GDPR: Ești operator de date sau împuternicit? Ce obligații îți revin și ce riști dacă nu le respecți

Atunci când firmele stabilesc care sunt scopurile și mjiloacele prin care se face prelucrarea de date, ele sunt numite operatori, conform Regulamentului general privind protecția datelor (GDPR). În schimb, există și situații când o persoană este cea care face prelucrarea de date, însă în numele alteia, aceasta din urmă fiind cea care a stabilit scopurile și, eventual, mijloacele prin care prelucrarea se face. Într-un asemenea caz, discutăm de o persoană împuternicită de operator. Pentru a putea să-și dea seama în ce categorie se află și ce obligații au, în consecință, firmele pot consulta Ghidul CEPD cu privire la operatori, persoane împuternicite și operatori asociați.

Atenție! Deși, formal, ghidul este conceput pentru organele Uniunii Europene, el este la fel de relevant și pentru firmele care prelucrează datele, întrucât activitățile sunt aceleași și concluziile CEPD au un caracter suficient de general pentru a fi relevante și pentru privați. 

Cum îți dai seama dacă ești operator sau persoană împuternicită

Operatorii sunt cei care, prin exercitarea unui factor decizional, determină care este scopul pentru care datele personale sunt prelucrate. Ghidul sugerează, pentru determinarea persoanei care a stabilit scopul prelucrării, analiza următoarelor întrebări:

• de ce are loc prelucrarea?;
• cine a inițiat prelucrarea?;
• cine beneficiază de pe urma prelucrării?

Practic, răspunsurile la aceste întrebări vor identifica operatorul, din cauză că vor determina scopul pentru care se face prelucrarea și mijloacele folosite.

În practică, totuși, lucrurile s-ar putea să nu fie la fel de simple: pot exista situații în care operatorul determină persoanele ale căror date sunt prelucrate, tipurile de date sau perioada de retenție a datelor respective. În același timp, persoana împuternicită s-ar putea să determine ea însăși, de multe ori, ce software folosește în acest demers. Sau alte chestiuni tehnice, precum măsurile de securitate implementate. Într-o astfel de situație, chiar dacă persoana împuternicită are un anumit grad de libertate, tot operatorul este cel care determină elementele principale sau esențiale. Cu alte cuvinte, se păstrează distincția între cel care determină scopul și cel care doar acționează.

Deja s-a conturat, în mare, ce înseamnă împuternicit. Nu voi mai repeta tot ce am scris mai sus. Însă este foarte important de menționat: nu poate exista împuternicit fără un operator care să fi stabilit, deja, scopul prelucrării.

În același timp, raportul stabilit între operator și împuternicit nu trebuie să fie, în mod necesar, unul de subordonare. Împuternicitul poate fi liber să își stabilească felul cum se organizează (în special în ceea ce privește elementele neesențiale). Însă chiar și așa, împuternicitul nu poate ieși din sfera stabilită, deja, de operator (de exemplu, să extindă numărul persoanelor cărora le sunt prelucrate datele). Dacă se întâmplă așa ceva, împuternicitul s-ar putea transforma, pentru ceea ce depășește scopul stabilit de operator, într-un operator de sine stătător. 

Ce obligații ai ca operator și ce riști dacă nu le respecți

Prima obligație pe care o ai, ca operator, în temeiul GDPR, este să alegi cu atenție persoana împuternicită. Regulamentul stabilește că trebuie să te asiguri că persoana aleasă oferă suficiente garanții că vor fi implementate măsuri tehnice și organizatorice adecvate. Altcumva, operatorii pot încălca GDPR și să fie expuși la sancțiuni severe pentru o astfel de încălcare. Pentru a se asigura că potențialii împuterniciți oferă suficiente garanții, firmele ar putea să:

• verifice declarațiile și documentațiile oferite de potențialul împuternicit cu privire la politicile de prelucrare a datelor, inclusiv cu privire la politicile de securitate;
• să stabilească, printr-un contract încheiat cu împuternicitul, că cel din urmă va respecta obligațiile de protecție a datelor (eventual, ele să și fie detaliate în contract).

