Servicii externalizate in domeniul HoReCa

In domeniul Horeca, multi parteneri si parti terte au, de asemenea, acces la datele persoanelor fizice. Este important ca fiecare persoana fizica sa cunoasca posibilitatea ca alti operator de date sa ii proceseze datele si sa existe un acord scris cu privire la aceasta externalizare cu fiecare dintre parteneri/terti care sa prevada clauze specifice protectiei datelor cu caracter personal.

Fiecare hotel, cafenea sau restaurant trebuie sa se asigure ca acesti parteneri si/ persoane imputernicite de operator sunt capabili sa respecte prevederile GDPR. Avand in vedere aceste lucruri, orice persoana care locuieste in UE, nu doar cetateni ai UE, poate cere ca informatiile lor personale sa fie eliminate din bazele de date in timp util. Aceasta echivaleaza cu faptul ca nu este suficient sa stergeti datele din propriile sisteme, dar si partenerii carora le transferati datele vor trebui sa adopte aceeasi politica.

Printre furnizorii terti de servicii amintim: furnizorii de catering, furnizorii de servicii contabile, furnizorii de servicii IT etc.

Relatia operator persoana imputernicita de operator

1. Ori de cate ori un operator de date apeleaza la un tert (persoana imputernicita) pentru prelucrarea datelor cu caracter personal este necesara incheierea unui contract scris.
2. Este important ca redactarea contractului sa fie facuta in termeni foarte clari, astfel incat ambele parti sa inteleaga responsabilitatile si limitele acestuia.
3. RGPD stabileste ce trebuie sa fie inclus in contract (a se vedea mai jos).
4. Operatorii de date cu caracter personal sunt raspunzatori pentru respectarea RGPD si trebuie sa desemneze numai persoane imputernicite care pot oferi garantii suficiente , ca vor fi indeplinite cerintele RGPD si ca vor fi respectate drepturile persoanelor vizate.
5. Persoanele imputernicite trebuie sa actioneze exclusiv la instructiunile documentate (scrise) ale operatorului. Ele vor avea totusi unele responsabilitati directe conform RGPD si pot fi supuse unei amenzi sau alte sanctiuni in cazul in care acestea nu sunt conforme.

Contractul dintre operator si persoana imputernicita

Contractul incheiat intre operator si persoana imputernicita trebuie sa includa in mod obligatoriu urmatoarele aspecte:

• Obiectul si durata prelucrarii
• Natura si scopul prelucrarii
• Tipul de date cu caracter personal si categoriile de persoane vizate si
• Obligatiile si drepturile operatorului de date.

Contractul incheiat intre operator si persoana imputernicita trebuie sa includa urmatoarele clauze obligatorii:

• Persoana imputernicita trebuie sa actioneze numai pe baza instructiunilor operatorului (cu exceptia cazului in care legea o obliga sa actioneze in lipsa unor instructiuni).
• Persoana imputernicita trebuie sa se asigure ca personalul care se ocupa de prelucrarea datelor respecta confidentialitatea (ex: prin incheierea unei clauze de confidentialitate sau includerea unei astfel de clauze in statutul persoanei imputernicite).
• Persoana imputernicita trebuie sa ia masurile corespunzatoare pentru a asigura securitatea prelucrarii.
• Persoana imputernicita are permisiunea de a angaja un sub-contractant persoana imputernicita cu acordul prealabil al operatorului si in baza unui contract scris (ex: in cazul utilizarii unei platforme informatice diferite de cea nationala pusa la dispozitie de CNAS, furnizorul de servicii IT va reprezenta un sub-contractant, fiind necesar un acord prealabil al CNAS).
• Persoana imputernicita trebuie sa asiste operatorul de date in furnizarea accesului persoanelor vizate la datele lor, precum si sa permita persoanelor interesate sa-si exercite drepturile lor in conformitate RGPD.
• Persoana imputernicita trebuie sa asiste operatorul de date in indeplinirea obligatiilor sale potrivit RGPD in legatura cu securitatea prelucrarii, notificarea incalcarilor si evaluarile de impact.
• Persoana imputernicita trebuie sa stearga sau sa predea toate datele personale operatorului, asa cum a solicitat la incheierea contractului.
• Persoana imputernicita trebuie sa prezinte audituri si inspectii, si sa furnizeze operatorului orice informatii are nevoie pentru a se asigura ca atat el, in calitate de operator, cat si persoana imputernicita indeplinesc obligatiile din articolul 28 RGPD, si trebuie sa anunte imediat operatorul daca se vede pus in situatia de a face ceva ce incalca RGPD sau alte reglementari in materie.

Ca o chestiune de buna practica, contractele:

• trebuie sa prevada ca nicio clauza contractuala nu poate deroga de la prevederile legale ce stabilesc raspunderea persoanei imputernicite conform RGPD si
• reflecta orice indemnizatie convenita.

Responsabilitatile persoanei imputernicite. Limite:

In plus fata de articolul 28 alin. (3) din Regulament privind obligatiile contractuale, persoana imputernicita are urmatoarele atributii directe sub imperiul RGPD. Persoana imputernicita trebuie sa:

• actioneze numai in baza instructiunilor operatorului (articolul 29);
• nu apeleze la un sub-contractant persoana imputernicita fara autorizarea prealabila scrisa a operatorului (articolul 28 alin. (2);
• coopereze cu autoritatile de supraveghere in conformitate cu articolul 31;
• asigure securitatea prelucrarilor sale in conformitate cu articolul 32;
• tina o evidenta a activitatilor sale de prelucrare in conformitate cu articolul 30 alin. (2) RGPD;
• notifice orice incalcari de date cu caracter personal operatorului in conformitate cu articolul 33 RGPD;
• angajeze un responsabil cu protectia datelor daca este necesar in conformitate cu articolul 37 RGPD si
• in cazul in care sediul persoanei imputernicite nu se afla pe teritoriul UE, obligatia de a numi (in scris) un reprezentant in cadrul Uniunii Europene.

O persoana imputernicita, de asemenea, ar trebui sa fie constienta de faptul ca:

• ar putea fi supuse investigatiilor si masurilor corective care intra in competenta autoritatilor de supraveghere in temeiul articolului 58 din RGPD;
• in cazul in care nu reuseste sa indeplineasca obligatiile sale, poate fi supusa unei amenzi administrative in conformitate cu articolul 83 din RGPD;
• in cazul in care nu reuseste sa isi indeplineasca obligatiile poate fi supusa unei sanctiuni diferite stabilite prin reglementarile nationale in conformitate cu articolul 84 din RGPD si
• in cazul in care nu reuseste sa isi indeplineasca obligatiile sale ar putea fi obligata sa plateasca despagubiri catre persoana vizata pagubita in conformitate cu articolul 82 din RGPD.