Dana Cireasa

Reala responsabilitate a operatorilor de date cu caracter personal în relația cu persoanele împuternicite

Reala responsabilitate a operatorilor de date cu caracter personal în relația cu persoanele împuternicite

Rezumat: 

Persoana împuternicită “oferă asistență” și “ajută” operatorul, prelucrează datele personale “numai pe baza unor instrucțiuni documentate din partea operatorului”,  acționează “la alegerea operatorului”, așadar controlul este exclusiv în mâna operatorului de date personale.  Responsabilitatea selecției persoanelor împuternicite, a evaluării adecvării garanțiilor și măsurilor tehnice și organizatorice solicitate persoanei împuternicite, a stabilirii clauzelor contractuale, a formulării instrucțiunilor, a efectuării de inspecții și audituri revine în exclusivitate operatorului de date cu caracter personal.

Cuvinte cheie: operator date, responsabilitate, persoane împuternicite, drepturi și obligații operatori, drepturi și obligații persoane împuternicite

Abstract

The processor „assists” and „helps” the controller, processes personal data „only on documented instructions from the controller”, acts „at the choice of the controller”, so control is exclusively in the hands of the controller of personal data. The responsibility for the selection of processors, the assessment of the adequacy of guarantees and the technical and organizational measures requested of the processor, the establishment of contractual clauses, the formulation of instructions, the carrying out of inspections and audits rests exclusively with the controller of personal data.

Keywords: controller, responsability, processor, rights and obligations of controllers, rights and obligations of processors

Deși conceptele de operator de date cu caracter personal și persoană împuternicită sunt relativ clare în legislație, în practică, relația dintre cele două entități încă ridică mari probleme. 

Comitetul European pentru Protecția Datelor (CEPD) arată în Orientările 07/2020 privind conceptele de operator și persoană împuternicită de operator în cadrul RGPD că acest concept “de operator și interacțiunea acestuia cu conceptul de persoană împuternicită de operator joacă un rol esențial în aplicarea RGPD, deoarece ele stabilesc cine este responsabil de respectarea diferitelor norme privind protecția datelor cu caracter personal și modul în care persoanele vizate își pot exercita aceste drepturi în practică. RGPD introduce în mod explicit principiul responsabilității, și anume, că operatorul este responsabil de principiile referitoare la prelucrarea datelor cu caracter personal de la articolul 5 și trebuie să poată demonstra respectarea acestora. În plus, RGPD introduce și norme mai specifice privind utilizarea persoanei (persoanelor) împuternicite de operator, iar unele dintre dispozițiile privind prelucrarea datelor cu caracter personal se adresează nu doar operatorilor, ci și persoanelor împuternicite de operator.”

Ideea prezentului articol a apărut în urma nenumăratelor situații în care operatorii neglijau aspectele care țin de reglementarea relației juridice dintre cele două părți fie pentru că “e prea stufos acordul/anexa”, fie din lipsa informării sau, în multe cazuri, se semnează un acord formal, deloc personalizat pe tipicul relației dintre părți. Surpriza intervine atunci când operatorii află că sunt obligați să încheie acest acord și că există un minim de informații pe care trebuie să le cuprindă acesta: “Prelucrarea de către o persoană împuternicită de un operator este reglementată printr-un contract sau alt act juridic în temeiul dreptului Uniunii sau al dreptului intern care are caracter obligatoriu pentru persoana împuternicită de operator în raport cu operatorul și care stabilește obiectul și durata prelucrării, natura și scopul prelucrării, tipul de date cu caracter personal și categoriile de persoane vizate și obligațiile și drepturile operatorului” . Menționăm, în acest sens, sancțiunea aplicată de către ANSPDCP unui operator de date cu caracter personal pentru încălcarea art. 28 (3) lit. a) din RGPD în relația cu o persoană împuternicită care presupunea transfer de date către țări terțe sau organizații internaționale. Subliniem în mod special importanța încheierii unui act juridic între părți atunci cât transferul de date se face către o persoană împuternicită dintr-o țară terță. Există o multitudine de exemple, mai ales în cazul site-urilor web/magazine online ai căror deținători, operatori de date personale, nu înțeleg implicațiile acestor transferuri, pierzând controlul asupra destinației datelor personale ale utilizatorilor site-urilor prelucrate prin intermediul: cookie-urilor, găzduire site/e-mail, newsletter, servicii de plăți, bază de date cu abonați/clienți etc.  Pe de altă parte, în multe dintre aceste cazuri, încheierea unui act juridic prin care operatorul să stabilească scopuri, mijloace și să dea instrucțiuni de prelucrare a datelor personale, este aproape imposibilă. 

