Scurtă aducere aminte: spuneam că GDPR este pentru noi, persoanele vizate, nu pentru companii. Reformulînd: scopul GDPR este apărarea drepturilor și libertăților noastre în relație cu prelucrarea datelor noastre personale de către operatori.
Am fost în situația de a răspunde la două întrebări pe subiectul relației dintre organizații: în situația X, sînt operator sau personă împuternicită? Sau operatori asociați? În timp ce în cazul relațiilor operator-operator sau operator-persoană împuternicită lucrurile par mai clare, în cazul operatorilor asociați….lucrurile sînt mult mai complexe. Iar un răspuns cert este dificil de formulat.
Mergem la …teorie:
„operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;
„persoană împuternicită de operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului;
În cazul în care doi sau mai mulți operatori stabilesc în comun scopurile și mijloacele de prelucrare, aceștia sunt operatori asociați.
Există însă o problemă cu definițiile GDPR: nu trebuie citite și interpretate singular. Unii termeni și sintagme din GDPR sînt preluați(e) din alte documente – să le spun generic „juridice„ (Convenția 108, de ex) și explicate de-a lungul timpului prin Ghidurile și Opiniile WP29 (consider că este obligatorie lecturarea tuturor acestor documente, publicate începînd cu Directiva 95/46).
„Mijloacele de prelucrare„ din definiție nu se referă doar la „tehnicisme„ ci și la maniera de prelucrare: ce date prelucrez? cine are acces la date? cînd vor fi șterse datele?…etc. Altfel spus „mijloacele„ sînt atît „tehnice„ cît și „administrative/procedurale„, inclusiv decizia de a fi delegate către o „persoană împuternicită„. Mijloacele sînt cele prin care se atinge scopul prelucrării! Pe ce mă bazez cînd scriu asta? Am citit explicațiile din WP169- Opinion 1/2010 on the concepts of „controller” and „processor”.
Știam lucrurile astea, motiv pentru care în cazul uneia dintre întrebări am răspuns la „foc automat„ în timp ce la cealaltă întrebare am două răspunsuri pe care tot le schimb între ele.
1. O companie organizează un eveniment.
Participanții trebuie să se înscrie pe site pentru a-și rezerva locul într-o sală, în funcție de subiectul de interes. Evenimentul are sponsori iar aceștia sînt interesați de datele de contact ale participanților. Organizatorul nu transferă implicit datele participanților către sponsori pentru că scopul prelucrării și mijloacele sînt diferite. În schimb, le cere consimțămîntul pentru un astfel de transfer. Sponsorii vor fi tot operatori. De ce? Pentru că vor prelucra acele date pentru propriul lor scop (pe care în acest moment nu îl cunoaștem).
Se poate încadra această relație și la „operatori asociați„? Da: eu, organizator (nu sînt doar o firmă de organizare de evenimente) vînd soluții de securitate IT de la sponsorii mei și prelucrăm datele participanților pentru același scop: să vindem. Și „mijloacele de prelucrare„ vor fi aproape identice. (Exemplu poate fi dezvoltat, dar pentru simplicitate am preferat stilul „minimalist„. Putem întîlni aceeași situației și în cazul relației dintre dealerii auto care au și service și distribuitorul mărcii cu pricina. Sau în zona entităților financiare bancă-leasing-asigurări )
2. Serviciile de medicină a muncii pentru angajații organizației.
Există situații cînd aceste servicii sînt oferite pe baza unui contract, de către un furnizor de servicii medicale. Angajatul nu este obligat să lucreze cu acel furnizor ci primește acest serviciu ca beneficiu din partea angajatorului.
Conform legii, organizațiile sînt obligate să angajeze numai persoane care, în urma examenului medical şi, după caz, a testării psihologice a aptitudinilor, corespund sarcinii de muncă pe care urmează să o execute şi să asigure controlul medical periodic şi, după caz, control psihologic periodic, ulterior angajării.
Angajatorul primește din partea angajatului Fișa de aptitudine (am trecut prin așa ceva și nu se trimite un exemplar direct angajatorului). Pe această fișă nu sînt trecute prea multe date personale și nici date despre sănătate: Nume, Prenume, (unele cabinete trec și CNP că așa a fost templateul…) și avizul medical – apt, inapt etc. Dar medicul/furnizorul de servicii de medicina muncii nu prelucrează doar nume și prenume pentru că acea decizie se ia în urma unui consult/examinare medicală, activitate ce implică alte prelucrări.
