Sunteți pe pagina 1din 11

Relația dintre operator și persoana

împuternicită. Roluri, responsabilități și


răspundere
31.01.2020 | Ruxandra SAVA

LinkedInFacebookFacebook MessengerWhatsApp

Ruxandra Sava

În situațiile în care, din prisma intereselor comerciale sau de altă natură, o bază
de date (de exemplu baza de date a clienților) este accesată de două sau mai multe
organizații diferite pentru a se îndeplini unul sau mai multe scopuri determinate
sau în situațiile în care o bază de date este accesată de o organizație pentru a
îndeplini serviciile față o altă organizație, ar trebui să se pornească de la
o întrebare esențială: Cine poartă responsabilitatea cu privire la respectarea
protecției datelor cu caracter personal ale persoanelor vizate din respectiva
bază de date? Pentru a se răspunde la această întrebare, în primă instanță trebuie
calificată relația dintre organizații și calitatea fiecăreia, respectiv operatori,
operatori asociați sau o relație de tipul operator – persoană împuternicită.
Ulterior calificării relației din prisma RGPD, trebuie avut în vedere cum se alocă
responsabilitățile între organizații pentru a se asigura o protecție adecvată a
datelor cu caracter personal vizate de respectivele activități de prelucrare și
pentru a da posibilitatea persoanelor vizate să își exercite în mod efectiv
drepturile prevăzute de RGPD. Organizațiile aflate în relații contractuale trebuie
să își definească în mod clar rolul: operator, operator asociat sau persoană
împuternicitădeoarece art. 82 din GDPR prevede că orice persoană fizică vizată
are dreptul la despăgubire în fața instanțelor de judecată atunci când există o
incălcare a RGPD care o prejudiciază. Astfel, organizațiile trebuie să stabilească,
prin contractele pe care le încheie și modalitatea răspunderii față de persoanele
vizate în eventualitatea unei încălcări a RGPD.[1] În absența unui asemenea
contract ori în situația în care contractul nu conține astfel de clauze, răspunderea
este solidară, respectiv persoana vizată se poate îndrepta împotriva oricărei
organizații implicate și obține despăgubiri integrale, organizația obligată de
instanță la despgubiri putând să se îndrepte ulterior împotriva entității în culpă
pentru încălcarea GDPR și prejudicierea drepturilor persoanei vizate.

Calificarea drept „persoană împuternicită”

Când vorbim de conceptul de „persoană împuternicită”, trebuie să remarcăm


faptul că existența acesteia depinde de decizia pe care o ia operatorul, respectiv
dacă va prelucra datele în cadrul organizației sale sau va delega către o
organizație terță[2]. În al doilea caz, vorbim despre compania terță că este, în
raport cu operatorul, persoană împuternicită de acesta.

Exemple: Compania ABC SRL decide să desfășoare activități de marketing


(publicitate comportamentală pe internet). Dacă va desfășura această activitate
intern nu va exista o persoană împuternicită, dar dacă va delega această activitate
către o companie terță, XYZ SRL, atunci compania terță va avea calitatea de
persoană împuternicită, iar relația lor contractuală din punct de vedere RGPD va
avea nevoie de anumite măsuri suplimentare.

Cu alte cuvinte, pentru ca o organizație să fie persoană împuternicită, trebuie


îndeplinite două cerințe esențiale: organizația trebuie să fie o entitate juridice
diferită față de operator și să prelucreze datele în numele operatorului. A
acţiona în numele cuiva înseamnă a servi interesul acelei persoane şi aminteşte de
conceptul juridic de „delegare”. În cazul legislaţiei privind protecţia datelor,
persoana împuternicită este numită pentru a aplica instrucţiunile emise de
operator cel puţin în ceea ce priveşte scopul operaţiunii de prelucrare şi
elementele esenţiale ale mijloacelor.[3]„A acționa în numele
operatorului” înseamnă că persoana împuternicită urmărește interesele
operatorului atunci când desfășoară o anumită sarcină și că urmează astfel
instrucțiunile operatorului, cel puțin scopurile și mijloacele activităților de
prelucrare.[4]

