Imagine Alin Nemut

Website-ul realizat fără o strategie se numește "poezie".

Website-ul realizat cu strategia potrivită se numește AFACERE.

Ce organizații trebuie să numească un responsabil cu protecția datelor (DPO)?

Obligativitatea de a numi un responsabil cu protecția datelor (DPO) apare atunci când:

  1. prelucrarea este efectuată de o autoritatea publică sau un organism public (indiferent de datele prelucrate);
  2. activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă;
  3. activitățile principale ale operatorulu sau persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date personale privind condamnările penale și infracțiuni.

Sursa: Art. 37(1) din RGPD 

Ce înseamnă „activitate principală”?

Activitățile principale” pot fi considerate ca operațiuni cheie necesare pentru îndeplinirea obiectivelor operatorului sau persoanei împuternicite de operator.

Acestea includ, de asemenea, toate activitățile în care prelucrarea de date reprezintă o parte indisolubilă a activității operatorului sau persoanei împuternicite de operator.

De exemplu, prelucrarea datelor privind starea de sănătate, cum ar fi dosarele medicale ale pacientului ar trebui să fie considerată a fi una dintre activitățile principale în orice spital și, prin urmare, spitalele trebuie să desemneze un DPO.


Pe de altă parte, toate organizații efectuează anumite activități, spre exemplu, plata angajaților lor sau deținerea de activități standard de suport IT.

Acestea sunt exemple de funcții de sprijin necesare pentru activitatea de bază sau principală a organizației.

Chiar dacă aceste activități sunt necesare sau esențiale, acestea sunt de obicei considerate mai degrabă funcții auxiliare decât activitate principală

Sursa: Art. 37(1)b) și c) din RGPD

Ce înseamnă „pe scară largă”?

RGPD nu definește ce constituie prelucarea pe scară largă. WP29 recomandă ca următorii factori să fie luați în considerare atunci când se stabilește dacă prelucarea este efectuată pe o scară largă:

  • numărul persoanelor vizate – ori un număr exact ori un procent din populația relevantă
  • volumul datelor și/sau gama de elemente diferite de date în curs de prelucrare
  • durata sau permanența activității de prelucrare a datelor
  • suprafața geografică a activității de prelucrare

Exemple de prelucrări pe scară largă includ:

  • prelucrarea datelor pacienților în activitatea regulată a unui spital
  • prelucrarea datelor de călătorie a unei persoane fizice ce utilizează sistemul de transport public (spre exemplu urmărire cu ajutorul cardurilor de călătorie)
  • prelucrarea în timp real a datelor de geolocalizare a clienților unei rețele internaționale de fast food în scopuri statistice de către o persoană împuternicită de operator specializată în furnizarea serviciilor de acest tip
  • prelucrarea datelor clienților în activitatea regulată a unei companii de asigurări sau a unei bănci
  • prelucrarea datelor personale de către un motor de căutare în scop de publicitate comportamentală
  • prelucrarea datelor (conținut, trafic, localizare) de către furnizorii de telefonie sau servicii de
    Internet

Exemple ce nu constituie de prelucrări pe scară largă includ:

  • prelucrarea datelor pacientului de către un medic individual
  • prelucrarea datelor personale referitoare la condamnările penale și infracțiuni de către un
    avocat individual

Sursa: Art. 37(1)b) și c) din RGPD

Ce înseamnă „monitorizare periodică și sistematică”?

Noțiunea de monitorizare periodică și sistematică nu este definită în RGPD, dar include în mod clar toate formele de urmărire și profilarea pe Internet, inclusiv în scop de publicitate comportamentală. Cu
toate acestea, noțiunea de monitorizare nu este restrictionată în mediul online.

Exemple de activități care pot constitui o monitorizare periodică și sistematică a persoanelor vizate:

  • operarea unei rețele de telecomunicații; furnizarea de servicii de telecomunicații;
  • e-mail de direcționare repetată;
  • activități de marketing bazate pe date;
  • profilare și scoring în scopul evaluării riscurilor (de exemplu, în scopul de credit scoring, stabilirea primelor de asigurare, de prevenire a
    fraudelor, detectarea spălării banilor);
  • urmărirea locației, spre exemplu, prin aplicații mobile;
  • programe de loialitate;
  • publicitate comportamentală;
  • monitorizarea wellness, fitness și a datelor de sănătate prin intermediul dispozitivelor portabile;
  • televiziune cu circuit închis;
  • dispozitive conectate spre exemplu, contoare inteligente, mașini inteligente, automatizare acasă, etc.

WP29 interpretează „periodic” ca însemnând una sau mai multe din următoarele:

  • în curs de desfășurare sau care apare la anumite intervale într-o anumită perioadă
  • recurente sau repetate la perioade fixe
  • constante sau care au loc periodic


WP29 interpretează „sistematic” ca însemnând una sau mai multe din următoarele:

  • apărut conform sistemului
  • prearanjat, organizat sau metodic
  • luând loc ca parte a unui plan general de colectare a datelor
  • efectuat ca parte a unei strategii

Sursa: Art.37(1)b) din RGPD