Reprezentantii operatorilor sau ai persoanei imputernicite

Regulamentul prevede faptul ca atat operatorul, cat si persoana imputernicita pot fi reprezentati de catre o persoana fizica sau juridica stabilita in Uniune, desemnata in scris de acestea in temeiul art. 27. De asemenea, conform Regulamentului, reprezentantul reprezinta operatorul sau persoana imputernicita in ceea ce priveste obligatiile lor care le revin in temeiul Regulamentului.
Art. 3 alin. (2) din Regulament, acesta se aplica prelucrarii datelor cu caracter personal ale unor persoane vizate care se afla in Uniune de catre un operator sau o persoana imputernicita de operator care nu este stabilit(a) in Uniune, atunci cand activitatile de prelucrare sunt legate de:

• oferirea de bunuri sau servicii unor astfel de persoane vizate in Uniune, indiferent daca se solicita sau nu efectuarea unei plati de catre persoana vizata; sau
• monitorizarea comportamentului lor daca acesta se manifesta in cadrul Uniunii.

Din interpretarea dispozitiilor art. 27 alin. (2) din Regulament reiese ca daca avem:

• prelucrare periodica;
• pe scara larga;
• ce vizeaza inclusiv categorii de date cu caracter special;
• si care este susceptibila sa genereze un risc, desemnarea reprezentantului de catre operator devine obligatorie.

GDPR nu defineste ceea ce constituie pe scara larga , cu toate ca in Considerentul 91 din Regulament se ofera unele orientari in acest sens. In orice caz, in special urmatorii factori sa fie luati in considerare atunci cand se stabileste daca prelucrarea se efectueaza pe scara larga:

• numarul de persoane vizate in cauza, fie ca numar specific sau ca proportie din populatia relevanta;
• volumul de date si/sau gama de diferite elemente de date care sunt prelucrate;
• durata sau persistenta activitatii de prelucrare a datelor;
• extinderea geografica a activitatii de prelucrare.

Subliniem faptul ca reprezentantul primeste din partea operatorului sau a persoanei imputernicite de operator un mandat prin care autoritatile de supraveghere si persoanele vizate, in special, se pot adresa reprezentantului, in plus fata de operator sau persoana imputernicita de operator sau in locul acestora, cu privire la toate chestiunile legate de prelucrarea, in scopul asigurarii respectarii Regulamentului.

Cum se mandateaza reprezentantul?
In scris. Desemnarea reprezentantului trebuie sa contina sarcini reprezentative. Nu trebuie sa informati autoritatea de supraveghere competenta, dar trebuie sa indicati numele reprezentantului in informatiile furnizate persoanei vizate (spre exemplu, in Politica de confidentialitate), conform articolelor 13 si 14 din GDPR si in evidentele activitatilor de prelucrare, conform articolului 30 din GDPR.
Desemnarea unui reprezentant de catre operator sau persoana imputernicita de operator nu aduce atingere actiunilor in justitie care ar putea fi introduse impotriva operatorului sau persoanei imputernicite de operator.

Care sunt sarcinile unui reprezentant?
Reprezentantul actioneaza in numele operatorului de date cu caracter personal sau persoanei imputernicite de operator, este un contact direct al autoritatilor si persoanelor interesate cu privire la durata de prelucrare a datelor si, de asemenea, poate fi supus procedurii de aplicare a legii in cazul in care operatorul/persoana imputernicita este non-compliance. Reprezentantul este un agent autorizat sa primeasca, sa redacteze, sa transmita catre autoritatile aferente documente juridice.

Abilitatile de care are nevoie un reprezentant?
Rolul reprezentantului nu este unul complex, cum este cel al unui DPO, deoarece reprezentantul nu trebuie sa evalueze respectarea GDPR sau alte chestiuni similare.
Cu toate acestea, sarcinile reprezentative sunt destul de sensibile si multe aspecte pot merge intr-o directie gresita daca reprezentantul operatorului de date/persoanei imputernicite reactioneaza sau raspunde incorect la o cerere a unei persoane vizate sau a autoritatii de supraveghere. Acest lucru poate provoca nu doar probleme juridice, dar si o deteriorare a reputatiei operatorului de date cu caracter personal/ persoanei imputernicite de operator.

STIATI CA?
Activitatile de prelucrare si operatiunile de prelucrare necesita o distinctie care este prezenta nu doar in limbajul curent. Aceasta distinctie este de natura a simplifica modalitatea/maniera in ceea ce priveste intocmirea evidentei activitatilor de prelucrare. Conform GDPR, fiecare operator de date/persoana imputernicita de operator trebuie sa tina evidenta mentionata mai sus.
Spre exemplu, consultarea unei baze de date in privinta datelor cu caracter personal pe care le contine reprezinta o operatiune de prelucrare a datelor cu caracter personal, fara a reprezenta o activitate de prelucrare. Activitatea de prelucrare inseamna mai mute operatiuni de prelucrare orientate spre un anumit scop. Regulamentul impune intocmirea evidentei activitatilor de prelucrare, si nu a operatiunilor de prelucrare.