În rest, operatorul trebuie, în esență, să respecte toate obligațiile pe care le are în baza GDPR, de la prelucrarea datelor în baza unui temei, la minimizarea datelor prelucrate, la respectarea drepturilor persoanelor (cum ar fi dreptul de acces sau dreptul de a se opune prelucrării). Astfel, este important de menționat că, în acest context, responsabilitatea principală cu privire la respectarea drepturilor persoanelor vizate de prelucrare este a operatorului. Cu alte cuvinte, un operator care a împuternicit o altă persoană să facă prelucrarea nu îi va transfera acesteia și responsabilitățile principale de conformare.

În plus, mai trebuie menționată și posibilitatea ca un operator să stabilească împreună cu altul scopul prelucrării. Adică discutăm de operatori asociați. Această ipoteză trebuie menționată, din cauză că există anumite obligații specifice. Esențial este ca acești operatori să își stabilească, în mod clar și transparent, cum își împart responsabilitățile pe care le au în temeiul GDPR. Pot exista, de exemplu, situații când doar unul din operatori are acces la un anumit set de date, care vizează o anume persoană. Într-o astfel de situație, va trebui stabilit că acel operator va fi cel care va duce la îndeplinire o eventuală solicitare de acces la date, din partea persoanei vizate.

De aici derivă și o altă obligație: aceea de informare a persoanelor vizate de prelucrare cu privire la asociere, pentru ca acestea să știe cui să se adreseze, când vor să își exercite drepturile. 

Nerespectarea GDPR, de către operatori, poate atrage o sancțiune administrativă de până la 4% din cifra de afaceri mondială totală anuală sau de până la 20 de milioane de euro, oricare e mai mare. Bineînțeles, în vederea stabilirii cuantumului sancțiunii se ține cont de mai multe aspecte, amenzile cu adevărat mari vizând doar cazurile grave sau firmele ale căror activități pot avea un impact foarte grav asupra drepturilor garantate de GDPR. Puteți citi mai multe despre criteriile după care se stabilesc amenzile, aici. 

În plus, persoanele prejudiciate pot cere și obține despăgubiri pentru încălcarea Regulamentului.

Ce obligații ai ca persoană împuternicită de operator și ce riști dacă nu le respecți

Principala obligație pe care o ai ca persoană împuternicită e să urmezi instrucțiunile primite de la operator, care deja a stabilit scopul și mijloacele prelucrării. În caz contrar, riști să depășești cadrul stabilit de operator și, astfel, riști să te transformi tu însuți într-un operator. Problema e că, într-o asemenea situație, ești expus, din mai multe puncte de vedere. De exemplu, s-ar putea să nu ai niciun temei pentru prelucrarea datelor care depășesc ceea ce a stabilit operatorul și, astfel, să încalci GDPR.

După aceea, ca împuternicit trebuie să mai respecți o serie de obligații. De exemplu:

• asigurarea unui cadru adecvat de prelucrare, inclusiv cu privire la persoanele care au acces la date (în astfel de cazuri, e importantă asigurarea confidențialității);
• împuternicitul nu recurge la alte persoane care să facă prelucrarea, decât dacă există o instrucțiune din partea operatorului (fie specifică, fie generală);
• împuterniciții oferă asistență tehnică și organizatorică operatorilor, pentru ca aceștia să își poată îndeplini obligațiile pe care le au (de exemplu, garantarea dreptului de acces al persoanelor vizate de prelucrare la datele deținute despre acestea);
• împuterniciții adoptă măsuri de securitate adecvată (puteți citi, aici, mai multe despre astfel de măsuri);
• înștiințarea operatorului că a avut loc o breșă de securitate, fără întârzieri nejustificate, după ce află de existența unei astfel de breșe.

Nerespectarea obligațiilor împuternicitului îl poate expune pe acesta la sancțiunile care pot fi aplicate în temeiul GDPR (la care am făcut trimitere mai sus). În plus, împuternicitul ar putea fi obligat la plata de despăgubiri față de persoanele prejudiciate.