Emitere, livrare plicuri/facturi și conformitatea cu GDPR

 

În multe cazuri, furnizorii de servicii de comunicație și utilități au externalizat serviciul de tipărire și livrare facturi către clienții finali. Nu voi analiza speța „persoanelor juridice„ deoarece în acest caz știm că datele de contact ale persoanelor juridice nu sînt date cu caracter personal. Avem însă următoarele două situații reale care vor trebuie puse în acord cu cerințele GDPR.

Cazul 1: Furnizorul încheie un contract cu firma care oferă servicii de tipărire și „împlicuire„ și tot furnizorul încheie și contractul de livrare a facturilor către clienții finali.

Cazul 2: Furnizorul încheie un contract cu firma care oferă servicii complete de tipărire, „împlicuire„ și livrare facturi. Acesta, la rîndul său, are un contract separat cu o firmă de curierat. Aceasta din urmă încheie și ea un contract cu altă firmă de curierat care acoperă localitățile de la sate.

(Am întîlnit și o combinație între cazul 1 și 2: C deși are contract direct cu A, a încheiat un contract separat cu D fără a comunica oficial acest lucru.)

Definițiile din GDPR:

  • operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau
    împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când
    scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile
    specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;
  • „persoană împuternicită de operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt
    organism care prelucrează datele cu caracter personal în numele operatorului;
  • destinatar” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căreia (căruia) îi sunt
    divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terță.
  • parte terță” înseamnă o persoană fizică sau juridică, autoritate publică, agenție sau organism altul decât persoana
    vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal;

În ambele cazuri Compania A este operator, obligațiile sînt clare (Art. 32)

În ambele cazuri Compania B este persoană împuternicită, obligațiile sînt clare (Art. 28 + Art.32). Ori de cîte ori „persoana împuternicită„ iese din „regula jocului„ stabilită de către „operator„, prin contract va deveni, la rîndul său, „operator„.

În cazul 1, Compania C este tot persoană împuternicită deoarece a încheiat un contract direct cu Compania A.

Ce vor fi în cazul 2:

  • Companiile C și D prin raportare la A?
  • Compania D prin raportare la B ținînd cont de faptul că B nu a fost informat oficial despre încheierea contractului dintre C și D?

Am putea spune că, în cazul 2, D este un terț. Nu consider că acesta este răspunsul corect dacă recitim definiția „părții terțe„ și ținem cont de relațiile dintre D și C, respectiv C și B: D este persoană împuternicită pentru C care este persoană împuternicită pentru B care este persoană împuternicită pentru A.

În schemă am scris „livrează plicuri„ și nu „livrează facturi„ pentru că nu avem cunoștință dacă în orice plic de la furnizor este o factură sau altceva: o informare, o înștiințare etc.

 

Mulţumesc.

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s