În conformitate cu prevederile art. 35 alin. (4) din Regulamentul general privind protecţia datelor, care stipulează că autoritatea de supraveghere este cea care întocmeşte și publică o listă a tipurilor de operaţiuni de prelucrare care fac obiectul cerinţei de efectuare a unei evaluări a impactului asupra protecţiei datelor, a fost emisă de către ANSPDCP Decizia nr. 174/2018, publicată în Monitorul Oficial al României nr. 919 din data de 31 octombrie 2018, Partea I, intrând în vigoare la data publicării.
Pe lângă nominalizarea operațiunilor efective pentru care este necesară această evaluare de impact, Decizia nr. 174/2018 aduce o serie de precizări importante, care se regăsesc sub o formă sau alta și în cuprinsul Regulamentului (UE) 679/2016.
De exemplu, în cazul în care o evaluare a impactului asupra protecţiei datelor arată că operaţiunile de prelucrare implică un risc ridicat, pe care operatorul nu îl poate atenua prin măsuri adecvate sub aspectul tehnologiei disponibile şi al costurilor implementării, ar trebui să aibă loc o consultare a autorităţii de supraveghere, anterior oricărei operațiuni de prelucrare.
În cuprinsul Deciziei nr. 174/2018 se menționează și faptul că ”obligaţia generală de a notifica prelucrarea datelor cu caracter personal autorităţilor de supraveghere nu a contribuit întotdeauna la îmbunătăţirea protecţiei datelor cu caracter personal”.
Prin urmare, prin abrogarea Directivei 95/46/CE (începând cu data de 25 mai 2018) operatorii nu mai au obligația notificării prelucrărilor de date. Această obligație a fost înlocuită cu alte mecanisme eficiente, inclusiv cu obligația de a efectua evaluarea impactului asupra protecției datelor cu caracter personal în cazurile specifice. Acesta este și motivul pentru care pe site-ul oficial al ANSPDCP există clarificări exprese privind eliminarea obligației operatorilor de a notifica prelucrările de date efectuate.
În mod general, evaluarea impactului asupra protecţiei datelor cu caracter personal, cunoscută și sub numele de DPIA sau EIPD, este necesară ori de câte ori prelucrarea de date cu caracter personal este susceptibilă de a genera un risc ridicat pentru drepturile și libertățile persoanelor fizice. Astfel, DPIA/EIPD este necesară cel puțin în următoarele cazuri:
- prelucrarea vizează o evaluare sistematică și cuprinzătoare a aspectelor personale referitoare la o persoană fizică, inclusiv crearea de profiluri;
- prelucrarea pe scară largă a unor date sensibile;
- monitorizarea sistematică pe scară largă a unor zone accesibile publicului.
Operatorii ar trebui să efectueze, înainte de prelucrarea propriu-zisă, o evaluare a impactului asupra protecţiei datelor, în scopul evaluării următoarelor elemente:
– gradul specific de probabilitate a materializării riscului ridicat;
– gravitatea riscului, având în vedere natura, domeniul de aplicare, contextul şi scopurile prelucrării;
– sursele riscului.
În mod special, evaluarea impactului asupra protecţiei datelor cu caracter personal de către operatori este obligatorie în următoarele cazuri:
a) prelucrarea datelor cu caracter personal în vederea realizării unei evaluări sistematice şi cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, şi care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă;
b) prelucrarea pe scară largă a datelor cu caracter personal privind originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenenţa la sindicate, a datelor genetice, a datelor biometrice pentru identificarea unică a unei persoane fizice, a datelor privind sănătatea, viaţa sexuală sau orientarea sexuală ale unei persoane fizice sau a datelor cu caracter personal referitoare la condamnări penale şi infracţiuni;
c) prelucrarea datelor cu caracter personal având ca scop monitorizarea sistematică pe scară largă a unei zone accesibile publicului, cum ar fi supravegherea video în centre comerciale, stadioane, pieţe, parcuri sau alte asemenea spaţii;
d) prelucrarea pe scară largă a datelor cu caracter personal ale persoanelor vulnerabile, în special ale minorilor şi ale angajaţilor, prin mijloace automate de monitorizare şi/sau înregistrare sistematică a comportamentului, inclusiv în vederea desfăşurării activităţilor de reclamă, marketing şi publicitate;
e) prelucrarea pe scară largă a datelor cu caracter personal prin utilizarea inovatoare sau implementarea unor tehnologii noi, în special în cazul în care operaţiunile respective limitează capacitatea persoanelor vizate de a-şi exercita drepturile, cum ar fi utilizarea tehnicilor de recunoaştere facială în vederea facilitării accesului în diferite spaţii;
f) prelucrarea pe scară largă a datelor generate de dispozitive cu senzori care transmit date prin internet sau prin alte mijloace (aplicaţii „Internetul lucrurilor”, cum ar fi smart TV, vehicule conectate, contoare inteligente, jucării inteligente, oraşe inteligente sau alte asemenea aplicaţii);
g) prelucrarea pe scară largă şi/sau sistematică a datelor de trafic şi/sau de localizare a persoanelor fizice (cum ar fi monitorizarea prin Wi-Fi, prelucrarea datelor de localizare geografică a pasagerilor în transportul public sau alte asemenea situaţii) atunci când prelucrarea nu este necesară pentru prestarea unui serviciu solicitat de persoana vizată.
Există două excepții de la obligația de efectuare a DPIA/EIPD, respectiv:
– prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului, sau
– prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul.
Când are un temei juridic în dreptul Uniunii sau în dreptul intern şi deja s-a efectuat o evaluare a impactului asupra protecţiei datelor, DPIA/EIPD nu mai este necesară.
În cuprinsul Deciziei nr. 174/2018 sunt exemplificate și două cazuri în care DPIA/EIPD nu este obligatorie. În consecință, când prelucrarea se referă la date cu caracter personal de la pacienţi sau clienţi de către un anumit medic, un alt profesionist în domeniul sănătăţii sau un avocat, DPIA/EIPD nu este necesară.
Avocat Gherasim Andrei-Gheorghe
Titular Cabinet de Avocat ”Gherasim Andrei-Gheorghe”