GDPR Practic. Gestionarea relației cu furnizorul de servicii (persoana împuternicită) în 6 pași

Share on facebook
Share on google
Share on twitter
Share on linkedin
gdpr-practic
5/5

Autor Av. Ruxandra Sava, CIPP/e

 

Când folosim termenul de „persoană împuternicită”, trebuie să remarcăm faptul că, de cele mai multe ori, acesta este furnizorul nostru de servicii, care are acces la o bază de date cu caracter personal care ne aparține și care prelucrează datele la instrucțiunile noastre. Este foarte important să implementăm măsurile cerute de GDPR în raport cu persoana împuternicită deoarece, potrivit GDPR, răspundem și putem fi amendați dacă (1) lucrăm cu un furnizor de servicii care nu este conform GDPR; (2) dăm instrucțiuni greșite persoanei împuternicite; (3) nu avem un contract scris cu persoana împuternicită.

Exemple: Compania ABC SRL decide să desfășoare activități de marketing (publicitate comportamentală pe internet). Dacă va desfășura această activitate intern nu va exista o persoană împuternicită, dar dacă va delega această activitate către o companie terță, XYZ SRL, atunci compania terță va avea calitatea de persoană împuternicită, iar relația lor contractuală din punct de vedere RGPD va avea nevoie de anumite măsuri suplimentare.

Cu alte cuvinte, pentru ca o organizație să fie persoană împuternicită, trebuie îndeplinite două cerințe esențiale: organizația trebuie să fie o entitate juridice diferită față de operator și să prelucreze datele în numele operatorului.

În raport cu furnizorul de servicii (persoana împuternicită), trebuie să desfășurăm, potrvit RGPD, cel puțin două acțiuni: 

  • verificarea faptului că furnizorul nostru de servicii prezintă garanții suficiente pentru protecția datelor cu caracter personal. 
  • încheierea acordurilor de prelucrare cu persoana împuternicită, contracte scrise care reglementează sfera relației contractuale din punct de vedere GDPR și este diferit față de contractul de prestări servicii.

În continuare, vom explica cele două acțiuni, iar la final vom propune o procedură în șase pași pentru gestionarea cu succes a relației cu persoana împuternicită.

1. Verificarea persoanei împuternicite

GDPR precizează că operatorul recurge doar la persoane împuternicite care oferă garanţii suficiente pentru punerea în aplicare a unor măsuri tehnice şi organizatorice adecvate care să asigure respectarea GDPR, securitatea și confidențialitatea datelor cu caracter personal şi protecţia datelor persoanei vizate. În practică, acest lucru se poate realiza prin audituri de specialitate, în cazul prelucrărilor care prezintă riscuri (cum ar fi prelucrarea datelor sensibile sau tehnologii care pot avea o intruziune mare în viaţa privată) şi prin chestionare, în situaţia unor prelucrări care nu prezintă riscuri. (un model de chestionar pentru verificarea persoanei împuternicite se regăsește aici). Verificarea persoanei împuternicită nu este un proces singular, ci continuu, operatorul având obligația să verifice în mod continuu măsurile depuse de persoana împuternicită pentru conformitatea la RGPD.

Principiul responsabilității obligă operatorul, să ia toate măsurile necesare pentru a verifica dacă persoana împuternicită prezintă garanții suficiente și să poată demonstra în fața autorității și/sau în fața instanței de judecată că a luat aceste măsuri. De exemplu, operatorul ar putea verifica dacă persoana împuternicită deține documentație adecvată de conformare la GDPR precum politici de confidențialitate, politici de retenție, politici de securitate, certificări, măsuri de securitate etc. 

Dacă în urma auditului rezultă că persoana împuternicită prezintă garanții suficiente se va putea lucra cu aceasta după încheierea unui acord de prelucrare (un model de acord de prelucrare cu persoana împuternicită se regăsește aici). Dacă în urma auditului rezultă că persoana împuternicită nu prezintă garanții suficiente, se va căuta un alt furnizor sau în lipsa unor furnizori pe piață care să prezinte garanții suficiente, se va consulta ANSPDCP.

