Regulamentul General privind Protecția Datelor (RGPD) ce urmează să devină aplicabil la data de 25 mai 2018 oferă un cadru legal modernizat, de conformitate bazat de responsabilitate pentru protecția datelor în Europa.

Responsabilul cu protecția datelor (DPO) va reprezenta centrul acestui nou cadru juridic pentru multe organizații, facilitând respectarea prevederilor RGPD. Potrivit RGPD, este obligatoriu ca anumiți operatori și persoane împuternicite de operatori să desemneze un DPO.

Aceasta va fi situația pentru toate autoritățile și organismele publice (indiferent de tipul datelor prelucrate) și pentru celelalte organizații care – ca și activitate principală –monitorizează în mod sistematic și pe scară largă persoanele fizice sau prelucrează categorii speciale de date cu caracter personal pe scară largă.

Conceptul de DPO nu este nou. Cu toate că Directiva 95/46/CE3 nu impune niciunei organizații să numească un DPO, această practică de numire a unui DPO s-a dezvoltat, de-a lungul anilor, în mai multe state membre.

Desemnarea DPO
Desemnarea obligatorie
Art. 37(1) din RGPD solicită desemnarea DPA în trei situații specifice
:
a) atunci când prelucarea este efectuată de o autoritate publică sau un organism public
;
b) atunci când activitățile principale ale operatorului sau ale persoanei împuternicite de operator
constau în operațiuni de prelucrarea care necesită o monitorizare periodică și sistematică a persoanelor
vizate pe scară largă; sau
c) atunci când activitățile principale ale operatorului sau ale persoanei împuternicite de operator
constau în prelucrarea pe scară largă a unor categorii speciale de date
sau a unor categorii de date cu
caracter personal privind condamnări penale și infracțiuni
.

Cu excepția cazului în care este evident faptul că o organizație nu este obligată să desemneze un DPO,
se recomandă ca operatorii și persoanele împuternicite de operator să documenteze evaluările
interne efectuate pentru a determina dacă va fi numit un DPO, pentru a fi în măsură să demonstreze că
au fost luați în considerare în mod corespunzător factorii relevanți în această direcție.

Câteva exemple de activități care pot constitui o monitorizare periodică și sistematică a persoanelor vizate sunt:
operarea unei rețele de telecomunicații;
furnizarea de servicii de telecomunicații; e-mail de
direcționare repetată; activități de marketing bazate pe date; profilare și scoring în scopul evaluării
riscurilor (de exemplu, în scopul de credit scoring, stabilirea primelor de asigurare, de prevenire a
fraudelor, detectarea spălării banilor); urmărirea locației, spre exemplu, prin aplicații
mobile; programe de loialitate; publicitate comportamentală; monitorizarea wellness, fitness și a
datelor de sănătate prin intermediul dispozitivelor portabile; televiziune cu circuit închis; dispozitive
conectate spre exemplu, contoare inteligente, mașini inteligente, automatizare acasă, etc.