Persoana Imputernicita sanctionata pentru incalcarea unei obligatii esentiale

Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal – ANSPDCP a emis un comunicat prin care anunta faptul  ca a finalizat o investigatie la o societate comerciala care avea calitate de imputernicit al unui operator si a constatat incalcarea dispozitiilor art. 28 alin. (2) din Regulamentul General privind Protectia Datelor (RGPD).

In speta, investigatia a fost demarata ca urmare a transmiterii de catre operatorul de date a unei notificari de incalcare a securitatii datelor cu caracter personal de catre imputernicitul sau in temeiul Regulamentului General privind Protectia Datelor.

Mai exact, imputernicitul a recrutat o alta persoana imputernicita pentru prelucrarea datelor angajatilor operatorului fara a primi in prealabil o autorizatie scrisa, specifica sau generala din partea operatorului, incalcandu-se astfel prevederile art. 28 alin. (2) din RGPD.

Potrivit art. 28 alin. (2) din RGPD „Persoana imputernicita de operator nu recruteaza o alta persoana imputernicita de operator fara a primi in prealabil o autorizatie scrisa, specifica sau generala, din partea operatorului. In cazul unei autorizatii generale scrise, persoana imputernicita de operator informeaza operatorul cu privire la orice modificari preconizate privind adaugarea sau inlocuirea altor persoane imputernicite de operator, oferind astfel posibilitatea operatorului de a formula obiectii fata de aceste modificari.”

Conform Regulamentului general privind protectia datelor cu caracter personal GDPR, persoana imputernicita NU va subcontracta serviciile unei alte persoane imputernicite pentru a prelucra datele cu caracter personal fara acordul operatorului sau raspunzand indicatiilor acestuia.

Operatorul incheie cu persoana imputernicita un acord care ar trebui sa fie redactat in scris si sa contina cel putin urmatoarele obligatii ce revin persoanei imputernicite:

  1.  Nu prelucreaza date personale decat conform instructiunilor operatorului si in limitele acestor instructiuni;
  2. Asigura incheierea unor angajamente de confidentialitate cu salariatii sai, le asigura training constant si ii sensibilizeaza in ceea ce priveste protectia datelor cu caracter personal;
  3. Implementeaza masuri tehnice si organizatorice si ia toate masurile de securitate care se impun;
  4. Nu recruteaza niciun subimputernicit fara a obtine acordul prealabil si in scris al operatorului;
  5. Dupa obtinerea acordului prealabil scris al operatorului, se asigura ca toate obligatiile sunt impuse, mai departe, subimputernicitului;
  6. Asista operatorul ori de cate ori este necesar pentru indeplinirea obligatiilor sale legale; de asemenea, asista autoritatea de supraveghere si pune la dispozitia acesteia orice evidente care ii sunt solicitate;
  7. Pastreaza o evidenta scrisa a tuturor activitatilor de prelucrare desfasurate in numele operatorului;
  8. Instiinteaza operatorul daca a avut o bresa de securitate imediat dupa ce ia la cunostinta de aceasta;
  9. Informeaza imediat operatorul in cazul in care considera ca o instructiune a acestuia din urma incalca GDPR sau alte dispozitii legale ce vizeaza protectia datelor;

In esenta, operatorul este responsabil pentru orice prejudiciu cauzat de desfasurarea operatiunilor sale de prelucrare care incalca prevederile din GDPR. In categoria de operatiuni de prelucrare ale operatorului pot intra si operatiunile de prelucrare ale persoanei imputernicite.

Persoana imputernicita va fi, la randul ei, raspunzatoare pentru prejudiciile cauzate doar in cazurile in care:

1. a actionat in afara instructiunilor specifice de prelucrare date de operator sau in contradictie cu acestea. Este important de retinut faptul ca, daca persoana imputernicita nu prelucreaza datele personale in maniera adecvata instructiunilor operatorului, persoana imputernicita va deveni operator cu privire la acele activitati de prelucrare.

2. nu a respectat obligatiile GDPR care revin in mod particular persoanelor imputernicite.

Persoana imputernicita va raspunde, in cazul incalcarii uneia dintre obligatiile care ii revin, in urmatorul mod:

  • contraventional, in cazul in care va fi sanctionata de catre autoritatea de supraveghere;
  • contractual, in cazul incalcarii obligatiilor din contractul semnat cu operatorul ;
  • civil delictual, persoanele vizate care au suferit prejudicii din cauza actiunilor persoanei imputernicite pot sesiza instanta de judecata competenta.

Multumim,

Echipa MyBiz GDPR