Operator de date vs împuternicit
GDPR. Diferențe, implicații legale și 9 exemple analizate
- Regulamentul privind protecția datelor persoanelor fizice (GDPR) se bazează pe opt principii de bună gestionare a informațiilor. Acestea dau oamenilor drepturi specifice în legătură cu informațiile lor personale şi plasează anumite obligații în sarcina organizațiilor care sunt responsabile pentru procesarea datelor cu caracter personal.
- Deoarece sistemele informaționale şi modelele de afaceri devin tot mai complexe, o serie de organizații pot colabora împreună pentru prelucrarea datelor cu caracter personal.
- Publicăm această opinie datorită faptului că organizațiile se confruntă cu situații din ce în ce mai dificile pentru a determina dacă acestea au obligații specifice operatorilor sau împuterniciților în lumina reglementărilor GDPR.
- Conform Regulamentului GDPR organizațiile acționează într-o anumită operațiune de prelucrare fie ca operatori de date, fie ca împuterniciți ai operatorului de date.
- Prezentul material va încerca să explice care este diferența dintre un operator de date şi un împuternicit, care sunt rolurile şi responsabilitățile lor, problemele care trebuie abordate pentru a asigura conformitatea în viziunea regulamentului.
Prezentare generală
- Este esențial ca organizațiile implicate în prelucrarea datelor cu caracter personal să poată determina dacă acționează în calitate de operator de date sau ca împuternicit în ceea ce privește prelucrarea datelor cu caracter personal.
- Acest aspect este deosebit de important în cazul în care are loc o încălcare a regulamentului, deoarece în funcție de calitatea organizației (de operator sau de împuternicit) urmează să fie stabilită și răspunderea pentru încălcarea Regulamentului GDPR.
- Operatorul de date trebuie să exercite controlul general asupra modalității în care sunt prelucrate datele cu caracter personal, el stabilește care sunt datele care urmează să fie prelucrate, scopul prelucrări, temeiul legal, modalitate de prelucrare și împuterniciții care intră în contact cu datele. Cu toate acestea, în realitate, un împuternicit poate exercita în sine un anumit control asupra modului de procesate, așa cum o să rezulte în cele ce urmează.
- Faptul că o organizație oferă un serviciu altei organizații nu înseamnă neapărat că acționează ca un împuternicit din punct de vedere al Regulamentului GDPR. Ar putea fi un operator de date în sine, în funcție de gradul de control pe care îl exercită asupra operațiunii de procesare.
Care este diferența dintre un operator de date şi un împuternicit?
Regulamentul face distincție între un „operator de date” și un „împuternicit” deoarece nu toate organizațiile implicate în prelucrarea datelor cu caracter personal au același grad de responsabilitate. Operatorul de date este cel care trebuie să exercite controlul asupra prelucrării şi să suporte responsabilitatea pentru protecția datelor.
„operatorul de date” este o persoană care (fie singură, fie în comun sau în comun cu alte persoane) determină scopurile pentru care sunt prelucrate datele și modul în care sunt date cu caracter personal prelucrate
„împuternicitul„, este orice persoană sau organizație (alta decât un angajat al operatorului de date) care procesează datele în numele operatorului de date.
„prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.
Definiția de ”prelucrării” poate fi utilă în determinarea rolului unei organizații în procesul de prelucrare a datelor cu caracter personal. Definiția prelucrării sugerează că activitățile împuternicite trebuie să se limiteze la aspectele mai tehnice cum ar fi stocarea datelor, recuperarea sau ștergerea.
Prelucrarea impusă de lege
În cazul în care o organizație este obligată prin lege să proceseze datele cu caracter personal, aceasta trebuie să își menține responsabilitatea operatorului de date. organizația nu îşi poate nega responsabilitatea prin împuternicirea unei alte organizații. Deși ar putea folosi orice alt tip mandat pentru a realiza anumite aspecte ale prelucrării, responsabilitatea generală rămâne în sarcina organizației care are responsabilitatea legală de a efectua prelucrarea.
De ce este important să se facă distincția între operatorii de date şi împuternicit?
Dacă toate părțile lucrează bine împreună, atunci problema responsabilității privind protecția datelor poate părea academică. Cu toate acestea, distincția între un operator de date şi procesor de date poate va avea consecințe semnificative din lumea reală. De exemplu, dacă există o încălcare a Regulamentului GDPR, este esențial pentru toate organizațiile implicate să se poată determina cine este responsabilul încălcării regulamentului.
