Autor Av. Ruxandra Sava, CIPP/e
Când folosim termenul de „persoană împuternicită”, trebuie să remarcăm faptul că, de cele mai multe ori, acesta este furnizorul nostru de servicii, care are acces la o bază de date cu caracter personal care ne aparține și care prelucrează datele la instrucțiunile noastre. Este foarte important să implementăm măsurile cerute de GDPR în raport cu persoana împuternicită deoarece, potrivit GDPR, răspundem și putem fi amendați dacă (1) lucrăm cu un furnizor de servicii care nu este conform GDPR; (2) dăm instrucțiuni greșite persoanei împuternicite; (3) nu avem un contract scris cu persoana împuternicită.
Exemple: Compania ABC SRL decide să desfășoare activități de marketing (publicitate comportamentală pe internet). Dacă va desfășura această activitate intern nu va exista o persoană împuternicită, dar dacă va delega această activitate către o companie terță, XYZ SRL, atunci compania terță va avea calitatea de persoană împuternicită, iar relația lor contractuală din punct de vedere RGPD va avea nevoie de anumite măsuri suplimentare.
Cu alte cuvinte, pentru ca o organizație să fie persoană împuternicită, trebuie îndeplinite două cerințe esențiale: organizația trebuie să fie o entitate juridice diferită față de operator și să prelucreze datele în numele operatorului.
În raport cu furnizorul de servicii (persoana împuternicită), trebuie să desfășurăm, potrvit RGPD, cel puțin două acțiuni:
- verificarea faptului că furnizorul nostru de servicii prezintă garanții suficiente pentru protecția datelor cu caracter personal.
- încheierea acordurilor de prelucrare cu persoana împuternicită, contracte scrise care reglementează sfera relației contractuale din punct de vedere GDPR și este diferit față de contractul de prestări servicii.
În continuare, vom explica cele două acțiuni, iar la final vom propune o procedură în șase pași pentru gestionarea cu succes a relației cu persoana împuternicită.
1. Verificarea persoanei împuternicite
GDPR precizează că operatorul recurge doar la persoane împuternicite care oferă garanţii suficiente pentru punerea în aplicare a unor măsuri tehnice şi organizatorice adecvate care să asigure respectarea GDPR, securitatea și confidențialitatea datelor cu caracter personal şi protecţia datelor persoanei vizate. În practică, acest lucru se poate realiza prin audituri de specialitate, în cazul prelucrărilor care prezintă riscuri (cum ar fi prelucrarea datelor sensibile sau tehnologii care pot avea o intruziune mare în viaţa privată) şi prin chestionare, în situaţia unor prelucrări care nu prezintă riscuri. (un model de chestionar pentru verificarea persoanei împuternicite se regăsește aici). Verificarea persoanei împuternicită nu este un proces singular, ci continuu, operatorul având obligația să verifice în mod continuu măsurile depuse de persoana împuternicită pentru conformitatea la RGPD.
Principiul responsabilității obligă operatorul, să ia toate măsurile necesare pentru a verifica dacă persoana împuternicită prezintă garanții suficiente și să poată demonstra în fața autorității și/sau în fața instanței de judecată că a luat aceste măsuri. De exemplu, operatorul ar putea verifica dacă persoana împuternicită deține documentație adecvată de conformare la GDPR precum politici de confidențialitate, politici de retenție, politici de securitate, certificări, măsuri de securitate etc.
Dacă în urma auditului rezultă că persoana împuternicită prezintă garanții suficiente se va putea lucra cu aceasta după încheierea unui acord de prelucrare (un model de acord de prelucrare cu persoana împuternicită se regăsește aici). Dacă în urma auditului rezultă că persoana împuternicită nu prezintă garanții suficiente, se va căuta un alt furnizor sau în lipsa unor furnizori pe piață care să prezinte garanții suficiente, se va consulta ANSPDCP.
2. Contractul scris cu persoana împuternicită
GDPR prevede că operatorul trebuie să încheie un contract scris cu persoana împuternicită care să stabilească, printre altele, atribuțiile persoanei împuternicite și reglementarea răspunderii față de persoana vizată. De exemplu, contractul trebuie să precizeze ce se întâmplă cu datele cu caracter personal în momentul încetării contractului. Am discutat pe larg în acest articol despre ce trebuie să cuprindă contractele dintre operatori și persoanele împuternicite, iar un model de contract se regăsește în KIT-ul nostru GDPR aici.
3.Procedura de urmat pentru gestionarea cu succes a relației cu persoana împuternicită
Pasul 1.
Creați o listă a tuturor organizațiilor care ar putea avea calitatea de persoană împuternicită și, folosind informațiile teoretice expuse anterior și exemplele oferite, stabiliți care entități au calitatea de persoană îmouternicită în raport cu Organizația dvs. Creați o procedură operațională pentru a gestiona cu succes această relație (un model de astfel de procedură se găsește aici.)
Pasul 2.
