Aici descoperim
dreptul tehnologiei

portrait-doubtful-frustrated-asian-woman_171337-14342.jpg





Pentru a înțelege ce au de făcut concret în temeiul GDPR, companiile trebuie să afle dacă sunt operator de date, persoane împuternicite sau operatori asociați. În acest articol vom explica aceste noțiuni, iar într-un material viitor vom spune ce au de făcut companiile concret în funcție de rolul pe care îl au: operator de date, persoană împuternicită și/sau operator asociat.

Pe scurt

  • A înțelege rolul dumneavoastră în legătură cu datele cu caracter personal pe care le prelucrați este esențial pentru asigurarea respectării RGPD și a tratamentului echitabil al persoanelor.
  • Obligațiile dumneavoastră în temeiul RGPD vor varia în funcție de calitatea pe o aveți: operator, operator asociat sau persoană împuternicită de operator.
  • În temeiul RGPD, ANSPDCP are competența de a lua măsuri împotriva operatorilor și persoanelor împuternicite de aceștia. Persoanele pot introduce plângeri pentru compensații și despăgubiri atât împotriva operatorilor, cât și a persoanelor împuternicite de aceștia.
  • Ar trebui să acordați timp evaluării și documentării situației fiecărei organizații cu care lucrați în ceea ce privește toate datele cu caracter personal și activitățile de prelucrare pe care le desfășurați.
  • Calitatea de operator sau de persoană împuternicită de operator depinde de mai multe aspecte. Întrebarea-cheie este: cine stabilește scopurile în care sunt prelucrate datele și mijloacele de prelucrare?
  • Organizațiile care stabilesc scopurile și mijloacele de prelucrare vor avea calitatea de operatori indiferent de modul în care sunt descrise serviciile de prelucrare în contract.

Te-ar putea interesa și:

Operator de date, persoană împuternicită sau operator asociat?

Următoarele liste de verificare stabilesc indicatorii conform cărora sunteți un operator de date, o persoană împuternicită de operator sau un operator asociat. Cu cât bifați mai multe puncte, cu atât probabilitatea de a vă încadra în categoria relevantă este mai mare.

Suntem operator de date?

  • Am decis să colectăm sau să prelucrăm date cu caracter personal.
  • Am decis care este scopul sau rezultatul prelucrării.
  • Am decis ce date cu caracter personal ar trebui colectate.
  • Am decis în privința căror persoane colectăm date cu caracter personal.
  • Obținem un câștig comercial sau un alt beneficiu din prelucrare, cu excepția plăților pentru servicii prestate de un alt operator.
  • Prelucrăm datele cu caracter personal ca o consecință a unui contract dintre noi și persoana vizată.
  • Persoanele vizate sunt angajații noștri.
  • Luăm decizii în privința persoanelor vizate ca parte sau ca rezultat al prelucrării.
  • Emitem opinii profesionale în cadrul activității de prelucrare a datelor cu caracter personal.
  • Avem o relație directă cu persoanele vizate.
  • Avem autonomie totală cu privire la modul în care sunt prelucrate datele cu caracter personal.
  • Am desemnat persoanele împuternicite de operatori să prelucreze datele cu caracter personal în numele nostru.

 

Te-ar putea interesa și:

 

Suntem operatori asociați?

  • Avem un obiectiv comun cu alții în ceea ce privește prelucrarea.
  • Prelucrăm date cu caracter personal în aceleași scopuri ca un alt operator.
  • Folosim același set de date cu caracter personal (de exemplu, o bază de date) pentru această prelucrare ca un alt operator.
  • Am conceput acest proces împreună cu un alt operator.
  • Avem norme comune de management al informațiilor cu un alt operator.

 

 

Suntem persoane împuternicite de operator?

  • Urmăm instrucțiunile altei persoane privind prelucrarea datelor cu caracter personal.
  • Am primit datele cu caracter personal din partea unui client sau o terță persoană similară ori ni s-a spus ce date să colectăm.
  • Nu decidem să colectăm date cu caracter personal de la persoane.
  • Nu decidem ce date cu caracter personal ar trebui colectate de la persoane.
  • Nu decidem temeiul juridic pentru utilizarea datelor respective.
  • Nu decidem scopul sau scopurile în care datele vor fi folosite.
  • Nu decidem divulgarea datelor sau persoanele cărora aceste date vor fi divulgate.
  • Nu decidem durata pentru care aceste date sunt păstrate.
  • Putem lua unele decizii privind modul de prelucrare a datelor, dar punem în aplicare aceste decizii în baza unui contract încheiat cu altcineva.
  • Nu suntem interesați de rezultatul final al prelucrării.

