GDPR – întrebări frecvente: persoana împuternicită trebuie să despăgubească operatorii pentru subcontractori?
2 minute • Ana-Maria Udriste • 21 aprilie 2019
Întrebare: Persoanele împuternicite sunt obligate să despăgubească integral operatorii pentru prejudiciile cauzate de persoanele sub-împuternicite sau de colaboratorii acestora?
Răspuns: DA.
GDPR impune două cerințe atunci când persoanele apelează la furnizori de servicii.
Prima – operatorul trebuie să încheie acorduri de colaboare cu acele persoane împuternicite care îndeplinesc minim cele 13 condiții enumerate de articolul 28 din GDPR.
Potrivit art. 28 alin. (4) teza finală GDPR, ”în cazul în care această a doua persoană împuternicită (ie. persoana subîmputernicită) nu își respectă obligațiile privind protecția datelor, persoana împuternicită inițială rămâne pe deplin răspunzătoare față de operator în ceea ce privește îndeplinirea obligațiilor acestei a doua persoane împuternicite.”
Este important de precizat că, având în vedere că se regăsește într-un regulament al Uniunii Europene, nu este necesar ca aceste clazue de răspundere să se găsească în contractul dintre operator – persoană împuternicită sau persoană împuternicită – persoană subîmputernicită. Chiar și în lipsa introducerii unor asemenea clauze, ele își vor produce efectul prin prisma regulamentului și a forței juridice a acestuia.
Articolul 28 prevede cu titlu general clauzele care trebuie introduse în contractele încheiate între operator și persoanele împuternicite, însă nu face referire expresă la clauzele de răspundere. Cu toate acestea, dacă ești un operaor de date cu caracter personal, vei dori să introduci clauze de răspundere în cadrul contractelor pe care le închei cu operator, în special privind un eventual cuantum (clauză penală).
A doua – dacă o persoană împuternicită este stabilită în Uniunea Europeană și transferă datele cu caracter personal în afara Uniunii Europene, părțile trebuie să urmeze pașii necesari pentru a se asigura că transferul beneficiază de ”măsuri adecvate de siguranță”. Majoritatea companiilor se ghidează după clazele standard adoptate de Comisia Europeană în acest sens. Clauza 11 alin. (1) din relație operator – persoana împuternicită prevede că în cazul în care persoana subîmputernicită nu reușește să asigure măsurile de securitate, persoana împuternicită va răspunde pentru faptele persoanei subîmputernicite.
Ușor, nu? Citește și tot ce am scris despre GDPR până acum aici.
Ai nevoie de ajutor în GDPR? Echipa noastră te poate ajuta cu implementarea:
- KIT implementare GDPR pentru DPO – toate documentele de care ai nevoie pentru a fi un DPO
- Consultanță GDPR