Cu toate acestea, persoana împuternicită nu este neapărat un subordonat al


operatorului, aceasta putând avea un anumit grad de autonomie și independență
în raport cu activitățile de prelucrare și, implicit, în furnizarea serviciilor sale față
de operator, păstrând deține un control față de operațiunile neesențiale ale
prelucrării.[5] De exemplu, persoana împuternită poate propune desfășurarea
unei activități de prelucrare prin anumite mijloace conform ariei sale de expertiză
și experiență, însă operatorul va decide dacă acceptă sau nu cele propuse de către
persoana împuternicită.[6] Cu alte cuvinte, operatorul păstrează controlul asupra
modalității în care se va desfășura o anumită activitate de prelucrare.

Lipsa de control rămâne un element-cheie pentru calificarea unei entități drept


persoană împuternicită, deoarece controlul aparține operatorului care, mai
departe, emite instrucțiuni către persoana împuternicită, desi, așa cum am
menționat anterior, aceasta din urmă păstrează un anumit grad de autonomie și
independență. Dacă nu există instrucțiuni sau acestea sunt vagi, iar o entitate are
o libertatea suficientă și control pentru a decide independent scopurile și
mijloacele prelucrării, cel mai probabil entitatea are calitatea de operator asociat,
iar nu persoană împuternicită. [7]

Persoanele împuternicite sunt foarte diverse în actualul context economic, de la


companiile de HR, contabilitate, programele de facturare, furnizorii de servicii IT,
până la clinicile medicale care au acces la datele medicale ale angajaţilor.

Exemplu: O fabrică de bere are numeroşi angajaţi. Aceasta semnează un


contract cu o societate de administrare a statelor de plată, pentru efectuarea plăţii
salariilor angajaţilor. Fabrica de bere îi spune societăţii de administrare a statelor
de plată când trebuie plătite salariile, când un angajat părăseşte fabrica sau
primeşte o mărire de salariu şi îi furnizează toate celelalte date pentru fluturaşul
de salariu şi pentru plată. Societatea de administrare a statelor de plată furnizează
sistemul informatic şi stochează datele angajaţilor. Fabrica de bere este
operatorul de date, iar societatea de administrare a statelor de plată este persoana
împuternicită de operator. [8]

2. Răspunderea persoanei împuternicite

2.1. Răspunderea directă

Persoana împuternicită răspunde contractual față de operator pentru orice


încălcare a contractului cu acesta din urmă, în funcție de ceea ce prevăd clauzele
contractului pe tărâmul răspunderii civile contractuale.[9]
Persoana împuternicită poate fi, de asemenea, investigată de autoritățile de
supaveghere (precum ANSPDCP) și poate primi amendă contravențională sau
alte sancțiuni, prin urmare poate răspunde administrativ.[10]

Totodată, persoana împuternicită poate răspunde și pe tărâmul răspunderii civile


delictuale deoarece orice persoană vizată care a suferit un prejudiciu material sau
moral ca urmare a faptei unei persoane împuternicite se poate adresa instanței de
judecată competente pentru a obține despăgubiri, respective daune materiale sau
morale. În aceasta situație, o persoană împuternicită răspunde doar dacă nu a
respectat obligațiile din RGPD care revin în mod specific persoanelor
împuternicite de operator sau a acționat în afara sau în contradicție cu
instrucțiunile legale ale operatorului, spre deosebire de operator a cărui
răspundere este mai mare, putând răspunde inclusiv pentru fapta persoanei
împuternicite. GDPR introduce o prezumție de culpă a operatorului și persoanei
împuternicite. În acest sens, sarcina probei în instanță revine operatorului sau
persoanei împuternicite care trebuie să demonstreze că nu este răspunzător
(răspunzătoare) în niciun fel pentru evenimentul care a cauzat prejudiciul.[11]