Cum relaționează angajatorul cu furnizorul de servicii: operator-operator sau operatori asociați? Dacă ținem cont că se schimbă un singur document (Fișa de aptitudine) ce conține date personale, am putea considera că sînt posibile ambele situații (dar asta nu este o opinie juridică!).
În practică se prelucrează date diferite dar se schimbă un singur document. Ce interes ar avea un angajator (operator) să se declare operator asociat împreună cu furnizorul de servicii medicale? Urmăresc același scop al prelucrării? Putem spune că DA, dar mijloacele de prelucrare (tehnice și administrative) vor fi în multe cazuri diferite. Nici temeiul juridic al prelucrării nu este unul comun: angajatorul trebuie să respecte o cerință/obligație legală („prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;„) iar furnizorul….execută un contract. Fișa de apitudini face parte din dosarul de personal al angajatului și conține mai puține date cu caracter personal decît examinarea medicală a furnizorului de servicii de medicina muncii. Un incident de securitate la angajator nu are aceleași consencințe cu unul la furnizorul de servicii (stric pe această speță).
GDPR nu impune existența unui contract între operatori ci doar un „acord„..
ADRIAN B. MUNTEANU 
Va salut!
Pun aici intrebarea ce o am pentru ca raspunsul dvs sa ajute pe multi cei aflati in situatia descrisa in intrebare.
Sunt firma care ofera servicii de instruire. Clientul meu imi trimite oameni spre instruire/training. El, clientul, este OPERATOR (IN RAPORT CU DATELE CU CARACTER PERSOANL ALE ANGAJATILOR). eU, FIRMA DE TRAINING nu sunt imputernicit (OPINIA MEA) ci operator asociat sau alt operator care in baza contractului de servicii, in vederea executarii contractului, colectez date de la angajatii sai.
Intre mine, firma de training, si client (firma catre isi trimite angajatii la training) ar trebui sa existe o relatie de tip operator-operator sau operator asociat in baza unui ACORD sau CONTRACT.
Corect?
ApreciazăApreciază
Așa interpretez și eu: operator-operator. Scopul prelucrării este diferit la fiecare entitate, așa după cum prezinți chiar tu.
ApreciazăApreciază
Multumesc pentru raspuns prompt! 🙂
Intrebare: InITInvest sunt ai dvs?
ApreciazăApreciază
Nu 😀
ApreciazăApreciază
Bună ziua.Ce document trebuie întocmit între un operator și medicul psiholog care efectează testarea psihologică obligatorie anuală a angajaților operatorului? Vă mulțumesc!
ApreciazăApreciază
Depinde.
Să înțeleg că există un contract între o firmă și un astfel de medic/cabinet?
ApreciazăApreciază
Da există un astfel de contract incheiat între o instituție publică cu atribuții în domeniul ordinii publice(operator) și un Cabinet Medical individual de Psihologie.
ApreciazăApreciază
În opinia mea, cabinetul este operator.
Angajatorul (operator) prelucrează un document ce conține date personale (Fișa de aptitudini) ca obligație legală.
Cabinetul (tot operator pentru că nu primește instrucțiuni din partea oepratorului.) decide ce date prelucrează în cadrul evaluării psihologice (de exemplu, un desen, chiar dacă nu are numele pe el, va fi tot dată cu carcater personal. Cabinetul prelucrează în baza Art. 9 h)).
Fiecare dintre cei doi actori răspunde pentru prelucrările realizate.
Chiar dacă există un contract, ambii trebuie să informeze persoanele vizate cu privire la prelucrările pe care le realizează.
ApreciazăApreciază
Buna ziua.
Este necesar consimtamantul locatarilor in cazul montarii unor camere de supraveghere video la bloc? Va multumesc anticipat!
ApreciazăApreciază
Decizia de montare a unui sistem de supraveghere video ar trebui să fie a Asociației de proprietari. Dacă temeiul juridic ar fi consimțămîntul locatarilor trebuie să ne aducem aminte că acesta poate fi oricînd retras. Din această cauză va fi foarte dificil să „izolăm„ persoanele care sînt de acord să fie filmate și cele care nu sînt.
