Secţiuni » Selected
Selected Top Legal
CorporatePlatinum members
PLATINUM+ PLATINUM Signature     

PLATINUM ACADEMIC
GOLD                       

VIDEO STANDARD
BASIC





Relația dintre operator și persoana împuternicită. Roluri, responsabilități și răspundere
31.01.2020 | Ruxandra SAVA

JURIDICE - In Law We Trust
Ruxandra Sava

Ruxandra Sava

În situațiile în care, din prisma intereselor comerciale sau de altă natură, o bază de date (de exemplu baza de date a clienților) este accesată de două sau mai multe organizații diferite pentru a se îndeplini unul sau mai multe scopuri determinate sau în situațiile în care o bază de date este accesată de o organizație pentru a îndeplini serviciile față o altă organizație, ar trebui să se pornească de la o întrebare esențială: Cine poartă responsabilitatea cu privire la respectarea protecției datelor cu caracter personal ale persoanelor vizate din respectiva bază de date? Pentru a se răspunde la această întrebare, în primă instanță trebuie calificată relația dintre organizații și calitatea fiecăreia, respectiv operatori, operatori asociați sau o relație de tipul operator – persoană împuternicită. Ulterior calificării relației din prisma RGPD, trebuie avut în vedere cum se alocă responsabilitățile între organizații pentru a se asigura o protecție adecvată a datelor cu caracter personal vizate de respectivele activități de prelucrare și pentru a da posibilitatea persoanelor vizate să își exercite în mod efectiv drepturile prevăzute de RGPD. Organizațiile aflate în relații contractuale trebuie să își definească în mod clar rolul: operator, operator asociat sau persoană împuternicitădeoarece art. 82 din GDPR prevede că orice persoană fizică vizată are dreptul la despăgubire în fața instanțelor de judecată atunci când există o incălcare a RGPD care o prejudiciază. Astfel, organizațiile trebuie să stabilească, prin contractele pe care le încheie și modalitatea răspunderii față de persoanele vizate în eventualitatea unei încălcări a RGPD.[1] În absența unui asemenea contract ori în situația în care contractul nu conține astfel de clauze, răspunderea este solidară, respectiv persoana vizată se poate îndrepta împotriva oricărei organizații implicate și obține despăgubiri integrale, organizația obligată de instanță la despgubiri putând să se îndrepte ulterior împotriva entității în culpă pentru încălcarea GDPR și prejudicierea drepturilor persoanei vizate.

Calificarea drept „persoană împuternicită”

Când vorbim de conceptul de „persoană împuternicită”, trebuie să remarcăm faptul că existența acesteia depinde de decizia pe care o ia operatorul, respectiv dacă va prelucra datele în cadrul organizației sale sau va delega către o organizație terță[2]. În al doilea caz, vorbim despre compania terță că este, în raport cu operatorul, persoană împuternicită de acesta.

Exemple: Compania ABC SRL decide să desfășoare activități de marketing (publicitate comportamentală pe internet). Dacă va desfășura această activitate intern nu va exista o persoană împuternicită, dar dacă va delega această activitate către o companie terță, XYZ SRL, atunci compania terță va avea calitatea de persoană împuternicită, iar relația lor contractuală din punct de vedere RGPD va avea nevoie de anumite măsuri suplimentare.

Cu alte cuvinte, pentru ca o organizație să fie persoană împuternicită, trebuie îndeplinite două cerințe esențiale: organizația trebuie să fie o entitate juridice diferită față de operator și să prelucreze datele în numele operatorului. A acţiona în numele cuiva înseamnă a servi interesul acelei persoane şi aminteşte de conceptul juridic de „delegare”. În cazul legislaţiei privind protecţia datelor, persoana împuternicită este numită pentru a aplica instrucţiunile emise de operator cel puţin în ceea ce priveşte scopul operaţiunii de prelucrare şi elementele esenţiale ale mijloacelor.[3]„A acționa în numele operatorului” înseamnă că persoana împuternicită urmărește interesele operatorului atunci când desfășoară o anumită sarcină și că urmează astfel instrucțiunile operatorului, cel puțin scopurile și mijloacele activităților de prelucrare.[4]

