Relaţia dintre operator şi persoana împuternicită. Clauze contractuale

//Relaţia dintre operator şi persoana împuternicită. Clauze contractuale

Relaţia dintre operator şi persoana împuternicită

Relaţia dintre operator şi persoana împuternicităPrelucrarea datelor personale de către o persoană împuternicită ar trebui să fie reglementată de un contract sau de un alt act juridic în conformitate cu legislaţia UE sau a statului membru, care să lege persoana împuternicită de operator, să ofere garanţii adecvate privind respectarea GDPR şi care să precizeze:

  • obiectul şi durata prelucrării;
  • natura şi scopul prelucrării;
  • tipul de date cu caracter personal;
  • categoriile de persoane vizate;
  • obligaţiile şi drepturile operatorului;
  • riscurile prelucrării la adresa persoanelor vizate.

Operatorul şi persoana împuternicită pot alege să folosească un contract particular sau clauze contractuale standard care sunt adoptate fie direct de Comisia UE, fie de o autoritate de supraveghere a protecţiei datelor şi apoi adoptate de Comisia Europeană.

După terminarea prelucrării în numele operatorului, persoana împuternicită ar trebui să returneze sau să şteargă datele personale, la alegerea operatorului, cu excepţia cazului în care există o cerinţă de stocare a datelor cu caracter personal în conformitate cu legislaţia UE sau a statului membru la care este supusă persoana împuternicită.

Pe lângă cele de mai sus, respectivul contract încheiat între operator şi persoana împuternicită ar trebui să prevadă în special că persoana împuternicită:

  • prelucrează datele cu caracter pe baza instrucţiunilor primite de la operator , inclusiv cu privire la transferul acestor date către o terţă parte, indiferent dacă aceasta se află sau nu în Uniunea Europeană şi nu se abate de la ele;
  • se asigură ca persoanele autorizate să prelucreze datele cu caracter personal s-au angajat să respecte confidenţialitatea sau au o obligaţie statutară adecvată de confidenţialitate (fie prin regulamentul intern al organizaţiei, contract de muncă, act adiţional la contractul de muncă, fişa postului sau alte asemenea);
  • adoptă toate măsurile necesare în conformitate cu articolul 32 GDPR;
  • nu recrutează o altă persoană împuternicită de operator fără a primi în prealabil o autorizaţie scrisă, specifică sau generală, din partea operatorului;
  • răspunde pentru persoana pe care o recrutează;
  • ţinând seama de natura prelucrării, oferă asistenţă operatorului prin măsuri tehnice şi organizatorice adecvate, în măsura în care acest lucru este posibil, pentru îndeplinirea obligaţiei operatorului de a răspunde cererilor privind exercitarea de către persoana vizată a drepturilor sale;
  • ajută operatorul în ceea ce priveşte:
    • (a) incidentele de securitate şi
    • (b) efectuarea analizei de impact (DPIA);
  • la alegerea operatorului, şterge sau returnează operatorului toate datele cu caracter personal după încetarea furnizării serviciilor legate de prelucrare şi elimină copiile existente, cu excepţia cazului în care dreptul Uniunii sau dreptul intern impune stocarea datelor cu caracter personal;
  • pune la dispoziţia operatorului toate informaţiile necesare pentru a demonstra respectarea obligaţiilor pe care le are, permite desfăşurarea auditurilor, inclusiv a inspecţiilor, efectuate de operator sau alt auditor mandatat şi contribuie la acestea;
  • informează operatorul dacă consideră că o instrucţiune încalcă prevederile GDPR.

Conform art. 28 alin. (1) GDPR, operatorul recurge doar la persoane împuternicite care oferă garanţii suficiente pentru punerea în aplicare a unor măsuri tehnice şi organizatorice adecvate, astfel încât prelucrarea să respecte cerinţele prevăzute în prezentul regulament şi să asigure protecţia drepturilor persoanei vizate.
Prin urmare, operatorul răspunde pentru alegerea persoanei împuternicite. Ca să facă această alegere, operatorul poate apela la audituri, inspecţii, chestionare faţă de persoana împuternicită, pentru a se asigura că respectă cerinţele GDPR.
Important de menţionat este faptul că, dacă operatorul nu recurge la persoane împuternicite de încredere, poate fi amendat de ANSPDCP.

2018-11-01T10:50:37+00:00noiembrie 1st, 2018|GDPR|0 Comments
X