Responsabilul pentru Protecția Datelor cu Caracter Personal

Responsabilul pentru Protecția Datelor cu Caracter Personal

În conformitate cu Regulamentul general privind protecția datelor (în continuare “RGPD”), care se aplică începând cu data 25 mai 2018, responsabilul pentru protecția datelor (în continuare “RPD”) este persoana care deține cunostințe de specialitate în materie de legislație și practici privind protecția datelor personale și care ar trebui să acorde asistența operatorului sau persoanei împuternicite de operator pentru monitorizarea conformității, la nivel intern, cu prevederile RGPD[1]. Acesta poate fi membru al personalului operatorului sau persoanei împuternicite de operator sau poate să își îndeplinească sarcinile în baza unui contract de servicii externe[2].

Tot Regulamentul stabilește și situațiile în care numirea unui RPD devine obligatorie, mai exact:

• În cazul în care prelucrarea este efectuată de către o autoritate sau un organism public (indiferent de datele care sunt prelucrate);
• În cazul în care activitățile principale ale operatorului sau ale persoanei împuternicite de către operator constau în operațiuni de prelucrare care necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă;
• În cazul în care activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date sau a unor date cu caracter personal privind condamnări penale și infracțiuni.

Referitor la aceste situații, Grupul de lucru pentru protecția datelor în temeiul articolului 29[3] (în continuare “GL29”) recomandă ca, în afara cazului în care este evident ca o organizație nu este obligată să numească un RPD, operatorii și persoanele împuternicite de către operatori să documenteze analiza internă efectuată pentru a stabili dacă va fi numit un RPD, pentru a putea demonstra că au fost luați în considerare factorii relevanți în mod corespunzător[4].

Însă, atunci când o organizație numește un RPD în mod voluntar, se vor aplica aceleași cerințe prevăzute de art. 37 și 39 din RGPD referitoare la numirea obligatorie și stabilirea funcției și a sarcinilor RPD.

Având în vedere că s-a permis expres ca dreptul Uniunii sau dreptul intern al fiecărui stat membru să impuna numirea RPD și în alte situații exprese[5], legiuitorul român a adoptat recent Legea 190/2018 privind măsuri de punere în aplicare a RGPD[6], prin care a stabilit obligativitatea numirii unui RPD și în situația în care operatorul sau persoana împuternicită de operator prelucrează un număr de identificare național[7], inclusiv prin colectarea sau dezvăluirea documentelor ce îl conțin, în scopul realizării intereselor legitime ale operatorului sau ale unei terțe părți.

Sunt exceptate de la această obligație partidele politice, organizațiile cetățenilor aparținând minorităților naționale și organizațiile neguvernamentale care prelucrează date cu caracter personal și special în vederea realizării obiectivelor proprii, chiar și fără consimțământul expres al persoanei vizate[8]. Cu toate acestea, rămân aplicabile cele 3 situații mentionate expres de RGPD pentru desemnarea unui RPD, care trebuie avute în vedere de orice operator sau persoană împuternicită de operator în situația în care prelucrează date cu caracter personal sau date speciale.

Criterii de numire a responsabilului cu protecția datelor                                      

Articolul 37 alin. 2 din RGPD permite numirea unui RPD unic de către un grup de întreprinderi, cu condiția că acesta să fie ușor accesibil din fiecare întreprindere. GL29 stabilește că noțiunea de “accesibilitate” se referă la sarcinile RPD că punct de contact privind persoanele vizate, autoritatea de supraveghere, dar și la nivel intern în cadrul organizației, având în vedere că una dintre sarcinile RPD este informarea și consilierea operatorului sau a persoanei împuternicite de operator, precum și a angajaților care se ocupă de prelucrare cu privire la obligațiile care le revin în temeiul RGPD.

Aceeași este situația și în cazul în care operatorul sau persoana împuternicită de operator este o autoritate publică sau un organism public, RPD putând fi unic pentru mai multe entități de această natură, în funcție de structura organizatorică și dimensiunea acestora[9].

În ceea ce privește accesibilitatea RPD, aceasta ar trebui sa fie una efectivă, GL29 recomandând ca RPD să se afle pe teritoriul Uniunii Europene, indiferent dacă operatorul sau persoana împuternicită de operator este stabilit în Uniune. Accesibilitatea se va realiza inclusiv prin publicarea datelor de contact ale RPD și comunicarea acestora către autoritatea de suprveghere, în conformitate cu art. 37 alin. 7 din RGPD.

