Episodul 1. Cel mai probabil nu va fi un roman foileton ci un fel de The Young & The Restless.
Grupul de facebook unde se desfasoara discutia e intitulat sugestiv. Sa analizam:
Cand este obligat un operator (controller) sa numeasca un DPO? Mai jos articolul 37, GDPR:
(1)Operatorul şi persoana împuternicită de operator desemnează un responsabil cu protecţia datelor ori de câte ori:
a)prelucrarea este efectuată de o autoritate sau un organism public, cu excepţia instanţelor care acţionează în exerciţiul funcţiei lor jurisdicţionale;
b)activităţile principale ale operatorului sau ale persoanei împuternicite de operator constau în operaţiuni de prelucrare care, prin natura, domeniul de aplicare şi/sau scopurile lor, necesită o monitorizare periodică şi sistematică a persoanelor vizate pe scară largă; sau
c)activităţile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date, menţionată la articolul 9, sau a unor date cu caracter personal privind condamnări penale şi infracţiuni, menţionată la articolul 10.
Plecam de la premisa ca cel care intreaba daca are nevoie de un DPO nu este reprezentantul unei autoritati publice, nici nu face prelucrari de date cu caracter special ci pur si simplu are o fabrica cu 2500 de angajati. Chiar el spune ca nu are date de marketing (poate lucreaza in regim de lohn).
Opinia WP 29 – nu traduc aici, nu este scopul acestui articol-
[….]Article 37(1)(b) and (c) of the GDPR refers to the ‘core activities of the controller or processor’. Recital 97 specifies that the core activities of a controller relate to ‘primary activities and do not relate to the processing of personal data as ancillary activities’. ‘Core activities’ can be considered as the key operations necessary to achieve the controller’s or processor’s goals ………………………………………………………………………………………………………………………………………………………
On the other hand, all organisations carry out certain activities, for example, paying their employees or having standard IT support activities. These are examples of necessary support functions for the organisation’s core activity or main business. Even though these activities are necessary or essential, they are usually considered ancillary functions rather than the core activity. […]
Destul de clar, nu-i asa?
Pentru cei interesati sa citeasca intreaga opinie a WP29, documentul se gaseste aici