Regulamentul GDPR se aplică operatorilor și persoanelor împuternicite de operatori care prelucrează date cu caracter personal, definite astfel:
- „operator” – persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal.
- „persoană împuternicită de operator” – persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului.
Conform Regulamentului GDPR, în cazul în care prelucrarea urmează să fie realizată de către o persoană împuternicită, operatorul are obligația de a apela doar la persoane care oferă garanții suficiente de securitate și care pune în aplicare măsuri tehnice și organizatorice adecvate, astfel încât să respecte cerințele prevăzute în Regulamentul GDPR și să asigure protecția drepturilor persoanei vizate.
Prelucrarea datelor cu caracter personal de către persoana împuternicită de operator se realizează în baza unui contract care are caracter obligatoriu pentru persoana împuternicită și care trebuie să cuprindă:
- obiectul și durata prelucrării;
- natura și scopul prelucrării;
- tipul de date cu caracter personal și categoriile de persoane vizate;
- obligațiile și drepturile operatorului.
Pe lângă aceste cerințe, contractul trebuie să prevadă în mod expres că persoană împuternicită de operator:
- prelucrează datele cu caracter personal numai pe baza instrucțiunilor primite din partea operatorului;
- se asigură că persoanele autorizate să prelucreze datele cu caracter personal s-au angajat să respecte confidențialitatea acestora;
- adoptă toate măsurile necesare privind securitatea datelor, astfel cum acestea sunt prevăzute de Regulamentul GDPR;
- oferă asistență operatorului prin măsuri tehnice și organizatorice adecvate, în măsura în care acest lucru este posibil;
- la solicitarea operatorului, șterge sau restituie toate datele cu caracter personal după încetarea furnizării serviciilor legate de prelucrare și elimină copiile existente, cu excepția cazului în care dreptul Uniunii sau dreptul intern impune stocarea datelor cu caracter personal;
- pune la dispoziția operatorului toate informațiile necesare pentru a demonstra respectarea obligațiilor prevăzute în Regulamentul GDPR și permite desfășurarea auditurilor sau inspecțiilor efectuate de operator.
Ce mai trebuie să știm? Persoana împuternicită de operator nu are dreptul de a împuternici o altă persoană în vederea prelucrării datelor, fără acordul prealabil, scris, al operatorului. În cazul obținerii acordului operatorului, persoana împuternicită de operator informează operatorul cu privire la orice modificări preconizate privind înlocuirea persoanei împuternicite, oferind posibilitatea operatorului de a formula obiecții față de aceste modificări.