Ce înseamnă operator de date și persoană împuternicită de operator?

Operatorii sunt principalii factori de decizie; aceștia exercită un control general asupra scopurilor și mijloacelor prelucrării datelor cu caracter personal.

În cazul în care doi sau mai mulți operatori stabilesc în comun scopurile și mijloacele de prelucrare ale acelorași date cu caracter personal, atunci aceștia sunt operatori asociați. Cu toate acestea, ei nu sunt operatori asociați dacă prelucrează aceleași date în scopuri diferite.

Persoanele împuternicite de operatori acționează în numele și doar la instrucțiunile operatorilor în cauză.

Cum stabiliți dacă sunteți un operator de date sau o persoană împuternicită de operator?

Ar trebui să puteți distinge între operatori, operatori asociați și persoane împuternicite de operatori pentru a înțelege ce obligații RGPD se aplică în fiecare caz.

Pentru a determina dacă sunteți un operator de date sau o persoană împuternicită de operator, trebuie să vă analizați rolul și responsabilitățile în legătură cu activitățile de prelucrare a datelor pe care le desfășurați.

Dacă exercitați un control general asupra scopului și mijloacelor de prelucrare a datelor cu caracter personal, cu alte cuvinte dacă decideți ce date sunt prelucrate și de ce, sunteți un operator.

Dacă nu urmăriți niciun scop personal în prelucrarea datelor și acționați doar la instrucțiunile unui client, sunteți probabil o persoană împuternicită, chiar dacă luați unele decizii tehnice despre modul în care prelucrați datele.

Ce înseamnă că sunteți operator de date?

Operatorii au cel mai ridicat nivel de responsabilitate a conformității. Trebuie să vă conformați și să demonstrați respectarea tuturor principiilor privind protecția datelor, precum și a cerințelor RGPD.  De asemenea, sunteți responsabil pentru conformitatea persoanei (persoanelor) împuternicite de dumneavoastră.

Autoritățile de supraveghere (precum ANSPDCP) și persoanele fizice pot lua măsuri împotriva unui operator în cazul încălcării obligațiilor sale, inclusiv amenzi contravenționale. 

 

 

KIT GDPR Premium

 

Ce înseamnă că sunteți o persoană împuternicită de operator?

Persoanele împuternicite de operatori nu au aceleași obligații ca operatorii în temeiul RGPD.  Cu toate acestea, dacă sunteți o persoană împuternicită de operator, aveți într-adevăr o serie de obligații directe în temeiul RGPD.

Atât autoritățile de supraveghere (precum ANSPDCP), cât și persoanele fizice pot lua măsuri împotriva unei persoane împuternicite de operator pentru încălcarea acestor obligațiilor.

Ce înseamnă că sunteți operatori asociați?

Operatorii asociați trebuie să decidă care dintre ei va avea responsabilitatea primară de respectare a obligațiilor prevăzute în RGPD și, în special, a obligațiilor de transparență și a drepturilor persoanelor. Aceștia ar trebui să pună la dispoziția persoanelor aceste informații.

Cu toate acestea, toți operatorii asociați rămân responsabili pentru conformarea cu obligațiile operatorului în conformitate cu RGPD. Atât autoritățile de supraveghere, cât și persoanele fizice pot lua măsuri împotriva oricărui operator pentru încălcarea acestor obligații. Mai multe despre ce obligații aveți în calitatea de operator asociat puteți afla citind acest articol. 

Sursa: ICO

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



Copy-of-Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_-5.png

Autor: Av. Ruxandra Sava, CIPP/E

Rațiunile comerciale determină companiile să pună la comun resurse pentru a duce pune la cale un proiect, însă aceste proiecte comune au, în unele situații, implicații în sfera GDPR în măsura în care companiile împart baze de date, stabilind împreună scopurile și mijloacele prelucrării datelor cu caracter personal.

Pentru o protecție adecvată a datelor cu caracter personal ale persoanelor vizate prelucrate împreună de către operatorii asociați, este obligatoriu ca fiecare operator asociat să respecte obligațiile impuse de GDPR și, mai mult decât atât, să stabilească un cadru general privind responsabilitatea fiecăruia față de persoanele vizate, ca de exemplu, cine informează și cine răspunde la cererile persoanelor vizate în temeiul GDPR.

Relațiile entităților angajate în protecția datelor iau naștere și se dezvoltă în medii complexe, dar, oricând de complex ar fi aceste medii, este important ca rolurile și responsabilitățile fiecărui operator asociat să fie distribuite în mod clar pentru a da eficiență legislației europene și naționale privind protecția datelor cu caracter personal.

