Autor Miruna – Casiana Dumitrașcu
Ce trebuie sã știm despre contractul încheiat între operatori și persoanele imputernicite?
- Ori de câte ori un operator utilizează un tert pentru prelucrarea datelor cu caracter personal, trebuie să aibă un contract în acest sens.
- Contractul este important pentru ca ambele părți să-și înțeleagă responsabilitățile și rãspunderea pe care o au.
- GDPR stabilește ce trebuie să fie inclus în contract.
- Pe viitor, clauzele contractuale standard pot fi furnizate de către Comisia Europeană și pot face parte din sistemele de certificare.
- Cu toate acestea, în prezent NU au fost elaborate clauze standard.
- Operatorii sunt responsabili pentru conformitatea cu GDPR și trebuie să numească numai persoane împuternicite care pot oferi “garanții suficiente” pentru ca cerințele GDPR să fie respectate și drepturile persoanelor vizate să fie protejate. În viitor, utilizarea unui prelucrãtor care aderă la un cod de conduită aprobat sau la o schemă de certificare poate ajuta controlorii să îndeplinească această cerință – deși din nou, astfel de scheme NU sunt disponibile în prezent.
- Persoanele împuternicite trebuie să acționeze numai pe instrucțiunile din partea unui operator. Cu toate acestea, aceștia vor avea anumite responsabilități directe în cadrul GDPR și pot face obiectul unor amenzi sau alte sancțiuni dacă nu se conformează.
Ce este de făcut?
Contractele trebuie sã conținã:
- obiectul și durata prelucrării;
- natura și scopul prelucrării;
- tipul de date cu caracter personal și categoriile de persoane vizate;
- obligațiile și drepturile operatorului.
Contractele conțin urmãtorii termeni obligatorii:
- persoana împuternicită trebuie să acționeze DOAR pe baza instrucțiunilor scrise ale operatorului (cu excepția cazului în care legea solicită să acționeze fără astfel de instrucțiuni);
- persoana împuternicită trebuie să se asigure că persoanele care prelucrează datele sunt supuse unei obligații de confidențialitate;
- persoana împuternicită trebuie să ia măsurile adecvate pentru a asigura securitatea prelucrării;
- persoana împuternicită trebuie să angajeze un subimputernicit numai cu acordul prealabil al operatorului de date și un contract scris;
- persoana împuternicită trebuie să ajute operatorului de date în asigurarea accesului persoanei și să permită persoanelor vizate să-și exercite drepturile în temeiul RGPD;
- persoana împuternicită trebuie să asiste operatorul de date în îndeplinirea obligațiilor GDPR în ceea ce privește securitatea prelucrării, notificarea încălcărilor securitãții datelor cu caracter personal și evaluările impactului asupra protecției datelor;
- persoana împuternicită trebuie să șteargã sau să transmitã toate datele cu caracter personal către operator, așa cum se solicită la sfârșitul contractului;
- persoana împuternicită trebuie să prezinte informațiile cerute la nivelul inspecțiilor, să furnizeze operatorului orice informație necesară pentru a se asigura că ambii îndeplinesc obligațiile prevăzute în articolul 28 și să le comunice imediat operatorului dacă i se cere să facă ceva care încalcă GDPR sau alte legi privind protecția datelor a UE sau a unui stat membru.
Ca o chestiune de bună practică, contractele:
- Precizeazã că nimic din acesta NU-l scutește pe persoana împuternicită de responsabilitățile și obligațiile sale directe în cadrul GDPR;
- Conține indemnizațiile ce au fost stabilite de părți.
Responsabilitãțile și rãspunderea persoanelor împuternicite
În plus față de obligațiile contractuale prevăzute la articolul 28.3 din lista de verificare a contractelor de operatori și de persoana împuternicită, o persoana împuternicită are următoarele responsabilități directe în cadrul GDPR. Persoana împuternicită trebuie:
- să acționeze DOAR pe baza instrucțiunilor scrise ale operatorului (articolul 29);
- să NU utilizeze un subprelucrãtor fără autorizarea scrisă prealabilă a operatorului (articolul 28.2);
- cooperează cu autoritățile de supraveghere în conformitate cu articolul 31;
- asigură securitatea prelucrării sale în conformitate cu articolul 32;
- să țină evidența activităților sale de prelucrare în conformitate cu articolul 30.2;
- să notifice controlorului o încălcare a securitãții datelor cu caracter personal în conformitate cu articolul 33;
- să angajeze un ofițer de protecție a datelor, dacă este necesar, în conformitate cu articolul 37; și
- desemnează (în scris) un reprezentant în cadrul Uniunii Europene, dacă este necesar, în conformitate cu articolul 27.
O persoana împuternicită ar trebui sã fie conștientă cã:
- acesta poate fi supus verificãrii potrivit competențelor de investigare și corectare a autorităților de supraveghere în temeiul articolului 58 din GDPR;
- în cazul în care NU își îndeplinește obligațiile, poate fi supus unei amenzi administrative conform articolului 83 din GDPR;
- în cazul în care NU îndeplinește obligațiile GDPR, aceasta poate fi supusă unei sancțiuni în temeiul articolului 84 din GDPR;
- în cazul în care NU îndeplinește obligațiile GDPR, poate fi obligat să plătească despăgubiri în temeiul articolului 82 din GDPR.
Pe scurt…
- GDPR face contracte scrise între operatori și persoane împuternicite – este o cerință generală, și nu doar o modalitate de a demonstra conformitatea cu cel de-al șaptelea principiu de protecție a datelor (măsurile de securitate corespunzătoare) în cadrul DPA.
