În primul rând, partenerii vor trebui să acorde o atenție specială minimizării datelor. Spre pildă, obiceiul inserării în contract a tuturor datelor de identificare a partenerului ar trebui să se schimbe. Cu alte cuvinte, indicarea în contract atât a codului numeric personal (CNP), cât și a seriei și numărului de buletin al partenerului contractual (în cazul în care acesta este o persoană fizică) ar putea ridica probleme de minimizare a datelor, din moment ce ambele atribute au același scop (și anume, identificarea unică a persoanei).

În sens similar, transmiterea unor date cu caracter personal către potențialul partener încă din faza de negociere a contractului (cum ar fi o listă conținând numele și prenumele unor angajați, precum și, eventual, a altor date relative la aceștia – salariu, domiciliu etc.) ar putea fi privită ca fiind excesivă, mai ales atunci când se realizează într-o fază incipientă a negocierilor.

De asemenea, în contextul încheierii contractelor comerciale, partenerii contractuali vor trebui să asigure transparența prelucrării, prin informarea adecvată a persoanelor vizate cu privire la caracteristicile prelucrării. Astfel, în exemplul de mai sus vizând transmiterea listei salariaților, chiar dacă transmiterea datelor s-ar dovedi necesară (respectându-se astfel principiul minimizării datelor), salariații vizați vor trebui, ca regulă, să fie informați cu privire la comunicarea datelor către partenerul destinatar și, eventual, cu privire la modul cum partenerul destinatar va prelucra respectivele date.

Pe de altă parte, ar fi bine să nu se uite faptul că obligația de informare nu este absolută, ci comportă anumite limitări și excepții, în special atunci când datele sunt obținute de la o altă persoană decât persoana vizată (cum ar fi de la celălalt partener contractual). Să spunem că vreau să achiziționez un imobil, iar contractul de vânzare-cumpărare menționează istoricul proprietății, deci inclusiv identitatea proprietarilor anteriori; în acest caz, nu va fi necesară informarea proprietarilor anteriori cu privire la o atare prelucrare, întrucât fie informarea este imposibil de realizat (nu am datele de contact), fie ar implica eforturi disproporționate, devenind astfel incidente prevederile art. 14 alin. (5) din GDPR.

Sigur, va fi crucial ca analiza incidenței excepțiilor să se realizeze în mod corect și obiectiv. Trebuie avute în vedere toate circumstanțele, cum ar fi natura datelor prelucrate, așteptările persoanei vizate, consecințele prelucrării pentru persoana vizată etc. În orice caz, recomand ca aplicabilitatea excepției să fie documentată în mod corespunzător.

Legat de cele de mai sus, aș mai remarca ceva: în ultimul timp, am constatat un anumit „reflex de supra-conformare” cu cerințele GDPR. Simplu spus, efectuarea de diverse acțiuni de conformare cu GDPR atunci când nu e neapărat cazul. Nu de puține ori, aceasta a condus la situații ilare și, pe alocuri, absurde. Am văzut, spre pildă, contracte comerciale nesofisticate, al căror obiect nu implica prelucrări semnificative de date cu caracter personal, având anexate clauze GDPR de informare pe trei pagini. Or, nu cred că este necesară furnizarea tuturor informațiilor la care face referire GDPR atunci când datele sunt obținute direct de la persoana vizată, iar prelucrarea se realizează de o manieră naturală raportat la obiectul contractului, conform așteptărilor pe care le-ar putea avea în mod rezonabil persoana vizată. Am în vedere, de exemplu, prelucrările datelor cu caracter personal ale semnatarilor unui contract (nume, prenume, semnătură, eventual date de contact). În astfel de cazuri, aș putea presupune în mod rezonabil că respectiva persoană cunoștea sau, după caz, trebuia să se aștepte la prelucrarea datelor de maniera respectivă și, prin urmare, ar deveni incidente prevederile GDPR potrivit cu care, atunci când datele sunt obținute direct de la persoana vizată, informarea nu este necesară atunci când respectiva persoană cunoștea respectivele informații. O poziție similară a fost exprimată, de altfel, și de autoritatea competentă din UK (ICO – Information Commissioner’s Office). Prin urmare, revine consultanților GDPR rolul de a calibra efortul de informare cu particularitățile contractului și impactul produs de acesta din perspectiva protecției vieții private, determinând astfel necesitatea realizării informării formale conform GDPR și, dacă e cazul, modul optim de realizare a acesteia.

Materialul a fost publicat pe site-ul Avocatnet https://www.avocatnet.ro/articol_49370/GDPR-Prelucrarea-datelor-in-contracte-si-informarea-persoanelor-fizice-cu-privire-la-aceasta.html 

GDPR stabilește cu relativă precizie situațiile în care organizațiile implicate în prelucrarea de date cu caracter personal sunt obligate să desemneze un DPO (de exemplu, atunci când activitățile principale ale organizației constau în operațiuni de prelucrare care necesită o monitorizare pe scară largă, periodică și sistematică a persoanelor vizate sau a unor categorii speciale de date). În același timp însă, GDPR lasă libertate organizațiilor să stabilească modelul juridic prin care organizațiile aduc alături de ele un astfel de specialist. Cele mai două variante-model sunt contractarea unui consultant extern sau o relație de muncă cu un salariat nou sau existent. Ne vom concentra în cele ce urmează asupra acestei a doua variante care ridică câteva probleme specifice managementului organizațiilor.

