Incalcarea articolulUI 37, din Regulamentul General privind Protectia Datelor, cauzeaza unele dintre cele mai mari amenzi acordate pentru incalcarea unui singur articol.
Pentru a sustine afirmatia anterioara, iata 3 exemple de astfel de amenzi:
- Glovo App a fost amendata cu 25.000€ de catre Autoritatea Spaniola de Supraveghere a Datelor, in luna iunie 2020, pentru nedesemnarea unui Responsabil cu Protectia Datelor (DPO). Acestia intruneau obligativitatea de desemnare a unui DPO deoarece efectuau prelucrari „la scara larga” ca „activitate de baza”.
- O companie belgiana care a desemnat un DPO, a fost amendata cu 50.000€ in luna aprilie 2020, desi a desemnat un Responsabilul cu Protectia Datelor. Cauza a fost conflictul de interese existent, acesta avand deja functia de Sef de conformitate, audit si risc in cadrul organizatiei.
- Anul trecut, in luna august, Autoritatea Austriaca de Supraveghere a Datelor a aplicat o amenda administrativa de 55.000€ (din care 5.000€ costuri procedurale) unui operator din sectorul medical, deoarece acesta nu a desemnat nici un Responsabil cu Protectia Datelor si nici nu a publicat datele de contact sau le-a raportat autoritatii de supraveghere.
Pentru a evita astfel de amenzi trebuie sa respectati cateva aspect foarte importante:
1. Desemnarea unui Responsabil cu Protectia Datelor (DPO)
Exista anumite situatii in care o organizatie este obligata sa desemneze un Responsabil cu Protectia Datelor (DPO), in conformitate cu articolul 37:
a) Cand prelucrarea este efectuata de o autoritate publica sau un organism public, cu exceptia instantelor care actioneaza in exercitiul functiei lor jurisdictionale;
b) Daca activitatile principale (aceasta trebuie analizata prin raportare la prelucrarile de date cu caracter personal efectuate) ale operatorului sau ale persoanei imputernicite de operator constau in operatiuni de prelucrarea care necesita o monitorizare periodica si sistematica (o activitate continua si recurenta, inclusiv in scop de publicitate comportamentala, nefiind insa restrictionata in mediul online) a persoanelor vizate pe scara larga; Exemple de situatii care pot constitui o monitorizare periodica si sistematica: supravegherea video, prelucrarea datelor pacientilor intr-un spital, publicitatea comportamentala, prelucrarea datelor de catre companii de asigurari etc.
c) Daca activitatile principale ale operatorului sau ale persoanei imputernicite de operator constau in prelucrarea pe scara larga (pentru a determnia daca prelucrarea este pe scara larga se tine cont de: numarul persoanelor vizate, volumul datelor si/ sau gama de elemente diferite de date in curs de prelucrare, durata sau permanenta activitatii de prelucrare a datelor si suprafata geografica a activitatii de prelucrare) a unor categorii speciale de date (originea rasiala sau etnica, opiniile politice, confesiunea religioasa sau convingerile filozofice sau apartenenta la sindicate si prelucrarea de date genetice, de date biometrice pentru identificarea unica a unei persoane fizice, de date privind sanatatea sau de date privind viata sexuala sau orientarea sexuala) sau a unor categorii de date cu caracter personal privind condamnari penale si infractiuni.
Daca nu va regasiti in nici unul dintre cazurile de mai sus, asta nu inseamna ca nu aveti libertatea de a desemna un Responsabil cu Protectia Datelor, ci din contra, v-ar fi de ajutor, deoarece acesta ar reprezenta un ‘’dirijor al conformitatii’’ si astfel exista in organizatie o persoana direct responsabila, care se poate dedica indeplinirii conformitatii GDPR si securitatii datelor, actionand ca ‘’un intermediar intre partile interesate relevante (de exemplu autoritatile de supraveghere sau persoanele vizate)’’.
