Operator – operatori asociați – persoană împuternicită

Scurtă aducere aminte: spuneam că GDPR este pentru noi, persoanele vizate, nu pentru companii. Reformulînd: scopul GDPR este apărarea drepturilor și libertăților noastre în relație cu prelucrarea datelor noastre personale de către operatori.

Am fost în situația de a răspunde la două întrebări pe subiectul relației dintre organizații: în situația X, sînt operator sau personă împuternicită? Sau operatori asociați? În timp ce în cazul relațiilor operator-operator sau operator-persoană împuternicită lucrurile par mai clare, în cazul operatorilor asociați….lucrurile sînt mult mai complexe. Iar un răspuns cert este dificil de formulat.

Mergem la …teorie:

„operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;

„persoană împuternicită de operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului;

În cazul în care doi sau mai mulți operatori stabilesc în comun scopurile și mijloacele de prelucrare, aceștia sunt operatori asociați.

Există însă o problemă cu definițiile GDPR: nu trebuie citite și interpretate singular. Unii termeni și sintagme din GDPR sînt preluați(e) din alte documente – să le spun generic „juridice„ (Convenția 108, de ex) și explicate de-a lungul timpului prin Ghidurile și Opiniile WP29 (consider că este obligatorie lecturarea tuturor acestor documente, publicate începînd cu Directiva 95/46).

Mijloacele de prelucrare„ din definiție nu se referă doar la „tehnicisme„ ci și la maniera de prelucrare: ce date prelucrez? cine are acces la date? cînd vor fi șterse datele?…etc. Altfel spus „mijloacele„ sînt atît „tehnice„ cît și „administrative/procedurale„, inclusiv decizia de a fi delegate către o „persoană împuternicită„. Mijloacele sînt cele prin care se atinge scopul prelucrării!  Pe ce mă bazez cînd scriu asta? Am citit explicațiile din  WP169- Opinion 1/2010 on the concepts of „controller” and „processor”.

Știam lucrurile astea, motiv pentru care în cazul uneia dintre întrebări am răspuns la „foc automat„ în timp ce la cealaltă întrebare am două răspunsuri pe care tot le schimb între ele.

1. O companie organizează un eveniment.

Participanții trebuie să se înscrie pe site pentru a-și rezerva locul într-o sală, în funcție de subiectul de interes. Evenimentul are sponsori iar aceștia sînt interesați de datele de contact ale participanților. Organizatorul nu transferă implicit datele participanților către sponsori pentru că scopul prelucrării și mijloacele sînt diferite. În schimb, le cere consimțămîntul pentru un astfel de transfer. Sponsorii vor fi tot operatori. De ce? Pentru că vor prelucra acele date pentru propriul lor scop (pe care în acest moment nu îl cunoaștem).

Se poate încadra această relație și la „operatori asociați„? Da: eu, organizator (nu sînt doar o firmă de organizare de evenimente) vînd soluții de securitate IT de la sponsorii mei și prelucrăm datele participanților pentru același scop: să vindem. Și „mijloacele de prelucrare„ vor fi aproape identice.  (Exemplu poate fi dezvoltat, dar pentru simplicitate am preferat stilul „minimalist„. Putem întîlni aceeași situației și în cazul relației dintre dealerii auto care au și service și distribuitorul mărcii cu pricina. Sau în zona entităților financiare bancă-leasing-asigurări )

2. Serviciile de medicină a muncii pentru angajații organizației.

Există situații cînd aceste servicii  sînt oferite pe baza unui contract, de către un furnizor de servicii medicale. Angajatul nu este obligat să lucreze cu acel furnizor ci primește acest serviciu ca beneficiu din partea angajatorului.

Conform legii, organizațiile sînt obligate să angajeze numai persoane care, în urma examenului medical şi, după caz, a testării psihologice a aptitudinilor, corespund sarcinii de muncă pe care urmează să o execute şi să asigure controlul medical periodic şi, după caz, control psihologic periodic, ulterior angajării.

Angajatorul primește din partea angajatului Fișa de aptitudine (am trecut prin așa ceva și nu se trimite un exemplar direct angajatorului). Pe această fișă nu sînt trecute prea multe date personale și nici date despre sănătate: Nume, Prenume, (unele cabinete trec și CNP că așa a fost templateul…) și avizul medical – apt, inapt etc. Dar medicul/furnizorul de servicii de medicina muncii nu prelucrează doar nume și prenume pentru că acea decizie se ia în urma unui consult/examinare medicală, activitate ce implică alte prelucrări.

Cum relaționează angajatorul cu furnizorul de servicii: operator-operator sau operatori asociați? Dacă ținem cont că se  schimbă un singur document (Fișa de aptitudine) ce conține date personale, am putea considera că sînt posibile ambele situații (dar asta nu este o opinie juridică!).

În practică se prelucrează date diferite dar se schimbă un singur document. Ce interes ar avea un angajator (operator) să se declare operator asociat împreună cu furnizorul de servicii medicale? Urmăresc același scop al prelucrării? Putem spune că DA, dar mijloacele de prelucrare (tehnice și administrative) vor fi în multe cazuri diferite.  Nici temeiul juridic al prelucrării nu este unul comun: angajatorul trebuie să respecte o cerință/obligație legală („prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;„) iar furnizorul….execută un contract. Fișa de apitudini face parte din dosarul de personal al angajatului și conține mai puține date cu caracter personal decît examinarea medicală a furnizorului de servicii de medicina muncii. Un incident de securitate la angajator nu are aceleași consencințe cu unul la furnizorul de servicii (stric pe această speță).

GDPR nu impune existența unui contract între operatori ci doar un „acord„..

 

 

 

 

 

 

Mulţumesc.

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare /  Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare /  Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare /  Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare /  Schimbă )

w

Conectare la %s