Documente Academic
Documente Profesional
Documente Cultură
LinkedInFacebookFacebook MessengerWhatsApp
Ruxandra Sava
În situațiile în care, din prisma intereselor comerciale sau de altă natură, o bază
de date (de exemplu baza de date a clienților) este accesată de două sau mai multe
organizații diferite pentru a se îndeplini unul sau mai multe scopuri determinate
sau în situațiile în care o bază de date este accesată de o organizație pentru a
îndeplini serviciile față o altă organizație, ar trebui să se pornească de la
o întrebare esențială: Cine poartă responsabilitatea cu privire la respectarea
protecției datelor cu caracter personal ale persoanelor vizate din respectiva
bază de date? Pentru a se răspunde la această întrebare, în primă instanță trebuie
calificată relația dintre organizații și calitatea fiecăreia, respectiv operatori,
operatori asociați sau o relație de tipul operator – persoană împuternicită.
Ulterior calificării relației din prisma RGPD, trebuie avut în vedere cum se alocă
responsabilitățile între organizații pentru a se asigura o protecție adecvată a
datelor cu caracter personal vizate de respectivele activități de prelucrare și
pentru a da posibilitatea persoanelor vizate să își exercite în mod efectiv
drepturile prevăzute de RGPD. Organizațiile aflate în relații contractuale trebuie
să își definească în mod clar rolul: operator, operator asociat sau persoană
împuternicitădeoarece art. 82 din GDPR prevede că orice persoană fizică vizată
are dreptul la despăgubire în fața instanțelor de judecată atunci când există o
incălcare a RGPD care o prejudiciază. Astfel, organizațiile trebuie să stabilească,
prin contractele pe care le încheie și modalitatea răspunderii față de persoanele
vizate în eventualitatea unei încălcări a RGPD.[1] În absența unui asemenea
contract ori în situația în care contractul nu conține astfel de clauze, răspunderea
este solidară, respectiv persoana vizată se poate îndrepta împotriva oricărei
organizații implicate și obține despăgubiri integrale, organizația obligată de
instanță la despgubiri putând să se îndrepte ulterior împotriva entității în culpă
pentru încălcarea GDPR și prejudicierea drepturilor persoanei vizate.
Operatorii pot delega prelucrarea datelor către prestatorii de servicii, dar nu pot
delega și răspunderea lor în temeiul GDPR[16]. Așa cum am precizat anterior,
operatorul are o serie de obligații în raport cu gestionarea relației cu persoana
împuternicită, printre care verificarea acesteia și, așa cum vom preciza în
continuarea, încheierea unui contract scris cu aceasta din urmă care să
stabilească atribuțiile persoanei împuternicite și reglementarea răspunderii față
de persoana vizată. De exemplu, contractul trebuie să precizeze ce se întâmplă cu
datele cu caracter personal în momentul încetării contractului. Persoana
împuternicită de operator poate subcontracta o parte a sarcinii sale unei alte
persoane împuternicite de operator sau poate numi o persoană asociată
împuternicită de operator numai dacă a primit în prealabil o autorizaţie scrisă din
partea operatorului de date.[17] Această autorizație poate fi specifică sau
generală. Potrivit art. 28 alin. (2) din RGPD, „ (…) în cazul unei autorizații
generale scrise, persoana împuternicită de operator informează operatorul cu
privire la orice modificări preconizate privind adăugarea sau înlocuirea altor
persoane împuternicite de operator, oferind astfel posibilitatea operatorului de a
formula obiecții față de aceste modificări.” Indiferent dacă autorizația este
generală sau specifică, operatorul rămâne răspunzător pentru activitatea
persoanei împuternicite și/sau a subcontractorilor acesteia din urmă.
Dacă vreun element de mai sus lipsește din contract se va considera că între părți
nu există o relație de operator-persoană împuternicită, ci o relație de operatori
asociați.[21]
Operatorul trebuie:
– Să contracteze doar cu persoane împuternicite care oferă garanții suficiente
pentru a implementa măsuri tehnice și organizatorice adecvate pentru a îndeplini
cerințele RGPD și a respecta drepturile persoanelor vizate.[22]
– Să se asigure că persoană împuternicită nu deleagă/subcontractează/cesionează
contractul fără autorizația scrisă și prealabilă a operatorului;[23]
– Să se asigure că persoana împuternicită informează operatorul cu privire la
orice modificări și îi dă acestuia posibilitatea de a se opune la aceste
modificări;[24]
– Să semneze un acord de prelucrare al datelor cu caracter personal sau alt
contract scris care să cuprindă cel puțin clauzele obligatorii de la art. 28 din
RGPD.[25]
– Să se asigure că toate obligațiile impuse persoanei împuternicite sunt impuse
mai departe oricărui subcontractant pe care persoana împuternicită îl va utiliza în
desfășurarea activității de prelucrare.[26]
– Să verifice în mod continuu persoana împuternicită cu privire la respectarea
GDPR.
