În practică sînt o multitudine de situații în care operatorii lucrează cu persoane împuternicite.

Art. 28 (3) stabilește că această relație este guvernată prin intermediul unui contract iar Art. 82 (2) indică situațiile în care persoana împuternicită devine răspunzătoare pentru prejudiciul cauzat de prelucrare. Pentru a fi exonerați de răspundere ambii actori trebuie să DOVEDEASCĂ că nu sînt răspunzători de evenimentul care a cauzat prejudiciul.

Operatorul recurge doar la persoane împuternicite care oferă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate (At. 28(1))

Cum poate verifica însă operatorul aceste garanții? Conform Art. 28 (3)(h) persoana împuternicită:

• pune la dispoziția operatorului toate informațiile necesare pentru a demonstra respectarea obligațiilor prevăzute la prezentul articol
• permite desfășurarea auditurilor, inclusiv a inspecțiilor, efectuate de operator sau alt auditor mandatat și contribuie la acestea.

Mulți operatori nu vor recurge, probabil, la „audit„: dacă se face „pe bune„ are un cost considerat mare; dacă nu este „pe bune„ nu prea ajută la nimic…Și atunci?

Puteți cere o listă (de exemplu SOA din ISO27001 pentru cei care se laudă cu această certificare) cu măsurile tehnice și administrative implementate în baza Art. 32. Cereți persoanei împuternicită să menționeze:

• măsuri administrative – denumirea politicii/procedurii, data aprobării și…numărul de pagini :)…Prin sondaj cereți 2-4 din aceste documente și le revizuiți (politica/procedura de evaluare a riscurilor nu ar trebui să lipsească).
• măsuri tehnice : numele soluției tehnice care corespunde unei măsuri administrative – acolo unde măsura administrativă nu este un control suficient (de exemplu dacă se menționează că există Politică/prrocedură pentru clasificarea și etichetarea informațiilor/documentelor, în practică prin ce soluție tehnică se asigură persoana împuternicită că o listă cu IBAN/CNP/fișe medicale nu este copiată?)