GDPR

Firmele, când prelucrează date, pot să fie ele cele care determină scopurile și modalitățile prin care acea prelucrare se face (adică operatorii).


In aceeasi modalitate, acestia pot să acționeze în numele altei persoane, care a determinat, deja, scopul prelucrării. Într-o astfel de situație, discutăm de împuterniciți. În funcție de această diferență, și obligațiile variază.

Atunci când firmele stabilesc care sunt scopurile și mjiloacele prin care se face prelucrarea de date, ele sunt numite operatori, conform Regulamentului general privind protecția datelor (GDPR).

În schimb, există și situații când o persoană este cea care face prelucrarea de date, însă în numele alteia, aceasta din urmă fiind cea care a stabilit scopurile și, eventual, mijloacele prin care prelucrarea se face.

Într-un asemenea caz, discutăm de o persoană împuternicită de operator.

Pentru a putea să-și dea seama în ce categorie se află și ce obligații au, în consecință, firmele pot consulta Ghidul CEPD cu privire la operatori, persoane împuternicite și operatori asociați. Cum îți dai seama dacă ești operator sau persoană împuternicită


Operatorii


Operatorii sunt cei care, prin exercitarea unui factor decizional, determină care este scopul pentru care datelepersonale sunt prelucrate. Ghidul sugerează, pentru determinarea persoanei care a stabilit scopul prelucrării, analiza următoarelor întrebări:
• de ce are loc prelucrarea?;
• cine a inițiat prelucrarea?;
• cine beneficiază de pe urma prelucrării?

Raspunsurile la intrebarile de mai sus, vor identifica practic, operatorul din cauză si totodata, acestea vor determina scopul pentru care se face prelucrarea și mijloacele folosite. In practica insa, pot exista situații în care operatorul determină persoanele ale căror date sunt prelucrate, tipurile de date sau perioada de retenție a datelor respective. În același timp, persoana împuternicită s-ar putea să determine ea însăși, de multe ori, ce software folosește în acest demers.

Sau alte chestiuni tehnice, precum măsurile de securitate implementate. Într-o astfel de situație, chiar dacă persoana împuternicită are un anumit grad de libertate, tot operatorul este cel care determină elementele principale sau esențiale.


Cu alte cuvinte, se păstrează distincția între cel care determină scopul și cel care doar acționează. Raportul stabilit între operator și împuternicit nu trebuie să fie, în mod necesar, unul de subordonare. Împuternicitul poate fi liber să își stabilească felul cum se organizează (în special în ceea ce privește elementele neesențiale). Însă chiar și așa, împuternicitul nu poate ieși din sfera stabilită, deja, de operator (de exemplu, să extindă numărul persoanelor cărora le sunt prelucrate datele). Dacă se întâmplă așa ceva, împuternicitul s-ar putea transforma, pentru ceea ce depășește scopul stabilit de operator, într-un operator de sine stătător.

Cu alte cuvinte, se păstrează distincția între cel care determină scopul și cel care doar acționează.

Raportul stabilit între operator și împuternicit nu trebuie să fie, în mod necesar, unul de subordonare. Împuternicitul poate fi liber să își stabilească felul cum se organizează (în special în ceea ce privește elementele neesențiale). Însă chiar și așa, împuternicitul nu poate ieși din sfera stabilită, deja, de operator (de exemplu, să extindă numărul persoanelor cărora le sunt prelucrate datele). Dacă se întâmplă așa ceva, împuternicitul s-ar putea transforma, pentru ceea ce depășește scopul stabilit de operator, într-un operator de sine stătător.


Ce obligații ai ca operator și ce riști dacă nu le respecți

Prima obligație pe care o ai, ca operator, în temeiul GDPR, este să alegi cu atenție persoana împuternicită. Regulamentul stabilește că trebuie să te asiguri că persoana aleasă oferă suficiente garanții că vor fi implementate măsuri tehnice și organizatorice adecvate.

In caz contrar, operatorii pot încălca GDPR și să fie expuși la sancțiuni severe pentru o astfel de încălcare. Pentru a se asigura că potențialii împuterniciți oferă suficiente garanții, firmele ar putea să:

• verifice declarațiile și documentațiile oferite de potențialul împuternicit cu privire la politicile de prelucrare a datelor, inclusiv cu privire la politicile de securitate;
• să stabilească, printr-un contract încheiat cu împuternicitul, că cel din urmă va respecta obligațiile de protecție a datelor (eventual, ele să și fie detaliate în contract).

In atare conditii, operatorul în esență, se impune sa respecte toate obligațiile pe care le are în baza GDPR, de la prelucrarea datelor în baza unui temei, la minimizarea datelor prelucrate, la respectarea drepturilor persoanelor (cum ar fi dreptul de acces sau dreptul de a se opune prelucrării).

Ce obligații ai ca operator și ce riști dacă nu le respecți

Astfel, este important de menționat că, în acest context, responsabilitatea principală cu privire la respectarea drepturilor persoanelor vizate de prelucrare este a operatorului. Asadar, un operator care a împuternicit o altă persoană să facă prelucrarea nu îi va transfera acesteia și responsabilitățile principale de conformare.

