Rațiunile comerciale determină companiile să pună la comun resurse pentru a pune la cale un proiect, însă aceste proiecte comune au, în unele situații, implicații în sfera GDPR în măsura în care companiile împart baze de date, stabilind împreună scopurile și mijloacele prelucrării datelor cu caracter personal.
Pentru o protecție adecvată a datelor cu caracter personal ale persoanelor vizate prelucrate împreună de către operatorii asociați, este obligatoriu ca fiecare operator asociat să respecte obligațiile impuse de GDPR și, mai mult decât atât, să stabilească un cadru general privind responsabilitatea fiecăruia față de persoanele vizate, ca de exemplu, cine informează și cine răspunde la cererile persoanelor vizate în temeiul GDPR.
Relațiile entităților angajate în protecția datelor iau naștere și se dezvoltă în medii complexe, dar, oricând de complexe ar fi aceste medii, este important ca rolurile și responsabilitățile fiecărui operator asociat să fie distribuite în mod clar pentru a da eficiență legislației europene și naționale privind protecția datelor cu caracter personal.
Însă, înainte de a intra în subiectul gestionării eficiente a relației dintre operatorii asociați, trebuie să pornim de la o întrebare esențială: „Există o relație de operatori asociați?”. Pentru a răspunde la această întrebare, Fostul Grup de Lucru Art. 29, actual Comitet European pentru Protecția Datelor recomandă să se identifice dacă există sau nu un „control comun” asupra prelucrării datelor cu caracter personal. Dacă există acest control comun, entitățile vor fi într-o relație de operatori asociați, în caz contrar fiecare va avea calitatea de operator independent.
Exemplu #1: Amplasarea unor camere CCTV
O Organizație încheie un contract cu o societate de securitate pentru amplasarea unor camera CCTV în interiorul imobilelor unde există sediile și punctele de lucru. Având în vedere că scopul monitorizării CCTV și modalitatea în care datele personale (imaginile) sunt prelucrare (colectate, stocate etc) rămân în sarcina exclusivă a Organizației, Organizația este operator independent pentru această activitate de prelucrare, iar între părți nu există o relație de operatori asociați.
Exemplul #2: Agenție de turism
O agenție de turism, un hotel și un operator de servicii aeriene decid să construiască un site comun pentru procesarea mai eficientă a călătoriile. Acestea convin asupra elementelor importante ale mijloacelor care vor fi utilizate, cum ar fi datele care vor fi stocate, modul în care vor fi alocate și confirmate rezervările și persoanele care pot avea acces la informațiile stocate. Mai mult, ele hotărăsc să împartă baza de date a clienților pentru acțiuni de marketing comune. În această situație, cei trei operatori au un control comun asupra modalității de prelucrare a datelor și au rolul de operatori asociați pentru această activitate de prelucrare. [1]
[1] Exemplu din documentul Grupului de Lucru Art. 29: Avizul nr. 1/2010 privind conceptele de „operator” și „persoană împuternicită de către operator”
Pașii de urmat pentru gestionarea cu succes a relației dintre operatorii asociați
Pasul 1.
Creați o listă a tuturor organizațiilor care ar putea avea calitatea de operator asociat și, folosind informațiile teoretice expuse anterior și exemplele oferite, stabiliți care entități au calitatea de operatori asociați cu Organizația dvs.
Pasul 2.
Luați legătura cu fiecare operator asociat pentru a stabili, în linii mari, cadrul relației operator-asociat și, îndeosebi responsabilitatea fiecăruia în vederea protejării datelor cu caracter personal, notificarea incidentelor de securitate, informarea persoanelor vizate și răspunsul la cererea persoanelor vizate.
Pasul 3.
Redactați drafturile de contracte de prelucrare cu operatorii asociați pentru fiecare entitate în parte potrivit informațiilor și direcțiilor stabilite cu operatorii asociați la pasul anterior. Puteți găși un model de contract separat aici sau inclus în KIT-ul nostru de implementare. În măsura în care nu ați reușit să luați legătura cu o parte dintre operatorii asociați, creați drafturile de contracte potrivit informațiilor pe care le dețineți în prezent.
Pasul 4.
Propunerea drafturilor de contracte, negocierea lor și încheierea contractelor.
Pasul 5.
Monitorizarea respectării contractelor și modificarea lor prin acte adiționale în măsura în care s-au schimbat anumite elemente ale relației sau au intrat în vigoare noi norme care prevăd necesitatea actualizării contractelor. Procedați la rezilierea contractelor și încetarea relațiilor cu operatorii asociați care nu își respect obligațiile asumate sau încalcă dispozițiile RGPD.