Biblliografie suplimentară:
Irish DPC: A practical Guide to Data Controller to Data Processor Contracts
UK ICO: Contracts
French CNIL: A Guide to Assist Processors
EDPS Guidelines on the Concepts of Controller, Processor and Joint
Controllership
[1] Denis Kelleher, Karen Murray – „EU Data Protection Law”, Bloomsbury Professional 2018,
Amazon Reader, Location 8363.
[2] Ibidem, p.1.
[3] Ibidem, p. 25-26.
[4] EDPS Guidelines on the concepts of controller, processor and joint controllership under
Regulation (EU) 2018/1725, p. 16.
[5] Ibidem.
[6] Ibidem.
[7] Denis Kelleher, Karen Murray – „EU Data Protection Law”, Bloomsbury Professional 2018,
Amazon Reader, Location 8363.
[8] Disponibil aici, link accesat 30 ianuarie 2020.
[9] Disponibil aici, link accesat la data de 27 ianuarie 2020.
[10] Ibidem.
[11] Ibidem.
[12] „Actiunea de regres este o actiune civila, de drept comun, izvorata din imprejurarea ca
victima prejudiciului are dreptul sa actioneze pentru despagubiri printr-o actiune civila atat pe
comitent, cat si pe prepus, concomitent sau succesiv sau numai pe unul dinte ei. Comitentul, care
este garant al prepusului, plateste despagubirile pentru prepusul vinovat, dar preia prin
subrogare drepturile si actiunile victimei si se indreapta la randului lui, printr-o actiune de regres
impotriva prepusului avand dreptul atat la recuperarea integrala a despagubirilor efectiv platite
(damnum emergens), cat si la beneficiul de care a fost lipsit: de ex. dobanda pierduta sau profitul
neinvestit etc. (lucrum cessans).
Actiunea in regres este reglementata in Codul civil la art. 1384-1386. Potrivit acestor dispozitii,
cel care raspunde pentru fapta altuia se poate intoarce impotriva aceluia care a cauzat prejudiciul,
cu exceptia cazului in care acesta din urma nu este raspunzator pentru prejudiciul cazat.”
Disponibil aici, link accesat la data de 27 ianuarie 2020.
[13] Ibidem.
[14] A se vedea „GDPR pe înțelesul tău. Sinteză teoretică și recomandări practice.”, Ruxandra
Sava, Ed. Universul Juridic, 2018, p. 142.
[15] EDPS Guidelines on the concepts of controller, processor and joint controllership under
Regulation (EU) 2018/1725, p. 18.
[16] Denis Kelleher, Karen Murray – „EU Data Protection Law”, Bloomsbury Professional 2018,
Amazon Reader, Location 8378.
[17] A se vedea „GDPR pe înțelesul tău. Sinteză teoretică și recomandări practice.”, Ruxandra
Sava, Ed. Universul Juridic, 2018, p. 142.
[18] A se vedea în acest sens Avizul nr. 1/2010 al Grupului de Lucru Art. 29 privind conceptele de
„operator” și „persoană împuternicită de operator”.
[19] Art. 82 alin. (2) din RGPD prevede că: „Orice operator implicat în operațiunile de
prelucrare este răspunzător pentru prejudiciul cauzat de operațiunile sale de prelucrare care
încalcă prezentul regulament. Persoana împuternicită de operator este răspunzătoare pentru
prejudiciul cauzat de prelucrare numai în cazul în care nu a respectat obligațiile din prezentul
regulament care revin în mod specific persoanelor împuternicite de operator sau a acționat în
afara sau în contradicție cu instrucțiunile legale ale operatorului.”
[20]
[21] Denis Kelleher, Karen Murray – „EU Data Protection Law”, Bloomsbury Professional 2018,
Amazon Reader, Location 8409.
[22] EDPS Guidelines on the concepts of controller, processor and joint controllership under
Regulation (EU) 2018/1725, p. 18.
[23] Ibidem.
[24] Ibidem.
[25] Ibidem.
[26] Ibidem.
[27] CNIL, „General Data Protection Regulation – Guide for Processors” – September 2017
edition, p. 6.
[28] Ibidem, p. 6.
[29] Ibidem, p. 6.
[30] Ibidem, p. 6.
[31] Ibidem, p. 7.
[32] Ibidem, p. 7.