Este important ca diferitele organizații implicate într-o activitate de prelucrare a datelor să își stabilească rolurile și responsabilitățile într-un stadiu incipient, în mod special înainte de începerea procesării. Acest lucru va contribui la asigurarea faptului că nu vor exista probleme ulterioare când trebuie stabilită responsabilitatea fiecăruia.
Cum determinați dacă o organizație operator sau împuternicit?
Operatorul de date stabilește scopurile și modul în care sunt prelucrate datele cu caracter personal. Organizația poate face acest lucru singură sau în comun cu alte organizații. Acest lucru înseamnă că operatorul de date exercită controlul general asupra datelor.
Definiția oferă flexibilitate, de exemplu, poate permite unui operator de date puterile principale, nu și exclusive, dar și controlul asupra scopurilor de prelucrare a unui alt operator de date. Multe relații de afaceri se desfășoară în acest fel, deoarece organizațiile conlucrează împreună pentru a furniza produse și servicii împreună către clientul final.
Deciziile mai jos menționate pot fi luate doar de către operatorul de date ca parte a controlului general pe care îl deține asupra procesării de date. Operatorul de date decide următoarele:
- decide să colecteze datele cu caracter personal;
- decide care este temeiul juridic pentru procesare;
- decide care este conținutul datelor;
- decide care este scopul sau scopurile pentru care se procesează datele;
- decide cine sunt subiecții ale căror date sunt colectate și prelucrate;
- decide cine sunt destinatarii datelor, în cazul în care sunt divulgate
- decide care sunt drepturile subiecților persoane fizice, a căror date sunt prelucrate
- decide cât timp urmează să fie păstrate datele
- decide ce altă organizație mai participă la prelucrarea datelor
Prin intermediul mandatului dintre operator și împuternicitul său, un operatorul de date poate decide cu privire la prelucrarea datelor efectuată de împuternicitul său următoarele:
- ce sisteme IT sau ce metode de securitate poate utiliza împuternicitul;
- cum, cât timp și unde sunt păstrate datele cu caracter personal;
- detaliile securității datelor cu caracter personal;
- mijloacele utilizate pentru transferul datelor cu caracter personal de la o organizație la alta;
- mijloacele utilizate pentru identificare datelor cu caracter personal sau a subiecților;
- modalitate utilizată pentru ștergerea datelor
Aceste liste nu sunt exhaustive, dar ilustrează diferențele dintre rolurile operatorului și a împuternicitului. Ele arată faptul că un împuternicit are libertatea de a-şi utiliza cunoștințele tehnice pentru a prelucra datele personale în numele operatorului de date. Cu toate acestea, nu poate lua nici una dintre deciziile principale, dacă acestea au fost stabilite în prealabil de operatorul de date.
Identificarea rolului de operator sau de împuternicit poate fi dificilă având în vedere complexitatea relațiilor de afaceri moderne. În practică, există o scară de responsabilitate în ceea ce privește modul în care organizațiile lucrează împreună pentru a procesa datele cu caracter personal.
Cheia este de a determina gradul de independentă pe care fiecare parte o are în determinarea modului de prelucrare a datelor, precum şi gradul de control asupra conținutului datelor caracter personal.
Într-o practică extremă operatorul va determina care date cu caracter personal urmează să fie prelucrate şi va furniza instrucțiuni de procesare foarte detaliate pe care împuternicitul trebuie să le urmeze. Împuternicitul este constrâns în ceea ce se poate face cu datele şi nu are nici un cuvânt de spus. În această relație, partea care furnizează instrucțiunile detaliate este în mod clar operatorul de date (clientul) şi partea care urmează instrucțiunile (furnizorul de servicii) este procesorul de date. De exemplu, clientul poate furniza instrucțiuni precise furnizorului de servicii despre datele cu caracter personal, inclusiv ce fel de servere ar trebui să fie utilizate, ce produse de criptare ar trebui să fie implementate și ce fel de securitate fizică ar trebui aplicată. Acest tip de aranjament este relativ rar, dar este cel mai des găsit în organizațiile guvernamentale, în cazul în care contractanților care se ocupă de informații de înaltă securitate.
În mod normal un operator va permite împuternicitului său un grad considerabil de discreție asupra modului în care prelucrarea are loc, folosind-se de propria expertiză.