Prin urmare, cel mai bun temei juridic ar trebui să fie „interesul legitim„ de a proteja proprietatea locatarului și, de ce nu, chiar integritatea sa fizică.
Folosind însă „interesul legitim„ asociația trebuie să îl documenteze: să arate că acest interes nu contravine intereselor locatarilor. Altfel spus: scopul nu poate fi atins decît prin montarea camerelor de supraveghere.
În vechiul ghid/decizie a ANSPDCP (abrogat între timp, dar lucrurile rămîn valabile) se preciza că este nevoie de consimțămîntul locatarilor dacă se instalau camere de supraveghere pe fiecare etaj și ar trebui astfel orientate încît să nu surprindă imagini din apartament.
ApreciazăApreciază
Se poate invoca interesul legitim al Asociației de Proprietari avănd ca temei legal Legea 333/2003 privind paza obiectivelor, bunurilor, valorilor şi protecţia persoanelor art.2?
ApreciazăApreciază
În opinia mea legea de la care trebuie pornit este chiar 333. GDPR vine ulterior, din perspectiva obligațiilor operatorului (Asociația) și a drepturilor locatarilor (persoane vizate).
ApreciazăApreciază
Buna ziua! referitor la articolul dumneavoastra, cum interpretati relatia dintre o companie X si sindicatele (salariatul semneaza un consimtamant de retinere pe statul de plata, a cotizatiei lunare pentru sindicat, conform legii 62/2011 legea Dialogului Social, Articolul 24(1) „La cererea organizatiei sindicale si cu acordul membrilor acesteia, angajatorii vor retine si vor vira sindicatului cotizatia de sindicat pe statele lunare de plata”.) Dpv GDPR, acest consimtamant este suficient? Acelasi lucru si cu CAR-ul…
Va multumesc!
ApreciazăApreciază
Bună ziua,
Nu este consimțămînt în înțelesul GDPR. Angajatorul prelucrează dcp în baza contractului de muncă și a prevederilor legale. Identic și cu CAR. Nu este consimțămînt pentru prelucrare dcp ci pentru executare contract.
ApreciazăApreciază
De acord cu dumneavoastra, intre salariat si CAR/Sindicat, temeiul legal pentru prelucrare este executare de contract (de imprumut CAR / cerere adeziune la sindicat), si intr-adevar, in contractul cu CAR-ul salariatul bifeaza acolo cum doreste sa faca plata ratelor (si daca bifeaza pentru retinere pe statul de plata de catre Companie, in cazul asta temeiul de prelucrare este executarea de contract).
Dar pentru companie ca sa retina pe statul de plata cotizatia pentru sindicat, nu considerati ca este nevoie de un acord scris al salariatului in acest sens? Va intreb asta pentru ca salariatul are posibilitatea sa isi faca platile si la casieria Sindicatului si atunci compania nu ar mai intra in contact cu aceste date.
Si relatia dintre companie si CAR/Sindicat, considerati ca este de una de tipul operatori independenti?
ApreciazăApreciază
Acordul la care faceți referire nu are înțelesul de „consimțămînt GDPR„.
Angajatorul, CAR, Sindicat sînt operatori de sine stătători (sau se pot declara asociați, în anumite circumstanțe): fiecare are alt scop pentru care prelucrează datele cu caracter personal, scop stabilit în principal de legislație.
Consimțămîntul este temei legal de prelucrare atunci și numai atunci cînd nu avem altă bază legală (îl consider cel mai riscant temei de prelucrare). Ceea ce nu este cazul. De exemplu, angjatorul dorește să felicite public pe unul dintre angajați cu ocazia zilei de naștere. Pentru asta este nevoie de consimțămînt.
Problema este alta: calitatea de membru de sindicat este o categorie specială de dcp. În momentul în care angajatul optează pentru reținerea pe statul de salarii a cotizației (pentru deducere, probabil) angajatorul va prelucra această informație. Art. 9 alin 2 face referire la consimțămînt. Pe de altă parte însă, angajatorul este obligat de lege să prelucreze această informație. Ar avea nevoie de consimțămînt dacă ar prelucra informația în alt scop decît luarea în calcul la salariu.
ApreciazăApreciază
Va multumesc mult pentru raspunsurile prompte!
ApreciazăApreciază