Cu toate acestea, persoana împuternicită nu este neapărat un subordonat al operatorului, aceasta putând avea un anumit grad de autonomie și independență în raport cu activitățile de prelucrare și, implicit, în furnizarea serviciilor sale față de operator, păstrând deține un control față de operațiunile neesențiale ale prelucrării.[5] De exemplu, persoana împuternită poate propune desfășurarea unei activități de prelucrare prin anumite mijloace conform ariei sale de expertiză și experiență, însă operatorul va decide dacă acceptă sau nu cele propuse de către persoana împuternicită.[6] Cu alte cuvinte, operatorul păstrează controlul asupra modalității în care se va desfășura o anumită activitate de prelucrare.

Lipsa de control rămâne un element-cheie pentru calificarea unei entități drept persoană împuternicită, deoarece controlul aparține operatorului care, mai departe, emite instrucțiuni către persoana împuternicită, desi, așa cum am menționat anterior, aceasta din urmă păstrează un anumit grad de autonomie și independență. Dacă nu există instrucțiuni sau acestea sunt vagi, iar o entitate are o libertatea suficientă și control pentru a decide independent scopurile și mijloacele prelucrării, cel mai probabil entitatea are calitatea de operator asociat, iar nu persoană împuternicită. [7]

Persoanele împuternicite sunt foarte diverse în actualul context economic, de la companiile de HR, contabilitate, programele de facturare, furnizorii de servicii IT, până la clinicile medicale care au acces la datele medicale ale angajaţilor.

Exemplu: O fabrică de bere are numeroşi angajaţi. Aceasta semnează un contract cu o societate de administrare a statelor de plată, pentru efectuarea plăţii salariilor angajaţilor. Fabrica de bere îi spune societăţii de administrare a statelor de plată când trebuie plătite salariile, când un angajat părăseşte fabrica sau primeşte o mărire de salariu şi îi furnizează toate celelalte date pentru fluturaşul de salariu şi pentru plată. Societatea de administrare a statelor de plată furnizează sistemul informatic şi stochează datele angajaţilor. Fabrica de bere este operatorul de date, iar societatea de administrare a statelor de plată este persoana împuternicită de operator. [8]

2. Răspunderea persoanei împuternicite

2.1. Răspunderea directă

Persoana împuternicită răspunde contractual față de operator pentru orice încălcare a contractului cu acesta din urmă, în funcție de ceea ce prevăd clauzele contractului pe tărâmul răspunderii civile contractuale.[9]

Persoana împuternicită poate fi, de asemenea, investigată de autoritățile de supaveghere (precum ANSPDCP) și poate primi amendă contravențională sau alte sancțiuni, prin urmare poate răspunde administrativ.[10]

Totodată, persoana împuternicită poate răspunde și pe tărâmul răspunderii civile delictuale deoarece orice persoană vizată care a suferit un prejudiciu material sau moral ca urmare a faptei unei persoane împuternicite se poate adresa instanței de judecată competente pentru a obține despăgubiri, respective daune materiale sau morale. În aceasta situație, o persoană împuternicită răspunde doar dacă nu a respectat obligațiile din RGPD care revin în mod specific persoanelor împuternicite de operator sau a acționat în afara sau în contradicție cu instrucțiunile legale ale operatorului, spre deosebire de operator a cărui răspundere este mai mare, putând răspunde inclusiv pentru fapta persoanei împuternicite. GDPR introduce o prezumție de culpă a operatorului și persoanei împuternicite. În acest sens, sarcina probei în instanță revine operatorului sau persoanei împuternicite care trebuie să demonstreze că nu este răspunzător (răspunzătoare) în niciun fel pentru evenimentul care a cauzat prejudiciul.[11]

În cele din urmă, dacă persoana împuternicită va fi obligată în instanță să plătească daune materiale și/sau morale unei persoane vizate, dar nu este responsabil sau nu este responsabil integral pentru daună, se poate îndrepta separat împotriva operatorului (poate intenta acțiune în regres[12]) pentru a fi despgubită de acesta din urmă.[13]