Apreciem că responsabilitatea întocmirii acestui act juridic în forma prevăzută de către Regulament îi revine operatorului prin prisma informațiilor pe care actul trebuie să le cuprindă dar și prin prisma principiului responsabilității operatorului. În acest sens a se vedea amenda aplicată de către CNIL – Autoritatea franceză de supraveghere pentru mai multe încălcări ale dispozițiilor RGPD printre care și încălcarea art. 28, alin. 3 sau amenda aplicată de către Autoritatea poloneză de supraveghere pentru lipsa încheierii actului juridic între operator și persoana împuternicită.

În ceea ce privește identificarea corectă a rolurilor părților și faptul că majoritatea clauzelor acestui acord nu sunt negociabile, CEPD subliniază faptul că “alocarea responsabilităților în conformitate cu rolurile efective ale părților, ceea ce înseamnă că statutul juridic al unui actor de „operator” sau de „persoană împuternicită de operator” trebuie să fie determinat, în principiu, de activitățile efective ale acestuia într-o situație specifică, mai degrabă decât de desemnarea formală a unui actor ca „operator” sau ca „persoană împuternicită de operator”(de exemplu într-un contract). Acest fapt înseamnă că alocarea rolurilor trebuie să reiasă dintr-o analiză a elementelor factuale sau a circumstanțelor cazului și, ca atare, nu este negociabilă.”

În continuare vom arăta că RGPD prevede drepturi ale operatorului în relația cu persoanele împuternicite care “prelucrează datele cu caracter personal în numele operatorului” cum ar fi dreptul de a efectua inspecții însă, totodată, se nasc în sarcina operatorului o multitudine de obligații și responsabilități în raport cu persoana împuternicită.

În primul rând, operatorul de date cu caracter personal are responsabilitatea selecționării persoanelor împuternicite pe care le alege să prelucreze date în numele său, respectiv trebuie să recurgă „doar la persoane împuternicite care oferă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute în prezentul regulament și să asigure protecția drepturilor persoanei vizate.”. 

Cum s-ar putea face această verificare în practică ținând cont de faptul că verificarea trebuie să fie anterioară semnării contractului? În acest caz intervin clauzele contractuale prevăzute de articolul 28 din RGPD care insistăm să fie întotdeauna personalizate de către operator în funcție de activitatea desfășurată și de serviciile prestate de către persoana împuternicită iar acesteia din urmă îi recomandăm să studieze cu atenție clauzele acordului pentru a ști ce exigențe are operatorul, ce măsuri sunt obligatorii de implementat, dacă este pregătită să răspundă acestor exigențe, ce obligații are și care sunt riscurile la care se supune în caz de nerespectare a clauzelor acordului privind protecția datelor. De ajutor pot fi și chestionarele de verificare a istoricului persoanei împuternicite, a măsurilor tehnice și organizatorice implementate dar și o verificare “în piață” a furnizorului de servicii. Următoarele elemente trebuie avute în vedere de către operator pentru a evalua dacă garanțiile sunt suficiente: cunoștințele de specialitate ale persoanei împuternicite de operator (de exemplu expertiză tehnică cu privire la măsurile de securitate și încălcări ale securității datelor); fiabilitatea persoanei împuternicite de operator; resursele persoanei împuternicite de operator. De asemenea, reputația persoanei împuternicite de operator pe piață poate fi un factor relevant care trebuie luat în considerare de operatori.

Atragem atenția asupra unor practici prin care operatorii transferă parte din obligațiile lor către persoanele împuternicite însă acest fapt nu îi absolvă de responsabilitate deoarece “o entitate nu poate să devină operator sau să se sustragă de la obligațiile operatorului pur și simplu prin redactarea contractului într-un anumit mod, atunci când circumstanțele factuale indică altceva.”

Deși prevederile aliniatului 3 al articolului 28 din RGPD conține obligații pentru persoana împuternicită, dintre care apreciem că cea mai împovărătoarea este cea de la litera c) respectiv că persoana împuternicită este obligată prin actul juridic încheiat cu operatorul să adopte “toate măsurile necesare în conformitate cu articolul 32”,  respectiv să implementeze măsuri tehnice și organizatorice adecvate în vederea asigurării securității prelucrării, considerăm că operatorul este cel care trebuie să stabilească nivelul de securitate și măsurile care se impun pentru asigurarea acestuia. 