În cele din urmă, dacă persoana împuternicită va fi obligată în instanță să


plătească daune materiale și/sau morale unei persoane vizate, dar nu este
responsabil sau nu este responsabil integral pentru daună, se poate îndrepta
separat împotriva operatorului (poate intenta acțiune în regres[12]) pentru a fi
despgubită de acesta din urmă.[13]

2.2. Răspunderea pentru subcontractanți

În situația în care persoanele împuternicite utilizează subcontractanți, ele vor fi


ținute răspunzătoare față de operatori pentru nerespectarea normelor RGPD de
către subcontractanți. În cele din urmă, dacă persoana împuternicită va fi ținută
răspunzătoare față de operator, dar culpa este a subcontractului (de exemplu, nu
a respectat instrucțiunile persoanei împuternicite), persoana împuternicită se
poate îndrepta împotriva subcontractantului (poate intenta acțiune în regres)
pentru a fi despgubită de acesta din urmă.

3. Verificarea persoanei împuternicite de către operator


RGPD precizează că operatorul recurge doar la persoane împuternicite care oferă
garanţii suficiente pentru punerea în aplicare a unor măsuri tehnice şi
organizatorice adecvate care să asigure respectarea GDPR, securitatea și
confidențialitatea datelor cu caracter personal şi protecţia datelor persoanei
vizate. În practică, acest lucru se poate realiza prin audituri de specialitate, în
cazul prelucrărilor care prezintă riscuri (cum ar fi prelucrarea datelor sensibile
sau tehnologii care pot avea o intruziune mare în viaţa privată) şi prin
chestionare, în situaţia unor prelucrări care nu prezintă riscuri.[14] Verificarea
persoanei împuternicită nu este un proces singular, ci continuu, operatorul având
obligația să verifice în mod continuu măsurile depuse de persoana împuternicită
pentru conformitatea la RGPD.

Principiul responsabilității obligă operatorul să ia toate măsurile necesare pentru


a verifica dacă persoana împuternicită prezintă garanții suficiente și să poată
demonstra în fața autorității și/sau în fața instanței de judecată că a luat aceste
măsuri. De exemplu, operatorul ar putea verifica dacă persoana împuternicită
deține documentație adecvată de conformare la GDPR precum politici de
confidențialitate, politici de retenție, politici de securitate, certificări, măsuri de
securitate etc.[15]

Cu toate acestea, dacă în urma verificării rezultă că persoana împuternicită nu


prezintă garanții suficiente, atunci operatorul ar trebui să înceteze să mai lucreze
cu acest furnizor de serviciu și să caute un alt furnizor care oferă garanții
suficiente sau, în absența altor furnizori adecvați pe piață, să sesizeze autoritatea
de supraveghere cu privire la această problemă.

Exemplu: Andreea Popescu deține un salon de dimensiuni mici în centrul


Bucureștiului și caută o platformă pentru gestionarea programărilor clienților.
Găsește o platformă gratuită și ușor de folosit, însă datele personale sunt păstrate
mai mult decât este necesar și sunt transferate în Rusia. În acest caz, Andreea ar
trebui să caute alt furnizor sau, în absența altor furnizori adecvați pe piață, să
sesizeze autoritatea de supraveghere cu privire la această problemă.:

4. Contractul dintre operator și persoana împuternicită

Operatorii pot delega prelucrarea datelor către prestatorii de servicii, dar nu pot
delega și răspunderea lor în temeiul GDPR[16]. Așa cum am precizat anterior,
operatorul are o serie de obligații în raport cu gestionarea relației cu persoana
împuternicită, printre care verificarea acesteia și, așa cum vom preciza în
continuarea, încheierea unui contract scris cu aceasta din urmă care să
stabilească atribuțiile persoanei împuternicite și reglementarea răspunderii față
de persoana vizată. De exemplu, contractul trebuie să precizeze ce se întâmplă cu
datele cu caracter personal în momentul încetării contractului. Persoana
împuternicită de operator poate subcontracta o parte a sarcinii sale unei alte
persoane împuternicite de operator sau poate numi o persoană asociată
împuternicită de operator numai dacă a primit în prealabil o autorizaţie scrisă din
partea operatorului de date.[17] Această autorizație poate fi specifică sau
generală. Potrivit art. 28 alin. (2) din RGPD, „ (…) în cazul unei autorizații
generale scrise, persoana împuternicită de operator informează operatorul cu
privire la orice modificări preconizate privind adăugarea sau înlocuirea altor
persoane împuternicite de operator, oferind astfel posibilitatea operatorului de a
formula obiecții față de aceste modificări.” Indiferent dacă autorizația este
generală sau specifică, operatorul rămâne răspunzător pentru activitatea
persoanei împuternicite și/sau a subcontractorilor acesteia din urmă.

