Ce obligații are persoana împuternicită conform GDPR?
11 minute • Miruna Casiana Dumitrașcu • 20 decembrie 2020
În timp ce vechea legislație în materie de protecție a datelor (Directiva 95/46/EC) se adresa, în mare, operatorilor de date, GDPR impune câteva obligații pentru aceștia. Înainte să între în vigoare în anul 2018, operatorul avea sarcina de a asigura respectarea normelor atunci când angaja persoane împuternicite prin contract.
Acum, abordarea GDPR este un pic diferită: chiar dacă persoanele împuternicite sunt cumva ținute de instrucțiunile pe care le primesc de la operatori, GDPR-ul împarte sarcinile între părți prin atribuirea unui rol activ persoanei împuternicite și introducerea unor noi obligații, precum și introducerea unor amenzi de până la 4% din cifra anuală de afaceri. Astfel, firmele care au rol de operatori de date au obligația de a se alinia standardelor impuse de GDPR.
Ce necesități de ordin tehnic și organizatoric există?
GDPR-ul are în vedere câteva obligații pentru persoanele împuternicite.
Articolul 28
Dacă nu au un sediu în UE, atunci trebuie să numească un reprezentat, exact cum se întâmplă și în situația operatorilor.
Articolul 28, alin. (1), (3) și articolul 32
Directiva relevă faptul că operatorul trebuie să încheie un contract cu persoană împuternicită pentru a securiza datele personale prelucrate în numele sau. GDPR obligă fiecare persoană împuternicită să implementeze măsuri tehnice și organizatorice adecvate, rezonabile. Astfel, ele trebuie să se conformeze acelorași reguli aplicabile și în cazul operatorilor de date, anume:
- Pseudonomizare și criptare
- Asigurarea confidențialității, integrității, disponibilității și capacității de procesare a serviciilor și a sistemelor
- Abilitatea de a se restaura și a se recupera accesul la datele pierdute
- O evaluare periodică a măsurilor tehnice și organizatorice luate
Articolul 28, alin. (3), lit. f, articolul 35
Când o prelucrare de date poate să conducă la afectarea drepturilor și a obligațiilor persoanelor fizice, operatorii ar trebui să efectueze, înainte de prelucrare, o evaluare a impactului unei astfel de activități. Persoanele împuternicite nu trebuie să realizeze această evaluare, însă ar trebui să sprijine această operațiune pe care o efectuează operatorul.
Articolul 30
Majoritatea persoanelor împuternicite trebuie să fie responsabilă de activitățile de prelucrare pe care le efectuează și să existe, cumva, o contabilizare a acestora, pentru a putea fi supuse evaluării în cazul în care sunt solicitate. Este o situație similară precum cea a operatorilor, însă este mai puțin complexă, conținând in special următoarele informații:
- Numele și datele de contact ale lui, ale operatorului pentru care lucrează și ale responsabilului cu protecția datelor
- Categoriile de prelucrare efectuate
- Transferurilor de date către unei terțe persoane și documentația garanțiilor adecvate
- O descriere generală a măsurilor tehnice și organizatorice luate
Articolul 33, alin. (2)
Persoanele împuternicite trebuie să notifice operatorul de date în numele căruia procesează datele fără întârziere dacă a luat cunoștință despre existența unei breșe de securitate (orice accesare ilegală sau o distrugere accidentală, pierdere, alterare, divulgare neautorizata).
Se întâmplă ca termenii și condițiile de acest gen să fie specificate în contractul încheiat între operator și persoana împuternicită.
Articolul 37
Persoanele împuternicite au îndatorirea să desemneze un ofițer pentru protecția datelor (sau, pe scurt, un DPO) care să fie independent, fiabil și să dețină cunoștințele necesare în materie în aceleași condiții ca operatorii de date, ceea ce înseamnă că ei sunt obligați să efectueze următoarele taskuri dacă activitățile lor de baza constau în:
- Prelucrare ce necesită monitorizare în mod regulat și sistematic a persoanelor vizate la scară largă
- Prelucrare la scară largă a unor categorii speciale de date (ex. Sănătate, religie, rasă, orientare sexuală), precum și date personale ce reflectă săvârșirea unor infracțiuni sau existența unor condamnări penale
Un grup de întreprinderi poate numi un singur responsabil cu privire la protecția datelor, cu condiția ca acesta să poată fi contactat cu ușurință de către fiecare unitate. Astfel, dacă ar fi unul singur care s-ar ocupă de toate întreprinderile din mai multe zone geografie din UE, ar fi foarte util pentru că ar putea fi la curent cu diferitele reglementări la nivelul Uniunii.
