Pentru a înțelege ce au de făcut concret în temeiul GDPR, companiile trebuie să afle dacă sunt operator de date, persoane împuternicite sau operatori asociați. În acest articol vom explica aceste noțiuni, iar într-un material viitor vom spune ce au de făcut companiile concret în funcție de rolul pe care îl au: operator de date, persoană împuternicită și/sau operator asociat.
Pe scurt
- A înțelege rolul dumneavoastră în legătură cu datele cu caracter personal pe care le prelucrați este esențial pentru asigurarea respectării RGPD și a tratamentului echitabil al persoanelor.
- Obligațiile dumneavoastră în temeiul RGPD vor varia în funcție de calitatea pe o aveți: operator, operator asociat sau persoană împuternicită de operator.
- În temeiul RGPD, ANSPDCP are competența de a lua măsuri împotriva operatorilor și persoanelor împuternicite de aceștia. Persoanele pot introduce plângeri pentru compensații și despăgubiri atât împotriva operatorilor, cât și a persoanelor împuternicite de aceștia.
- Ar trebui să acordați timp evaluării și documentării situației fiecărei organizații cu care lucrați în ceea ce privește toate datele cu caracter personal și activitățile de prelucrare pe care le desfășurați.
- Calitatea de operator sau de persoană împuternicită de operator depinde de mai multe aspecte. Întrebarea-cheie este: cine stabilește scopurile în care sunt prelucrate datele și mijloacele de prelucrare?
- Organizațiile care stabilesc scopurile și mijloacele de prelucrare vor avea calitatea de operatori indiferent de modul în care sunt descrise serviciile de prelucrare în contract.
Te-ar putea interesa și:
Operator de date, persoană împuternicită sau operator asociat?
Următoarele liste de verificare stabilesc indicatorii conform cărora sunteți un operator de date, o persoană împuternicită de operator sau un operator asociat. Cu cât bifați mai multe puncte, cu atât probabilitatea de a vă încadra în categoria relevantă este mai mare.
Suntem operator de date?
- Am decis să colectăm sau să prelucrăm date cu caracter personal.
- Am decis care este scopul sau rezultatul prelucrării.
- Am decis ce date cu caracter personal ar trebui colectate.
- Am decis în privința căror persoane colectăm date cu caracter personal.
- Obținem un câștig comercial sau un alt beneficiu din prelucrare, cu excepția plăților pentru servicii prestate de un alt operator.
- Prelucrăm datele cu caracter personal ca o consecință a unui contract dintre noi și persoana vizată.
- Persoanele vizate sunt angajații noștri.
- Luăm decizii în privința persoanelor vizate ca parte sau ca rezultat al prelucrării.
- Emitem opinii profesionale în cadrul activității de prelucrare a datelor cu caracter personal.
- Avem o relație directă cu persoanele vizate.
- Avem autonomie totală cu privire la modul în care sunt prelucrate datele cu caracter personal.
- Am desemnat persoanele împuternicite de operatori să prelucreze datele cu caracter personal în numele nostru.
Te-ar putea interesa și:
Suntem operatori asociați?
- Avem un obiectiv comun cu alții în ceea ce privește prelucrarea.
- Prelucrăm date cu caracter personal în aceleași scopuri ca un alt operator.
- Folosim același set de date cu caracter personal (de exemplu, o bază de date) pentru această prelucrare ca un alt operator.
- Am conceput acest proces împreună cu un alt operator.
- Avem norme comune de management al informațiilor cu un alt operator.
Suntem persoane împuternicite de operator?
- Urmăm instrucțiunile altei persoane privind prelucrarea datelor cu caracter personal.
- Am primit datele cu caracter personal din partea unui client sau o terță persoană similară ori ni s-a spus ce date să colectăm.
- Nu decidem să colectăm date cu caracter personal de la persoane.
- Nu decidem ce date cu caracter personal ar trebui colectate de la persoane.
