Acest site foloseste Cookie-uri, conform noului Regulament de Protectie a Datelor (GDPR), pentru a va asigura cea mai buna experienta online. In esenta, Cookie-urile ne ajuta sa imbunatatim continutul de pe site, oferindu-va dvs., cititorul, o experienta online personalizata si mult mai rapida. Ele sunt folosite doar de site-ul nostru si partenerii nostri de incredere. Click AICI pentru detalii despre politica de Cookie-uri.
Acest site foloseste Cookie-uri, conform noului Regulament de Protectie a Datelor (GDPR), pentru a va asigura cea mai buna experienta online. In esenta, Cookie-urile ne ajuta sa imbunatatim continutul de pe site, oferindu-va dvs., cititorul, o experienta online personalizata si mult mai rapida. Ele sunt folosite doar de site-ul nostru si partenerii nostri de incredere. Click AICI pentru detalii despre politica de Cookie-uri. Sunt de acord cu politica de cookie
X

Autentificare cont

Tine-ma minte

Ati uitat parola? Click aici pentru a recupera user/parola

Nu aveti cont?
X

Recuperare user/parola

Te rugam sa introduci adresa de email pe care ai folosit-o la inregistrarea contului tau.

X

Deblocare automata cont

Te rugam sa introduci adresa de email pe care ai folosit-o la inregistrarea contului tau.

Autentificare Inregistrare cont
Portal actualizat la 3 Martie 2021
Contine toate actele normative din domeniu, actualizate la zi - parteneriat Legis
portalprotectiadatelor.ro Un produs marca Rentrop&Straton

O companie cu peste 300 de angajati trebuie sa numeasca un DPO?

valabil la 24 Mai 2018

Intrebare: O societate de contabilitate si salarizare care presteaza servicii pentru mai multe companii, prelucrand, in total, date personale a peste 300 de angajati in mai multe judete, trebuie sa numeasca DPO?

Raspuns: Referitor la numirea unui responsabil pentru protec ia datelor personale, Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice n ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a directivei 95/46/CE (regulamentul general privind protectia datelor) contine si o serie de prevederi referitoare la desemnarea unui responsabil cu protectia datelor (art. 37 39).

Astfel, la art. 37 se prevede ca operatorul si persoana imputernicita de operator desemneaz un responsabil cu protectia datelor ori de cate ori:
(a) prelucrarea este efectuata de o autoritate sau un organism public, cu exceptia instantelor care actioneaza in exercitiul functiei lor jurisdictionale;
(b) activitatile principale ale operatorului sau ale persoanei imputernicite de operator constau in operatiuni de prelucrare care, prin natura, domeniul de aplicare si/sau scopurile lor, necesita o monitorizare periodica si sistematica a persoanelor vizate pe scara larga;
sau
(c) activitatile principale ale operatorului sau ale persoanei imputernicite de operator constau in prelucrarea pe scara larga a unor categorii speciale de date, mentionata la articolul 9 (date privind originea rasiala sau etnica, opiniile politice, confesiunea religioasa sau convingerile filozofice sau apartenenta la sindicate si prelucrarea de date genetice, de date biometrice pentru identificarea unica a unei persoane fizice, de date privind sanatatea sau de date privind viata sexuala sau orientarea sexuala ale unei persoane fizice), sau a unor date cu caracter personal privind condamnari penale si infractiuni, mentionata la articolul 10 (date cu caracter personal referitoare la condamnari penale si infractiuni sau la masuri de securitate conexe).

Apreciem ca societatile de contabilitate care prelucreaza date personale furnizate de clienti nu se incadreaza la lit. (a) si (c), insa exista posibilitatea sa se incadreze la lit. (b).
Conform Regulamentului (considerentul 97 din preambul) in sectorul privat, activitatile principale ale unui operator se refera la activitatile sale de baza, si nu la prelucrarea datelor cu caracter personal drept activitati auxiliare. Or, avand in vedere faptul ca in cazul prezentat este vorba de societati de contabilitate care gestioneaza datele personale ale angajatilor clientilor lor, consideram ca aceasta activitate este o activitate de baza.

Un alt element prevazut la lit.b) care trebuie analizat este cel referitor la efectuarea de operatiuni de prelucrare care, prin natura, domeniul de aplicare si/sau scopurile lor, necesita o monitorizare periodica si sistematica a persoanelor vizate pe scara larga .

Din aceasta perspectiva trebuie sa analizati frecventa/periodicitatea prelucrarilor de date personale efectuate precum si amploarea lor.
Regulamentul nu defineste ce anume constituie prelucrarea pe scara larga, insa la considerentul 91 din preambulul Regulamentului se arata ca operatiunile de prelucrare la scara larga sunt cele care au drept obiectiv prelucrarea unui volum considerabil de date cu caracter personal la nivel regional, national sau supranational, care ar putea afecta un numar mare de persoane vizate si care sunt susceptibile de a genera un risc ridicat, de exemplu, din cauza sensibilitatii lor, in cazul in care, in conformitate cu nivelul atins al cunostintelor tehnologice, se foloseste la scara larga o tehnologie noua, precum si altor operatiuni de prelucrare care genereaza un risc ridicat pentru drepturile si libertatile persoanelor vizate, in special in cazul in care operatiunile respective limiteaza capacitatea persoanelor vizate de a-si exercita drepturile.

Prin urmare trebuie sa analizati daca societatea prelucreaza un volum considerabil de date cu caracter personal la nivel regional, national sau supranational, care ar putea afecta un numar mare de persoane vizate; in cazul societatii dumneavoastra ati mentionat gestionarea datelor personale a peste 300 de salariati si acoperirea geografica a mai multor judete, ceea ce, apreciem noi, reprezinta totusi un volum important de date administrat la nivel regional.

Mentionam si faptul ca Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal, intr-un comunicat ce are ca tema responsabilul cu protectia datelor, precizeaza ca recomand numirea unei astfel de persoane, intrucat este utila operatorului pentru respectarea obligatiilor n domeniul protectiei datelor cu caracter personal.
Avand in vedere cele mentionate mai sus, apreciem ca, in cazul societatii dumneavoastra este necesara si oportuna numirea unui responsabil cu protectia datelor.

Newsletter portalprotectiadatelor.ro

Ghid practic - Analiza amenzilor GDPR

Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul portalprotectiadatelor.ro si primesti cadou Raportul special "Ghid practic - Analiza amenzilor GDPR"!

Da, doresc sa ma abonez si sa primesc informatii despre produsele, serviciile, evenimentele etc. oferite de Rentrop & Straton. Termeni si conditii de utilizare a site-ului Nota de informare

Articole similare

18Feb2020

Conflict de interese in cazul analistilor de credit

de Andreea COMAN valabil la 18 Feb 2020
12Feb2020

Modalitatea de renuntare la DPO

de Andreea COMAN valabil la 12 Feb 2020
10Feb2020

Inteferenta functie de baza si functie de DPO

de Andreea COMAN valabil la 10 Feb 2020
x