Printre principalele responsabilități ale operatorilor de date cu caracter personal se numără încheierea unor acorduri de prelucrare cu partenerii de afaceri către care transmit sau există posibilitatea de a dezvălui anumite date cu caracter personal ale persoanelor vizate cu care intră în contact în activitatea lor economică.

Încheierea unui acord este necesară dacă există deja un contract în derulare și trebuie să conțină cel puțin următoarele tipuri de informații:

  • Ce categorii de persoane vizate implică relația contractuală;
  • Care sunt tipurile de date cu caracter personal prelucrate cu ocazia desfășurării raporturilor între operator și partenerul său;
  • Scopul prelucrării datelor în funcție de serviciile furnizate;
  • Durata prelucrării datelor cu caracter personal pe categorii de date, dacă aceasta diferă în funcție de scopul prelucrării;
  • Responsabilitatea asumată de fiecare parte contractantă în raport cu personale vizate;
  • Măsurile tehnice și organizatorice minime care asigură o prelucrare conformă cu dispozițiile legale;
  • Instrucțiuni clare privind gradul de protecție pe care operatorul, sau persoana împuternicită a operatorului trebuie să îl asigure persoanelor vizate;
  • Interdicția de a subcontracta serviciile fără acordul operatorului care transmite datele;
  • Solicitarea de a face dovada ștergerii datelor la momentul încetării scopului prelucrării în acord cu dispozițiile legale, etc.

 

Pentru a se asigura de responsabilitatea operatorului de date către care se transmit acestea, sau către persoana împuternicită, entitatea emițătoare se poate angaja într-o verificare activă a măsurilor tehnice și organizatorice pe care destinatarul le implementează. În funcție de mai multe criterii, precum tipul de date cu caracter personal sau volumul acestora, operatorul poate solicita contractantului său inclusiv efectuarea unui audit privind siguranța prelucrării pe care să îl prezinte fără rezerve, asa cum este recomandat în cazul prelucrării de date cu caracter sensibil.

Acordul privind prelucrarea de date se poate încheia doar în condițiile în care entitatea destinatară face dovada capacității de a răspunde cerințelor prevăzute de Regulamentul 2016/679 rivind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor). De asemenea, operatorul poate interzice prin acordul de prelucrare utilizarea datelor personale de către terț în alte scopuri decât cele determinate în mod limitativ de acesta. Limitarea este justificată de scopul contractual precum și de faptul că operatorul însuși are obligația de a fi transparent cu persoanele vizate ale căror date le prelucrează.

Pentru a preveni apariția unui risc major, operatorul are posibilitatea inclusiv de a cere implementarea de măsuri tehnice și organizatorice personalizate pe tipul de prelucrare pe care îl impune relația contractuală, cum ar fi utilizarea unor sisteme tehnologice avansate față de cele pe care entitatea destinatară le are la momentul semnării acordului. În spiritul unei aplicări efective și coerente, opratorul poate cere acces la politicile de prelucrare a datelor, utilizate de entitatea destinatară, precum și informații recurente legate de modificările care vor apărea.

Excepție de la regula încheierii acordurilor de prelucrare sunt autoritățile competente către care se transmit date cu caracter personal de către operatori, în scopul îndeplinirii unor obligații legale. Ținând cont de structura administrativă și teritorială a autorităților în discuție, acestea ar trebui să aibă reguli proprii impuse chiar de GDPR și responsabilitatea prelucrării cade în sarcina acestora. Cu toate acestea, în sens invers este valabilă aceeași regulă dacă operatorul este o autoritate care achiziționează servicii de la un prestator, aceasta putând solicita încheierea unui acord de prelucrare cu toate caracteristicile descrise mai sus.

În plus, prelucrarea datelor cu  caracter  personal de către autoritățile  publice în  vederea realizării  obiectivelor prevăzute  de  dreptul constituțional sau de dreptul internațional public, ale asociațiilor religioase recunoscute oficial se efectuează din motive de interes public.

În cazul în care partea contractată este o entitate care nu își are sediul în UE, în afară de măsura încheierii unui acord de prelucrare, cade în sarcina operatorului care transmite datele cu caracter personal să verifice dacă statul respectiv către care se transferă datele oferă garanții adecvate privind protecția datelor și să ia în considerare modul în care aceasta respectă statul de drept, accesul la justiție, precum și normele și standardele internaționale în materie de drepturi ale omului și legislația sa generală și sectorială, inclusiv legislația privind  securitatea  publică, apărarea și  securitatea  națională, precum și  ordinea publică și dreptul penal.

Av. Raluca Comanescu

Lasă un comentariu