Cu toate acestea, nu se poate exclude situația în care, în cazul unui operator sau persoană împuternicita de operator care nu are sediu în Uniunea Europeană, activitatea unui RPD să fie desfășurată într-un mod mai eficient dacă se află în afara Uniunii[10].

Cu privire la expertiza și competențele RPD, art. 37 alin. (5) din RGPD prevede faptul că acesta va fi desemnat pe baza calităților sale profesionale, în particular a cunostințelor de specialitate în dreptul și domeniul protecției datelor personale, precum și pe baza capacității de a îndeplini sarcinile prevazute la art. 39 din Regulament. Considerentul 97 clarifică faptul că nivelul necesar al cunostințelor de specialitate ar trebui să fie stabilit în funcție de operațiunile de prelucrare a datelor efectuate și de nivelul de protecție impus pentru datele cu caracter personal prelucrate de operator sau de persoana împuternicită de operator.

În privința nivelului de expertiză necesar pentru numirea unui RPD, GL29 recomandă ca, în cazul în care o activitate de prelucrare a datelor este deosebit de complexă sau în cazul în care este vorba despre un volum mare de date sensibile, acestuia să îi fie asigurat un nivel mai ridicat de specializare și de sprijin.

În privința calităților sale profesionale, GL29 stabilește că este utilă cunoașterea domeniului de activitate și a organizației operatorului de către RPD, precum și întelegerea operațiunilor de prelucrare desfășurate și a sistemelor informatice ale operatorului, împreună cu cerințele acestuia legate de securitatea și protecția datelor personale. În cazul unei autorități sau al unui organism public, RPD ar trebui să aibă cunostințe bune despre regulile și procedurile administrative ale organizației.

În conformitate cu art. 37 alin.(6) din Regulament, funcția de RPD poate fi îndeplinită inclusiv de o persoană fizică sau o organizație din afara operatorului sau a persoanei împuternicită de operator, în baza unui contract de prestări servicii. Într-o atare situație, GL29 recomandă ca fiecare membru al organizației care îndeplinește funcțiile unui RPD să respecte toate cerințele aplicabile RPD regăsite în art. 37-39 din Regulament (de exemplu, este esențial ca niciunul să nu se afle într-o situație de conflict de interese), precum și să beneficieze de protecția conferită de Regulament (de exemplu, să nu existe o reziliere abuzivă a contractului de servicii pentru activități desfășurate în calitate de RPD și nici concedierea abuzivă a vreunuia din membrii organizației care îndeplinește sarcinile unui RPD).

Funcția responsabilului cu protecția datelor

Articolul 38 alin. 1 din RGPD prevede că operatorul și persoana împuternicită de către operator se asigură de faptul că RPD este implicat în mod corespunzător și în timp util în toate aspectele legate de protecția datelor cu caracter personal.

Aceasta presupune ca RPD sau echipa acestuia să se implice într-un stadiu incipient, pe cât posibil, în toate aspectele legate de protecția datelor[11]. GL29 recomandă ca operatorul sau persoana împuternicită de operator să se asigure că:

• RPD este invitat să participe în mod regulat la reuniunile de la nivelul personalului de conducere de nivel superior și mediu;
• Prezența RPD este recomandată în cazul în care se iau decizii cu implicații asupra protecției datelor, iar toate informațiile relevante i-au fost transmise în timp util, pentru a-i permite să ofere îndrumări corespunzătoare;
• Este acordată întotdeauna importanța cuvenită unui aviz al RPD, iar în cazul în care există dezacord din partea organizației, motivele pentru care nu se ține cont de avizul RPD să fie documentate;
• RPD trebuie să fie consultat imediat după producerea unei încălcări a securității datelor sau apariția unui alt incident.

În ceea ce privește resursele necesare pentru executarea sarcinilor specifice RPD, art. 38 alin. 2 din Regulament impune operatorului sau persoanei împuternicite de operator să îl susțină, prin asigurarea resurselor necesare pentru executarea acestor sarcini, precum și accesarea datelor cu caracter personal și a operațiunilor de prelucrare, și pentru menținerea cunostințelor de specialitate.

