Clarificarea raporturilor dintre operatorii de date cu caracter personal si persoanele imputernicite de operatori
RGPD defineste doua roluri clare in ceea ce priveste persoanele care prelucreaza date cu caracter personal: operatorul de date cu caracter personal si persoana imputernicita de operator. In consecinta, trebuie sa apreciati calitatea dumneavoastra in raport cu diferitele activitati de prelucrare a datelor personale efectuate si sa stabiliti in ce conditii va calificati ca reprezentand un operator de date cu caracter personal sau o persoana imputernicita de operator, atunci cand ar fi cazul.
Potrivit dispozitiilor art. 4 pct. 7 din Regulament, operatorul este persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care, singur sau impreuna cu altele, stabileste scopurile si mijloacele de prelucrare a datelor cu caracter personal.
Pe de alta parte, persoana imputernicita de operator (eng. Processor - Procesator) este persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care prelucreaza datele cu caracter personal in numele operatorului.
Conceptele de operator si persoana imputernicita de operator sunt autonome, iar stabilirea calitatii dumneavoastra se va face in functie de elemente si circumstante factuale. Aceasta intrucat, chiar si in ipoteza in care actionati ca persoana imputernicita de operator, in conditiile in care prelucrarea excede ceea ce a stabilit operatorul astfel incat dumneavoastra stabiliti scopurile si mijloacele de prelucrare a datelor cu caracter personal, respectiv prelucrati date cu caracter personal in nume propriu, veti fi considerat ca fiind operator de date cu caracter personal.
Asadar, legislatia comunitara privind protectia datelor cu caracter personal urmareste sa aloce responsabilitatea acolo unde exista o influenta efectiva, bazandu-se astfel pe o analiza a faptelor si nu pe o analiza formala, teoretica, a modalitatii de prelucrare a datelor cu caracter personal.
Conceptul de persoana imputernicita, a carei existenta depinde de decizia pe care o ia operatorul, care poate decide fie sa prelucreze datele in cadrul organizatiei sale, fie sa delege toate activitatile de prelucrare sau o parte dintre acestea unei organizatii externe. Persoana imputernicita de operator trebuie sa indeplineasca doua conditii de baza: pe de o parte, aceasta trebuie sa fie o entitate juridica distincta in raport cu operatorul si, pe de alta parte, sa prelucreze datele personale in numele acestuia.
Primul si cel mai important rol al conceptului de operator este acela de a stabili cine va fi responsabil de respectarea normelor de protectie a datelor si modul in care persoanele vizate isi pot exercita drepturile in practica. Cu alte cuvinte: alocarea responsabilitatii.
Distinctia dintre cele doua calitati este importanta, in considerarea urmatoarelor aspecte:
Potrivit dispozitiilor art. 4 pct. 7 din Regulament, operatorul este persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care, singur sau impreuna cu altele, stabileste scopurile si mijloacele de prelucrare a datelor cu caracter personal.
Pe de alta parte, persoana imputernicita de operator (eng. Processor - Procesator) este persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care prelucreaza datele cu caracter personal in numele operatorului.
Conceptele de operator si persoana imputernicita de operator sunt autonome, iar stabilirea calitatii dumneavoastra se va face in functie de elemente si circumstante factuale. Aceasta intrucat, chiar si in ipoteza in care actionati ca persoana imputernicita de operator, in conditiile in care prelucrarea excede ceea ce a stabilit operatorul astfel incat dumneavoastra stabiliti scopurile si mijloacele de prelucrare a datelor cu caracter personal, respectiv prelucrati date cu caracter personal in nume propriu, veti fi considerat ca fiind operator de date cu caracter personal.
Asadar, legislatia comunitara privind protectia datelor cu caracter personal urmareste sa aloce responsabilitatea acolo unde exista o influenta efectiva, bazandu-se astfel pe o analiza a faptelor si nu pe o analiza formala, teoretica, a modalitatii de prelucrare a datelor cu caracter personal.
Conceptul de persoana imputernicita, a carei existenta depinde de decizia pe care o ia operatorul, care poate decide fie sa prelucreze datele in cadrul organizatiei sale, fie sa delege toate activitatile de prelucrare sau o parte dintre acestea unei organizatii externe. Persoana imputernicita de operator trebuie sa indeplineasca doua conditii de baza: pe de o parte, aceasta trebuie sa fie o entitate juridica distincta in raport cu operatorul si, pe de alta parte, sa prelucreze datele personale in numele acestuia.
Primul si cel mai important rol al conceptului de operator este acela de a stabili cine va fi responsabil de respectarea normelor de protectie a datelor si modul in care persoanele vizate isi pot exercita drepturile in practica. Cu alte cuvinte: alocarea responsabilitatii.
Distinctia dintre cele doua calitati este importanta, in considerarea urmatoarelor aspecte:
- Obligatiile operatorului sunt mai numeroase decat cele ale persoanei imputernicite. De pilda, cu exceptia unor situatii limitate, operatorul este obligat sa informeze persoanele vizate cu privire la prelucrare si caracteristicile acesteia, sa stearga datele cu caracter personal inregistrate sau sa rectifice datele stocate in mod eronat;
- Raspunderea operatorului este mai extinsa decat cea a persoanei imputernicite, in special din perspectiva cazurilor de raspundere;
- Drepturile persoanelor vizate se exercita, in principal, in relatia cu operatorul, persoana imputernicita avand, de principiu, un rol de asistare a operatorului in exercitarea acestor drepturi.
