Persoana împuternicită este definită de GDPR drept „persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului”.
În general, persoana împuternicită de operator va fi și operator de date în legătură cu prelucrarea pe care o efectuează în scopurile proprii, de exemplu, prelucrarea datelor angajaților sau a clienților.
Persoanele împuternicite sunt foarte diverse în actualul context economic, de la companiile de HR, contabilitate, programele de facturare, furnizorii de servicii IT, până la clinicile medicale care au acces la datele medicale ale angajaților.
Exemplu: O fabrică de bere are numeroși angajați. Aceasta semnează un contract cu o societate de administrare a statelor de plată, pentru efectuarea plății salariilor angajaților. Fabrica de bere îi spune societății de administrare a statelor de plată când trebuie plătite salariile, când un angajat părăsește fabrica sau primește o mărire de salariu și îi furnizează toate celelalte date pentru fluturașul de salariu și pentru plată. Societatea de administrare a statelor de plată furnizează sistemul informatic și stochează datele angajaților. Fabrica de bere este operatorul de date, iar societatea de administrare a statelor de plată este persoana împuternicită de operator.
Exemplu: Un magazin online are numeroși clienți. Acesta decide să externalizeze contabilitatea și încheie un contract cu o firmă de contabilitate, căreia îi transmite periodic documente contabile, o parte din ele conținând și date personale ale clienților, precum numele, prenumele, adresa. Magazinul online va fi operatorul de date, iar firma de contabilitate va fi persoana împuternicită.
Implementează GDPR rapid, simplu și eficient!
O trăsătură comună au aceste persoane împuternicite: ele prelucrează datele provenite de la clienții lor doar pentru aceștia din urmă. Atâta timp cât respectă acest lucru și nu prelucrează datele în scopuri proprii, ele au mai puține obligații de respectat pe GDPR.
Dacă se abat de la această regulă și prelucreze datele în alte scopuri, vor fi transformați în operatori și vor avea obligația respectării celorlalte dispoziții ale GDPR, dar sunt pasibili și de a fi sancționați pentru nerespectarea obligației de a prelucra numai pentru scopul operatorului.
Exemplu: O firmă de organizări evenimente organizează, la cererea clientului său, o societate de avocatură, o conferință cu o temă juridică. Firma de organizări evenimente va colecta datele participanților la evenimente doar în scopul indicat de către societatea de avocatură, respectiv pentru organizarea conferinței. În cazul în care, peste o anumită perioadă de timp, firma de organizări organizează un eveniment similar și se gândește să îl promoveze, transmițând e-mailuri participanților la conferința juridică, iese din sfera persoanei împuternicite și se transformă în operator. În acest caz, va fi obligată să respecte toate cerințele impuse de GDPR operatorului. Cu toate acestea, o astfel prelucrarea va fi ilegală.
Te-ar putea interesa și:
