Rregullorja e Përgjithshme për Mbrojtjen e të Dhënave Personale (Rregullorja) përcakton se cilët kontrollues kanë detyrimin të caktojnë një Zyrtar për Mbrojtjen e të Dhënave Personale (DPO), i cili mund të emërohet si OPAK dhe mundësinë që një OPAK të emërohet për të kryer këtë funksion për disa kontrollues.
Në vijim shtjellohet dispozita e rregullores për emërimin e OZLP[1], me sqarime dhe rekomandime të dhëna në “Udhëzuesin për zyrtarët e mbrojtjes së të dhënave personale” të RG 29 (Udhëzimet e RG 29).
Detyrimi për të emëruar OZLP kanë:
- të gjitha autoritetet dhe organet publike ,[2] me përjashtim të gjykatave kur veprojnë në kuadër të kompetencës gjyqësore,[3]
- kontrollorët, aktivitetet kryesore të të cilëve përbëhen nga operacionet e përpunimit të të dhënave personale, të cilat, për shkak të natyrës, fushëveprimit dhe/ose qëllimeve të tyre, kërkojnë monitorim të rregullt dhe sistematik të subjekteve të të dhënave personale në një masë të madhe dhe
- kontrollorët që përpunojnë kategori të veçanta të dhënash personale ose të dhënash në lidhje me dënimet penale ose veprat penale.
Detyrimi për të caktuar një OZLP në të njëjtën kohë zbatohet si për kontrolluesin ashtu edhe për përpunuesin e të dhënave.
Rregullorja nuk përcakton se çfarë nënkuptohet me veprimtari kryesore dhe me monitorim të rregullt dhe sistematik të subjekteve të të dhënave personale, as nuk përcakton se çfarë nënkuptohet me përpunimin e të dhënave personale në masë të madhe .
Në përputhje me Udhëzimet e RG 29 :
- shoqëritë private që ushtrojnë kompetenca publike ose veprimtari me interes publik duhet të konsiderohen gjithashtu si organe dhe organe publike ,
- aktivitetet kryesore të kontrolluesit konsiderohen si operacionet kryesore të nevojshme për të arritur objektivat e kontrolluesit, ndërsa aktivitetet kryesore nuk mund të interpretohen ekskluzivisht si aktivitete të kontrolluesit brenda të cilave kryhet përpunimi i të dhënave , por edhe aktivitete të tjera që rezultojnë në përpunimin e të dhënave personale, [4]
- Monitorimi i rregullt dhe sistematik i subjekteve të të dhënave personale përfshin të gjitha format e monitorimit dhe profilizimit në internet, me nocionin e monitorimit që nuk kufizohet vetëm në mjedisin online , [5]
- rekomandimi i GP 29 është të vlerësojë nëse përpunimi i të dhënave personale kryhet në një masë të madhe apo jo, duke marrë parasysh faktorët e mëposhtëm:
- numri i subjekteve të prekura të të dhënave personale,
- vëllimi i të dhënave që përpunohen,
- kohëzgjatja e përpunimit të të dhënave,
- shtrirja gjeografike e përpunimit,
- përveç nëse është e qartë se një kontrollues i caktuar nuk ka asnjë detyrim ligjor për të caktuar një OZLP, rekomandimi i WG 29 është që çdo kontrollues duhet të kryejë një analizë të brendshme të faktorëve dhe kritereve përkatëse në mënyrë që të përcaktojë nëse do të caktojë ose jo një OZLP. Një kontrollues i cili nuk ka asnjë detyrim ligjor për të caktuar një OZLP mund ta bëjë këtë ende në baza vullnetare. Për kontrolluesin që ka emëruar një OZLP mbi baza vullnetare, do të zbatohen të njëjtat detyrime si për kontrollorët e tjerë që kanë detyrim ligjor për të caktuar një OZLP.
Rregullorja përcakton se OZLP mund të jetë:
- punonjës i kontrollorit ose
- të angazhuar me kontrolluesin në bazë të një kontrate shërbimi.
Në përputhje me Udhëzimet e RG 29 , një kontratë për ofrimin e shërbimeve mund të lidhet me një individ ose me një kompani të jashtme. Në rastin e dytë, është thelbësore që personat e ofruar nga ajo shoqëri të plotësojnë kushtet e nevojshme për të qenë në gjendje të kryejnë pozicionin e OZLP-së, por edhe të mbrohen nga mundësia që kontrata e tyre të zgjidhet pa arsye. Gjithashtu, në bazë të një kontrate për ofrimin e shërbimeve, në vend të OZLP-së si individ, mund të angazhohet një ekip i OZLP-së, me kombinimin e duhur të kualifikimeve individuale profesionale dhe aftësive personale të anëtarëve të ekipit. Në çdo rast, duhet të ketë një shpërndarje të qartë të detyrave në ekip dhe të menaxhohet nga një person.