„Acest contract este în formă scrisă, pentru a fi păstrat ca dovadă și are un


conținut minimal, stipulând în special că persoana împuternicită acționează
numai la cererea operatorului și pune în aplicare măsurile tehnice și
organizatorice în vederea protejării adecvate a datelor cu caracter personal.
Contractul ar trebui să includă o descriere suficient de detaliată a împuternicirii
acordate persoanei în cauză.”[18]

Întrucât persoana împuternicită prelucrează datele la instrucțiunile operatorului,


conform art. 82 alin. (2) din GDPR, operatorul poate răspunde față de persoana
împuternicită dacă emite instrucțiuni de prelucrare care nu sunt conforme cu
RGPD.[19] Cu toate acestea, persoana împuternicită are obligația, potrivit
Regulamentului, să informeze de îndată operatorul dacă va considera că o
instrucțiune încalcă Regulamentul sau alte legi.[20]Totodată, dacă persoana
depășește limitele mandatului încredințat și se abate de la instrucțiunile
operatorului, prelucrând datele într-o manieră diferită, va fi considerat operator
în raport cu acea activitate de prelucrare.

Respectivul contract prevede în principiu că persoana împuternicită: •


prelucrează datele personale numai pe baza instrucţiunilor operatorului,
neputând să se abată de la ele; se asigură că persoanele autorizate să prelucreze
datele cu caracter personal s-au angajat să respecte confidenţialitatea; • adoptă
toate măsurile necesare în conformitate cu art. 32 din Regulament
(pseudonimizarea şi criptarea datelor cu caracter personal, confidenţialitatea,
integritatea, disponibilitatea şi rezistenţa continue ale sistemelor, restabilirea
disponibilităţii datelor în cazul unui incident de securitate, testarea, evaluarea şi
aprecierea periodice ale eficacităţii măsurilor tehnice şi organizatorice pentru a
garanta securitatea prelucrării); • nu recrutează o altă persoană să prelucreze
datele fără acordul scris şi prealabil al operatorului; • răspunde pentru persoana
pe care o recrutează; • oferă asistenţă operatorului pentru a răspunde cererile
persoanelor vizate; • oferă asistenţă operatorului cu privire incidentele de
securitate şi evaluările de impact; • şterge sau returnează operatorului toate
datele cu caracter personal după încetarea furnizării serviciilor legate de
prelucrare; • permite desfăşurarea auditurilor, inclusiv a inspecţiilor, efectuate de
operator sau alt auditor mandatat şi contribuie la acestea.

Dacă vreun element de mai sus lipsește din contract se va considera că între părți
nu există o relație de operator-persoană împuternicită, ci o relație de operatori
asociați.[21]

În practică, poate fi un contract, o anexă la contract sau clauze incluse în


contractele de prestări servicii. GDPR nu spune cine trebuie să iniţieze acest
contract, însă opinia majoritară este în sensul în care, ambii actori, atât
operatorul, cât şi persoana împuternicită au sarcina iniţierii. De regulă,
operatorul este persoana care propune contractul, însă, în situaţia în care
operatorul este o întreprindere mai mică, iar persoana împuternicită de către
operator este o corporaţie, în practică, această persoană din urmă dictează
condiţiile, cum este cazul giganţilor economici (i.e. Google, Facebook, Microsoft).
Totuşi, în aceste situaţii, Grupul de lucru Art. 29 recomandă că standardul de
responsabilitate nu trebuie coborât din cauza dezechilibrului economic.

