Cine este persoana împuternicită de operator (furnizorul de servicii)?
Persoana împuternicită este definită de GDPR drept „persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului”[1]
În general, persoana împuternicită de operator va fi și operator de date în legătură cu prelucrarea pe care o efectuează în scopurile proprii, de exemplu, prelucrarea datelor angajaților sau a clienților.
Persoanele împuternicite sunt foarte diverse în actualul context economic, de la companiile de HR, contabilitate, programele de facturare, furnizorii de servicii IT, până la clinicile medicale care au acces la datele medicale ale angajaților.
Exemplu: O fabrică de bere are numeroși angajați. Aceasta semnează un contract cu o societate de administrare a statelor de plată, pentru efectuarea plății salariilor angajaților. Fabrica de bere îi spune societății de administrare a statelor de plată când trebuie plătite salariile, când un angajat părăsește fabrica sau primește o mărire de salariu și îi furnizează toate celelalte date pentru fluturașul de salariu și pentru plată. Societatea de administrare a statelor de plată furnizează sistemul informatic și stochează datele angajaților. Fabrica de bere este operatorul de date, iar societatea de administrare a statelor de plată este persoana împuternicită de operator. Exemplu: Un magazin online are numeroși clienți. Acesta decide să externalizeze contabilitatea și încheie un contract cu o firmă de contabilitate, căreia îi transmite periodic documente contabile, o parte din ele conținând și date personale ale clienților, precum numele, prenumele, adresa. Magazinul online va fi operatorul de date, iar firma de contabilitate va fi persoana împuternicită.
Contractul dintre operator și persoana împuternicită (furnizorul de servicii)
GDPR cere ca între operator și persoana împuternicită să existe un contract care: [1]
- stabilește obiectul și durata prelucrării;
- stabilește natura și scopul prelucrării;
- prevede tipul de date cu caracter personal;
- stabilește categoriile de persoane vizate;
- stabilește obligațiile și drepturile operatorului.
Respectivul contract prevede în principiu că persoana împuternicită:
- prelucrează datele personale numai pe baza instrucțiunilor operatorului, neputând să se abată de la ele;
- se asigură că persoanele autorizate să prelucreze datele cu caracter personal s-au angajat să respecte confidențialitatea;
- adoptă toate măsurile necesare în conformitate cu articolul 32 din Regulament (pseudonimizarea și criptarea datelor cu caracter personal, confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor, restabilirea disponibilității datelor în cazul unui incident de securitate, testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării);
- nu recrutează o altă persoană să prelucreze datele fără acordul scris și prealabil al operatorului;
- răspunde pentru persoana pe care o recrutează;
- oferă asistență operatorului pentru a răspunde cererile persoanelor vizate;
- oferă asistență operatorului cu privire incidentele de securitate și evaluările de impact;
- șterge sau returnează operatorului toate datele cu caracter personal după încetarea furnizării serviciilor legate de prelucrare;
- permite desfășurarea auditurilor, inclusiv a inspecțiilor, efectuate de operator sau alt auditor mandatat și contribuie la acestea.
În practică, poate fi un contract, o anexă la contract, un act adițional sau clauze incluse în contractele de prestări servicii. GDPR nu spune cine trebuie să inițieze acest contract, însă opinia majoritară este în sensul în care, ambii actori, și operatorul și persoana împuternicită au sarcina inițierii.
[1] Art. 26 alin. (3) din Regulamentul (EU) 679/2016.
[1] Art. (4) pct. 8 din Regulamentul (EU) 679/2016.