Important de reținut este că în legislația națională poate să existe o necesitate de implementare a poziției de DPO (ex. Germania).
Notificare cu privire la încălcarea obligațiilor cu privire la protecția datelor
Dacă o persoană împuternicită consideră că una dintre obligațiile operatorului de date a fost încălcată, trebuie să îl informeze de îndată (art. 28 sec. 3 frază 2 lit.h). Oricum, persoană împuternicită nu este obligată să verifice neapărat ilegalitatea ei, ci doar dacă are anumite suspiciuni cu privire la încălcarea vreunei obligații.
Garanții pentru transfer de date între state terțe – articolul 44
În timp ce Directiva sublinia că operatorii de date să asigure legalitatea acestor transferuri, GDPR plasează această obligație în sarcina atât a operatorilor, cât și a persoanelor împuternicite. Astfel, persoanele împuternicite trebuie să se asigure că fiecare transfer de date în afară Spațiului Economic European este acoperit de suficiente garanții respectând art. 44.
Interacțiune directă a persoanelor împuternicite cu autoritățile de supraveghere și persoanele vizate
GDPR stipulează câteva obligații pe care le are compania unde lucrează persoană împuternicită, precum:
- Ei sunt obligați să colaboreze direct cu autoritățile de supraveghere la cerere, în timp ce Directiva limita în majoritatea cazurilor acest contact (art. 31)
- Persoanele vizate pot să solicite daune din partea persoanelor împuternicite atunci când nu au respectat dispozițiile legale în momentul prelucrării sau nu a respectat instrucțiunile primite de la operator (art. 82)
- Persoanele vizate nu pot să își manifeste dreptul la informare, acces, etc (art. 12-23) față de persoanele împuternicite. În orice caz, aceasta trebuie să sprijine operatorul pentru care prelucrează datele pentru a răspunde la aceste solicitări.
Despre acordul de prelucrare detaliată a datelor
Conform Directivei, aceste acorduri între operatori și persoane împuternicite au fost obligatorii, dar contractul adesea stipulează doar obligații minime, de bază.
În schimb, GDPR-ul impune o reglementare amănunțită a acestui contract, specificând obligații precum:
- Prelucrarea în general a datelor cu caracter personal doar la instructiunea operatorului
- Să se asigure că persoanele autorizate în a prelucra date personale au semnat acte ce asigura realizarea în confidențialitate a acestei activități
- Să securizeze prelucrarea prin diferite metode tehnice și organizatorice
- Să respecte regulile de subprelucrare (contractul de subprelucrare trebuie să reflecte necesitățile contractului de prelucrare dintre operator și persoană împuternicită și va fi necesară aprobarea scrisă a subprelucratorilor de către operator, deși o aprobare generală sau abstractă a subprelucratorilor va fi permisă cât timp operatorului i se permite să aducă obiecțîi odată cu numirea altor subprelucratori)
- Să acorde asistență operatorului cu măsuri tehnice și organizatorice suficiente pentru a răspunde solicitărilor provenite din partea persoanelor vizate;
- Să acorde asistență operatorului în ceea ce privește obligațiile privind securitatea prelucrării, breșe de securitate și evaluări de impact asupra protecției datelor
- Să recupereze sau să șteargă datele personale după încheierea serviciilor sau să le mențină dacă astfel prevede legea
- Să facă disponibile pentru operator toate informațiile necesare pentru a demonstra faptul că este în acord cu obligațiile în ce privește prelucrarea de către persoană împuternicită și să îi permită să sau să contribuie la audit, incluzând inspecții
Dar…
Ce reprezintă operatorul de date/persoană împuternicită?
- Operator de date = persoană fizică sau juridică, autoritate publică, companie sau orice altă entitate care, singură sau împreună cu altcineva, determina scopul și mijloacele aferente prelucrării datelor cu caracter personal.
- Persoană împuternicită = persoană fizică sau juridică, autoritate publică, companie sau orice altă entitate care prelucrează datele în numele operatorului de date.
Ce formă legală ar trebui să aibă?
Pentru operator, nu contează dacă este persoană fizică sau juridică. Și nici pentru persoană împuternicită.
