Operatorul De Date Cu Caracter Personal

Articol pregatit de Alina S., Managing Partner la Advice Accounting – una dintre cele mai experimentate companii de Accounting & Legal din Romania. Advice Accounting are in portofoliu atat clienti din Romania, cat si clienti Europeni si a ajutat cateva sute de firme sa creasca eficient in ecosistemul fiscal & legal din Romania.


LEGISLAȚIE

  1. Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (denumit în continuare “Regulamentul”);
  2. Legea nr. 102 din 3 mai 2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal (denumită în continuare “Legea nr. 102/2005”);
  3. Legea nr. 190 din 18 iulie 2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (denumită în continuare “Legea nr. 190/2018”); 
  4. Legea nr. 363 din 28 decembrie 2018 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, precum şi privind libera circulaţie a acestor date (denumită în continuare “Legea nr. 363/2018”).

NOȚIUNE

În sensul Regulamentului, operatorul este persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal. Atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern.

Persoana împuternicită de operator este persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului.

În procesul de prelucrare a datelor cu caracter personal, operatorul trebuie să respecte principiile legalității, echității, transparenței, exactității, integrității, confidențialității, responsabilității, limitării legate de scop și a limitării legate de stocare. 

Având în vedere natura, domeniul de aplicare, contextul, scopurile prelucrării, precum și riscurile pentru drepturile și libertățile persoanelor fizice, operatorul este ținut să pună în aplicare și, dacă e cazul, să revizuiască și să actualizeze măsuri tehnice și organizatorice adecvate (de pildă, pseudonimizarea, aderarea la coduri de conduită sau mecanisme de certificare) pentru a garanta că prelucrarea se efectuează cu respectarea cerințelor prevăzute în Regulament.

Operatorul trebuie să se asigure că prelucrarea de date, volumul de date colectate, gradul de prelucrare a acestora, perioada lor de stocare și accesibilitatea lor sunt necesare pentru scopul specific al prelucrării.

OPERATORII ASOCIAȚI

În cazul în care doi sau mai mulți operatori stabilesc în comun scopurile și mijloacele de prelucrare, aceștia sunt operatori asociați. Aceștia stabilesc printr-un acord și într-un mod transparent responsabilitățile fiecăruia, în principal cu referire la exercitarea drepturilor persoanelor vizate și îndeplinirea obligațiilor operatorilor de furnizare a informațiilor. Acordul poate să desemneze și un punct de contact pentru persoanele vizate.

Acordul încheiat între operatorii asociați trebuie să reflecte rolurile și raporturile fiecăruia față de persoana vizată și trebuie adus la cunoșțința acesteia din urmă. Indiferent de prevederile acordului, persoana vizată își poate exercita drepturile cu privire la oricare dintre operatori.

OPERATORII CARE NU ÎȘI AU SEDIUL ÎN UNIUNEA EUROPEANĂ

Prevederile Regulamentului se aplică chiar dacă operatorul sau persoana împuternicită de operator nu are sediul în Uniunea Europeană, însă doar atunci când activitățile de prelucrare sunt legate de:

  • oferirea de bunuri sau servicii unor persoane vizate în Uniunea Europeană, indiferent dacă se solicită sau nu efectuarea unei plăți de către persoana vizată;
  • monitorizarea comportamentului unor persoane vizate în Uniunea Europeană, dacă acesta se manifestă în cadrul Uniunii Europene.

În oricare dintre cele două cazuri de mai sus, operatorul sau persoana împuternicită de operator are obligația să desemneze un reprezentant în unul dintre statele membre în care se află persoanele vizate. Această obligație cunoaște, totuși, două excepții:

  • prelucrarea datelor are caracter ocazional, nu include prelucrarea unor categorii speciale de date sau prelucrarea unor date cu caracter personal referitoare la condamnări penale și infracțiuni și nu sunt susceptibile de a genera un risc pentru drepturile și libertățile persoanelor vizate;
  • prelucrarea datelor se face de o autoritate sau un organism public.

Chiar dacă operatorul sau persoana împuternicită de operator oferă un mandat reprezentantului, dreptul persoanelor vizate de a se adresa direct (și) operatorului, precum și de a intenta o acțiune în justiție (direct) împotriva operatorului nu este atins.