2.2. Răspunderea pentru subcontractanți

În situația în care persoanele împuternicite utilizează subcontractanți, ele vor fi ținute răspunzătoare față de operatori pentru nerespectarea normelor RGPD de către subcontractanți. În cele din urmă, dacă persoana împuternicită va fi ținută răspunzătoare față de operator, dar culpa este a subcontractului (de exemplu, nu a respectat instrucțiunile persoanei împuternicite), persoana împuternicită se poate îndrepta împotriva subcontractantului (poate intenta acțiune în regres) pentru a fi despgubită de acesta din urmă.

3. Verificarea persoanei împuternicite de către operator

RGPD precizează că operatorul recurge doar la persoane împuternicite care oferă garanţii suficiente pentru punerea în aplicare a unor măsuri tehnice şi organizatorice adecvate care să asigure respectarea GDPR, securitatea și confidențialitatea datelor cu caracter personal şi protecţia datelor persoanei vizate. În practică, acest lucru se poate realiza prin audituri de specialitate, în cazul prelucrărilor care prezintă riscuri (cum ar fi prelucrarea datelor sensibile sau tehnologii care pot avea o intruziune mare în viaţa privată) şi prin chestionare, în situaţia unor prelucrări care nu prezintă riscuri.[14] Verificarea persoanei împuternicită nu este un proces singular, ci continuu, operatorul având obligația să verifice în mod continuu măsurile depuse de persoana împuternicită pentru conformitatea la RGPD.

Principiul responsabilității obligă operatorul să ia toate măsurile necesare pentru a verifica dacă persoana împuternicită prezintă garanții suficiente și să poată demonstra în fața autorității și/sau în fața instanței de judecată că a luat aceste măsuri. De exemplu, operatorul ar putea verifica dacă persoana împuternicită deține documentație adecvată de conformare la GDPR precum politici de confidențialitate, politici de retenție, politici de securitate, certificări, măsuri de securitate etc.[15]

Cu toate acestea, dacă în urma verificării rezultă că persoana împuternicită nu prezintă garanții suficiente, atunci operatorul ar trebui să înceteze să mai lucreze cu acest furnizor de serviciu și să caute un alt furnizor care oferă garanții suficiente sau, în absența altor furnizori adecvați pe piață, să sesizeze autoritatea de supraveghere cu privire la această problemă.

Exemplu: Andreea Popescu deține un salon de dimensiuni mici în centrul Bucureștiului și caută o platformă pentru gestionarea programărilor clienților. Găsește o platformă gratuită și ușor de folosit, însă datele personale sunt păstrate mai mult decât este necesar și sunt transferate în Rusia. În acest caz, Andreea ar trebui să caute alt furnizor sau, în absența altor furnizori adecvați pe piață, să sesizeze autoritatea de supraveghere cu privire la această problemă.:

4. Contractul dintre operator și persoana împuternicită

Operatorii pot delega prelucrarea datelor către prestatorii de servicii, dar nu pot delega și răspunderea lor în temeiul GDPR[16]. Așa cum am precizat anterior, operatorul are o serie de obligații în raport cu gestionarea relației cu persoana împuternicită, printre care verificarea acesteia și, așa cum vom preciza în continuarea, încheierea unui contract scris cu aceasta din urmă care să stabilească atribuțiile persoanei împuternicite și reglementarea răspunderii față de persoana vizată. De exemplu, contractul trebuie să precizeze ce se întâmplă cu datele cu caracter personal în momentul încetării contractului. Persoana împuternicită de operator poate subcontracta o parte a sarcinii sale unei alte persoane împuternicite de operator sau poate numi o persoană asociată împuternicită de operator numai dacă a primit în prealabil o autorizaţie scrisă din partea operatorului de date.[17] Această autorizație poate fi specifică sau generală. Potrivit art. 28 alin. (2) din RGPD, „ (…) în cazul unei autorizații generale scrise, persoana împuternicită de operator informează operatorul cu privire la orice modificări preconizate privind adăugarea sau înlocuirea altor persoane împuternicite de operator, oferind astfel posibilitatea operatorului de a formula obiecții față de aceste modificări.” Indiferent dacă autorizația este generală sau specifică, operatorul rămâne răspunzător pentru activitatea persoanei împuternicite și/sau a subcontractorilor acesteia din urmă.