În orice caz, această persoană ar trebui să fie cineva ales din afara companiei (adică entitatea juridică) ce este operator, un terț, practic. Orice dezvăluire de date dintr-o altă companie din grup ar necesită fie o relație operator-persoană împuternicită, fie o baza legală pentru un transfer.
Diferențierea dintre cei doi
Operatorul de date determină scopul businessului pentru care datele ar trebui să fie prelucrate și mijloacele prin care se poate face acest lucru. Ai putea spune că acesta este posesorul datelor.
În schimb, persoană împuternicită este limitată de instrucțiunile pe care le primește de la operator și acționează doar în numele acestuia în timp ce le prelucrează. Este posibil că persoană împuternicită să nu prelucreze datele în scopuri proprii, deoarece acest lucru îl poate face și un operator.
Operatorul – cum îl putem identifica?
Ia deciziile cu privire la:
- Colectare inițială și de ce sunt colectate datele
- Tipul datelor personale și categoriile relevante ale subiectelor (angajați, clienți)
- Către cine pot fi divulgate datele
- Cine ar putea avea acces la ele
- Cât de mult vor fi stocate
- Ce software și hardware vor fi utilizate
- Este un fel de proprietar al datelor și ia decizia dacă le șterge, corectează etc
Răspunde față de persoanele vizate :
- Numite în contract sau acord că o parte contractuală, pe website-ul prin care sunt colectate datele
- Acționează în nume propriu atunci când abordează persoanele vizate
- Asigura realizarea drepturilor persoanelor vizate (ex. Răspunde cererilor de acces, responsabil pentru breșe de securitate)
Persoana împuternicită – cum o putem identifica?
Un fel de prelungire a operatorului, are un rol mai degrabă de sprijinire, nu are un rol de răspundere:
- Doar obține datele pentru a îndeplini procesul de prelucrare în scopul comercial al operatorului
- Primește instrucțiuni și ghidaj
- Nu are nicio decizie cu privire la utilizarea datelor personale, nu le poate folosi în scop propriu sau de afaceri
- Nu are nicio relație cu persoanele vizate și acționează doar în numele operatorului
Însă poate avea și rol decisiv atunci când:
- Ce sistem IT, hardware sau software să se folosească
- Cum sunt stocate datele
- Detalii despre măsurile de securitate
- Mijloace prin care să se transfere date către destinatar
- Metode folosite pentru a garanta un program de păstrare
- Mijloace folosite pentru a șterge datele
Exemple concrete de operator
- Angajator și datele angajaților
- Parte contractantă și datele clienților
- Furnizor de rețele sociale și datele membrilor
Un transfer de la operator la operator poate fi:
- Avocați, auditori, deoarece prestarea serviciilor lor presupune că ei sunt cei care decid pentru acestea, de regulă au propriul temei legal prin care pot face asta
- Agențiile de recrutare ce transmis date despre candidați deoarece acestea păstrează datele în scopurile lor de afaceri.
Un „control comun” necesită ca operatorii să decidă în comun asupra scopurilor și mijloacelor prelucrării. Acesta ar putea fi cazul dacă persoanele juridice partajează același grup de date într-o baza de date centrală.
Ce face persoana împuternicită?
- Integrări software
- Trimite materiale de marketing clienților operatorului în numele lui
- Gestionează salarizarea pentru afacerea operatorului
- Servicii de arhivare
- Call center, dar doar dacă operatorul da instrucțiuni clare, iar call centerul se prezintă în numele operatorului către clienți
- Găzduire și mentenanță de către furnizorii de servicii IT
Cazuri limită de a delimita operatorul de persoana împuternicită
- Agenție colectare debite: stabilirea dacă este operator sau persoană împuternicită depinde de cât de detaliate sunt instrucțiunile (puterea de decizie): dacă agenția doar trimite niște remindere pregătite deja, înseamnă că este persoană împuternicită. Dacă are dreptul de a lua decizii în mod legal de una singură sau reprezintă compania în justiție, atunci este un operator
- Servicii profesionale (firme de consultanță) pot fi clasificate operatori dacă le poți oferi instrucțiuni/ servicii generale ce necesită că aceștia să decidă asupra scopului prelucrării datelor. În orice caz, dacă ei pot să furnizeze instrucțiuni detaliate precum cum să realizezi un audit, pot fi calificate drept persoane împuternicite.
Pentru a concluziona…
Instrucțiunile detaliate sunt indicatorii cheie pentru o relație de tip operator – persoană împuternicită.