Pentru a stabili activitatea principală desfăşurată de un operator sau împuternicit, aceasta trebuie analizată prin raportare la prelucrările de date cu caracter personal efectuate. În Considerentul (97) al GDPR se specifică faptul că activitățile principale ale operatorului se referă la „activitățile de bază și nu la prelucrarea datelor cu caracter personal drept activități auxiliare”.
Conform Orientărilor privind responsabilul cu protecția datelor, elaborate de către Grupul de lucru ,,Articolul 29” „activitățile de bază pot fi considerate ca fiind toate activitățile pentru care prelucrarea datelor face parte integrantă din activitățile operatorului sau ale persoanei împuternicite”.
„Activitățile principale” pot fi considerate ca operațiuni cheie necesare pentru îndeplinirea obiectivelor operatorului sau persoanei împuternicite de operator.
Cu toate acestea, „activitățile principale” nu ar trebui interpretate ca excluzând activitățile în care prelucrarea datelor reprezintă o parte indisolubilă a activității operatorului sau persoanei împuternicite de operator.
De pildă, activitatea principală a unui spital este de a oferi asistență medicală. Cu toate acestea, un spital nu poate oferi asistență medicală în condiții de siguranță și în mod eficient fără prelucrarea datelor privind starea de sănătate, cum ar fi dosarele medicale ale pacienților. Prin urmare, prelucrarea acestor date ar trebui să fie considerată a fi una dintre activitățile principale în orice spital și, prin urmare, spitalele trebuie să își desemneze un responsabil cu protecţia datelor.
Please login or Register to submit your answer