4.

Operatorul de date cu caracter personal

și evidența prelucrărilor
pentru conformarea la GDPR

Operatorul de date
Așa cum ne arată Regulamentul GDPR, operatorul de date cu caracter personal, este o
persoană juridică, în principiu, dar poate fi și o persoană fizică. Definiția operatorului se găsește
chiar în cuprinsul GDPR și el este întotdeaua cel care stabilește scopurile unei prelucrări de date
cu caracter personal și îndeplinește anumite condiții, în special cele de a ține evidența de date
cu caracter personal într-o manieră constantă, permanentă și structurată.

Aceste evidențe pe care le ține nu trebuie să fie neapărat în format digital, ci pot să fie și
evidențe în format fizic.

Întotdeauna când există asemenea evidențe, vorbim de un operator de date cu caracter

personal și acesta la rândul său va avea obligația de a fi în conformitate cu prevederile GDPR.

Aceste Regulament aduce în discuție 2 categorii de operatori de date cu caracter

personal, operatorul de date cu caracter personal care colectează în propriile sale scopuri, în
mod direct date și le prelucrează; și împuternicit al operatorului de date cu caracter personal,
care are aceleași obligații ca și operatorul.

Dacă o Instituție Publică, o Primărie, intenționează să atribuie un contract pentru plata

taxelor de parcare unei entitati private prin externalizarea serviciului de parcări, aceasta îi va
pune la dispoziție bazele de date care privesc indentificarea proprietarilor de mașini. Această
operațiune îl califică pe cel care preia aceste date în împuternicit al operatorul de date cu
caracter personal. Obligațiile împuternicitului sunt de același nivel ca ale operatorlui de date. În
situația în care operatorul de date dorește să se pună la adăpost de răspunderea prelucrării
acțiunilor împuternicitului referitor la datele pe care le-a primit, trebuie să o facă prin
intermediul unui contract, prin care pune la dispoziție aceste date. Contează foarte mult
acuratețea și corectitudinea din punct de vedere juridic cu privire la acest contract, astfel încât
să își asume doar acele riscuri care sunt asumabile în calitate de operator și nu pentru orice
acțiune care nu respectă Regulamentul sau chiar legislația națională în vigoare referitoare la
protecția datelor cu caracter personal.

1
 Conformitatea cu GDPR dintre operator și împuternicit presupune existența unui
contract cu clauze specifice în domeniul protecție datelor cu caracter personal. Acest contract
devine o garanție a protecție datelor.

Evidențierea operațiunilor de prelucare a datelor

cu caracter personal
Evidențierea generează o formă probatorie în ceea ce privește fluxul datelor cu caracter
personal și tipologiile de prelucrări de date cu caracter personal pe care le face un operator.

Evidențierea aceasta este o obligație, potrivit Regulamentul, a tuturor operatorilor de

date cu caracter personal care au peste 250 de angajati, însă nu privește doar această
categorie. Evidențierea operațiunilor de prelucrare este o obligație pentru toate companiile
care desfășoară activități, indiferent de numărul de angajați, care generează un risc ridicat
asupra datelor cu caracter personal a unei persoane.

De exemplu, o firmă specializată pe cercetare din zona tehnologică, care produce

aplicații sau dispozitive cu un impact deosebit asupra datelor cu caracter personal, din zona
medicală, unde datele sunt și sensibile, intră în această categorie indiferent de numărul de
angajați.

Această evidențiere a a operațiunilor este o obilgație pe care o au operatorii de date cu

caracter personal, al cărei scop urmărește, în final atât să contribuie la o funcționalitate a
implementării GDPR în mediul social, dar și pentru a asigura, în mod direct, drepturile
persoanelor vizate, a persoanelor a căror date se prelucrează. Impunând această obligație, de
evidențiere, care înseamnă documentarea tuturor operațiunilor de prelucrare, se satisface
dreptul de informare, de rectificare și de ștergere care aparțin persoanei vizate. În momentul în
care o persoană vizată se adresează unei instituții și cere, potrivit dreptului său prevăzut de
Regulament, să fie informată dacă i s-au prelucrat datele cu caracter personal și de către cine și
dacă acestea au fost transferate către alți destinatari, operatorul de date imediat se va îndrepta
către mecanismul de evidențiere a prelucrărilor de date și într-o manieră relativ facilă va putea
să comunice persoanei de unde, când, cum și în ce modalități i-au fost prelucrate datele cu
caracter personal.

Evidențierea operațiunilor de către operator este o obligație pentru anumite categorii

de operatori de date, însă este și o recomandare pentru toți operatorii de date cu caracter
personal.

2
 Se pune problema găsirii unui echilibru între birocracție și necesitate. La o primă vedere
se poate constata că ținerea unei astfel de evidențe indiferent dacă într-un format de hârtie sau
digital, nu face altceva decat să consume din resursele entității, a operatorului.

În primul rând este o metodă de protecție față de situațiile în care cineva adresează o
reclamație privind activitatea de prelucrare a datelor cu caracter personal. Mai departe se pot
dovedi categoriile de prelucrări pe care le-ai desfășurat într-un document unitar și într-un timp
restrâns. Se poate răspunde unei astfel de solicitări, indiferent că provine de la autorități sau
persoana vizată. În al 2-lea rând, există o situație exactă a categoriilor de prelucrare și în
momentul în care se fac anumite evaluări a activității de prelucrare poți să îți dai seama, într-un
timp rezonabil de situația și poziția față de această activitate, dacă se respectă sau nu
prevederile Regulamentului. Este o activitate foarte birocratică, dar absolut necesară.

Regulamentul stabilește deasemenea că, Autoritatea Națională de Supravegherea a

Prelucrării Datelor cu Caracter Personal poate să solicite de la operatorul de date aceste
evidențe și atunci ele trebuie să și existe.

Evidențele vor curpinde o serie de activități și tipurile de prelucrări de date cu caracter

personal. Ele trebuie să arate dacă datele au fost sau nu transferate către alți destinatari, cine
prelucrează datele cui, numele și identitatea operatorului de date cu caracter personal și
scopurile prelucrării, cu atât mai mult cu cât acceptul pentru prelucrare trebuie făcut pentru
fiecare prelucrare în parte, nu într-un mod general. Concentrarea acestor date într-un singur
document simplifică activitatea de verificare a conformității și a modului în care se desfășoară
prelucrarea.

În final, menționăm rolul și funcțiile pentru care s-a stabilit o asemenea obligație și
anume că, evidențierea face dovada conformității cu prevederile Regulamentului General
Privind Protecția Datelor cu Caracter Personal.

Cursuri și certificări
Consultanță GDPR
gdprcomplet.ro Software GDPR cartografiere
contact@gdprcomplet.ro Software GDPR evaluare riscuri
+40 751 100 335 Software GDPR Audit