2. Contractul scris cu persoana împuternicită

GDPR prevede că operatorul trebuie să încheie un contract scris cu persoana împuternicită care să stabilească, printre altele, atribuțiile persoanei împuternicite și reglementarea răspunderii față de persoana vizată. De exemplu, contractul trebuie să precizeze ce se întâmplă cu datele cu caracter personal în momentul încetării contractului. Am discutat pe larg în acest articol despre ce trebuie să cuprindă contractele dintre operatori și persoanele împuternicite, iar un model de contract se regăsește în KIT-ul nostru GDPR aici.

 

3.Procedura de urmat pentru gestionarea cu succes a relației cu persoana împuternicită

Pasul 1.

Creați o listă a tuturor organizațiilor care ar putea avea calitatea de persoană împuternicită și, folosind informațiile teoretice expuse anterior și exemplele oferite, stabiliți care entități au calitatea de persoană îmouternicită în raport cu Organizația dvs. Creați o procedură operațională pentru a gestiona cu succes această relație (un model de astfel de procedură se găsește aici.)

 

 

Pasul 2. 

Luați legătura cu fiecare persoană împuternicită pentru a stabili, în linii mari, cadrul relației din punct de vedere GDPR și, îndeosebi responsabilitatea fiecăruia în vederea protejării datelor cu caracter personal, notificarea incidentelor de securitate, informarea persoanelor vizate și răspunsul la cererea persoanelor vizate, precum și celelalte elemente care ar trebui să se regăsească în contract conform celor expuse anterior sau conform art. 28 din RGPD.  

Pasul 3. 

Verificați dacă persoana împuternicită prezintă garanții suficiente pentru protejarea datelor cu caracter personal și solicitați, dacă este cazul, documentația GDPR și certificările pe care le deține. Puteți utiliza chestionarul din KIT-ul nostru GDPR pentru verificarea acesteia. Ulterior verificării, luați decizia dacă persoana împuternicită prezintă sau nu garanții suficiente. Dacă decizia este pozitivă, mergeți la pasul 4. Dacă decizia este negativă, căutați un alt furnizor sau în lipsa unor furnizori pe piață care să prezinte garanții suficiente, consultați ANSPDCP.

KIT GDPR Premium

 

Pasul 4. 

Redactați drafturile de acorduri de prelucrare cu persoanele împuternicite pentru fiecare entitate în parte potrivit informațiilor și direcțiilor stabilite cu persoanele împuternicite la pașii anteriori și respectând art. 28 din RGPD. Găsiți un șablon de acord de prelucrare în KIT-ul nostru GDPR.

 

Pasul 5.

Propunerea drafturilor de contracte, negocierea lor și încheierea contractelor.

 

 Pasul 6.

Monitorizarea respectării contractelor și modificarea lor prin acte adiționale în măsura în care s-au schimbat anumite elemente ale relației sau au intrat în vigoare noi norme care prevăd necesitatea actualizării contractelor. Procedați la rezilierea contractelor și încetarea relațiilor cu persoanele împuternicite care nu își respect obligațiile asumate sau încalcă dispozițiile RGPD.

 

Te-ar putea interesa și:

 

4. Recomandări suplimentare

Atât operatorul, cât și persoanele împuternicite trebuie să:

  • Analizeze în detaliu relația contractuală cu cealaltă parte pentru a identifica ce calitate deține: operator, persoană împuternicită sau operator asociat.;
  • Să aibă inițiativa încheierii unui acord de prelucrare și să încheie acel acord înainte de a începerea relațiilor contractuale;
  • Să înțeleagă responsabilitățile față de RGPD și să depună eforturi rezonabile pentru implementarea măsurilor tehnice și organizatorice adecvate.

Operatorul trebuie:

  • Să contracteze doar cu persoane împuternicite care oferă garanții suficiente pentru a implementa măsuri tehnice și organizatorice adecvate pentru a îndeplini cerințele RGPD și a respecta drepturile persoanelor vizate.
  • Să se asigure că persoană împuternicită nu deleagă/subcontractează/cesionează contractul fără autorizația scrisă și prealabilă a operatorului;
  • Să se asigure că persoana împuternicită informează operatorul cu privire la orice modificări și îi dă acestuia posibilitatea de a se opune la aceste modificări;
  • Să semneze un acord de prelucrare al datelor cu caracter personal sau alt contract scris care să cuprindă cel puțin clauzele obligatorii de la art. 28 din RGPD.
  • Să se asigure că toate obligațiile impuse persoanei împuternicite sunt impuse mai departe oricărui subcontractant pe care persoana împuternicită îl va utiliza în desfășurarea activității de prelucrare.
  • Să verifice în mod continuu persoana împuternicită cu privire la respectarea GDPR.

