De foarte multe ori relația dintre operatorul de date și persoana împuterniciră este formalizată într-un contract care nu conține mai mult decât câteva clauze de stil și copierea obligațiilor din art. 28 din Regulamentul general privind protecția datelor (GDPR).
Comitetul european pentru
protecția datelor a publicat Ghidul privind operatorii și persoanele
împuternicite (varianta aflată în dezbatere publică până pe 19 octombrie) și
care aduce câteva lămuriri privind ce se așteaptă de la aceste contracte între
operator și persoana împuternicită.
În ce privește
„instrucțiunile documentate” de la operator către persoana împuternicită- art.
28(3)(a) GDPR - contractul trebuie să conțină o procedură și formulare pentru
transmitere sau, cel puțin, clauza prin care se arată că instrucțiunile trebuie
transmise în orice formă scrisă și că aceste instrucțiuni trebuie păstrate.
Acolo unde apare problema transferurilor internaționale de date trebuie
adăugate și cerințele din Capitolul V GDPR.
Măsurile de securitate -
- art. 28(3)(c) GDPR -care urmează să fie implementate trebuie să fie descrise
ca activități și procese precum și obiectivele în materie de securitate. De
asemenea, trebuie să existe informații despre măsurile de securitate ce urmează
să fie implementate. Pentru situațiile în care persoana împuternicită va
implementa noi măsuri de securitate trebuie să fie prevăzute mecanismele de
informare a operatorului și obținerea consimțământului acestuia. În cazul în
care este prevăzută p clauză prin care operatorul acordă o autorizare generală
către persoana împuternicită de a modifica măsurile de securitate trebuie
prevăzut modul în care operatorul poate să-și exprime opoziția față de
modificarea măsurilor de securitate.
Persoana împuternicită trebuie să-și asume obligația că va face în mod
periodic o evaluare a măsurilor de securitate.
Pentru situația când
persoana împuternicită angajează un terț pentru a realiza activități de
prelucrare în numele operatorului - - art. 28(3)(d) GDPR- atunci, dacă există o
autorizare generală din partea operatorului de a se angaja astfel de terți,
trebuie să se prevadă modul în care poate exprima opoziția. Dacă o astfel de
autorizație generală nu există, trebuie precizat cum se poate obține o astfel
de autorizare și care anume activități de procesare pot fi încredințate către
astfel de terți. Desigur termene precise pentru aceste acte, autorizarea sau
opoziția la angajarea unui terț pentru activități de procesare, trebuie
prevăzute. Alternativ se poate prevedea
de la început o listă de terți care pot fi angajați pentru anumite activități
de procesare. Întotdeauna trebuie
precizat care sunt măsurile de securitate la care aceștia trebuie să adere.
Un alt capitol al
relației operator persoană împuternicită este cel al asistenței care trebuie
oferită de către persoana împuternicită operatorului în legătură cu exercitarea
drepturilor de către persoanele vizate - art. 28(3)(e) GDPR. Obligația de
asistență trebuie descrisă în detaliu, ce sarcini concrete revin persoanei
împuternicită și termene în care acestea trebuie realizate. De asemenea, dacă
persoana împuternicită însăși va soluționa cererile persoanelor vizate trebuie
să existe în contract clauze prin care se stabilesc standarde prin care se
apreciază dacă cererile sunt admisibile sau dacă sunt în conformitate cu GDPR.
Persoanele împuternicite
au și obligația generală de a asista pe operator în a-și îndeplini obligațiile
art. 28(3)(f) GDPR. În legătură cu aceasta trebuie prevăzute proceduri pentru
transmitere de informații, formulare pentru transmitere de informații, astfel
încât acestea să răspundă necesităților operatorului. Pentru situația
incidentelor de securitate trebuie prevăzute în sarcina persoanei împuternicite
persoana de contact, termene (scurte) pentru notificarea incidentului,
informațiile care trebuie transmise în notificarea incidentului.
Problema ștergerii sau returnării datelor - art. 28(3)(g) GDPR – trebuie și aceasta
abordată în mod detaliat, mai ales că se poate pune în condiții în care
cooperarea dintre operator și persoana împuternicită nu este una foarte
strânsă. Trebuie descrise procedurile de exercitare a acestui drept de către
operator, termene, sancțiuni. Nu trebuie uitat că problema poate fi pusă și în
situații în care intervine insolvența persoanei împuternicite. Deoarece între
momentul încheierii contractului și momentul în care astfel de clauze vor fi în
situația de a fi invocate poate trece p mare perioadă de timp, este necesar să
se prevadă un mod prin care operatorul să poată actualiza aceste proceduri
sau formatul în care să fie returnate
datele.
Persoanele împuternicite au și obligația generală de a
asista operatorul în a dovedi îndeplinirea obligațiilor pe linie de protecția
datelor și să asigure posibilitatea auditului și a inspecțiilor- art. 28(3)(h) GDPR. Și aici trebuie
prevăzute exact ce acte trebuie documentate, care este fluxul de informații,
termenele care trebuie respectate. Trebuie descris cum se va face accesul
pentru audit, inclusiv la terții care eventual au fost angajați să asigure
procesarea datelor.
Nu în ultimul rând persoana împuternicită are dreptul să
obiecteze la instrucțiunile operatorului pe care le consideră ilegale - art. 28(3)- alienatul al doilea GDPR. Pentru
aceasta situație trebuie prevăzute mecanismele de remediere, nu în ultimul rând
fiind posibilitatea persoanei împuternicite de a pune capăt contractului.
Comentarii