„Acest contract este în formă scrisă, pentru a fi păstrat ca dovadă și are un conținut minimal, stipulând în special că persoana împuternicită acționează numai la cererea operatorului și pune în aplicare măsurile tehnice și organizatorice în vederea protejării adecvate a datelor cu caracter personal. Contractul ar trebui să includă o descriere suficient de detaliată a împuternicirii acordate persoanei în cauză.”[18]

Întrucât persoana împuternicită prelucrează datele la instrucțiunile operatorului, conform art. 82 alin. (2) din GDPR, operatorul poate răspunde față de persoana împuternicită dacă emite instrucțiuni de prelucrare care nu sunt conforme cu RGPD.[19] Cu toate acestea, persoana împuternicită are obligația, potrivit Regulamentului, să informeze de îndată operatorul dacă va considera că o instrucțiune încalcă Regulamentul sau alte legi.[20]Totodată, dacă persoana depășește limitele mandatului încredințat și se abate de la instrucțiunile operatorului, prelucrând datele într-o manieră diferită, va fi considerat operator în raport cu acea activitate de prelucrare.

Respectivul contract prevede în principiu că persoana împuternicită: • prelucrează datele personale numai pe baza instrucţiunilor operatorului, neputând să se abată de la ele; se asigură că persoanele autorizate să prelucreze datele cu caracter personal s-au angajat să respecte confidenţialitatea; • adoptă toate măsurile necesare în conformitate cu art. 32 din Regulament (pseudonimizarea şi criptarea datelor cu caracter personal, confidenţialitatea, integritatea, disponibilitatea şi rezistenţa continue ale sistemelor, restabilirea disponibilităţii datelor în cazul unui incident de securitate, testarea, evaluarea şi aprecierea periodice ale eficacităţii măsurilor tehnice şi organizatorice pentru a garanta securitatea prelucrării); • nu recrutează o altă persoană să prelucreze datele fără acordul scris şi prealabil al operatorului; • răspunde pentru persoana pe care o recrutează; • oferă asistenţă operatorului pentru a răspunde cererile persoanelor vizate; • oferă asistenţă operatorului cu privire incidentele de securitate şi evaluările de impact; • şterge sau returnează operatorului toate datele cu caracter personal după încetarea furnizării serviciilor legate de prelucrare; • permite desfăşurarea auditurilor, inclusiv a inspecţiilor, efectuate de operator sau alt auditor mandatat şi contribuie la acestea.

Dacă vreun element de mai sus lipsește din contract se va considera că între părți nu există o relație de operator-persoană împuternicită, ci o relație de operatori asociați.[21]

În practică, poate fi un contract, o anexă la contract sau clauze incluse în contractele de prestări servicii. GDPR nu spune cine trebuie să iniţieze acest contract, însă opinia majoritară este în sensul în care, ambii actori, atât operatorul, cât şi persoana împuternicită au sarcina iniţierii. De regulă, operatorul este persoana care propune contractul, însă, în situaţia în care operatorul este o întreprindere mai mică, iar persoana împuternicită de către operator este o corporaţie, în practică, această persoană din urmă dictează condiţiile, cum este cazul giganţilor economici (i.e. Google, Facebook, Microsoft). Totuşi, în aceste situaţii, Grupul de lucru Art. 29 recomandă că standardul de responsabilitate nu trebuie coborât din cauza dezechilibrului economic.

5. Recomandări, know-how, practică

5.1. Recomandări pentru operatori și persoanele împuternicite

Atât operatorul, cât și persoanele împuternicite trebuie să:
– Analizeze în detaliu relația contractuală cu cealaltă parte pentru a identifica ce calitate deține fiecare: operator, persoană împuternicită sau operator asociat. Pentru o identificare corectă este recomandat să se recurgă la consultanță juridică;
– Să aibă inițiativa încheierii unui acord de prelucrare și să încheie acel acord înainte de a începerea relațiilor contractuale;
– Să înțeleagă responsabilitățile față de RGPD și să depună eforturi rezonabile pentru implementarea măsurilor tehnice și organizatorice adecvate.