5. Recomandări, know-how, practică

5.1. Recomandări pentru operatori și persoanele împuternicite

Atât operatorul, cât și persoanele împuternicite trebuie să:


– Analizeze în detaliu relația contractuală cu cealaltă parte pentru a identifica ce
calitate deține fiecare: operator, persoană împuternicită sau operator asociat.
Pentru o identificare corectă este recomandat să se recurgă la consultanță
juridică;
– Să aibă inițiativa încheierii unui acord de prelucrare și să încheie acel acord
înainte de a începerea relațiilor contractuale;
– Să înțeleagă responsabilitățile față de RGPD și să depună eforturi rezonabile
pentru implementarea măsurilor tehnice și organizatorice adecvate.

5.2. Recomandări pentru operatori

Operatorul trebuie:
– Să contracteze doar cu persoane împuternicite care oferă garanții suficiente
pentru a implementa măsuri tehnice și organizatorice adecvate pentru a îndeplini
cerințele RGPD și a respecta drepturile persoanelor vizate.[22]
– Să se asigure că persoană împuternicită nu deleagă/subcontractează/cesionează
contractul fără autorizația scrisă și prealabilă a operatorului;[23]
– Să se asigure că persoana împuternicită informează operatorul cu privire la
orice modificări și îi dă acestuia posibilitatea de a se opune la aceste
modificări;[24]
– Să semneze un acord de prelucrare al datelor cu caracter personal sau alt
contract scris care să cuprindă cel puțin clauzele obligatorii de la art. 28 din
RGPD.[25]
– Să se asigure că toate obligațiile impuse persoanei împuternicite sunt impuse
mai departe oricărui subcontractant pe care persoana împuternicită îl va utiliza în
desfășurarea activității de prelucrare.[26]
– Să verifice în mod continuu persoana împuternicită cu privire la respectarea
GDPR.

5.3. Recomandări pentru persoanele împuternicite

Persoana împuternicită trebuie:


– Să documenteze în scris instrucțiunile operatorului pentru a putea demonstra
că acționează doar conform instrucțiunilor acestuia din urmă.[27]
– Dacă dorește să folosească un subcontractant, să ceară autorizația operatorului
înainte de a subcontracta[28];
– Să furnizeze operatorului toate documentele și informațiile necesare pentru a
putea fi verificat de către acesta din urmă și să permită desfășurarea
auditurilor[29];
– Să țină o evidență a clienților (operatorilor) și să descrie activitățile de
prelucrare pe care le desfășoară în numele acestora;[30]
– Să respecte principiile de protecție a datelor, să adopte măsurile de securitate
necesare, ca de exemplu să nu colecteze date atunci când nu este necesar, să
șteargă datele după o anumită perioadă de timp, să implementeze drepturi
diferențiate de acces la bazele de date[31];
– Să încheie acorduri de confidențialitate cu angajații și/sau partenerii
comerciali;
– Să notifice operatorul cu privire la orice incident de securitate;
– La încetarea relației contractuale să șteargă toate datele sau să le returneze
către client și să distrugă toate copiile cu excepția situației în care există o
obligație legală să le păstreze.[32]
– Să informeze de urgență clientul (operatorul) în măsura în care consideră că
instrucțiunile acestuia încalcă RGPD sau alte legi;
– Să asiste clientul (operatorul) în formularea răspunsului către persoana vizată
în situația în care există o cerere din partea acestei persoane vizate;
– Să respecte celelalte obligații în temeiul GDPR, ca de exemplu, întocmirea unei
evidențe a activităților de prelucrare, numirea unui resposabil cu protecția datelor
atunci când este obligatorie numirea acestuia, respectarea drepturilor
persoanelor vizate etc.