Persoana împuternicită “oferă asistență” și “ajută” operatorul, prelucrează “numai pe baza unor instrucțiuni documentate din partea operatorului”,  acționează “la alegerea operatorului”, așadar controlul este exclusiv în mâna operatorului de date personale. Acestui control  îi corespund responsabilitățile  de a alege persoanele împuternicite, de a formula instrucțiuni, de a inspecta, audita, monitoriza activitatea acestora.  Toate pârghiile de control sunt la îndemâna operatorului așadar, orice scăpare legată de activitatea persoanei împuternicite îi este imputabilă acestuia, “prin urmare, operatorul este responsabil de evaluarea caracterului suficient al garanțiilor oferite de persoana împuternicită de operator și trebuie să fie în măsură să demonstreze că a luat în considerare în mod serios toate elementele prevăzute în RGPD.” Gradul de detaliere a informațiilor privind măsurile de securitate care trebuie incluse în contract trebuie să fie suficient pentru a permite operatorului să evalueze caracterul adecvat al măsurilor în temeiul articolul 32 alineatul (1) din RGPD. În plus, descrierea este, de asemenea, necesară pentru a permite operatorului să își respecte obligația de responsabilitate în temeiul articolului 5 alineatul (2) și al articolului 24 din RGPD în ceea ce privește măsurile de securitate impuse persoanei împuternicite de operator.

Deoarece obligația de a utiliza doar persoanele împuternicite de operator care oferă garanții suficiente este o obligație continuă, “la intervale corespunzătoare, operatorul trebuie să verifice garanțiile persoanei împuternicite de operator, inclusiv prin audituri și inspecții, după caz.”

Desigur, “o persoană împuternicită de operator poate fi considerată răspunzătoare sau amendată în caz de nerespectare a acestor obligații sau în cazul în care acționează în afara sau contrar instrucțiunilor legale ale operatorului sau încontradicție cu acestea.”

Pentru a stabili cu exactitate când o persoană împuternicită încalcă instrucțiunile operatorului, RGPD stabilește forma scrisă a contractului dintre părți, „inclusiv în format electronic”. Întrucât regulamentul stabilește o obligație clară de încheiere a unui contract scris, în cazul în care nu este în vigoare niciun alt act juridic relevant, absența acestuia constituie o încălcare a RGPD. Un contract scris în temeiul articolul 28 alineatul (3) din RGPD poate fi inserat într-un contract mai cuprinzător, cum ar fi un acord privind nivelul serviciilor. Pentru a facilita demonstrarea conformității cu RGPD, CEPD recomandă ca elementele contractului care vizează aplicarea dispozițiilor articolului 28 din RGPD să fie clar identificate ca atare într-un singur loc (de exemplu, într-o anexă). Instrucțiunile documentate ale operatorului trebuie păstrate împreună cu anexa/contractul scris dintre părți.

O altă obligație a persoanei împuternicite este să acorde asistență operatorului la efectuarea evaluărilor impactului asupra protecției datelor atunci când este necesar și la consultarea autorității de supraveghere atunci când se constată că există un risc mare care nu poate fi diminuat. Cu toate acestea, obligația de asistență nu constă într-un transfer de responsabilitate, întrucât aceste obligații îi revin operatorului. De exemplu, deși evaluarea impactului asupra protecției datelor poate fi efectuată în practică de către o persoană împuternicită de operator, operatorul rămâne răspunzător pentru obligația de a efectua evaluarea iar persoana împuternicită de operator este obligată doar să acorde asistență operatorului „dacă este necesar și la cerere.” Ca urmare, operatorul este cel care trebuie să aibă inițiativa de a realiza evaluarea impactului asupra protecției datelor și nu persoana împuternicită de operator.

  Pentru a sublinia, încă o dată, importanța stabilirii clare a clauzelor contractuale și a formulării cât mai precise a instrucțiunilor documentate pentru persoana împuternicită, menționăm dispozițiile RGPD referitoare la despăgubiri și răspundere: “Persoana împuternicită de operator este răspunzătoare pentru prejudiciul cauzat de prelucrare numai în cazul în care nu a respectat obligațiile din prezentul regulament care revin în mod specific persoanelor împuternicite de operator sau a acționat în afara sau în contradicție cu instrucțiunile legale ale operatorului. “ Concluzionând, responsabilitatea selecției persoanelor împuternicite, a evaluării adecvării garanțiilor și măsurilor tehnice și organizatorice solicitate persoanei împuternicite, a stabilirii clauzelor contractuale, a formulării instrucțiunilor, a efectuării de inspecții și audituri revine în exclusivitate operatorului de date cu caracter personal. Pe lângă principiul responsabilității operatorului, RGPD subliniază “responsabilitatea și răspunderea operatorului pentru orice prelucrare a datelor cu caracter personal efectuată de către acesta sau în numele său.“ 

Distribuie mai departe

Leave a Comment

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

Scroll to Top