GDPR, aplicat practic: Exemple utile pentru înțelegerea relației dintre operator și împuternicit

Cu alte cuvinte, o companie va avea, de regulă, atât calitatea de operator (pentru prelucrările pe care le face asupra datelor propriilor angajați sau clienți), calitatea de împuternicit (asupra prelucrărilor pe care le face în numele altor companii, conform instrucțiunilor acestora), dar și de operator asociat (atunci când împreună cu alte companii, operează o bază de date comună - cum ar fi, spre exemplu, prelucrarea datelor unor turiști de către mai multe agenții de publicitate, în comun).

Ce sunt operatorul și împuternicitul?

Potrivit GDPR, prin „operator" se înțelege o persoană fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește:

• scopurile și
• mijloacele de prelucrare a datelor cu caracter personal.

Opinia 1 din 2010 a Grupului de Lucru Articol 29, cu privire la conceptele de operator și împuternicit¹, definește foarte bine cele două concepte.

Rolul primordial al conceptului de operator este de a determina:

• cine este responsabil pentru respectarea normelor privind protecția datelor și
• modul în care persoanele vizate pot exercita drepturile în practică.

Cu alte cuvinte: rolul principal al operatorului este să aloce responsabilitatea. Simplist vorbind, operatorul este "creierul" operațiunilor de prelucrare si el va răspunde întotdeauna pentru prelucrarea respectivă.

„Persoană împuternicită de operator" înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului.

Există două condiții esențiale pentru ca o entitate să se califice drept împuternicit:

• să fie entitate juridică separată față de operator; și
• să prelucreze date în numele operatorului; această activitate de prelucrare poate fi limitată la o activitate foarte specifică sau poate fi mai generală și mai extinsă.

Simplist vorbind, în multe cazuri, împuternicitul este instrumentul prin care operatorul își realizează scopurile prelucrării. După cum vom vedea în continuare, împuternicitul poate răspunde (în solidar cu operatorul) pentru acțiunile sale, în două situații: când încalcă instrucțiunile primite de la operator, respectiv atunci când încalcă obligațiile pe care i le impune lui, ca împuternicit, GDPR.

Cum se întâmplă lucrurile în viața reală?

Iată câteva exemple utile, pentru înțelegerea rolului operatorului și împuternicitului, dintre cele retinute de Opinia 1 din 2010 a Grupului de Lucru Articol 29, cu privire la conceptele de operator sau împuternicit, mentionate anterior.

Marketingul prin poștă²

Întreprinderea ABC încheie contracte cu diferite organizații în vederea realizării campaniilor sale de marketing prin poștă și a întocmirii statelor de plată. Aceasta oferă instrucțiuni clare (ce material de marketing trebuie trimis și cui trebuie trimis, cine trebuie plătit, ce sume, până la ce dată etc.).

Deși organizațiile au o anumită libertate de decizie (inclusiv referitor la programul pe care să-l utilizeze), îndatoririle lor sunt destul de clar și de bine stabilite și, chiar dacă serviciul poștal ar putea da orientări (de exemplu, o recomandare împotriva trimiterii de mesaje publicitare în luna august), acestea acționează conform instrucțiunilor întreprinderii ABC.

Mai mult, o singură entitate, întreprinderea ABC, are dreptul să utilizeze datele prelucrate – toate celelalte entități trebuie să se bazeze pe temeiul juridic al întreprinderii ABC în cazul în care este investigată capacitatea lor legală de a prelucra datele. În acest caz, este evident că întreprinderea ABC are rolul de operator de date, iar fiecare dintre organizațiile separate poate fi considerată persoană împuternicită pentru prelucrarea datelor, cu privire la prelucrarea specifică a datelor pe care o realizează în numele său.

Monitorizarea secretă a angajaților³

Un membru al consiliului director al unei întreprinderi decide să monitorizeze în secret angajații întreprinderii, chiar dacă această decizie nu este susținută în mod oficial de consiliu. Întreprinderea ar trebui considerată operator, putând face obiectul posibilelor reclamații și răspunderii pe care o implică acest lucru în relație cu angajații săi, ale căror date cu caracter personal au fost utilizate abuziv.

Răspunderea întreprinderii apare în special deoarece, în calitate de operator, aceasta are obligația de a asigura respectarea normelor de securitate și de confidențialitate. Utilizarea abuzivă de către un funcționar al întreprinderii sau de către un angajat ar putea fi considerată ca fiind rezultatul unor măsuri de securitate necorespunzătoare.

Aceasta, indiferent dacă, mai târziu, respectivul membru al consiliului director sau alte persoane fizice din cadrul întreprinderii ar putea fi, de asemenea, considerate răspunzătoare, atât din punct de vedere al dreptului civil – și față de întreprindere -, cât și din punct de vedere al dreptului penal. Această situație poate apărea, de exemplu, dacă respectivul membru al consiliului director ar utiliza datele colectate în scopul obținerii unor favoruri personale din partea angajaților: el ar trebui considerat ca având rolul de „operator" și răspunzător pentru utilizarea acestor date.

Societăți de recrutare de personal⁴

Societatea Headhunterz Ltd ajută întreprinderea Enterprize Inc în recrutarea de personal. Contractul precizează în mod clar că „Headhunterz Ltd va acționa în numele întreprinderii Enterprize, iar în ceea ce privește prelucrarea datelor cu caracter personal, are rolul de persoană împuternicită pentru prelucrarea datelor. Enterprize este operatorul de date exclusiv".

Totuși, Headhunterz Ltd se află într-o poziție ambiguă: pe de o parte, aceasta are rolul de operator în raport cu persoanele aflate în căutarea unui loc de muncă, iar, pe de altă parte, își asumă rolul de persoană împuternicită care acționează în numele operatorilor, precum Enterprize Inc și alte întreprinderi care recrutează personal prin intermediul său.

În plus, Headhunterz – și renumitul său serviciu cu valoare adăugată „plasare a forței de muncă la nivel global" - caută candidați potriviți atât consultând CV-urile primite direct de Enterprize, cât și cele pe care le are deja în baza sa amplă de date. Astfel, societate Headhunterz, care conform contractului este plătită numai pentru contractele efectiv semnate, crește probabilitatea de plasare a forței de muncă, sporindu-și astfel veniturile.

Conform celor de mai sus, se poate concluziona că, în pofida calificării conform contractului, se consideră că Headhunterz Ltd are rolul de operator, controlând împreună cu întreprinderea Enterprize Inc cel puțin acele serii de operațiuni care se referă la recrutarea personalului pentru Enterprize.

Accesul neautorizat al unui angajat⁵

Un angajat al unei societăți ajunge să cunoască, în îndeplinirea sarcinilor sale, date personale pe care nu are dreptul să le acceseze. În acest caz, acest angajat ar trebui considerat „terț" în raport cu angajatorul său, cu toate consecințele și responsabilitățile aferente în termeni de legalitate a comunicării și prelucrării datelor.