GDPR. Cine este operatorul de date și ce obligații are?
5 minute • Redactia • 10 iunie 2018
Operatorul este definit de GDPR drept „persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal. ”[1]
Cu alte cuvinte, operatorul decide scopurile și mijloacele prelucrării datelor personale. Astfel, dacă organizația decide „de ce” și „cum” ar trebui prelucrate datele personale (de exemplu datele angajaților, clienților, abonaților, membrilor, vizitatorilor pe site), atunci ea este un operator de date. Angajații organizației vor prelucra datele pentru a îndeplini sarcinile organizației în calitate de operator. [2]
Unul dintre cele mai importante lucruri pe care le are de făcut o organizație atunci când decide să se alinieze la GDPR, este să determine cine este operatorul de date, deoarece lui îi revin cele mai multe obligații. Cu alte cuvinte, operatorul are sarcina responsabilității. Acesta trebuie să realizeze informarea persoanei vizate, să se asigure că prelucrarea este legală și că drepturile persoanei sunt onorate, să efectueze evaluări de impact, să se asigure că sunt respectate principiile prelucrării, să asigure securitatea și confidențialitate datelor. Majoritatea organizațiilor sunt operatori de date. Unele sunt și operatori de date și persoane împuternicite, așa cum vom arăta în cele ce urmează.
Chiar dacă nu are acces la datele personale, o organizație poate fi operator de date, așa cum este cazul magazinelor online care nu au acces la informații bancare ale clienților care realizează plata online. Aceste date sunt prelucrate de procesatorii de plăți, însă organizația care deține magazinul online va fi operatorul de date.
Pentru a stabili dacă aveți calitatea de operator, ar trebui să determinați ce control aveți cu privire la date, răspunzând la următoarele întrebări:
- Decide organizația ce persoane vor fi vizate de prelucrare? („Cine?”)
- Decide organizația ce categorii de date vor fi prelucrate? („Ce?”)
- Decide organizația scopul prelucrării? („Pentru ce?”)
- Decide organizația cum se va realiza prelucrarea? („Cum?”) – de exemplu către cine se dezvăluie datele cu caracter personal, pentru cât timp se stochează, unde se stochează etc.
Dacă majoritatea răspunsurile sunt ”DA”, atunci organizația este un operator de date cu caracter personal.
Pot exista și „operatori asociați”, care decid să prelucreze datele împreună pentru un scop comun. Totuși, acest scop nu trebuie să fie în totalitate comun, ci ar trebui să se suprapună măcar parțial. [3]
Exemplu: Dacă o persoană alege o vacanță de la o agenție de turism, agenție care transmite mai departe datele către compania aeriană și hotel, aceștia din urmă au aceleași date, dar pentru scopuri distincte. În acest caz, fiecare entitate (agenția, compania aeriană și hotelul) sunt operatori de date. Dacă, în schimb, cele trei entități decid să își creeze un site comun și să împartă baza de date, atunci vor fi operatori asociați, chiar dacă scopurile lor nu sunt aceleași.[4]
Exemplu: O societate oferă servicii de babysitting printr-o platformă online. În același timp, societatea are un contract cu o altă societate, care îi permite să ofere servicii cu valoare adăugată. Aceste servicii includ posibilitatea ca părinții nu doar să aleagă ce babysitter doresc, ci și să închirieze jocuri și DVD-uri pe care să le aducă babysitterul. Ambele societăți sunt implicate în organizarea tehnică a site-ului. În acest caz, cele două societăți au decis să utilizeze platforma în ambele scopuri (servicii de babysitting și închirierea de DVD-uri/jocuri) și vor partaja foarte frecvent numele clienților. Prin urmare, cele două societăți sunt operatori asociați, pentru că ele nu doar că au convenit să ofere posibilitatea unor „servicii combinate”, ci și proiectează și utilizează o platformă comună.
Între acești operatori asociați ar trebui să existe contracte scrise cu privire la responsabilitatea fiecăruia. În principiu, fiecare operator asociat trebuie să respecte cerințele GDPR, însă pot exista situații în care unele obligații pot fi îndeplinite doar de unul dintre operatori. De exemplu, dacă doar unul dintre operatori intră în contact direct cu persoana vizată, se poate furniza o singură notă de informare către toate persoanele vizate, în numele tuturor operatorilor.[5]
Totuși, persoana vizată își poate exercita drepturile în legătură cu oricare din acești operatori asociați.
Vrei să îți faci singur implementarea GDPR? În KIT-ul nostru de implementare GDPR, am inclus toate documentele necesare (registre, proceduri, politici, formulare de consimțământ, acorduri de confidentialitate, note de informare) astfel încât să îți protejezi afacerea. Urmând instrucțiunile și ghidurile explicate pe înțelesul tău, îți poți face chiar tu implementarea, evitând costurile consultanței.
[1] Art. (4) pct. 7 din Regulamentul (EU) 679/2016.
[2] ”Ce este un operator de date sau o persoană împuternicită de operator?”, material realizat de Comisia Europeană, ce poate fi accesat aici.
[3] IAPP, pag. 86
[4] IAPP, pag. 87
[5] Art. (26) din Regulamentul (EU) 679/2016.