I. Conceptul de operator și persoană împuternicită
Potrivit art. 4 punctele 7 și 8 din GDPR „operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care, singur sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile şi mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern, pe când „persoană împuternicită de operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care prelucrează datele cu caracter personal în numele operatorului.
Rezultă că operatorul de date cu caracter personal are cea mai mare responsabilitate atunci când vine vorba de protejarea datelor personale și drepturilor persoanelor vizate. În concret, operatorul de date personale controlează procedurile și scopul utilizării datelor, dictând cum și de ce vor fi utilizate date personale. Spre deosebire de operator, persoana împuternicită prelucrează pur și simplu orice date pe care le furnizează operatorul.
Articolul 26 din GDPR furnizează și înțelesul conceptului de operatori asociați.
Operatorii asociați sunt doi sau mai mulţi operatori care stabilesc în comun scopurile şi mijloacele de prelucrare. Ei stabilesc responsabilităţile fiecăruia în ceea ce priveşte îndeplinirea obligaţiilor care le revin în temeiul GDPR prin intermediul unui acord încheiat, de principiu, între ei. Esenţa acestui acord este făcută cunoscută persoanei vizate și, indiferent de clauzele acordului dintre operatorii asociați, persoana vizată îşi poate exercita drepturile în temeiul prezentului regulament și în raport cu fiecare dintre operatori.
II. Ce noutăți aduce GDPR în privința drepturilor și obligațiilor operatorului și persoanei împuternicite
Conform GDPR, operatorii au o serie de noi obligații de protecție a datelor. De asemenea, o altă modificare față de legislația anterioară constă în faptul că persoanele împuternicite au acum obligații legale în baza GDPR.
Persoanele vizate și autoritățile de supraveghere se pot îndrepta atât împotriva operatorilor, cât și împotriva persoanelor împuternicite dacă nu își îndeplinesc responsabilitățile din cadrul GDPR.
III. Relația dintre operator și persoana împuternicită
Obligația principală de conformare este în sarcina operatorului. Cu toate acestea, este de reținut faptul că persoana împuternicită nu are neapărat o calitate de subordonat al operatorului. Doar fiindcă persoana împuternicită acționează ’’în numele operatorului” și pe baza instrucțiunilor primite de la operator nu subminează neapărat independența acestuia în îndeplinirea sarcinilor specifice care îi sunt atribuite. Persoana împuternicită se poate bucura de un anumit grad de autonomie în furnizarea serviciilor sale și poate identifica elementele neesențiale ale operației de prelucrare.
GDPR prevede la art. 28 alin. (1) că ”operatorul recurge doar la persoane împuternicite care oferă garanţii suficiente pentru punerea în aplicare a unor măsuri tehnice şi organizatorice adecvate, astfel încât prelucrarea să respecte cerinţele prevăzute în prezentul regulament şi să asigure protecţia drepturilor persoanei vizate”. Aceasă prevedere obligă operatorul să evalueze dacă garanțiile oferite de procesator sunt suficiente.
Operatorul poate lua în considerare dacă persoana împuternicită prezintă documentații adecvate care dovedesc o astfel de conformitate, cum ar fi politicile de confidențialitate/de securitate a informațiilor, managementul registrelor de date, proceduri interne, rapoarte de audit extern, evaluări, certificări etc. Mai mult decât atât, operatorul ar trebui să țină seama de cunoștințele expertului persoanei împuternicite (ofițer de compliance, DPO) inclusiv sub aspectul fiabilității și resurselor acestora. Cu siguranță operatorul nu ar trebui să considere că o persoană împuternicită prezintă garanții suficiente doar dacă:
a. răspunde la un chestionar de întrebări în mod satisfăcător, sau
b. prezintă o declarație că este ”GDPR compliant”, sau
c. a obținut ISO 9004, ISO 27001 ș.a
Doar dacă operatorul poate demonstra că persoana împuternicită prezintă garanții suficiente poate intra într-un aranjament care îndeplinește cerințele articolului 28 din regulament.