Încadrarea DPO într-un departament deja existent

Ca regulă generală, funcția de DPO trebuie reflectată în organigrama societății. Ca atare, ar trebui să existe o decizie a organului societar competent prin care să se actualizeze structura organizatorică internă (fie în sensul că se creează o nouă poziție, fie că se suplimentează atribuțiile unei poziții deja existente, cu cele specifice DPO). În plus, exercițiul funcției de DPO trebuie să fie reglementată în raporturile contractuale cu persoana care va exercita funcția de DPO. Aceasta presupune încheierea unui contract de muncă (care să reglementeze atribuțiile specifice acestei funcției), dacă funcția de DPO va fi ocupată de o persoană nou angajată.

Dacă funcția de DPO va fi ocupată de un angajat existent, societatea va trebui să semneze cu angajatul respectiv un act adițional la contractul de muncă (prin care părțile vor agrea modificarea fișei postului, cu suplimentarea sarcinilor specifice unui DPO, precum și eventualele ajustări privind remunerația cuvenită acestuia). Dacă se modifică doar atribuțiile angajatului existent, părțile vor putea semna doar o fișă a postului actualizată, fără a fi necesară încheierea unui act adițional la contractul de muncă. Desigur, numirea unui DPO din rândul angajaților existenți va putea fi făcută doar cu acordul respectivului angajat (i.e. desemnarea unui DPO nu poate fi făcută printr-o decizie unilaterală a angajatorului).

Evaluarea activității unui DPO

GDPR nu reglementează mecanismele prin care activitatea DPO ar putea fi evaluată. Ca atare, în scopul evaluării activității DPO-ului, ar putea fi implementate măsuri similare celor care sunt, în general, folosite pentru evaluarea activității angajaților. Astfel, recomandăm redactarea unor politici interne clare, care să definească mecanismele de prelucrare a datelor, precum și procesele / măsurile corelative ce trebuie respectate / urmărite. De asemenea, este necesară trasarea clară a sarcinilor și atribuțiilor DPO-ului prin politicile interne și fișa postului sau contractul încheiat cu DPO-ul, care să includă sarcini de raportare periodică către conducerea societății în care a fost desemnat. Nu în ultimul rând, activitatea DPO-ului ar putea fi verificată în contextul auditării prin intermediul unor terți specialiști (consultanți în securitate cibernetică, avocați etc) a activității societății de prelucrare a datelor personale sau al unor controale din partea autorității pentru supravegherea prelucrării datelor cu caracter personal.

Gestionarea conflictelor de interese

Ca principiu, GDPR nu instituie o interdicție generală pentru un DPO de a exercita și altă funcție. Dimpotrivă, GDPR prevede că responsabilul cu protecția datelor poate îndeplini și alte sarcini și atribuții. Cu toate acestea, operatorul sau persoana împuternicită trebuie să se asigure că niciuna dintre aceste sarcini și atribuții nu generează un conflict de interese.

Conflictul de interese este indisolubil legat de cerința independenței DPO. Orice funcții sau sarcini suplimentare încredințate DPO care generează o presiune din zona de business (e.g. puteri de decizie sau chiar de execuție în legătură cu scopurile și mijloacele de prelucrare a datelor), contrară atribuțiilor legale ale DPO sunt surse ale conflictului de interese. Nu există o listă a unor astfel de funcții, ci acestea trebuie determinate de la caz la caz, întrucât structurile organizatorice și procesele decizionale interne variază de la o societate la alta.

În general, se consideră că poate exista un conflict de interese dacă funcția de DPO este ocupată de persoane care au funcții executive (de decizie) cum ar fi: administrator / director general (în cazul acestora, în principiu, apare un conflict de interese general, având în vedere și puterea decizională generală cu privire la activitatea unei societăți), director financiar (acesta are putere de decizie cu privire la aspectele financiare și, prin urmare, ar putea influența decizia de a aproba finanțarea unor / tuturor măsurilor specifice / necesare pentru conformarea cu cerințele stabilite de legislația privind protecția datelor), director de resurse umane (poate să influențeze mecanismele de prelucrare a datelor angajaților, foștilor angajați, sau a potențialilor angajați), directorul de marketing (poate să influențeze mecanismele de prelucrare a datelor clienților în activitatea de marketing).

Conflicte de interese ar putea apărea și în legătură cu poziții care nu implică atribuții de conducere. Un exemplu în acest sens ar putea fi consilierul juridic desemnat drept DPO care, totodată, ar fi autorizat să reprezinte societatea într-un litigiu privind legalitatea prelucrării datelor cu caracter personal. Similar, un manager IT care cumulează și poziția de DPO s-ar putea afla într-o poziție de conflict de interese întrucât acesta este răspunzător pentru calitatea măsurilor tehnice (de securitate IT) de conformare cu cerințele GDPR.