 

Persoana împuternicită trebuie:

  • Să documenteze în scris instrucțiunile operatorului pentru a putea demonstra că acționează doar conform instrucțiunilor acestuia din urmă;
  • Dacă dorește să folosească un subcontractant, să ceară autorizația operatorului înainte de a subcontracta;
  • Să furnizeze operatorului toate documentele și informațiile necesare pentru a putea fi verificat de către acesta din urmă și să permită desfășurarea auditurilor;
  • Să țină o evidență a clienților (operatorilor) și să descrie activitățile de prelucrare pe care le desfășoară în numele acestora (un model de astfel de evidență se regăsește în KIT);
  • Să respecte principiile de protecție a datelor, să adopte măsurile de securitate necesare, ca de exemplu să nu colecteze date atunci când nu este necesar, să șteargă datele după o anumită perioadă de timp, să implementeze drepturi diferențiate de acces la bazele de date;
  • Să încheie acorduri de confidențialitate cu angajații și/sau partenerii comerciali;
  • Să notifice operatorul cu privire la orice incident de securitate;
  • La încetarea relației contractuale să șteargă toate datele sau să le returneze către client și să distrugă toate copiile cu excepția situației în care există o obligație legală să le păstreze.
  • Să informeze de urgență clientul (operatorul) în măsura în care consideră că instrucțiunile acestuia încalcă RGPD sau alte legi;
  • Să asiste clientul (operatorul) în formularea răspunsului către persoana vizată în situația în care există o cerere din partea acestei persoane vizate;
  • Să respecte celelalte obligații în temeiul GDPR, ca de exemplu, întocmirea unei evidențe a activităților de prelucrare, numirea unui resposabil cu protecția datelor atunci când este obligatorie numirea acestuia, respectarea drepturilor persoanelor vizate.

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]


Ruxandra Sava

Ruxandra Sava

Pasiunea m-a condus către avocatură. Experiența în jurnalism m-a condus către blogging. Viziunea m-a condus către dreptul tehnologiei. În iunie 2017, am adunat resursele și am fondat LegalUp.ro. Cu o viziune optimistă asupra vieții, în prezent, mă orientez spre descoperirea și depășirea propriilor limite.

Despre LegalUp

LegalUp Innovators at Law. Creativi, vizionari și inovatori, noi avem cea mai bună soluție acolo unde tehnologia se intersectează cu dreptul.

Articole recente

Fii la curent cu noi

Servicii și produse recomandate

Vreau să fiu la curent cu articolele LegalUp

Prin abonarea la newsletter, declari că ai peste 16 ani, că ai citit și că ești de acord cu Politica de confidențialitate 

  • Contract de prelucrare date Operatori Asociați

    350lei
  • Pachet GDPR supraveghere video (CCTV)

    Sale! 500lei 320lei
  • KIT GDPR magazin online

    600lei
  • Termeni si conditii magazin online

    350lei
  • Analiză interes legitim monitorizare CCTV

    190lei
  • Regulamentul General privind Protectia Datelor (GDPR) pe întelesul tău. Sinteză teoretică și recomandări practice. Carte GDPR

    97lei
gdpr-practic-gestionarea-relaiei-cu-furnizorul-de-servicii-persoana-mputernicit-n-6-pai-legalup

Ești în siguranță pe site-ul nostru.

LegalUp Innovators at Law utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru. Te informăm că ne-am actualizat politicile pentru a integra în acestea si în activitatea curentă a LegalUp.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politica privind utilizarea modulelor Cookie și Politica noastră de confidențialitate. Nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookies.

Privacy Settings saved!
Setari permisiuni

Cookie-urile sunt folosite pe acest site pentru a oferi cea mai bună experiență de utilizator. Dacă continuați, presupunem că sunteți de acord să primiți cookie-uri de pe acest site

Utilizăm fișiere de tip cookie pentru a personaliza și imbunătăți experiența ta pe website-ul nostru.

Utilizăm fișiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe website-ul nostru.
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Decline all Services
Da, Sunt de acord