Luați legătura cu fiecare persoană împuternicită pentru a stabili, în linii mari, cadrul relației din punct de vedere GDPR și, îndeosebi responsabilitatea fiecăruia în vederea protejării datelor cu caracter personal, notificarea incidentelor de securitate, informarea persoanelor vizate și răspunsul la cererea persoanelor vizate, precum și celelalte elemente care ar trebui să se regăsească în contract conform celor expuse anterior sau conform art. 28 din RGPD.
Pasul 3.
Verificați dacă persoana împuternicită prezintă garanții suficiente pentru protejarea datelor cu caracter personal și solicitați, dacă este cazul, documentația GDPR și certificările pe care le deține. Puteți utiliza chestionarul din KIT-ul nostru GDPR pentru verificarea acesteia. Ulterior verificării, luați decizia dacă persoana împuternicită prezintă sau nu garanții suficiente. Dacă decizia este pozitivă, mergeți la pasul 4. Dacă decizia este negativă, căutați un alt furnizor sau în lipsa unor furnizori pe piață care să prezinte garanții suficiente, consultați ANSPDCP.
Pasul 4.
Redactați drafturile de acorduri de prelucrare cu persoanele împuternicite pentru fiecare entitate în parte potrivit informațiilor și direcțiilor stabilite cu persoanele împuternicite la pașii anteriori și respectând art. 28 din RGPD. Găsiți un șablon de acord de prelucrare în KIT-ul nostru GDPR.
Pasul 5.
Propunerea drafturilor de contracte, negocierea lor și încheierea contractelor.
Pasul 6.
Monitorizarea respectării contractelor și modificarea lor prin acte adiționale în măsura în care s-au schimbat anumite elemente ale relației sau au intrat în vigoare noi norme care prevăd necesitatea actualizării contractelor. Procedați la rezilierea contractelor și încetarea relațiilor cu persoanele împuternicite care nu își respect obligațiile asumate sau încalcă dispozițiile RGPD.
Te-ar putea interesa și:
4. Recomandări suplimentare
Atât operatorul, cât și persoanele împuternicite trebuie să:
- Analizeze în detaliu relația contractuală cu cealaltă parte pentru a identifica ce calitate deține: operator, persoană împuternicită sau operator asociat.;
- Să aibă inițiativa încheierii unui acord de prelucrare și să încheie acel acord înainte de a începerea relațiilor contractuale;
- Să înțeleagă responsabilitățile față de RGPD și să depună eforturi rezonabile pentru implementarea măsurilor tehnice și organizatorice adecvate.
Operatorul trebuie:
- Să contracteze doar cu persoane împuternicite care oferă garanții suficiente pentru a implementa măsuri tehnice și organizatorice adecvate pentru a îndeplini cerințele RGPD și a respecta drepturile persoanelor vizate.
- Să se asigure că persoană împuternicită nu deleagă/subcontractează/cesionează contractul fără autorizația scrisă și prealabilă a operatorului;
- Să se asigure că persoana împuternicită informează operatorul cu privire la orice modificări și îi dă acestuia posibilitatea de a se opune la aceste modificări;
- Să semneze un acord de prelucrare al datelor cu caracter personal sau alt contract scris care să cuprindă cel puțin clauzele obligatorii de la art. 28 din RGPD.
- Să se asigure că toate obligațiile impuse persoanei împuternicite sunt impuse mai departe oricărui subcontractant pe care persoana împuternicită îl va utiliza în desfășurarea activității de prelucrare.
- Să verifice în mod continuu persoana împuternicită cu privire la respectarea GDPR.
Persoana împuternicită trebuie:
- Să documenteze în scris instrucțiunile operatorului pentru a putea demonstra că acționează doar conform instrucțiunilor acestuia din urmă;
- Dacă dorește să folosească un subcontractant, să ceară autorizația operatorului înainte de a subcontracta;
- Să furnizeze operatorului toate documentele și informațiile necesare pentru a putea fi verificat de către acesta din urmă și să permită desfășurarea auditurilor;
- Să țină o evidență a clienților (operatorilor) și să descrie activitățile de prelucrare pe care le desfășoară în numele acestora (un model de astfel de evidență se regăsește în KIT);
- Să respecte principiile de protecție a datelor, să adopte măsurile de securitate necesare, ca de exemplu să nu colecteze date atunci când nu este necesar, să șteargă datele după o anumită perioadă de timp, să implementeze drepturi diferențiate de acces la bazele de date;
- Să încheie acorduri de confidențialitate cu angajații și/sau partenerii comerciali;
- Să notifice operatorul cu privire la orice incident de securitate;
- La încetarea relației contractuale să șteargă toate datele sau să le returneze către client și să distrugă toate copiile cu excepția situației în care există o obligație legală să le păstreze.
- Să informeze de urgență clientul (operatorul) în măsura în care consideră că instrucțiunile acestuia încalcă RGPD sau alte legi;
- Să asiste clientul (operatorul) în formularea răspunsului către persoana vizată în situația în care există o cerere din partea acestei persoane vizate;
- Să respecte celelalte obligații în temeiul GDPR, ca de exemplu, întocmirea unei evidențe a activităților de prelucrare, numirea unui resposabil cu protecția datelor atunci când este obligatorie numirea acestuia, respectarea drepturilor persoanelor vizate.