PERSOANA ÎMPUTERNICITĂ DE OPERATOR

În situația în care prelucrarea urmează să fie realizată în numele unui operator, acesta recurge doar la persoane împuternicite care oferă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute în Regulament și să asigure protecția drepturilor persoanei vizate. 

Persoana împuternicită de operator nu are dreptul să recruteze o alta persoană împuternicită de operator fără autorizarea prealabilă și scrisă din partea operatorului. 

Autorizarea poate fi specifică sau generală, cu precizarea că în cazul celei generale, persoana împuternicită de operator trebuie să informeze operatorul despre recrutarea sau înlocuirea altor persoane împuternicite de operator pentru a da acestuia din urmă posibilitatea de a formula obiecții.

Dispoziții generale ale contractului dintre operator și persoana împuternicită de operator 

Contractul dintre operator și persoana împuternicită de operator trebuie să stabilească obiectul, durata, natura și scopul prelucrării, tipul de date cu caracter personal, categoriile de persoane vizate și drepturile/obligațiile operatorului.

Dispoziții specifice ale contractului dintre operator și persoana împuternicită de operator

Contractul dintre operator și persoana împuternicită de operator prevede în special că cea din urmă: 

  • prelucrează datele cu caracter personal numai pe baza unor instrucțiuni documentate din partea operatorului, inclusiv în ceea ce privește transferurile de date cu caracter personal către o țară terță sau o organizație internațională, cu excepția cazului în care această obligație îi revine persoanei împuternicite în temeiul dreptului Uniunii sau al dreptului intern care i se aplică; în acest caz, notifică această obligație juridică operatorului înainte de prelucrare, cu excepția cazului în care dreptul respectiv interzice o astfel de notificare din motive importante legate de interesul public; 
  • se asigură că persoanele autorizate să prelucreze datele cu caracter personal s-au angajat să respecte confidențialitatea sau au o obligație statutară adecvată de confidențialitate;
  • adoptă toate măsurile de securitate a prelucrării; 
  • respectă condițiile privind recrutarea unei alte persoane împuternicite de operator; 
  • oferă asistență operatorului prin măsuri tehnice și organizatorice adecvate, în măsura în care acest lucru este posibil, pentru îndeplinirea obligației operatorului de a răspunde cererilor privind exercitarea drepturilor de către persoana vizată; 
  • ajută operatorul să asigure respectarea obligațiilor care îi revin, ținând seama de caracterul prelucrării și informațiile aflate la dispoziția persoanei împuternicite de operator; 
  • la alegerea operatorului, șterge sau returnează operatorului toate datele cu caracter personal după încetarea furnizării serviciilor legate de prelucrare și elimină copiile existente, cu excepția cazului în care dreptul Uniunii sau dreptul intern impune stocarea datelor cu caracter personal; 
  • pune la dispoziția operatorului toate informațiile necesare pentru a demonstra respectarea obligațiilor care îi revin, permite desfășurarea auditurilor, inclusiv a inspecțiilor, efectuate de operator sau alt auditor mandatat și contribuie la acestea. 

Clauzele contractului dintre operator și persoana împuternicită de operator trebuie respectate atât de părțile contractului, cât și de alte eventuale persoane recrutate cu titlu de împuternicit al operatorului.

Conform art. 14 alin. (2) și (4) din Legea nr. 190/2018, nerespectarea obligațiilor operatorului și persoanei împuternicite de operator constituie contravenție și se sancționează cu amendă între 10.000 și 100.000 lei.

Încălcarea de către autoritățile/organismele publice a dispozițiilor din Regulament referitoare la principiile de bază pentru prelucrare constituie contravenție și se sancționează cu amendă între 10.000 și 200.000 lei.

Constatarea contravențiilor și aplicarea sancțiunilor contravenționale, precum și a celorlalte măsuri corective prevăzute de Regulament privind protecția datelor se fac de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal înființată în conformitate cu dispozițiile Regulamentului și ale Legii nr. 102/2005.

One thought on “Operatorul De Date Cu Caracter Personal

Leave a Reply

Your email address will not be published. Required fields are marked *