De exemplu, o bancă angajează o firmă de servicii IT pentru stocarea datelor arhivate în numele său. Banca va controla în continuare temeiul legal și scopul pentru care datele sunt utilizate și determina perioada de retenție. În realitate, firma IT Services va utiliza o mare parte din expertiza sa tehnică şi profesională pentru de a decide soluția tehnică de stocare a datelor. Cu toate acestea, în pofida acestei libertăți de a lua decizii tehnice, firma IT nu este încă un operator de date în ceea ce privește datele Băncii. Acest lucru se datorează faptului că Banca păstrează controlul exclusiv asupra scopului pentru care datele sunt prelucrate și conținutul datelor.
Împuterniciții sunt de asemenea și operatori de date pentru prelucrările propriilor date personale
De obicei, un împuternicit are propriile responsabilități de operator de date, pentru datele cu caracter personal care nu sunt prelucrate în numele clientului. Exemplul: firma de servicii IT (de mai sus) va avea propriile responsabilități de operator de date pentru prelucrarea datelor cu caracter personal a propriilor săi angajați, dar nu şi pentru procesarea datelor pe care o desfășoară pentru banca, în această relație deține funcția de împuternicit.
O organizație nu poate fi atât operator de date, cât și împuternicit pentru aceeași activitate de procesare a datelor, trebuie să fie ori una sau ori alta, dacă se raportează la o singură prelucrare de date personale.
Pentru a stabili care organizație are responsabilitatea de protecție a datelor este necesară analizarea prelucrării, precum și a organizațiilor implicate. De asemenea, este important ca, în măsura în care este posibil, sistemele și procedurile să facă distincție între datele „proprii” ale organizației și datele pe care le procedează în numele celuilalt operator de date.
Subcontractanți, consilieri profesioniști și consultanți
Este de evitat ca un operator să considere pe sub-contractantul său, consilier profesionist sau consultant ca fiind împuternicit. Uneori, acest lucru poate fi scris într-un contract, cu toate acestea acest lucru este de evitat, faptul că o organizație contactează sau angajează o altă organizație pentru a furniza un serviciu nu înseamnă că cealaltă organizație devine împuternicitul său în fiecare caz. Dacă o organizație este un operator de date sau un procesor de date va depinde de rolul și responsabilitățile lor în ceea ce privește prelucrarea.
Organizațiile utilizează deseori un serviciu profesional pentru a obține asistență specializată,:
- un avocat pentru a primi consultanță juridică;
- un contabil care să furnizeze servicii contabile;
- un medic pentru a furniza un raport medical cu privire la o persoană;
- o agenție de recrutare pentru recrutarea de personal specializat;
- În aceste cazuri, clientul nu va avea responsabilitatea exclusivă a împuternicitului, chiar dacă a inițiat activitatea prin solicitarea de consiliere.
În cazurile prezentate mai sus profesionistul (avocat, contabil, medic, etc) stabilește care sunt datele care trebuie prelucrate și scopul prelucrării datelor pentru furnizarea serviciilor solicitate. Prin urmare profesionistul devine operator de date personale și el în paralel cu clientul. Avocatul, contabilul și medicul stabilește singur care sunt datele care trebuie prelucrate pentru a putea furniza serviciile solicitate.
Exemple
Compania de cercetare de piaţă
O bancă încheie un contract cu o companie de cercetare de piață pentru a efectua un sondaj. Banca specifică bugetul pentru studiu de satisfacție a principalelor sale servicii, pe baza opiniilor unui eșantion de clienții delimitați teritorial. Banca lasă la compania de cercetare să determine dimensiunile eșantionului, metodele de interviu şi prezentarea rezultatelor.
Compania de cercetare procesează datele cu caracter personal în numele băncii, dar decide, de asemenea, ce informații să colecteze (ce să solicite clienților băncii) și modul în care va fi realizată prelucrarea (ancheta). Are libertatea de a decide ce informații să colecteze de la clienți şi să prezinte rezultatele. Aceasta înseamnă că societatea de cercetare de piaţă este un operator de date în sine, în ceea ce privește prelucrarea datelor cu caracter personal prelucrate pentru a efectua ancheta, chiar dacă Banca păstrează controlul general al datelor în ceea ce privește punerea în funcțiune a cercetării şi determinarea scopul pentru care vor fi utilizate datele.