5.2. Recomandări pentru operatori

Operatorul trebuie:
– Să contracteze doar cu persoane împuternicite care oferă garanții suficiente pentru a implementa măsuri tehnice și organizatorice adecvate pentru a îndeplini cerințele RGPD și a respecta drepturile persoanelor vizate.[22]
– Să se asigure că persoană împuternicită nu deleagă/subcontractează/cesionează contractul fără autorizația scrisă și prealabilă a operatorului;[23]
– Să se asigure că persoana împuternicită informează operatorul cu privire la orice modificări și îi dă acestuia posibilitatea de a se opune la aceste modificări;[24]
– Să semneze un acord de prelucrare al datelor cu caracter personal sau alt contract scris care să cuprindă cel puțin clauzele obligatorii de la art. 28 din RGPD.[25]
– Să se asigure că toate obligațiile impuse persoanei împuternicite sunt impuse mai departe oricărui subcontractant pe care persoana împuternicită îl va utiliza în desfășurarea activității de prelucrare.[26]
– Să verifice în mod continuu persoana împuternicită cu privire la respectarea GDPR.

5.3. Recomandări pentru persoanele împuternicite

Persoana împuternicită trebuie:
– Să documenteze în scris instrucțiunile operatorului pentru a putea demonstra că acționează doar conform instrucțiunilor acestuia din urmă.[27]
– Dacă dorește să folosească un subcontractant, să ceară autorizația operatorului înainte de a subcontracta[28];
– Să furnizeze operatorului toate documentele și informațiile necesare pentru a putea fi verificat de către acesta din urmă și să permită desfășurarea auditurilor[29];
– Să țină o evidență a clienților (operatorilor) și să descrie activitățile de prelucrare pe care le desfășoară în numele acestora;[30]
– Să respecte principiile de protecție a datelor, să adopte măsurile de securitate necesare, ca de exemplu să nu colecteze date atunci când nu este necesar, să șteargă datele după o anumită perioadă de timp, să implementeze drepturi diferențiate de acces la bazele de date[31];
– Să încheie acorduri de confidențialitate cu angajații și/sau partenerii comerciali;
– Să notifice operatorul cu privire la orice incident de securitate;
– La încetarea relației contractuale să șteargă toate datele sau să le returneze către client și să distrugă toate copiile cu excepția situației în care există o obligație legală să le păstreze.[32]
– Să informeze de urgență clientul (operatorul) în măsura în care consideră că instrucțiunile acestuia încalcă RGPD sau alte legi;
– Să asiste clientul (operatorul) în formularea răspunsului către persoana vizată în situația în care există o cerere din partea acestei persoane vizate;
– Să respecte celelalte obligații în temeiul GDPR, ca de exemplu, întocmirea unei evidențe a activităților de prelucrare, numirea unui resposabil cu protecția datelor atunci când este obligatorie numirea acestuia, respectarea drepturilor persoanelor vizate etc.

Biblliografie suplimentară:
Irish DPC: A practical Guide to Data Controller to Data Processor Contracts
UK ICO: Contracts
French CNIL: A Guide to Assist Processors
EDPS Guidelines on the Concepts of Controller, Processor and Joint Controllership


