Cred că de acum este clar că, în practică, vor exista multe situații în care o organizație va fi și „operator„ (măcar pentru datele angajaților) dar și „persoană împuternicită„ (pentru datele prelucrate pentru clienții săi, pesoane juridice).

Să presupunem că tot ce ține de datele personale ale angajaților a fost rezolvat. Cu „experți„ sau fără, pe bani mai mulți sau mai puțini, am ajuns să punem în practică „măsuri tehnice și administrative„ și aproape putem proba respectarea principiilor din GDPR.

Sîntem în etapa în care trebuie rezolvate aspectele ce țin de relațiile contractuale. Aici cred că vor începe problemele care vor da alte dureri de cap.

Prelucrarea de către o persoană împuternicită de un operator este reglementată printr-un contract sau alt act juridic în temeiul dreptului Uniunii sau al dreptului intern care are caracter obligatoriu pentru persoana împuternicită de operator în raport cu operatorul și care stabilește obiectul și durata prelucrării, natura și scopul prelucrării, tipul de date cu caracter personal și categoriile de persoane vizate și obligațiile și drepturile operatorului.– Art. 28 (3)

Pentru a asigura respectarea cerințelor impuse de prezentul regulament în ceea ce privește prelucrarea care trebuie efectuată în numele operatorului de către persoana împuternicită de operator, atunci când atribuie activități de prelucrare unei persoane împuternicite de operator, acesta din urmă ar trebui să utilizeze numai persoane împuternicite care oferă garanții suficiente, în special în ceea ce privește cunoștințele de specialitate, fiabilitatea și resursele, pentru a implementa măsuri tehnice și organizatorice care îndeplinesc cerințele impuse de prezentul regulament, inclusiv pentru securitatea prelucrării.- Recital 81

Persoana împuternicită de operator este răspunzătoare pentru prejudiciul cauzat de prelucrare numai în cazul în care nu a respectat obligațiile din prezentul regulament care revin în mod specific persoanelor împuternicite de operator sau a acționat în afara sau în contradicție cu instrucțiunile legale ale operatorului. – Art. 82 (2

Contractele între cei doi actori, trebuie să includă cel puțin următorii termeni, care să impună procesatorului:

• să acționeze numai în baza instrucțiunilor scrise ale operatorului;
• să se asigure că persoanele care prelucrează datele personale sunt supuse unei obligații statutare de confidențialitate;
• să ia măsurile adecvate pentru a asigura securitatea prelucrării;
• să angajeze subcontractori numai cu acordul prealabil al operatorului și în baza unui contract scris;
• să asiste controlorul în asigurarea accesului și să permită persoanelor vizate să își exercite drepturile în temeiul GDPR;
  
• asistă operatorul în îndeplinirea obligațiilor GDPR în ceea ce privește securitatea prelucrării, notificarea încălcării securității  și evaluării impactului protecției datelor;
• să șteargă sau să returneze toate datele personale la operator, așa cum se solicită la sfârșitul contractului;
• pune la dispoziția operatorului toate informațiile necesare pentru a demonstra respectarea obligațiilor prevăzute la prezentul articol, permite desfășurarea auditurilor, inclusiv a inspecțiilor, efectuate de operator sau alt auditor mandatat și contribuie la acestea

Deși sînt menționate, clauzele contractuale standard există doar pentru transferul internațional de date. Deocamdată.

Responsabilitatea de a verifica dacă persoana împuternicită este competentă să proceseze datele personale în conformitate cu toate cerințele GDPR revine operatorului. Evaluarea persoanei împuternicite ar trebui să țină seama de natura prelucrării și de riscurile pentru persoanele vizate. Articolul 28.1 (și Recital 81) spune că trebuie să se lucreze doar cu o persoană împuternicită care poate oferi „garanții suficiente” din punctul de vedere al resurselor și expertizei sale, să pună în aplicare măsuri tehnice și organizatorice pentru a respecta GDPR și a proteja drepturile persoanelor vizate.

Chiar dacă există un contract cu o persoană împuternicită, responsabilitatea operatorului nu se pierde. El continuă să fie responsabil pentru asigurarea prelucrării corecte a datelor cu caracter personal și pentru protejarea drepturilor persoanelor vizate. Managementul are obligația de a exercita o diligență deosebită în selectarea și supravegherea persoanelor împuternicite.

Atunci cînd „responsabilul cu securitatea datelor„ este de tip „serviciu„ ne aflăm de fapt în situația unui contract cu o persoană împuternicită, contract care trebuie executat așa după cum este indicat în articolele citate.