Prelucrarea datelor in cazul Asociatiilor de proprietari: avantajele desemnarii unui DPO

Asociatiile de proprietari nu sunt obligate sa numeasca un responsabil cu protectia datelor cu caracter personal (DPO). Bineinteles, in masura in care considera necesar, asociatiile pot decide sa numeasca o astfel de persoana care sa monitorizeze aspectele legate de prelucrarea datelor personale.

Potrivit art. 37 din Regulamentul pentru Protectia Datelor Personale (GDPR), pentru a fi obligatorie desemnarea unui DPO este necesara intrunirea, in mod cumulativ, a urmatoarelor conditii:

(1) operatiunile de prelucrare sunt periodice;
(2) operatiunile de prelucrare se efectueaza asupra datelor cu caracter special;
(3) operatiunile de prelucrare se fac pe scara larga (prezumtie: cel putin 250 de salariati);
(4) operatiunile de prelucrare sunt sistematice (care se efectueaza metodic si organizat);
(5) operatiunile de prelucrare reprezinta o activitatea principala a persoanei imputernicite (prin natura, domeniul de aplicare si/scopurile operatiunilor).

Asa cum am mentionat inca de la inceputul articolului, Autoritatea de Supraveghere a precizat ca in ceea ce priveste asociatiile de proprietari, acestea nu au obligatia de numire a unui responsabil cu protectia datelor.

Cu toate acestea, asociatiile de proprietari, in masura in care considera necesar si dispun de resurse materiale si umane, pot decide sa numeasca o persoana care sa monitorizeze aspectele legate de prelucrarea datelor personale.

Responsabilul cu protectia datelor este desemnat pe baza calitatilor profesionale si, in special, a cunostintelor de specialitate in dreptul si practicile din domeniul protectiei datelor, precum si pe baza capacitatii de a indeplini sarcinile prevazute de Regulament.

Responsabilul cu protectia datelor poate fi un membru al personalului operatorului sau al persoanei imputernicite de operator sau poate sa isi indeplineasca sarcinile in baza unui contract de servicii (situatie in care DPO ar fi o persoana din exteriorul asociatiei).

Operatorul sau persoana imputernicita de operator publica datele de contact ale responsabilului cu protectia datelor si le comunica Autoritatii de supraveghere. Nu este necesara publicarea datelor de identificare a DPO-ului, precum nume, prenume sau adresa de e-mail care sa contina numele acestuia.

In ceea ceea ce priveste activitatea Asociatiilor de proprietari, apreciem oportuna decizia de numire a unui responsabil cu protectia datelor in cadrul acestora, avand in vedere periodicitatea prelucrarilor, monitorizarea periodica si sistematica a persoanelor vizate, precum si prelucrarea unor categorii speciale de date.

Responsabilul cu protectia datelor are cel putin urmatoarele sarcini:

• informeaza si consiliaza operatorul de date cu caracter personal, precum si angajatii care se ocupa de prelucrare cu privire la obligatiile care le revin in temeiul Regulamentului;
• monitorizeaza respectarea Regulamentului si a politicilor operatorului in ceea ce priveste protectia datelor cu caracter personal, inclusiv alocarea responsabilitatilor si actiunile de sensibilizare si de formare a personalului implicat in operatiunile de prelucrare, precum si auditurile aferente;
• furnizeaza consiliere la cerere in ceea ce priveste evaluarea impactului asupra protectiei datelor si monitorizarea functionarii acesteia;
• coopereaza cu Autoritatea de supraveghere;
• asumarea rolului de punct de contact pentru Autoritatea de supraveghere privind aspectele legate de prelucrare, inclusiv consultarea prealabila prevazuta de Regulament, precum si, daca este cazul, consultarea cu privire la orice alta chestiune;
• va putea fi contactat de catre persoanele vizate in ceea ce priveste chestiunile legate de prelucrarea datelor lor si exercitarea drepturilor aferente regulamentului;
• obligatia de respectare a secretului sau confidentialitatii in ceea ce priveste indeplinirea sarcinilor sale.