În plus, mai trebuie menționată și posibilitatea ca un operator să stabilească împreună cu altul scopul prelucrării. Adică discutăm de operatori asociați. Această ipoteză trebuie menționată, din cauză că există anumite obligații specifice.

Esențial este ca acești operatori să își stabilească, în mod clar și transparent, cum își împart responsabilitățile pe care le au în temeiul GDPR. Pot exista, de exemplu, situații când doar unul din operatori are acces la un anumit set de date, care vizează o anume persoană.

Într-o astfel de situație, va trebui stabilit că acel operator va fi cel care va duce la îndeplinire o eventuală solicitare de acces la date, din partea persoanei vizate.

De aici derivă și o altă obligație: aceea de informare a persoanelor vizate de prelucrare cu privire la asociere, pentru ca acestea să știe cui să se adreseze, când vor să își exercite drepturile. Nerespectarea GDPR, de către operatori, poate atrage o sancțiune administrativă de până la 4% din cifra de afaceri mondială totală anuală sau de până la 20 de milioane de euro, oricare e mai mare.

Bineînțeles, în vederea stabilirii cuantumului sancțiunii se ține cont de mai multe aspecte, amenzile cu adevărat mari vizând doar cazurile grave sau firmele ale căror activități pot avea un impact foarte grav asupra drepturilor garantate de GDPR. Puteți citi mai multe despre criteriile după care se stabilesc amenzile.

În plus, persoanele prejudiciate pot cere și obține despăgubiri pentru încălcarea Regulamentului. Ce obligații ai ca persoană împuternicită de operator și ce riști dacă nu le respecți Principala obligație pe care o ai ca persoană împuternicită e să urmezi instrucțiunile primite de la operator, care deja a stabilit scopul și mijloacele prelucrării. În caz contrar, riști să depășești cadrul stabilit de operator și, astfel, riști să te transformi tu însuți într-un operator.

Problema e că, într-o asemenea situație, ești expus, din mai multe puncte de vedere. De exemplu, s-ar putea să nu ai niciun temei pentru prelucrarea datelor care depășesc ceea ce a stabilit operatorul și, astfel, să încalci GDPR.

După aceea, ca împuternicit trebuie să mai respecți o serie de obligații. De exemplu:

Asigurarea unui cadru adecvat de prelucrare, inclusiv cu privire la persoanele care au acces la date (în astfel de cazuri, e importantă asigurarea confidențialității);

• împuternicitul nu recurge la alte persoane care să facă prelucrarea, decât dacă există o instrucțiune din partea operatorului (fie specifică, fie generală);
• împuterniciții oferă asistență tehnică și organizatorică operatorilor, pentru ca aceștia să își poată îndeplini obligațiile pe care le au (de exemplu, garantarea dreptului de acces al persoanelor vizate de prelucrare la datele deținute despre acestea);
• împuterniciții adoptă măsuri de securitate adecvată;
• înștiințarea operatorului că a avut loc o breșă de securitate, fără întârzieri nejustificate, după ce află de existența unei astfel de breșe.

Nerespectarea obligațiilor împuternicitului îl poate expune pe acesta la sancțiunile care pot fi aplicate în temeiul GDPR (la care am făcut trimitere mai sus). În plus, împuternicitul ar putea fi obligat la plata de despăgubiri față de persoanele prejudiciate.

Controalele GDPR

În cazul în care este supusă unei investigații desfășurate de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), o firmă ar trebui să aibă cel puțin o procedură internă de urmat.

În afară de aceste proceduri de aplicat în caz de control, redacția noastră a mai atras atenția cu alte ocazii că firmele ar trebui să aibă, de exemplu, o politică de confidențialitate actualizată, să documenteze toate incidentele de securitate ce implică datele personale, să aibă o politică de gestionare a incidentelor de securitate, să țină o evidență a prelucrărilor de date și, uneori, să aibă evaluări de impact asupra protecției datelor.

Atenție la măsurile corective

Deși aplicarea unei amenzi consistente poate aduce o firmă în impas, specialiștii au atras atenția că măsurile corective ce pot fi impuse de ANSPDCP pot „lovi” un business mult mai rău. Practic, vorbim de măsuri care pot implica investiții serioase pentru conformare sau uneori chiar schimbarea modelului de afaceri.

Printre altele, reprezentanții ANSPDCP pot impune o limitare temporară sau definitivă, inclusiv o interdicție asupra prelucrărilor de date personale.

Asta poate însemna o lovitură majoră pentru activitatea comercială sau chiar închiderea afacerii. Cu alte cuvinte, firmelor li se pot impune limitări sau interdicții la folosirea anumitor date personale de care poate au mare nevoie ca să-și desfășoare afacerile.

Referitor la sancțiunile amintite de specialist, este vorba de refuzul de a coopera cu ANSPDCP, faptă pentru care se poate da o amendă de până la 3.000 de lei pentru fiecare zi de întârziere.

GDPR este, începând din mai 2018, cadrul legal european unic în materie de prelucrări de date personale. Cei care nu respectă prevederile regulamentului riscă amenzi de până la 4% din cifra de afaceri.