- Nu decidem temeiul juridic pentru utilizarea datelor respective.
- Nu decidem scopul sau scopurile în care datele vor fi folosite.
- Nu decidem divulgarea datelor sau persoanele cărora aceste date vor fi divulgate.
- Nu decidem durata pentru care aceste date sunt păstrate.
- Putem lua unele decizii privind modul de prelucrare a datelor, dar punem în aplicare aceste decizii în baza unui contract încheiat cu altcineva.
- Nu suntem interesați de rezultatul final al prelucrării.
Ce înseamnă operator de date și persoană împuternicită de operator?
Operatorii sunt principalii factori de decizie; aceștia exercită un control general asupra scopurilor și mijloacelor prelucrării datelor cu caracter personal.
În cazul în care doi sau mai mulți operatori stabilesc în comun scopurile și mijloacele de prelucrare ale acelorași date cu caracter personal, atunci aceștia sunt operatori asociați. Cu toate acestea, ei nu sunt operatori asociați dacă prelucrează aceleași date în scopuri diferite.
Persoanele împuternicite de operatori acționează în numele și doar la instrucțiunile operatorilor în cauză.
Cum stabiliți dacă sunteți un operator de date sau o persoană împuternicită de operator?
Ar trebui să puteți distinge între operatori, operatori asociați și persoane împuternicite de operatori pentru a înțelege ce obligații RGPD se aplică în fiecare caz.
Pentru a determina dacă sunteți un operator de date sau o persoană împuternicită de operator, trebuie să vă analizați rolul și responsabilitățile în legătură cu activitățile de prelucrare a datelor pe care le desfășurați.
Dacă exercitați un control general asupra scopului și mijloacelor de prelucrare a datelor cu caracter personal, cu alte cuvinte dacă decideți ce date sunt prelucrate și de ce, sunteți un operator.
Dacă nu urmăriți niciun scop personal în prelucrarea datelor și acționați doar la instrucțiunile unui client, sunteți probabil o persoană împuternicită, chiar dacă luați unele decizii tehnice despre modul în care prelucrați datele.
Ce înseamnă că sunteți operator de date?
Operatorii au cel mai ridicat nivel de responsabilitate a conformității. Trebuie să vă conformați și să demonstrați respectarea tuturor principiilor privind protecția datelor, precum și a cerințelor RGPD. De asemenea, sunteți responsabil pentru conformitatea persoanei (persoanelor) împuternicite de dumneavoastră.
Autoritățile de supraveghere (precum ANSPDCP) și persoanele fizice pot lua măsuri împotriva unui operator în cazul încălcării obligațiilor sale, inclusiv amenzi contravenționale.
Ce înseamnă că sunteți o persoană împuternicită de operator?
Persoanele împuternicite de operatori nu au aceleași obligații ca operatorii în temeiul RGPD. Cu toate acestea, dacă sunteți o persoană împuternicită de operator, aveți într-adevăr o serie de obligații directe în temeiul RGPD.
Atât autoritățile de supraveghere (precum ANSPDCP), cât și persoanele fizice pot lua măsuri împotriva unei persoane împuternicite de operator pentru încălcarea acestor obligațiilor.
Ce înseamnă că sunteți operatori asociați?
Operatorii asociați trebuie să decidă care dintre ei va avea responsabilitatea primară de respectare a obligațiilor prevăzute în RGPD și, în special, a obligațiilor de transparență și a drepturilor persoanelor. Aceștia ar trebui să pună la dispoziția persoanelor aceste informații.
Cu toate acestea, toți operatorii asociați rămân responsabili pentru conformarea cu obligațiile operatorului în conformitate cu RGPD. Atât autoritățile de supraveghere, cât și persoanele fizice pot lua măsuri împotriva oricărui operator pentru încălcarea acestor obligații. Mai multe despre ce obligații aveți în calitatea de operator asociat puteți afla citind acest articol.
Sursa: ICO