Biblliografie suplimentară:
Irish DPC: A practical Guide to Data Controller to Data Processor Contracts
UK ICO: Contracts
French CNIL: A Guide to Assist Processors
EDPS Guidelines on the Concepts of Controller, Processor and Joint
Controllership

[1] Denis Kelleher, Karen Murray – „EU Data Protection Law”, Bloomsbury Professional 2018,
Amazon Reader, Location 8363.
[2] Ibidem, p.1.
[3] Ibidem, p. 25-26.
[4] EDPS Guidelines on the concepts of controller, processor and joint controllership under
Regulation (EU) 2018/1725, p. 16.
[5] Ibidem.
[6] Ibidem.
[7] Denis Kelleher, Karen Murray – „EU Data Protection Law”, Bloomsbury Professional 2018,
Amazon Reader, Location 8363.
[8] Disponibil aici, link accesat 30 ianuarie 2020.
[9] Disponibil aici, link accesat la data de 27 ianuarie 2020.
[10] Ibidem.
[11] Ibidem.
[12] „Actiunea de regres este o actiune civila, de drept comun, izvorata din imprejurarea ca
victima prejudiciului are dreptul sa actioneze pentru despagubiri printr-o actiune civila atat pe
comitent, cat si pe prepus, concomitent sau succesiv sau numai pe unul dinte ei. Comitentul, care
este garant al prepusului, plateste despagubirile pentru prepusul vinovat, dar preia prin
subrogare drepturile si actiunile victimei si se indreapta la randului lui, printr-o actiune de regres
impotriva prepusului avand dreptul atat la recuperarea integrala a despagubirilor efectiv platite
(damnum emergens), cat si la beneficiul de care a fost lipsit: de ex. dobanda pierduta sau profitul
neinvestit etc. (lucrum cessans).
Actiunea in regres este reglementata in Codul civil la art. 1384-1386. Potrivit acestor dispozitii,
cel care raspunde pentru fapta altuia se poate intoarce impotriva aceluia care a cauzat prejudiciul,
cu exceptia cazului in care acesta din urma nu este raspunzator pentru prejudiciul cazat.”
Disponibil aici, link accesat la data de 27 ianuarie 2020.
[13] Ibidem.
[14] A se vedea „GDPR pe înțelesul tău. Sinteză teoretică și recomandări practice.”, Ruxandra
Sava, Ed. Universul Juridic, 2018, p. 142.
[15] EDPS Guidelines on the concepts of controller, processor and joint controllership under
Regulation (EU) 2018/1725, p. 18.
[16] Denis Kelleher, Karen Murray – „EU Data Protection Law”, Bloomsbury Professional 2018,
Amazon Reader, Location 8378.
[17] A se vedea „GDPR pe înțelesul tău. Sinteză teoretică și recomandări practice.”, Ruxandra
Sava, Ed. Universul Juridic, 2018, p. 142.
[18] A se vedea în acest sens Avizul nr. 1/2010 al Grupului de Lucru Art. 29 privind conceptele de
„operator” și „persoană împuternicită de operator”.
[19] Art. 82 alin. (2) din RGPD prevede că: „Orice operator implicat în operațiunile de
prelucrare este răspunzător pentru prejudiciul cauzat de operațiunile sale de prelucrare care
încalcă prezentul regulament. Persoana împuternicită de operator este răspunzătoare pentru
prejudiciul cauzat de prelucrare numai în cazul în care nu a respectat obligațiile din prezentul
regulament care revin în mod specific persoanelor împuternicite de operator sau a acționat în
afara sau în contradicție cu instrucțiunile legale ale operatorului.”
[20]
[21] Denis Kelleher, Karen Murray – „EU Data Protection Law”, Bloomsbury Professional 2018,
Amazon Reader, Location 8409.
[22] EDPS Guidelines on the concepts of controller, processor and joint controllership under
Regulation (EU) 2018/1725, p. 18.
[23] Ibidem.
[24] Ibidem.
[25] Ibidem.
[26] Ibidem.
[27] CNIL, „General Data Protection Regulation – Guide for Processors” – September 2017
edition, p. 6.
[28] Ibidem, p. 6.
[29] Ibidem, p. 6.
[30] Ibidem, p. 6.
[31] Ibidem, p. 7.
[32] Ibidem, p. 7.

S-ar putea să vă placă și