În luna septembrie, EDPB a publicat un ghid care conține informații importante și utile cu privire la conceptele de operator de date cu caracter personal, împuternicit și operator asociat. Noțiunile reprezintă puncte cheie în cadrul procedurii de conformare la GDPR, fiind elemente esențiale în descrierea relațiilor dintre operator – împuternicit sau operator – operator.
După cum este deja cunoscut, operatorii trebuie să respecte în integralitate obligațiile ce decurg din GDPR, în timp ce entitățile împuternicite acționează conform instrucțiunilor unui operator, fiind nevoite să respecte un set limitat de obligații. Înainte ca o anumită entitate să își facă publică poziția cu privire la rolul său în lumina GDPR (mai exact modul în care acționează: operator, persoană împuternicită sau operator asociat), trebuie să existe o calificare corectă a activității sale astfel încât să fie respectate obligațiile impuse de Regulamentul 2016/679.
Există mai multe puncte de interes ce au fost subliniate în cadrul ghidului în legătură cu aspectele de mai sus, iar în cele ce urmează vom face un rezumat al câtorva particularități ce au fost avute în vedere de Comitetul European pentru Protecția Datelor:
- EDPB consideră că un împuternicit are aceleași responsabilități ca operatorul în ceea ce privește punerea în aplicare a articolului 28 din GDPR în cadrul căruia sunt menționate elementele pe care trebuie să le conțină contractul dintre operator și î Anterior, nu era foarte clar dacă responsabilitatea revine doar operatorului care trebuie să se asigure de încheierea și respectarea unui asemenea acord;
- EDPB recomandă stabilirea unui interval de timp concret în care împuternicitul să notifice operatorului o încălcare a confidențialității datelor cu caracter personal, cum ar fi, de exemplu, un termen limita în care încălcarea să fie notificată;
- În cazul în care un operator acordă împuternicitului libertatea de a numi alți sub-împuterniciți prin intermediul unui DPA (Data Processing Agreement), EDPB consideră că împuternicitul trebuie să indice în mod activ orice astfel de noi sub-împuterniciț Nu este suficientă simpla actualizare a unei liste pe care operatorul să o verifice;
- EDPB menționeză că un DPA ar trebui să includă și obligația imputernicitului de a obține aprobarea operatorului înainte de a modifica măsurile de securitate; EDPB recomandă inserarea unui model de notificare;
Cu privire la operatorii asociați:
- Atribuirea precisă a obligațiilor fiecărui operator asociat este foarte importantă, în special atunci când avem în vedere entitatea responsabilă pentru răspunsurile la notificările persoanelor vizate;
- În procesul de atribuire a obligațiilor pentru fiecare operator asociat ar trebui să fie avută în vedere capacitatea acestuia de a se conforma obligațiilor respective. EDPB recomandă operatorilor să aibă în vedere factori relevanți care să fie luați în considerare alături de analize interne pentru a aloca responsabilitățile specifice;
- Se recomandă, de asemenea, ca părțile să includa informațiile specificate la articolul 28 alin. (3) cu privire la DPA în cadrul acordurilor dintre operatorii asociați, cu precădere obiectul și scopul prelucrării, tipul datelor cu caracter personal prelucrate și categoriile persoanelor vizate.
Clarificările făcute de Comitetul European pentru Protecția Datelor sunt foarte utile cu atât mai mult în contextul în care există continuu întrebări referitoare la conceptele noțiunilor de operator/împuternicit/operator asociat.
Avocat Dragoș Oancea