Însă, înainte de a intra în subiectul gestionării eficiente a relației dintre operatorii asociați, trebuie să pornim de la o întrebare esențială: „Există o relație de operatori asociați?”. Pentru a răspunde la această întrebare, Fostul Grup de Lucru Art. 29, actual Comitet European pentru Protecția Datelor recomandă să se identifice dacă există sau nu un „control comun” asupra prelucrării datelor cu caracter personal. Dacă există acest control comun, entitățile vor fi într-o relație de operatori asociați, în caz contrar fiecare va avea calitatea de operator independent.

Exemplu #1: Amplasarea unor camere CCTV

O Organizație încheie un contract cu o societate de securitate pentru amplasarea unor camera CCTV în interiorul imobilelor unde există sediile și punctele de lucru. Având în vedere că scopul monitorizării CCTV și modalitatea în care datele personale (imaginile) sunt prelucrare (colectate, stocate etc) rămân în sarcina exclusivă a Organizației, Organizația este operator independent pentru această activitate de prelucrare, iar între părți nu există o relație de operatori asociați.

Exemplul #2: Agenție de turism

O agenție de turism, un hotel și un operator de servicii aeriene decid să construiască un site comun pentru procesarea mai eficientă a călătoriile. Acestea convin asupra elementelor importante ale mijloacelor care vor fi utilizate, cum ar fi datele care vor fi stocate, modul în care vor fi alocate și confirmate rezervările și persoanele care pot avea acces la informațiile stocate. Mai mult, ele hotărăsc să împartă baza de date a clienților pentru acțiuni de marketing comune. În această situație, cei trei operatori au un control comun asupra modalității de prelucrare a datelor și au rolul de operatori asociați pentru această activitate de prelucrare. [1]

[1] Exemplu din documentul Grupului de Lucru Art. 29: Avizul nr. 1/2010 privind conceptele de „operator” și „persoană împuternicită de către operator”

Pașii de urmat pentru gestionarea cu succes a relației dintre operatorii asociați

Pasul 1.

Creați o listă a tuturor organizațiilor care ar putea avea calitatea de operator asociat și, folosind informațiile teoretice expuse anterior și exemplele oferite, stabiliți care entități au calitatea de operatori asociați cu Organizația dvs.

Pasul 2.

Luați legătura cu fiecare operator asociat pentru a stabili, în linii mari, cadrul relației operator-asociat și, îndeosebi responsabilitatea fiecăruia în vederea protejării datelor cu caracter personal, notificarea incidentelor de securitate, informarea persoanelor vizate și răspunsul la cererea persoanelor vizate.

Pasul 3.

Redactați drafturile de contracte de prelucrare cu operatorii asociați pentru fiecare entitate în parte potrivit informațiilor și direcțiilor stabilite cu operatorii asociați la pasul anterior. Puteți găși un model de contract separat aici sau inclus în KIT-ul nostru de implementare. În măsura în care nu ați reușit să luați legătura cu o parte dintre operatorii asociați, creați drafturile de contracte potrivit informațiilor pe care le dețineți în prezent.

KIT GDPR Premium

Pasul 4.

Propunerea drafturilor de contracte, negocierea lor și încheierea contractelor.

Pasul 5.

Monitorizarea respectării contractelor și modificarea lor prin acte adiționale în măsura în care s-au schimbat anumite elemente ale relației sau au intrat în vigoare noi norme care prevăd necesitatea actualizării contractelor. Procedați la rezilierea contractelor și încetarea relațiilor cu operatorii asociați care nu își respect obligațiile asumate sau încalcă dispozițiile RGPD.

 

Cum te putem ajuta?

Te-ar putea interesa și:



people-holding-social-media-icons_53876-63368.jpg

Hotărârea în cauza C-40/17
Fashion ID GmbH & Co. KG/Verbraucherzentrale NRW eV

 

Administratorul unui site internet echipat cu butonul „îmi place” al Facebook poate
fi operator, împreună cu Facebook, în privința colectării și a transmiterii către
Facebook a datelor cu caracter personal ale vizitatorilor site-ului său

În schimb, acesta nu este, în principiu, operator în ceea ce privește prelucrarea ulterioară a
acestor date de către Facebook singur

Fashion ID, întreprindere germană care comercializează online articole de modă, a inserat pe siteul său internet butonul „îmi place” al  Facebook. Această inserare pare să fi avut drept consecință faptul că, atunci când un vizitator consultă site-ul internet al Fashion ID, date cu caracter personal ale acestui vizitator sunt transmise către Facebook Ireland. Se pare că această transmitere se realizează fără ca respectivul vizitator să fie conștient de ea și indiferent dacă el este membru al rețelei sociale Facebook sau dacă a clicat pe butonul „îmi place”.

