avocatnet.ro 
Un împuternicit este o persoană fizică sau juridică, o autoritate publică, o agenție sau un alt organism care prelucrează date cu caracter personal în numele operatorului.
Foarte important de reținut, operatorul este cel care stabilește scopurile și mijloacele de prelucrare a datelor. Exemple de împuterniciți în scopuri de marketing ar fi agențiile de marketing care gestionează campanii de e-mail marketing, publicitate online, platforme de e-mail marketing, servicii de call center care contactează clienții pentru promoții sau sondaje, sau furnizori de servicii IT care oferă servicii de găzduire, mentenanță sau dezvoltare de software ce implică prelucrarea datelor.
Un recent exemplu de proastă gestionare a unei astfel de baze de date a fost furnizat de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), care a amendat o companie cu echivalentul în lei a 5000 de euro.
Investigația a fost declanșată în urma unor sesizări venite chiar din parte din partea companiei amendate, cu privire la o posibilă încălcare a regulamentului în contextul unei campanii de crowdfunding pentru o echipă de fotbal, ce urma să se desfășoare prin intermediul unui împuternicit.
Astfel, acționarul majoritar al echipei, a transmis, prin intermediul împuternicitului respectiv, un e-mail cu o bază de date cu un număr mare de adrese de e-mail, inclusiv ale unor persoane care cumpăraseră bilete la meciurile echipei, propunându-le să finanțeze gruparea respectivă. Baza de date utilizată conținea date cu caracter personal (nume, prenume, adresă de e-mail) atât ale susținătorilor clubului (suporteri), cât și ale altor persoane fizice.
ANSPDCP a constatat că operatorul nu a furnizat instrucțiuni scrise clare împuternicitului său cu privire la categoriile de persoane vizate din baza de date (în acest caz, suporterii echipei) cărora trebuia să li se adreseze e-mailul despre campania de finanțare.
Această omisiune încalcă, conform Autorității, prevederile art. 28 alin. (3) lit. a) din GDPR, care stipulează că prelucrarea datelor de către un împuternicit trebuie să se bazeze pe instrucțiuni documentate din partea operatorului.
Prevederile GDPR trebuie avute în calcul inclusiv în ceea ce privește relația dintre operatori și împuterniciți, în special în contextul campaniilor de marketing care implică prelucrarea datelor cu caracter personal. Astfel, companiile trebuie să se asigure că au implementate proceduri clare și că furnizează instrucțiuni scrise detaliate împuterniciților lor pentru a evita amenzi și a proteja datele clienților.
Trebuie ținut cont de faptul că operatorul are obligația de a își alege cu grijă împuterniciții, asigurându-se că aceștia oferă garanții suficiente pentru implementarea unor măsuri tehnice și organizatorice adecvate. De asemenea, trebuie să încheie un contract scris cu împuternicitul, care să definească clar scopul și durata prelucrării, tipul de date, obligațiile și responsabilitățile fiecărei părți, și să supravegheze activitatea împuternicitului pentru a se asigura că acesta respectă prevederile GDPR.
Împuternicitul, la rândul său, are obligația de a prelucra datele doar în conformitate cu instrucțiunile operatorului. Trebuie, la rândul său, să implementeze măsuri de securitate adecvate pentru protejarea datelor, să respecte confidențialitatea datelor și să notifice operatorul în cazul oricărei încălcări a securității datelor.
miai222