Rregullorja parashikon mundësinë e emërimit të një OZLP, në rastet e mëposhtme:
- disa kompani që funksionojnë së bashku në një lloj grupi të caktuar mund të caktojnë një OZLP, nëse ai është lehtësisht i disponueshëm për secilën prej kompanive për të cilat ai kryen këtë funksion ;[6]
- disa autoritete ose organe publike të caktojnë një OZLP, të udhëhequr nga struktura dhe madhësia e tyre organizative. [7]
Në përputhje me Udhëzimet e RG 29 , disponueshmëria e OZLP-së do të nënkuptonte disponueshmërinë e saj për subjektet e të dhënave personale, për autoritetin mbikëqyrës (DZLP), si dhe disponueshmërinë brenda kontrolluesit. Sqarimi në lidhje me disponueshmërinë e OZLP-së kur emërohet për kontrollues të shumtë, vlen si për sektorin publik ashtu edhe për atë privat.
Detyrimi për të publikuar të dhënat e kontaktit me OZLP
Rregullorja përcakton gjithashtu një detyrim për kontrolluesin që të publikojë të dhënat e kontaktit me OZLP dhe t’ia komunikojë të njëjtat autoritetit mbikëqyrës.
Qëllimi është të sigurohet kontakti dhe komunikimi i drejtpërdrejtë i OZLP me subjektet e të dhënave personale dhe me autoritetin mbikëqyrës në mënyrë të lehtë. Numri i telefonit dhe adresa e emailit konsiderohen si të dhëna kontakti, dhe një formë e veçantë kontakti mund të krijohet në faqen e internetit të kontrolluesit. Kjo dispozitë nuk parashikon që emri i PAK të përfshihet në të dhënat e kontaktit.
Rekomandimi i GP 29 është që autoriteti mbikëqyrës (DZLP) të informohet për emrin e OZLP dhe detajet e kontaktit të OZLP-së, si dhe të njëjtat të publikohen në faqen e internetit të kontrollorit, në drejtorinë e brendshme telefonike dhe organigrami i brendshëm.
Detyrimi për fshehtësi dhe konfidencialitet të të dhënave
Në përputhje me Rregulloren, OZLP ka detyrimin për fshehtësinë dhe konfidencialitetin e të dhënave gjatë kryerjes së detyrave të saj , ndërkohë që nuk ndalohet kontaktimi dhe kërkimi i këshillave nga autoriteti mbikëqyrës (DZLP).
[1] Neni 37 i Rregullores
[2] Pavarësisht se çfarë të dhënash përpunojnë dhe në çfarë mase
[3] Gjykatat kanë detyrimin të caktojnë një OZLP që do të kujdeset për respektimin e rregulloreve për mbrojtjen e të dhënave personale gjatë operacioneve të përpunimit të të dhënave personale jashtë kuadrit të kompetencës gjyqësore.
[4] Shembull: Aktiviteti kryesor i objekteve të kujdesit shëndetësor është ofrimi i shërbimeve të kujdesit shëndetësor dhe kujdesit ndaj pacientëve, por këto nuk mund të ofrohen pa përpunuar të dhënat e kujdesit shëndetësor.
[5] Shembull: Ofrimi i shërbimeve në fushën e komunikimeve elektronike: profilizimi, gjurmimi i vendndodhjes përmes aplikacioneve celulare, monitorimi i të dhënave të fitnesit dhe shëndetit përmes aplikacioneve celulare etj.
[6] Në sektorin privat, dy ose më shumë kompani më të vogla (me një numër më të vogël punonjësish ose me një sasi më të vogël të operacioneve të përpunimit të të dhënave) që funksionojnë së bashku në një grup të caktuar, mund të emërojnë një OZLP. Në të njëjtën kohë, ai duhet të punësohet në bazë të një kontrate për ofrimin e shërbimeve.
[7] Në sektorin publik, dy ose më shumë autoritete ose organe publike (me një numër më të vogël punonjësish ose me një sasi më të vogël operacionesh të përpunimit të të dhënave personale) që nuk kanë një strukturë organizative komplekse, mund të emërojnë një OZLP. Në të njëjtën kohë, ai duhet të punësohet në bazë të një kontrate për ofrimin e shërbimeve.