Servicii de procesare plăți
Un magazin online lucrează în cooperare cu o companie de plata pentru procesarea tranzacțiilor clienților magazinului online. Compania de plăţi nu este împuterniciul magazinului online, chiar dacă există un contract între cele două companii care stabilește calitatea serviciilor și prețul serviciilor. Acest lucru se datorează faptului că compania de plată:
- decide ce informații are nevoie de la clienți pentru a procesa plățile în mod corect;
- exercită controlul asupra celorlalte scopuri de prelucrare, asigurarea securității tranzacției;
- are reguli proprii cu privire la utilizarea și păstrarea datelor cardului de plată;
- are termeni şi condiţii care se aplică direct clienților magazinului online.
Prin urmare, serviciul de plată este prestat de către operator de date distinct şi va avea responsabilitatea deplină a protecției datelor pentru procesarea pe care o desfășoară.
Servicii de livrare a corespondenței
Un serviciu de curierat este contractat de un spital local pentru a livra plicuri care conțin fişe medicale ale pacienților către alte spitale. Serviciul de curierat intră în posesia fizică a corespondenței, dar nu poate deschide și accesa orice date cu caracter personal care se află în conținutul corespondenței.
Un serviciu de livrare de corespondență nu va procesa, în general, date cu caracter personal aflate în plic, chiar dacă deţine fizic plicul împreună cu conținutul său. Prelucrarea datelor cu caracter personal, inclusiv deținerea, implică un grad de acces la aceste date sau de a avea capacitatea de a controla sau de a folosi datele în sine, nu doar posesia fizică a scrisorilor care conţin datele.
Firma de curierat nu este un operator cu privire la prelucrarea datelor medicale și nici un împuternicit, deoarece nu prelucrează datele medicale al clienților spitalului, deoarece:
- serviciul de curierat facilitează transportul corespondenței;
- nu exercită nici un control asupra scopului în care sunt prelucrate datele cu caracter personal din conținutul corespondenței care i-a fost încredințată;
- nu are nici un control asupra conținutului datelor personale care i-au fost încredințate în interiorul plicului.
Acest lucru are sens în practică, deoarece ar fi nerezonabil să se aștepte la un serviciu de curierat care nu are nici un control asupra conținutului coletelor de corespondență pe care le livrează pentru a se conforma principiilor de protecție a datelor din poziția de operator față de conținutul plicului. Este doar responsabil pentru securitatea scrisorii sau coletului într-un sens fizic.
Curierul va fi un operator de date de sine stătător pentru datele personale necesare livrării corespondenței (nume, adresă), nu și pentru datele medicale personale din conținutul plicului.
Operatorul de date care alege să utilizeze un serviciu de livrare pentru a transfera date cu caracter personal este partea responsabilă pentru date. În cazul în care un serviciu de livrare pierde un colet care conține date cu caracter personal extrem de sensibile, operatorul de date care a trimis datele va fi responsabil pentru pierderea coletului față de subiectul prejudiciat și față de Autoritatea competentă. El fost operatorul de date care a ales să utilizeze serviciul de corespondență și a ales inclusiv prestator serviciilor de curierat.
Servicii juridice
Proprietarul unei firme are dovezi că un fost vânzător a furat o listă de clienţi chiar înainte de a demisiona şi o folosește pentru a promova o companie rivală. Proprietarul firmei consultă un cabinet de avocatură pentru a afla dacă poate să oprească această concurență neloială.
Proprietarul firmei va furniza cabinetului de avocatură datele personale ale fostului angajat, iar cabinetul odată ce a primit aceste date are responsabilitatea unui operator de date față de informațiile personale primite, pe care urmează să le proceseze conform propriilor reguli interne și pentru propriile scopuri (furnizarea serviciilor juridice), chiar dacă acționează în numele și în interesul clientului lor, nu clientul îi dictează ce proceduri trebuie să urmeze.
Avocații procesează datele cu caracter personal într-un scop amplu de a furniza servicii juridice în conformitate cu obligațiile lor profesionale. Ei vor folosi informațiile pe care firma le-a furnizat şi vor colecta orice alte informații de care au nevoie pentru a îndeplini sarcinile juridice. Avocații determină modul în care datele cu caracter personal obținute de la client vor fi prelucrate. Prin urmare, avocații acționează ca operatori de date în legătură cu datele cu caracter personal prelucrate pentru furnizarea serviciilor juridice în numele clientului.
Atât clientul cât şi avocații sunt operatori de date în legătură cu aceste date, fiecare dintre ei au propriile responsabilități de operatori de date, atât în ce privește solicitările de acces la date cât în ceea ce privește păstrarea datelor în siguranță.