În acest scop, GL29 recomandă luarea în considerare a următoarelor elemente:

• Acordarea de sprijin activ funcției RPD din partea personalului de conducere la nivel superior (cum ar fi nivelul consiliului de administrație);
• Alocarea unei perioade de timp suficiente pentru îndeplinirea sarcinilor specifice RPD (în cazul în care este numit un RPD la nivel intern cu fracțiune de normă sau un RPD extern care asigură și alte servicii);
• Acordarea de sprijin corespunzător în ceea ce privește resursele financiare, infrastructura (spații, facilități, echipamente) și personal, după caz;
• Comunicarea oficială a numirii RPD către întregul personal pentru a asigura cunoașterea existenței și a funcției acestuia în cadrul organizației;
• Asigurarea accesului necesar la alte departamente interne (resurse umane, juridic, IT, pază s.a) pentru ca RPD să poată primi sprijin, date și informații esențiale din partea acestor departamente;
• Formarea continuă a RPD pentru a i se oferi posibilitatea de a rămâne la curent cu privire la evoluțiile din domeniul protecției datelor;
• Necesitatea constituirii unei echipe a RPD, în raport de dimensiunea și structura organizației, situație în care trebuie reglementată structura internă a echipei, precum și sarcinile și responsabilitățile fiecăruia dintre membrii echipei.

Regulamentul stabilește totodată și anumite garanții de bază pentru a obține certitudinea că RPD are capacitatea de a-și îndeplini sarcinile cu un grad suficient de autonomie în cadrul organizației respective. În mod specific, operatorii sau persoanele împuternicite de operatori trebuie să se asigure că RPD nu primește niciun fel de instrucțiuni în ceea ce privește îndeplinirea sarcinilor sale[12], iar considerentul 97 din Regulament adaugă faptul că RPD trebuie să fie în măsură să își îndeplinească atribuțiile și sarcinile în mod independent, indiferent dacă este sau nu angajat al operatorului.

GL29 aduce clarificări asupra acestui aspect, menționând faptul că RPD nu trebuie să primească instrucțiuni privind modul de abordare a unei probleme (ex. ce rezultat ar trebui obținut, cum se examinează o plângere sau dacă trebuie consultată autoritatea de supraveghere) și nici nu trebuie să primească instrucțiuni pentru a adopta un anumit punct de vedere cu privire la un aspect legat de legislația privind protecția datelor personale (ex. oferirea unei anumite interpretări a legii).

Cu toate acestea, RGPD prevede în mod expres[13] ca responsabilitatea de a asigura conformitatea cu legislația în domeniul protecției datelor personale revine operatorului și persoanei împuternicite de operator, fiind necesar ca aceștia să poată demonstra această conformitate. Prin urmare, rolul RPD nu este de a prelua parțial sau integral această responsabilitate, ci de a se asigura că oferă sfaturile necesare pentru ca operatorul sau persoana împuternicită de operator se va conforma corespunzător cu obligațiile impuse de Regulament.

O altă garanție instituită de Regulament este cea privind interzicerea demiterii sau sancționării de către operator sau persoana împuternicită de operator pentru îndeplinirea sarcinilor specifice RPD. În viziunea GL29, această garanție consolidează autonomia RPD și asigură faptul că aceștia vor acționa în mod independent și vor beneficia de o protecție suficientă pentru îndeplinirea sarcinilor legate de protecția datelor personale.

Nu în ultimul rând, Regulamentul[14] dă dreptul RPD de a îndeplini și alte sarcini și atribuții, cu singura condiție ca operatorul sau persoana împuternicită de operator să se asigure că niciuna dintre aceste sarcini sau atribuții suplimentare să nu genereze un conflict de interese.

În interpretarea dată de GL29, lipsa conflictului de interese presupune, în mod specific, faptul că RPD nu ar putea deține o funcție în cadrul organizaței care l-a desemnat ca RPD, prin care să stabilească scopurile și mijloacele de prelucrare a datelor cu caracter personal, într-o atare situație nemaiputând să-și exercite atribuțiile în mod obiectiv și independent de respectiva organizație.

În această privință, GL29 recomandă, ca bune practici pentru operatori sau persoanele împuternicite de căătre operatori:

• Identificarea de funcții care să fie incompatibile cu funcția RPD;
• Elaborarea de norme interne în acest sens pentru a se evita conflictele de interese;
• Includerea unei explicații mai generale cu privire la conflictele de interese;
• Declararea faptului că RPD din cadrul organizației lor nu are niciun conflict de interese în ceea ce privește funcția sa de RPD, ca mijloc de sensibilizare cu privire la această cerință;
• Includerea de garanții în normele interne ale organizației și asigurarea faptului că anunțul de post vacant pentru postul de RPD sau contractul de prestări servicii este suficient de precis și de detaliat pentru a evita un conflict de interese.

