Decizia nr. 174/2018 privind lista operațiunilor pentru care este obligatorie realizarea evaluării impactului asupra protecției datelor cu caracter personal ("Decizia nr. 174/2018"), emisă de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, a fost publicată în Monitorul Oficial al României, Partea I, nr. 919 din 31 octombrie 2018.
Decizia nr. 174/2018 a fost emisă de ANSPDCP în aplicarea art. 35 alin. (4) din Regulamentul nr. 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE ("GDPR"), potrivit căruia autoritățile de supraveghere trebuie să publice o listă a tipurilor de operațiuni de prelucrare care fac obiectul cerinței de efectuare a unei evaluări a impactului asupra protecției datelor (evaluare cunoscută și sub acronimul DPIA).
Ce înseamnă DPIA?
GDPR a introdus o nouă regulă în ceea ce privește obligațiile operatorilor, în virtutea principiului responsabilității. Mai exact, ori de câte ori, o anumită activitate de prelucrare a datelor este susceptibilă să genereze un risc ridicat cu privire la drepturile și libertățile persoanelor vizate operatorii de date cu caracter personal trebuie să efectueze o evaluare a respectivelor riscuri.
Pe baza acestei evaluări operatorii trebuie, apoi, să implementeze măsuri de reducere / eliminare a impactului, iar atunci când măsurile propuse nu sunt suficiente, operatorii trebuie să modifice sau chiar să renunțe la activitatea de prelucrare a datelor.
GDPR nu definește clar ce înseamnă operațiuni / tipuri de prelucrări cu risc ridicat pentru drepturile și libertățile persoanelor vizate, ci furnizează doar niște exemple de activități de prelucrare cu risc ridicat. De altfel, o definiție care să acopere în mod exhaustiv tipurile de activități de prelucrare cu risc ridicat ar fi mai degrabă inoportună, având în vedere complexul peisaj al activităților de prelucrare a datelor cu caracter personal care, în plus, cunoaște o evoluție continuă cu pași foarte alerți.
Tocmai de aceea, GDPR a delegat autorităților de supraveghere (care, în mod natural, sunt mai aproape de fenomenul de prelucrare a datelor) sarcina de a stabili tipurile de activități pentru care este necesară DPIA în mod obligatoriu.
Cazurile pentru care DPIA este obligatorie
Decizia nr. 174/2018 stabilește 7 cazuri în care DPIA este obligatorie:
a) prelucrarea datelor cu caracter personal în vederea realizării unei evaluări sistematice și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, și care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă;
b) prelucrarea pe scară largă a datelor cu caracter personal privind originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate, a datelor genetice, a datelor biometrice pentru identificarea unică a unei persoane fizice, a datelor privind sănătatea, viața sexuală sau orientarea sexuală ale unei persoane fizice sau a datelor cu caracter personal referitoare la condamnări penale și infracțiuni;
c) prelucrarea datelor cu caracter personal având ca scop monitorizarea sistematică pe scară largă a unei zone accesibile publicului, cum ar fi supravegherea video în centre comerciale, stadioane, piețe, parcuri sau alte asemenea spații;
d) prelucrarea pe scară largă a datelor cu caracter personal ale persoanelor vulnerabile, în special ale minorilor și ale angajaților, prin mijloace automate de monitorizare și/sau înregistrare sistematică a comportamentului, inclusiv în vederea desfășurării activităților de reclamă, marketing și publicitate;
e) prelucrarea pe scară largă a datelor cu caracter personal prin utilizarea inovatoare sau implementarea unor tehnologii noi, în special în cazul în care operațiunile respective limitează capacitatea persoanelor vizate de a-și exercita drepturile, cum ar fi utilizarea tehnicilor de recunoaștere facială în vederea facilitării accesului în diferite spații;
f) prelucrarea pe scară largă a datelor generate de dispozitive cu senzori care transmit date prin internet sau prin alte mijloace (aplicații "Internetul lucrurilor", cum ar fi smart TV, vehicule conectate, contoare inteligente, jucării inteligente, orașe inteligente sau alte asemenea aplicații);
g) prelucrarea pe scară largă și/sau sistematică a datelor de trafic și/sau de localizare a persoanelor fizice (cum ar fi monitorizarea prin Wi-Fi, prelucrarea datelor de localizare geografică a pasagerilor în transportul public sau alte asemenea situații) atunci când prelucrarea nu este necesară pentru prestarea unui serviciu solicitat de persoana vizată.