Serviciile de contabilitate
O societate folosește un contabil (societate) pentru a-şi ține evidențele contabile în conformitate cu normele legale specifice. Atunci când acționează pentru clientul său, contabilul este un operator de date în raport cu datele cu caracter personal din contabilitatea clientului. Acest lucru se datorează faptului că contabilii stabilesc care sunt datele necesare pentru a ține contabilitatea în conformitate cu prevederile legale și modul de prelucrare. Clientul doar pune aceste date la dispoziția contabilului.
De cele mai multe ori clientul (organizația) a intrat în posesia acestor date în baza unei prelucrări care a avut un scop diferit de ținerea contabilității, scopul a fost furnizarea propriilor sale servicii către persoana fizică. În momentul în care aceste date sunt tranferate către contabil începe o nouă prelucrare, care are ca scop furnizarea serviciilor contabile către organizație.
În cazul în care furnizorii de servicii de specialitate prelucrează datele în conformitate cu propriile obligații profesionale, aceștia vor fi întotdeauna operatori de date şi nu vor putea să transfere sau să împartă obligațiile lor în calitate de operator de date cu clientul său.
Servicii urmărire GPS
O companie de închirieri auto contactează o companie de urmărire a vehiculelor pentru a instala dispozitive în mașinile sale şi de a le monitoriza, astfel încât mașinile să poată fi recuperate în cazul în care dispar. Contractul precizează că societatea de urmărire ar trebui să urmărească toate mașinile companiei şi trimite înapoi datele de localizare la compania de închiriere la şase ore după sfârșitul perioadei de închiriere, în cazul în care mașina nu a fost returnată.
Cu toate acestea, în ciuda acestor instrucțiuni, compania de urmărire a vehiculelor este un operator de date în sine. Acest lucru se datorează faptului că are suficientă libertate pentru a decide ce informații să colecteze despre autoturisme şi să analizeze acest lucru. Deține în întregime controlul de colectare a datelor. Software-ul de urmărire a vehiculului este un secret comercial şi compania de închiriere nu ştie exact ce informații sunt colectate. Deși compania de închiriere determină scopul general al urmăririi (recuperarea mașinilor sale), faptul că societatea de urmărire are un astfel de grad de libertate de a decide ce informații să colecteze, înseamnă că este un operator de date în sine.
Servicii de cloud
O autoritate locală utilizează un furnizor de cloud pentru a stoca evindeța imobilelor precum și numele proprietarilor. De asemenea, furnizorul de cloud este contractat pentru a șterge anumite date după o anumită perioadă și pentru a acorda membrilor accesului public la propriile înregistrări prin intermediul unui portal online securizat. De asemenea, găzduiește un forum de discuții pentru proprietari.
Deşi furnizorul de cloud oferă o gamă largă de servicii şi utilizează o mare parte din expertiza sa tehnică pentru a face acest lucru, este încă doar un împuternicit. O chestiune esenţială este că în cadrul contractului furnizorul de cloud nu are nici un drept pentru a utiliza datele în scopuri proprii. În plus, furnizorul de cloud nu colectează nici o informație în sine. Toate datele cu caracter personal pe care le deţine în legătură cu furnizarea de servicii sunt furnizate de către autoritatea locală.
Servicii publice & obligație legale
O autoritate este obligată printr-o lege să îndeplinească anumite funcții, inclusiv gestionarea plângerilor din partea cetățeniilor din domeniul în care își exercită actiitatea. Dat fiind numărul mare de plângeri pe care le primește, prima autoritate decide să externalizare manipularea plângerilor sale către o altă autoritate mai mare, cu o capacitate logistică mai bună. Prima autoritate nu va mai furniza aceste servicii în sine şi va utiliza personalului autorității mai mare. Cele două autorități au pus în aplicare un acord în care se afirmă că toate responsabilitățile de respectare a protecției datelor au trecut la autoritatea mai mare.
Autoritatea mai mare procesează datele cu caracter personal primite de la cetățenii în același mod în care a făcut prima autoritate. Întrucât prima autoritate a încetat să se ocupe de plângeri, s-ar putea părea că cea de-a doua autoritate mai mare a devenit operatorul de date. Cu toate acestea, în pofida modalităților de aplicare între cele două autorități, obligația legală de a furniza un serviciu de gestionare a plângerilor trebuia să rămână la prima autoritate conform legii. Prima autoritate nu poate transfera propriile obligații legale privind protecția datelor în sarcina unei autorități mai mari. Autoritatea mai mare poate fi doar un împuternicit, deoarece responsabilitatea operatorului de date trebuie să rămână la entitatea care are responsabilitatea legală pentru gestionare plângerilor.