Sarcinile responsabilului cu protecția datelor

Sarcinile unui RPD sunt detaliate de Regulament la art. 39, fără însă a fi limitate la acestea, respectiv:

• Informarea și consilierea operatorului sau a persoanei împuternicite de operator, precum și a angajaților care se ocupă de prelucrare cu privire la obligațiile care le revin în temeiul RGPD și al altor dispoziții de drept al Uniunii sau drept intern referitoare la protecția datelor;
• Monitorizarea respectării RGPD, a altor dispoziții de drept al Uniunii sau de drept intern referitoare la protecția datelor și a politicilor operatorului sau ale persoanei împuternicite de operator în ceea ce privește protecția datelor cu caracter personal, inclusiv alocarea responsabilităților și actiunile de sensibilizare și de formare a personalului implicat în operațiunile de prelucrare, precum și auditurile aferente;
• Furnizarea de consiliere la cerere în ceea ce privește evaluarea impactului asupra protecției datelor și monitorizarea funcționării acesteia, în conformitate cu art. 35 din RGPD;
• Cooperarea cu autoritatea de supraveghere;
• Asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare, inclusiv consultarea prealabilă menționata la art. 36, precum și, dacă este cazul, consultarea cu privire la orice altă chestiune.

În ceea ce privește monitorizarea conformității cu RGPD, GL29 a stabilit ca astfel de sarcini ar putea include colectarea informațiilor pentru identificarea activităților de prelucrare, analiza și verificarea conformității activităților de prelucrare, precum și informarea, îndrumarea și emiterea de recomandări pentru operator sau persoana împuternicită de operator.

Referitor la consilierea în privința evaluării impactului asupra protecției datelor, GL29 recomandă operatorului să solicite avizul RPD cel puțin cu privire la următoarele aspecte:

• Dacă sa efectueze o astfel de evaluare;
• Ce metodologie să urmeze atunci când efectuează o astfel de evaluare;
• Dacă să efectueze evaluarea la nivel intern sau să o externalizeze;
• Ce garanții (inclusiv măsuri tehnice și organizaționale) să aplice pentru a atenua eventualele riscuri asupra drepturilor și a intereselor persoanelor vizate;
• Dacă evaluarea a fost corect efectuată și dacă s-a ajuns la concluzii care să fie conforme cu cerințele privind protecția datelor.

În cazul în care operatorul nu este de acord cu avizul dat de RPD în astfel de situații, este recomandat ca în documentația referitoare la evaluarea impactului să se motiveze de ce nu s-a ținut cont de aviz.

În ceea ce privește cooperarea cu autoritatea de supraveghere și asumarea rolului de punct de contact, GL29 a stabilit ca RPD acționează ca punct de contact pentru a facilita accesul autorității de supraveghere la documentele și informațiile necesare pentru îndeplinirea sarcinilor specifice autorității, precum și pentru exercitarea competențelor sale de investigare, de remediere sau de autorizare și avizare menționate la art. 58 din Regulament.

Nu în ultimul rând, art. 39 alin. 2 din Regulament prevede ca RPD, în îndeplinirea sarcinilor sale, ține seama în mod corespunzător de riscul asociat operatiunilor de prelucrare, luând în considerare natura, domeniul de aplicare, contextul și scopurile prelucrării.

Sub acest aspect, GL29 a concluzionat că se impune ca RPD să stabilească prioritatea activităților sale și să își concentreze eforturile asupra aspectelor care prezintă riscuri mai mari pentru protecția datelor, fără însă a neglija monitorizarea conformității operatiunilor de prelucrare a datelor care prezintă un nivel al riscurilor mai scăzut.

[1] Considerentul 97 din RGPD

[2] Art. 37 (6) din RGPD

[3] Instituit prin Directiva 95/46/CE a Parlamentului European si a Consiliului din 24 octombrie 1995

[4] GL 29 – Orientari privind responsabilii cu protectia datelor, forma revizuita si adoptata la 5 aprilie 2017

[5] Art. 37 (4) din RGPD

[6] In vigoare incepand cu data de 31 august 2018

[7] Conform art. 2 (1) lit. b, numarul de identificare national este numarul prin care se identifica o persoana fizica in anumite sisteme de evidenta si care are aplicabilitate generala, cum ar fi: codul numeric personal (CNP), seria si numarul actului de identitate, numarul pasaportului, al permisului de conducere, numarul de asigurare sociala de sanatate.

[8] Art. 9 (2) din Legea 190/2018 face trimitere doar la respectarea garantiilor corespunzatoare mentionate la art. 9 alin. (1), printre care nu se regaseste si desemnarea unui RPD

[9] Art. 37 (3) din RGPD

[10] Idem 4

[11] Idem 4

[12] Art. 38 alin. 3 din RGPD

[13] Art. 5 alin. 2 din RGPD

[14] Art. 38 alin. 6 din RGPD