2. Cine poate indeplini functia de Responsabil cu Protectia Datelor?
In conformitate cu articolul 37 alin. 5, Responsabilul Cu Protectia Datelor trebuie sa fie ”desemnat pe baza calitatilor profesionale si, in special, a cunostintelor de specialitate in dreptul si practicile din domeniul protectiei datelor, precum si pe baza capacitatii de a indeplini sarcinile prevazute la articolul 39”.
Acesta poate fi un angajat al organizatiei, poate fi un serviciu externalizat ori o unitate juridica terta, care va asigura implementarea conformitatii GDPR.
In cazul in care Responsabilul cu Protectia Datelor este un angajat intern din cadrul organizatiei, care intruneste si alte sarcini si atributii, principala conditie pentru a putea fi desemnat este sa nu dea nastere unor conflicte de interese (de ex: nu poate fi director general, executiv, operational, financiar; seful serviciului medical; seful departamentului de marketing; seful departamentului de resurse umane sau seful departamentului IT).
3. Declararea Responsabilului cu Protectia Datelor si publicarea datelor de contact
Daca te regasesti in una dintre situatiile prezentate anterior, privind obligativitatea desemnarii unui Responsabil cu Protectia Datelor, trebuie sa comunici desemnarea acestuia catre Autoritatea de Supraveghere a Prelucrarii Datelor cu Caracter Personal, completand formularul online.
Totodata, trebuie sa faci publice datelele de contact ale Responsabilului cu Protectia Datelor (adresa postala, numar de telefon alocat special si/ sau o adresa de e-mail alocata special) intr-un loc accesibil persoanelor vizate (site-ul organizatiei/ in sala de asteptare etc.).
4. Principiul responsabilitatii
Un alt aspect important, asupra caruia se creeaza confuzie, este raspunderea in cazul neconformitatii cu Regulamentul privind Protectia Datelor.
In conformitate cu articolul 5 – Principii legate de prelucrarea datelor cu caracter personal, al. 2: operatorul este responsabil de respectarea conformitatii si trebuie sa poata demonstra aceasta respectare („responsabilitate”).
Astfel ca, in oricare situatie care vizeaza neconformitatea organizatiei privind protectia datelor, operatorul este cel direct raspunzator si nu Responsabilul cu Protectia Datelor.
Totodata, in conformitate articolul 38, aliniatul 2, operatorul si persoana imputernicita de operator trebuie sa sprijine Responsabilul cu Protectia Datelor in indeplinirea sarcinilor mentionate la articolul 39, asigurandu-i resursele necesare pentru executarea acestor sarcini, precum si accesarea datelor cu caracter personal si a operatiunilor de prelucrare, si pentru mentinerea cunostintelor sale de specialitate.
Anterior ti-am prezentat principalele aspecte din sfera Responsabilului cu Protectia Datelor, pe care daca le respecti vei diminua substantial probabilitatea de incalcare a conformitatii cu articolele 37-39 din Regulamentul General privind Protectia Datelor.
Iar pentru ca este responsabilitatea operatorului sa desemneze si sa ii ofere Responsabilului cu Protectia Datelor toate resursele necesare in implementarea conformitatii, noi va venim in ajutor, oferindu-va:
- Curs Online – Responsabil Cu Protectia Datelor Cu Caracter Personal, COD COR 242231, Autorizat ANC;
- Cursuri privind protectia datelor;
- Servicii DPO Externalizat;
- Consultanta specializata;
- … si nu numai;
Daca vrei sa iti oferim informatii prompte si la obiect, intr-o sedinta de consultanta cu unul dintre expertii nostri, in deplina confidentialitate sau crezi ca nu este suficient si ai nevoie de mai multe informatii, vezi ce ti se potriveste accesand link-ul https://gdprexpert.ro/shop/ sau contacteaza-ne la datele de contact pe care le regaseti in sectiunea Contact.
Urmareste-ne si afla noutatile in articolele urmatoare!