Mai mult decat atat, este important ca distinctia dintre cele doua notiuni, precum si atributiile operatorului/persoanei imputernicite sa fie bine cunoscute si determinate, avand in vedere ca, in cazul in care o persoana imputernicita de operator stabileste scopurile si mijloacele de prelucrare a datelor cu caracter personal, ca urmare a incalcarii instructiunilor date de operator cu privire la prelucrarea datelor cu caracter personal, aceasta va fi considerata, in special de catre Autoritatea Nationala de Supraveghere a Protectiei Datelor cu Caracter Personal (ANSPDCP), un operator de date cu caracter personal in ceea ce priveste prelucrarea respectiva, aplicandu-i-se intru totul regimul instituit de catre RGPD operatorului de date (drepturi, obligatii, raspundere etc.).
Totodata trebuie sa plecati de la premisa ca atat calitatea de operator, cat si cea de persoana imputernicita de operator este rezultatul activitatilor dumneavoastra de prelucrare a datelor cu caracter personal.
Exemple practice:
Important! Calitatile de operator sau persoana imputernicita de operator nu se exclud reciproc. Astfel, un operator de date cu caracter personal va putea fi in aceeasi masura si persoana imputernicita de operator, daca proceseaza date cu caracter personal in numele si la indicatiile unui alt operator.
O astfel de situatie poate fi imaginata atunci cand asociatia de proprietari intermediaza serviciile de utilitati intre furnizori si proprietarii consumatori, pe baza unor contracte de prestari de servicii sau de furnizare cu caracter individual. Un astfel de serviciu poate consta in repartizarea facturilor catre proprietari prin lista de plata lunara, incasarea si plata sumelornreprezentand contravaloarea consumului facturat sau instiintarea frunizorului cu privire la debitori, activitati ce presupun prelucrarea datelor cu caracter personal.
Totodata, desi protagonistii principali avuti in vedere de prevederile RGPD sunt operatorul si persoana imputernicita de operator, nu trebuie ignorate celelalte concepte instituite de Regulamentul privind protectia datelor cu caracter personal, precum acelea de destinatar, parte terta sau operatori asociati.
Operatorii asociati reprezinta, potrivit dispozitiilor art. 26 din Regulament, cel putin doi operatori de date cu caracter personal care stabilesc in comun scopurile si mijloacele de prelucrare a datelor cu caracter personal.
Important! Retineti insa faptul ca transferul de date cu caracter personal catre un destinatar/parte terta reprezinta o activitate de prelucrare. Prin urmare, aveti permisiunea de a face acest lucru cu respectarea principiului limitarii scopului. O conditie prealabila pentru limitarea scopului este determinarea unui scop (delimitat in mod clar conform articolului 5 alin. (1) lit. b) RGDP). De exemplu, daca X transmite datele cu caracter personal la Y fara sa stie pentru ce scop vor fi utilizate, X nu ar avea dreptul de a sesiza existenta unei neconformitati a activitatilor de prelucrare, respectiv nerespectarea principiului limitarii legate de scop. In plus, pentru a determina daca o activitate de prelucrare este compatibila cu un anumit scop, atunci cand prelucrarea nu se bazeaza pe consimtamant trebuie sa fie luate in considerare existenta unor garantii corespunzatoare [articolul 6 alin. (4) lit. e) RGDP]. Aranjamentele contractuale despre scopurile pentru care datele personale vor fi folosite pot fi vazute ca astfel de garantii.
Totodata asociatiile de proprietari vor fi operatori independenti de date cu caracter personal fata de propriile prelucrari de date personale ale proprietarilor si locatarilor sau cu privire la angajatii sau colaboratorii acestora. Aceasta intrucat asociatia de proprietari va stabili in mod unilateral scopul prelucrarii datelor cu caracter personal (spre exemplu, in vederea intocmirii fondului de rulment) si mijloacele de prelucrare (spre exemplu, prin afisarea listelor de plata).
Important! Recomandam ca stabilirea calitatii de operator de date cu caracter personal sau de persoana imputernicita sa fie analizata de la caz la caz, in contextul fiecarei prelucrari a datelor cu caracter personal, a categoriilor de date prelucrate si rolul fiecaruia in activitatile de prelucrare a datelor.
Retineti faptul ca efectuarea prelucrarilor de date prin persoane imputernicite de operator trebuie sa se desfasoare in baza unui contract incheiat in forma scrisa, care trebuie sa cuprinda printre altele obligatia persoanei imputernicite de a actiona doar in baza instructiunilor primite de la operator si faptul ca indeplinirea obligatiilor privind aplicarea de masuri de securitate pentru protejarea datelor cu caracter personal revine si persoanei imputernicite.
De asemenea, pentru a fi in conformitate cu RGPD, rolurile si responsabilitatile persoanelor ce isi desfasoara activitatea in cadrul unei asociatii de proprietari necesita o delimitare clara in ceea ce priveste activitatile de colectare, inregistrare, utilizare si transmitere a datelor cu caracter personal.
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!
Articole similare din categoria GDPR pentru asociatiile de proprietari
29Iul2019
Evidentele asociatiei de proprietari
de Colectivul de Specialisti Rentrop&Straton
29 Iul 2019
22Iul2019
Terte parti furnizoare de produse software sau alte solutii – persoane imputernicite in viziunea RGPD
de Colectivul de Specialisti Rentrop&Straton
22 Iul 2019
15Iul2019
Instruirea personalului despre legislatia si importanta datelor cu caracter personal
de Colectivul de Specialisti Rentrop&Straton
15 Iul 2019
08Iul2019
Intermedierea de catre asociatia de proprietari a furnizarii serviciilor de utilitati publice
de Colectivul de Specialisti Rentrop&Straton
08 Iul 2019
Un produs marca