IV. Conținutul acordului dintre operator și persoană împuternicită
Un acord încheiat între operator și persoana împuternicită ar trebui să fie redactat în scris și să conțină cel puțin următoarele obligații în sarcina persoanei împuternicite:
1. nu prelucrează date personale decât conform instrucțiunilor operatorului și în limitele acestor instrucțiuni;
2. asigură încheierea unor angajamente de confidențialitate cu salariații săi, le asigură training constant și îi sensibilizează în ceea ce privește protecția datelor cu caracter personal;
3. implementează măsuri tehnice și organizatorice și ia toate măsurile de securitate care se impun;
4. nu recrutează niciun subîmputernicit fără a obține acordul prealabil și în scris al operatorului;
5. după obținerea acordului prealabil scris al operatorului, se asigură că toate obligațiile sunt impuse, mai departe, subîmputernicitului;
6. asistă operatorul ori de câte ori este necesar pentru îndeplinirea obligațiilor sale legale; de asemenea, asistă autoritatea de supraveghere și pune la dispoziția acesteia orice evidențe care îi sunt solicitate;
7. păstrează o evidență scrisă a tuturor activităților de prelucrare desfășurate în numele operatorului;
8. înstiințează operatorul că a avut o breșă de securitate imediat după ce ia la cunoștință de aceasta;
8. informează imediat operatorul în cazul în care consideră că o instrucțiune a acestuia din urmă încalcă GDPR sau alte dispoziții legale ce vizează protecția datelor;
V. Repartizarea răspunderii între operator și persoana împuternicită
În esență, operatorul este responsabil pentru orice prejudiciu cauzat de desfășurarea operațiunilor sale de prelucrare care încalcă prevederile din GDPR. În categoria de operațiuni de prelucrare ale operatorului pot intra și operațiunile de prelucrare ale persoanei împuternicite.
Persoana împuternicită va fi răspunzătoare pentru prejudiciile cauzate doar în cazurile în care:
1. a acționat în afara instrucțiunilor specifice de prelucrare date de operator sau în contradicție cu acestea. Este demn de reținut faptul că, dacă persoana împuternicită nu prelucrează datele personale în maniera adecvată instrucțiunilor operatorului, persoana împuternicită va deveni operator cu privire la acele activități de prelucrare.
2. nu a respectat obligațiile din GDPR care revin în mod particular persoanelor împuternicite.
Prevederile art. 82 din GDPR intitulat ”Dreptul la despăgubiri şi răspunderea” sunt elocvente în privința delimitării răspunderii, în special alin. 2-5:
(2) Orice operator implicat în operaţiunile de prelucrare este răspunzător pentru prejudiciul cauzat de operaţiunile sale de prelucrare care încalcă prezentul regulament. Persoana împuternicită de operator este răspunzătoare pentru prejudiciul cauzat de prelucrare numai în cazul în care nu a respectat obligaţiile din prezentul regulament care revin în mod specific persoanelor împuternicite de operator sau a acţionat în afara sau în contradicţie cu instrucţiunile legale ale operatorului.
(3) Operatorul sau persoana împuternicită de operator este exonerat(ă) de răspundere în temeiul alineatului (2) dacă dovedeşte că nu este răspunzător (răspunzătoare) în niciun fel pentru evenimentul care a cauzat prejudiciul.
(4) În cazul în care mai mulţi operatori sau mai multe persoane împuternicite de operator, sau un operator şi o persoană împuternicită de operator sunt implicaţi (implicate) în aceeaşi operaţiune de prelucrare şi răspund, în temeiul alineatelor (2) şi (3), pentru orice prejudiciu cauzat de prelucrare, fiecare operator sau persoană împuternicită de operator este răspunzător (răspunzătoare) pentru întregul prejudiciu pentru a asigura despăgubirea efectivă a persoanei vizate.
(5) În cazul în care un operator sau o persoană împuternicită de operator a plătit, în conformitate cu alineatul (4), în totalitate despăgubirile pentru prejudiciul ocazionat, respectivul operator sau respectiva persoană împuternicită de operator are dreptul să solicite de la ceilalţi operatori sau celelalte persoane împuternicite de operator implicate în aceeaşi operaţiune de prelucrare recuperarea acelei părţi din despăgubiri care corespunde părţii lor de răspundere pentru prejudiciu, în conformitate cu condiţiile stabilite la alineatul (2).
Persoana împuternicită poate răspunde contravențional (în cazul în care va fi sancționată de către autoritatea de supraveghere), contractual (în cazul încălcării obligațiilor din contractul semnat cu operatorul) sau civil delictual (persoanele vizate care au suferit prejudicii din cauza acțiunilor persoanei împuternicite pot sesiza instanța de judecată competentă). Răspunderea operatorului rămâne extinsă deoarece el poate răspunde inclusiv pentru faptele persoanei împuternicite.
Avocat Gherasim Andrei-Gheorghe