„În cadrul investigației s-a constatat că împuternicitul Wens Experience SRL a recrutat o altă persoană împuternicită pentru prelucrarea datelor angajaților operatorului fără a primi în prealabil o autorizație scrisă, specifică sau generală din partea operatorului, încălcându-se prevederile art. 28 alin. (2) din RGPD.
Precizăm că, potrivit art. 28 alin. (2) din RGPD «Persoana împuternicită de operator nu recrutează o altă persoană împuternicită de operator fără a primi în prealabil o autorizaţie scrisă, specifică sau generală, din partea operatorului. În cazul unei autorizaţii generale scrise, persoana împuternicită de operator informează operatorul cu privire la orice modificări preconizate privind adăugarea sau înlocuirea altor persoane împuternicite de operator, oferind astfel posibilitatea operatorului de a formula obiecţii faţă de aceste modificări.»”, a transmis ANSPDCP miercuri în comunicatul ce anunța aplicarea unei amenzi de 1.500 de euro împuternicitului.
„Persoană împuternicită de operator" este persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului. În practică, numeroși angajatori apelează la terți pentru diverse servicii legate de relațiile de muncă, precum furnizorii de servicii de calcul și plată a salariilor, transport special la locul de muncă, cazare, arhivare ș.a.m.d. - acești terți au calitatea de împuterniciți ai angajatorului. Întrucât chiar regulamentul european e destul de clar în privința aceasta, nefiind necesară o atenționare expresă ori prin contract de a nu împuternici mai departe fără acord, terții sunt cei care trebuie să se asigure că nu încalcă această obligație trasată de GDPR. În caz contrar, împuternicitul răspunde pentru încălcarea securității datelor cu caracter personal, oferind, practic acces altcuiva la datele pe care le prelucrează în numele operatorului.
Util: GDPR, aplicat practic - Exemple utile pentru înțelegerea relației dintre operator și împuternicit