Câteva observații în ceea ce privește lista propusă de ANSPDCP
- Lista activităților de prelucrare propusă de autoritate nu este exhaustivă; astfel, chiar dacă anumite activități de prelucrare nu se vor regăsi pe lista inclusă în Decizia nr. 174/2018, operatorii trebuie, în continuare, să facă o analiză, de la caz la caz, pentru a stabili dacă pentru operațiunile lor de prelucrare sunt necesare evaluările de tip DPIA. Pentru a facilita acest demers, operatorii trebuie să țină, în continuare, cont de orientările / recomandările incluse în "Ghidul privind evaluarea impactului asupra protecției datelor (DPIA) și stabilirea dacă o prelucrare este 'susceptibilă să genereze un risc ridicat' în sensul Regulamentului 2016/679 (WP 248, revizuit)", adoptat de Grupul de lucru Articolul 29 în data de 4 octombrie 2017 și aprobat de Comitetul European pentru Protecția Datelor (CEPD), cel puțin până la momentul la care un ghid nou/un ghid revizuit nu va fi emis de CEPD;
Art. 1 alin. (1) lit. d) din Decizia nr. 174/2018 utilizează sintagma "și/sau înregistrare sistematică" ca element de circumstanțiere a tipurilor de prelucrare. Această precizare poate să atragă necesitatea efectuării DPIA chiar și pentru activități de prelucrare care, în concret, nu ar atrage un risc ridicat pentru persoanele vizate. Un astfel de exemplu de prelucrări curente (i.e. sistematice) efectuate de aproape orice angajator este utilizarea mecanismelor de înregistrare a accesului în sistemele IT de către angajații proprii (i.e. așa numitele log-uri de acces utilizate pentru scop de securitate / asigurarea integritatea datelor accesate de angajați);
Art. 1 alin. (1) lit. f) din Decizia nr. 174/2018 impune obligația de efectuare a DPIA pentru orice tip de "prelucrare pe scară largă a datelor generate prin intermediul dispozitivelor cu senzori care transmit date prin Internet sau alte mijloace [...]" (subl. ns.). Termenul alte mijloace lipsește această prevedere din decizie de predictibilitatea care ar trebui să caracterizeze orice act normativ. Ca atare, aici pot fi anticipate în continuare dezbateri în ceea ce privește modul de aplicare a acestui caz prevăzut de deciziei;
Art. 1 alin. (1) lit. g) din Decizia nr. 174/2018 impune obligația de a efectua DPIA pentru prelucrările la scară largă și/sau sistematică a datelor de trafic și/sau de localizare, dacă prelucrarea nu este necesară pentru prestarea unui serviciu solicitat de persoana vizată. Aparent, scopul acestui text este de a acoperi prelucrările efectuate de furnizorii serviciilor societății informaționale. Totuși, textul este destul de general. Astfel, nu se poate exclude o interpretare mai largă, respectiv o extindere la operațiuni care, în mod normal, nu atrag riscuri pentru viața privată a persoanelor fizice. Spre exemplu, se poate pune întrebarea dacă o astfel de obligație de efectuare a DPIA se aplică și datelor trafic (incluse în facturile de telefonie / internet) prelucrate de angajator în contextul relațiilor de muncă cu angajații proprii care utilizează telefoanele angajatorilor (e.g. pentru scop de gestiune economico-financiară și fără ca angajatorul să facă o monitorizare a comunicațiilor electronice utilizate de salariați)?
- Decizia nr. 174/2018 prevede și o excepție de la obligația efectuării DPIA, respectiv: atunci când prelucrarea este efectuată în temeiul art. 6 alin. (1) lit. (c) sau (e) din GDPR (i.e.(obligație legală sau interes public sau exercitarea autorității publice) ce are la bază legislația UE sau românească pentru care deja s-a efectuat o evaluare a impactului asupra protecției datelor ca parte a unei evaluări generale a impactului în contextul adoptării actelor normative respective (regulă statuată, de altfel, și de GDPR).
Ca atare, operatorii trebuie să fie atenți că, deși există o obligație legală care le impune prelucrarea datelor, aceștia ar putea fi totuși nevoiți să facă o DPIA, dacă o astfel de analiză nu a fost efectuată în procesul de legiferare.
Un articol semnat de Sergiu Crețu (sergiu.cretu@tuca.ro), Senior Associate al Țuca Zbârcea & Asociații