Obligațiile legale ale operatorilor de date și a le împuterniciților
Considerente privind grupurile de operatori de date
Atunci când un operator dezvăluie datele cu caracter personal unui alt operator fiecare are responsabilitatea deplină a protecției datelor, deoarece ambele părți vor exercita controlul asupra scopurilor şi modului în care sunt prelucrate datele în interiorul propriilor organizații. În cazul în care partajarea este sistemică, la scară largă sau deosebit de riscantă, atunci ambele părți ar trebui să încheie un acord de partajare a datelor, acoperind, de exemplu, modul în care datele pot fi utilizate şi dacă acestea pot fi divulgate către terți.
Un acord de partajare a datelor ar putea oferi operatorului care deţine majoritatea datelor cu caracter personal, posibilitatea să controleze dacă prelucrarea datelor partajate este în conformitate cu prevederile Regulamentului GDPR.
Probleme de executare
Dacă există un acord în legătură cu cine se va ocupa de diferitele aspecte de conformitate, de exemplu, organizația care se va ocupa de exercitarea drepturilor subiecților, atunci autoritatea națională de reglementare va încerca să ia măsuri împotriva operatorului de date care are această responsabilitate. Cu toate acestea, autoritatea de supraveghere poate considera că ceilalți operatori de date nu şi-au îndeplinit obligațiile dacă:
- alocarea responsabilităților este nerezonabilă;
- ceilalți operator de date sunt în culpă pentru neconformitate;
- unul dintre ceilalți operatori de date a primit cererea de acces de la subiect, dar nu transmis-o operatorului responsabil pentru manipularea cererilor.
În cazul în care un operator de date furnizează date cu caracter personal unui alt operator de date, al doilea operator își asumă responsabilitatea pentru orice eșec de conformitate cu privire la repsectarea proprilor obligații GDPR.
Considerații privind relația între operatorii de date şi împuterniciți. Sunt recomandate utilizarea contractelor scrise
Toate responsabilitățile legale față de persoana fizică sunt în sarcina primului operator de date care a preluat datele personale de la persoana fizică. Regulamentul GDPR recomandă ca atunci când un operator dezvăluie datele cu caracter personal altui operator sau către un împuternicit, între părți ar trebui să existe un contract scris. Prin acest contract primul operator de date, care poartă responsabilitatea legală față de persoana fizică, poate controla în continuare nivelul de securitate și scopurile prelucrării.
Primul operator are datoria de a se asigura că sistemele de securitate ale operatorilor subsecvenți sau ale împuternicitului sunt cel puțin echivalente cu ale sale. Prin urmare trebuie să:
să aleagă un operator subsecvent sau împuternicit care să furnizeze garanții suficiente pentru măsurile de securitate tehnică și organizatorică care reglementează prelucrarea care trebuie efectuată
să ia măsuri rezonabile pentru a asigura respectarea acestor măsuri.
De asemenea, primul operator trebuie să ia măsuri rezonabile pentru a asigura menținerea securității, de exemplu prin auditarea periodică a politicilor de securitate ale operatorului subsecvent și ale împuternicitului.
Împuterniciții pot prelua responsabilitățile operatorului de date cu caracter personal dacă încalcă condițiile contractuale
În cazul în care un împuternicit încalcă acordul cu operatorul său de date, de exemplu prin utilizarea datelor în scopuri proprii neautorizate, atunci va prelua și responsabilitățile proprii ale operatorului de date, deoarece a procesat date fără respectarea principiilor Regulamentului GDPR.
În cazul în care un împuternicit ia datele cu caracter personal ale operatorul pentru utilizarea datelor în scopuri proprii, este probabil să fie o încălcare a primului principiu regulamentului, iar Autoritatea de supraveghere îl poate sancționa direct.
Dacă aveți nevoie de mai multe informații despre subiectul abordat sau orice alt aspect referitor la protecția datelor personale nu ezitați să ne contactați.
Recomandam de asemenea utilizarea secțiuni de Newsletter, dacă doriți să aflați când se postează articole noi.
Răzvan Petrea – avocat Timișoara