Verbraucherzentrale NRW, asociație germană de utilitate publică pentru apărarea intereselor consumatorilor, reproșează societății Fashion ID că a transmis societății Facebook Ireland date cu caracter personal aparținând vizitatorilor site-ului său internet, pe de o parte, fără consimțământul acestora din urmă și, pe de altă parte, cu încălcarea obligațiilor de informare prevăzute de dispozițiile referitoare la protecția datelor personale.

Sesizat cu litigiul, Oberlandesgericht Düsseldorf (Tribunalul Regional Superior din Düsseldorf, Germania) solicită Curții să interpreteze mai multe dispoziții ale vechii directive din 1995 privind protecția datelor (care rămâne aplicabilă acestei cauze și care a fost înlocuită de Regulamentul General din 2016 privind Protecția Datelor aplicabil de la 25 mai 2018).

 

În hotărârea sa de astăzi, Curtea precizează, mai întâi, că vechea directivă privind protecția datelor nu se opune ca asociațiilor pentru apărarea intereselor consumatorilor să li se confere dreptul de a introduce acțiuni în justiție împotriva autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal. Curtea arată că noul regulament general privind protecția datelor prevede în prezent în mod expres o asemenea posibilitate.

Curtea constată în continuare că Fashion ID pare să nu poată fi considerată operator în privința operațiunilor de prelucrare de date efectuate de Facebook Ireland după transmiterea lor către aceasta din urmă. Astfel, este exclus, la prima vedere, ca Fashion ID să stabilească scopurile și mijloacele acestor operațiuni.

În schimb, Fashion ID poate fi considerată operator împreună cu Facebook Ireland în privința operațiunilor de colectare și de dezvăluire prin transmitere către Facebook Ireland a datelor în cauză, din moment ce se poate considera (sub rezerva verificărilor pe care urmează să le efectueze Oberlandesgericht Düsseldorf) că Fashion ID și Facebook Ireland le determină împreună scopurile și mijloacele. 

Te-ar putea interesa și:

Se pare printre altele că inserarea de către Fashion ID a butonului „îmi place” al Facebook pe siteul său internet îi permite să optimizeze publicitatea pentru produsele sale făcându-le mai vizibile pe rețeaua socială Facebook atunci când un vizitator al site-ului său internet clichează pe butonul respectiv. Tocmai pentru a putea beneficia de acest avantaj comercial, Fashion ID, prin inserarea unui asemenea buton pe site-ul său internet, pare să își fi dat consimțământul, cel puțin implicit,pentru colectarea și dezvăluirea prin transmitere a datelor cu caracter personal ale vizitatorilor site-ului său. Astfel, aceste operațiuni de prelucrare par să fie efectuate în interesul economic atât al Fashion ID, cât și al Facebook Ireland, pentru care posibilitatea de a dispune de aceste date în propriile scopuri comerciale constituie contrapartida avantajului oferit societății Fashion ID.

Curtea subliniază că administratorul unui site internet, cum este Fashion ID, în calitate de operator asociat în privința anumitor operațiuni de prelucrare a datelor vizitatorilor site-ului său, precum colectarea datelor și transmiterea lor către Facebook Ireland, trebuie să furnizeze, la momentul colectării, anumite informații acestor vizitatori, cum ar fi, de exemplu, identitatea sa și scopurile prelucrării. Dacă folosești butonul like de la Facebook, ar trebui să explici acest lucru vizitatorului pe site. Află cum să redactezi și să implementezi corect politica de confidențialitate pe site-ul tău aici

Curtea oferă de asemenea precizări în privința a două dintre cele șase cazuri de prelucrare legitimă a datelor cu caracter personal, prevăzute de directivă.

Astfel, în ceea ce privește cazul în care persoana vizată și-a dat consimțământul, Curtea decide că administratorul unui site internet, cum este Fashion ID, trebuie să obțină acest consimțământ în prealabil (numai) pentru operațiunile în privința cărora este operator asociat, și anume colectarea și transmiterea datelor.

În ceea ce privește cazurile în care prelucrarea de date este necesară pentru realizarea unui interes legitim, Curtea decide că fiecare dintre persoanele care au calitatea de operator asociat în privința prelucrării, și anume administratorul site-ului internet și furnizorul modulului social, trebuie să urmărească, prin intermediul colectării și al transmiterii datelor cu caracter personal, un interes legitim pentru ca aceste operațiuni să fie justificate în privința sa.

 

Te-ar putea interesa și:

Sursa Curia

 


 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

Vrei să înveți cum să implementezi corect GDPR în domeniul medical? Îți recomandăm cursul online creat de specialiștii GDPR în domeniu medical care poate fi accesat aici.

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]