O companie cu peste 300 de angajati trebuie sa numeasca un DPO?

Raspuns: Referitor la numirea unui responsabil pentru protec ia datelor personale, Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice n ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a directivei 95/46/CE (regulamentul general privind protectia datelor) contine si o serie de prevederi referitoare la desemnarea unui responsabil cu protectia datelor (art. 37 39).

Astfel, la art. 37 se prevede ca operatorul si persoana imputernicita de operator desemneaz un responsabil cu protectia datelor ori de cate ori:
(a) prelucrarea este efectuata de o autoritate sau un organism public, cu exceptia instantelor care actioneaza in exercitiul functiei lor jurisdictionale;
(b) activitatile principale ale operatorului sau ale persoanei imputernicite de operator constau in operatiuni de prelucrare care, prin natura, domeniul de aplicare si/sau scopurile lor, necesita o monitorizare periodica si sistematica a persoanelor vizate pe scara larga;
sau
(c) activitatile principale ale operatorului sau ale persoanei imputernicite de operator constau in prelucrarea pe scara larga a unor categorii speciale de date, mentionata la articolul 9 (date privind originea rasiala sau etnica, opiniile politice, confesiunea religioasa sau convingerile filozofice sau apartenenta la sindicate si prelucrarea de date genetice, de date biometrice pentru identificarea unica a unei persoane fizice, de date privind sanatatea sau de date privind viata sexuala sau orientarea sexuala ale unei persoane fizice), sau a unor date cu caracter personal privind condamnari penale si infractiuni, mentionata la articolul 10 (date cu caracter personal referitoare la condamnari penale si infractiuni sau la masuri de securitate conexe).

Apreciem ca societatile de contabilitate care prelucreaza date personale furnizate de clienti nu se incadreaza la lit. (a) si (c), insa exista posibilitatea sa se incadreze la lit. (b).
Conform Regulamentului (considerentul 97 din preambul) in sectorul privat, activitatile principale ale unui operator se refera la activitatile sale de baza, si nu la prelucrarea datelor cu caracter personal drept activitati auxiliare. Or, avand in vedere faptul ca in cazul prezentat este vorba de societati de contabilitate care gestioneaza datele personale ale angajatilor clientilor lor, consideram ca aceasta activitate este o activitate de baza.

Un alt element prevazut la lit.b) care trebuie analizat este cel referitor la efectuarea de operatiuni de prelucrare care, prin natura, domeniul de aplicare si/sau scopurile lor, necesita o monitorizare periodica si sistematica a persoanelor vizate pe scara larga .

Din aceasta perspectiva trebuie sa analizati frecventa/periodicitatea prelucrarilor de date personale efectuate precum si amploarea lor.
Regulamentul nu defineste ce anume constituie prelucrarea pe scara larga, insa la considerentul 91 din preambulul Regulamentului se arata ca operatiunile de prelucrare la scara larga sunt cele care au drept obiectiv prelucrarea unui volum considerabil de date cu caracter personal la nivel regional, national sau supranational, care ar putea afecta un numar mare de persoane vizate si care sunt susceptibile de a genera un risc ridicat, de exemplu, din cauza sensibilitatii lor, in cazul in care, in conformitate cu nivelul atins al cunostintelor tehnologice, se foloseste la scara larga o tehnologie noua, precum si altor operatiuni de prelucrare care genereaza un risc ridicat pentru drepturile si libertatile persoanelor vizate, in special in cazul in care operatiunile respective limiteaza capacitatea persoanelor vizate de a-si exercita drepturile.

Prin urmare trebuie sa analizati daca societatea prelucreaza un volum considerabil de date cu caracter personal la nivel regional, national sau supranational, care ar putea afecta un numar mare de persoane vizate; in cazul societatii dumneavoastra ati mentionat gestionarea datelor personale a peste 300 de salariati si acoperirea geografica a mai multor judete, ceea ce, apreciem noi, reprezinta totusi un volum important de date administrat la nivel regional.

Mentionam si faptul ca Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal, intr-un comunicat ce are ca tema responsabilul cu protectia datelor, precizeaza ca recomand numirea unei astfel de persoane, intrucat este utila operatorului pentru respectarea obligatiilor n domeniul protectiei datelor cu caracter personal.
Avand in vedere cele mentionate mai sus, apreciem ca, in cazul societatii dumneavoastra este necesara si oportuna numirea unui responsabil cu protectia datelor.