Principalele responsabilităţi ale operatorului -p2

Persoana împuternicită de operator

În cazul în care prelucrarea urmează să fie realizată în numele unui operator, prin art. 28 din RGPD se dispune că, operatorul recurge doar la persoane împuternicite care oferă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute în prezentul regulament și să asigure protecția drepturilor persoanei vizate.

Prelucrarea de către o persoană împuternicită de un operator este reglementată printr-un contract sau alt act juridic în temeiul dreptului Uniunii sau al dreptului intern care are caracter obligatoriu pentru persoana împuternicită de operator în raport cu operatorul și care stabilește obiectul și durata prelucrării, natura și scopul prelucrării, tipul de date cu caracter personal și categoriile de persoane vizate și obligațiile și drepturile operatorului.

Respectivul contract sau act juridic, formulează în scris, inclusiv în format electronic, prevede în special că, persoană împuternicită de operator are următoarele atribuţii:

  • prelucrează datele cu caracter personal numai pe baza unor instrucțiuni documentate din partea operatorului, inclusiv în ceea ce privește transferurile de date cu caracter personal către o țară terță sau o organizație internațională, cu excepția cazului în care această obligație îi revine persoanei împuternicite în temeiul dreptului Uniunii sau al dreptului intern care i se aplică; în acest caz, notifică această obligație juridică operatorului înainte de prelucrare, cu excepția cazului în care dreptul respectiv interzice o astfel de notificare din motive importante legate de interesul public;
  • se asigură că persoanele autorizate să prelucreze datele cu caracter personal s-au angajat să respecte confidențialitatea sau au o obligație statutară adecvată de confidențialitate;
  • adoptă toate măsurile necesare în conformitate cu art. 32 din RGPD privind securitatea prelucrării;
  • ținând seama de natura prelucrării, oferă asistență operatorului prin măsuri tehnice și organizatorice adecvate, în măsura în care acest lucru este posibil, pentru îndeplinirea obligației operatorului de a răspunde cererilor privind exercitarea de către persoana vizată a drepturilor prevăzute în capitolul III din RGPD referitoare la drepturile persoanei vizate;
  • ajută operatorul să asigure respectarea obligațiilor prevăzute la articolele 32-36 din RGPD referitoare la securitatea prelucrării, notificarea autorității de supraveghere în cazul încălcării securității datelor cu caracter personal, informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal, evaluarea impactului asupra protecției datelor şi consultarea prealabilă, ținând seama de caracterul prelucrării și informațiile aflate la dispoziția persoanei împuternicite de operator;
  • la alegerea operatorului, șterge sau returnează operatorului toate datele cu caracter personal după încetarea furnizării serviciilor legate de prelucrare și elimină copiile existente, cu excepția cazului în care dreptul Uniunii sau dreptul intern impune stocarea datelor cu caracter personal;
  • pune la dispoziția operatorului toate informațiile necesare pentru a demonstra respectarea obligațiilor prevăzute la prezentul articol, permite desfășurarea auditurilor, inclusiv a inspecțiilor, efectuate de operator sau alt auditor mandatat și contribuie la acestea.

Obligaţia de păstrare a evidențelor în prelucrarea datelor cu caracter personal

Toţi operatorii din administraţia publică, persoanele împuternicite de operator, dar şi operatorii din sistemul privat cu peste 250 de angajaţi, au obligaţia păstrării evidențelor generate în prelucrarea datelor cu caracter personal, sub responsabilitatea lor sau desfășurate în numele operatorului. Aceeaşi obligaţie revine şi operatorilor cu mai puţin de 250 de angajaţi în situaţia în care prelucrarea pe care o efectuează este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor vizate, prelucrarea nu este ocazională sau prelucrarea include categorii speciale de date (de ex. spitalele) sau date cu caracter personal referitoare la condamnări penale și infracțiuni.

În scopul conducerii unei evidenţe complete și exacte a prelucrărilor de date cu caracter personal efectuate și pentru a răspunde noilor exigenţe, trebuie să se identifice, în prealabil: diferitele prelucrări de date cu caracter personal; care sunt categoriile de date cu caracter personal prelucrate; care este scopul prelucrării; persoanele care prelucrează aceste date; fluxurile de date, indicând originea și destinaţia datelor, în special pentru a identifica eventualele transferuri de date în afara Uniunii Europene.

Astfel, potrivit art. 30 din RGPD, fiecare operator și, după caz, reprezentantul acestuia păstrează o evidență a activităților de prelucrare desfășurate sub responsabilitatea lor. Respectiva evidență cuprinde toate următoarele informații:

  • numele și datele de contact ale operatorului și, după caz, ale operatorului asociat, ale reprezentantului operatorului și ale responsabilului cu protecția datelor;
  • scopul prelucrării;
  • o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal;
  • categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din țări terțe sau organizații internaționale;
  • dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective și, în cazul transferurilor menționate la art. 49 alin. (1) al doilea paragraf din RGPD, documentația care dovedește existența unor garanții adecvate;
  • acolo unde este posibil, termenele-limită preconizate pentru ștergerea diferitelor categorii de date;
  • acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate luate.

Totodată, fiecare operator și, după caz, persoana împuternicită de operator păstrează o evidență a tuturor categoriilor de activități de prelucrare desfășurate în numele operatorului, care cuprind:

  • numele și datele de contact ale persoanei sau persoanelor împuternicite de operator și ale fiecărui operator în numele căruia acționează această persoană (aceste persoane), precum și ale reprezentantului operatorului sau al persoanei împuternicite de operator, după caz;
  • categoriile de activități de prelucrare desfășurate în numele fiecărui operator;
  • dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective și, în cazul transferurilor prevăzute la art. 49 alin. (1) al doilea paragraf din RGPD, documentația care dovedește existența unor garanții adecvate;
  • acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate.

Operatorul sau persoana împuternicită de acesta, precum și, după caz, reprezentantul operatorului sau al persoanei împuternicite de operator pun evidențele la dispoziția autorității de supraveghere, la cererea acesteia.