[1] Denis Kelleher, Karen Murray – „EU Data Protection Law”, Bloomsbury Professional 2018, Amazon Reader, Location 8363.
[2] Ibidem, p.1.
[3] Ibidem, p. 25-26.
[4] EDPS Guidelines on the concepts of controller, processor and joint controllership under Regulation (EU) 2018/1725, p. 16.
[5] Ibidem.
[6] Ibidem.
[7] Denis Kelleher, Karen Murray – „EU Data Protection Law”, Bloomsbury Professional 2018, Amazon Reader, Location 8363.
[8] Disponibil aici, link accesat 30 ianuarie 2020.
[9] Disponibil aici, link accesat la data de 27 ianuarie 2020.
[10] Ibidem.
[11] Ibidem.
[12] „Actiunea de regres este o actiune civila, de drept comun, izvorata din imprejurarea ca victima prejudiciului are dreptul sa actioneze pentru despagubiri printr-o actiune civila atat pe comitent, cat si pe prepus, concomitent sau succesiv sau numai pe unul dinte ei. Comitentul, care este garant al prepusului, plateste despagubirile pentru prepusul vinovat, dar preia prin subrogare drepturile si actiunile victimei si se indreapta la randului lui, printr-o actiune de regres impotriva prepusului avand dreptul atat la recuperarea integrala a despagubirilor efectiv platite (damnum emergens), cat si la beneficiul de care a fost lipsit: de ex. dobanda pierduta sau profitul neinvestit etc. (lucrum cessans).
Actiunea in regres este reglementata in Codul civil la art. 1384-1386. Potrivit acestor dispozitii, cel care raspunde pentru fapta altuia se poate intoarce impotriva aceluia care a cauzat prejudiciul, cu exceptia cazului in care acesta din urma nu este raspunzator pentru prejudiciul cazat.” Disponibil aici, link accesat la data de 27 ianuarie 2020.
[13] Ibidem.
[14] A se vedea „GDPR pe înțelesul tău. Sinteză teoretică și recomandări practice.”, Ruxandra Sava, Ed. Universul Juridic, 2018, p. 142.
[15] EDPS Guidelines on the concepts of controller, processor and joint controllership under Regulation (EU) 2018/1725, p. 18.
[16] Denis Kelleher, Karen Murray – „EU Data Protection Law”, Bloomsbury Professional 2018, Amazon Reader, Location 8378.
[17] A se vedea „GDPR pe înțelesul tău. Sinteză teoretică și recomandări practice.”, Ruxandra Sava, Ed. Universul Juridic, 2018, p. 142.
[18] A se vedea în acest sens Avizul nr. 1/2010 al Grupului de Lucru Art. 29 privind conceptele de „operator” și „persoană împuternicită de operator”.
[19] Art. 82 alin. (2) din RGPD prevede că:Orice operator implicat în operațiunile de prelucrare este răspunzător pentru prejudiciul cauzat de operațiunile sale de prelucrare care încalcă prezentul regulament. Persoana împuternicită de operator este răspunzătoare pentru prejudiciul cauzat de prelucrare numai în cazul în care nu a respectat obligațiile din prezentul regulament care revin în mod specific persoanelor împuternicite de operator sau a acționat în afara sau în contradicție cu instrucțiunile legale ale operatorului.
[20]
[21] Denis Kelleher, Karen Murray – „EU Data Protection Law”, Bloomsbury Professional 2018, Amazon Reader, Location 8409.
[22] EDPS Guidelines on the concepts of controller, processor and joint controllership under Regulation (EU) 2018/1725, p. 18.
[23] Ibidem.
[24] Ibidem.
[25] Ibidem.
[26] Ibidem.
[27] CNIL, „General Data Protection Regulation – Guide for Processors” – September 2017 edition, p. 6.
[28] Ibidem, p. 6.
[29] Ibidem, p. 6.
[30] Ibidem, p. 6.
[31] Ibidem, p. 7.
[32] Ibidem, p. 7.


Av. Ruxandra Sava, CIPP/e

Aflaţi mai mult despre , , , , ,

Puteţi publica şi dumneavoastră pe JURIDICE.ro. Publicăm chiar şi opinii cu care nu suntem de acord. Vă rugăm să vă familiarizaţi cu obiectivele şi valorile Societătii de Stiinţe Juridice, despre care puteti ciţi aici.
JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului.

Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa redactie@juridice.ro!







JURIDICE utilizează şi recomandă SmartBill

JURIDICE gratuit pentru studenţi

Securitatea electronică este importantă pentru avocaţi [Mesaj de conştientizare susţinut de FORTINET]

JURIDICE recomandă e-Consultanta, consultantul tău personal în finanţare


Lasă un răspuns

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.