- Aceste contracte trebuie să includă, în prezent, niște termeni specifici.
- Acești termeni sunt concepuți pentru a se asigura că procesarea efectuată de o persoana împuternicită îndeplinește toate cerințele GDPR (nu numai cele legate de păstrarea datelor cu caracter personal securizate).
- GDPR permite clauzelor contractuale standard ale Comisiei Europene sau ale unei autorități de supraveghere să fie utilizate în contractele dintre operatori și persoane împuternicite- deși nu a fost elaborat până în prezent unul.
- GDPR prevede că aderarea unui subimputernicit la un cod de conduită aprobat sau la o schemă de certificare poate fi utilizată pentru a ajuta operatorii să demonstreze că au ales o persoana imputernicită adecvată. Clauzele contractuale standard pot face parte dintr-un astfel de cod sau schemă, deși, din nou, nu sunt disponibile în prezent scheme.
- GDPR oferă prelucrãtorilor responsabilități, iar persoana imputernicită și operatorii pot fi acum obligați să plătească despăgubiri sau să fie supuși unor amenzi sau altor sancțiuni.
Când este necesar un contract?
Ori de câte ori un operator utilizează o persoana imputernicită (un terț care prelucrează date cu caracter personal în numele operatorului), trebuie să aibă un contract scris în vigoare. În mod similar, dacă o persoana imputernicită utilizează o alta persoana imputernicita, trebuie să aibă un contract scris în vigoare.
De ce sunt importante contractele între operatori și persoane imputernicite ?
Contractele dintre operatori și persoane imputernicite asigură înțelegerea obligațiilor din ambele pãrți, drepturile și obligații. Ei îi ajută să se conformeze GDPR și să ajute operatorii să demonstreze conformitatea cu GDPR. Utilizarea contractelor de către operatori și persoane imputernicite poate, de asemenea, să crească încrederea persoanelor vizate în gestionarea datelor lor cu caracter personal.
Ce trebuie să fie inclus în contract?
Contractele trebuie să stabilească obiectul și durata prelucrării, natura și scopul prelucrării, tipul de date cu caracter personal și categoriile de persoane vizate, precum și obligațiile și drepturile operatorului.
Contractele trebuie să includă clauze care să solicite persoanei imputernicite sã:
- să acționeze DOAR pe baza instrucțiunilor scrise ale operatorului;
- să se asigure că persoanele care prelucrează datele sunt supuse unei obligații de confidențialitate;
- ia măsurile adecvate pentru a asigura securitatea prelucrării;
- să angajeze subimputerniciti NUMAI cu acordul prealabil al operatorului și în baza unui contract scris;
- să asiste operatorul în asigurarea accesului persoanelor vizate și să le permită să-și exercite drepturile în temeiul GDPR;
- sã asiste operatorul în îndeplinirea obligațiilor GDPR în ceea ce privește securitatea prelucrării, notificarea încălcărilor de date cu caracter personal și evaluările impactului asupra protecției datelor;
- șteargã sau transmitã toate datele cu caracter personal către operator, după cum se solicită la sfârșitul contractului;
- să prezinte controalelor și inspecțiilor informațiile, să furnizeze operatorului orice informație necesară pentru a se asigura că ambii îndeplinesc obligațiile prevăzute la articolul 28 și să informeze imediat operatorului în cazul în care i se cere să facă ceva care încalcă GDPR sau alte legi privind protecția datelor din UE sau un stat membru.
Pot fi folosite clauze standard de contracte?
GDPR permite ca clauzele contractuale standard ale Comisiei Europene sau ale unei autorități de supraveghere să fie utilizate în contractele încheiate între operatori și persoane imputernicite. Cu toate acestea, NU sunt disponibile clauze standard.
De asemenea, GDPR permite ca aceste clauze contractuale standard să facă parte dintr-un cod de conduită sau mecanism de certificare pentru a demonstra prelucrarea conformă. Cu toate acestea, în prezent NU sunt disponibile scheme.
Ce responsabilități au persoanele imputernicite?
O persoana imputernicita trebuie să acționeze numai pe baza instrucțiunilor operatorului. Dacă o persoană imputernicita determină scopul și mijloacele de prelucrare (mai degrabă decât să acționeze numai conform instrucțiunilor operatorului), atunci acesta va fi considerat a fi un operator și va avea aceeași răspundere ca un operator.
Pe lângă obligațiile contractuale față de operator, în cadrul GDPR o persoana imputernicita are, de asemenea, următoarele responsabilități directe:
- să NU utilizeze un subimputernicit fără autorizarea scrisă prealabilă a operatorului;
- să coopereze cu autoritățile de supraveghere;
- sã asigure securitatea prelucrarii;
- să țină evidența activităților de prelucrare;
- să notifice administratorilor de date orice încălcări a securitãții datelor cu caracter personal;
- să angajeze un responsabil cu protectia datelor;
- să numească (în scris) un reprezentant în cadrul Uniunii Europene, dacă este necesar.
Dacă o persoanã imputernicitã NU îndeplinește oricare dintre aceste obligații sau acționează în afara sau împotriva instrucțiunilor operatorului, acesta poate fi obligat să plătească despăgubiri în procedurile judiciare sau să facă obiectul unor amenzi sau al altor sancțiuni sau măsuri corective.
Dacă o persoana persoanã imputernicitã folosește un subimputernicit, atunci, ca persoana imputernicita va rămâne direct răspunzător față de operator pentru îndeplinirea obligațiilor subimputernicitului.
SURSA