10.000.000 euro sau, în cazul unei întreprinderi, de până la 2% din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându-se în calcul cea mai mare valoare dintre cele două.
În loc de concluzii:
- Deși termenul-limită de numire a DPO este 28 mai 2018, ar fi prudent și recomandabil ca entitățile vizate să inițieze din timp procedurile în acest sens, pentru a nu intra în criză de timp privind identificarea unui DPO eligibil.
- Situațiile în care numirea unui DPO este obligatorie sunt reglementate expres de Regulamentul UE 2016/679. Totuși, Statele Membre/Comisia Europeană pot stabili și alte cazuri când numirea DPO este obligatorie. Până la acest moment, nu avem cunoștință de astfel de decizii.
- Regulamentul UE 2016/679 instituie un regim sancționator extrem de drastic pentru nerespectarea regulilor privind desemnarea DPO (amendă contravențională de până la 10.000.000 euro sau, în cazul unei întreprinderi, de până la 2% din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior).