Tweġiba
Xi ħadd ieħor (persuna fiżika jew ġuridika jew kwalunkwe korp ieħor) jista' jipproċessa d-data personali f'ismek sakemm ikun hemm kuntratt jew att legali ieħor. Huwa importanti li l-proċessur li taħtar jipprovdi biżżejjed garanziji biex jiġu implimentati miżuri tekniċi u organizzazzjonali xierqa biex jiġi żgurat li l-ipproċessar jilħaq l-istandards tar-Regolament Ġenerali dwar il-Protezzjoni tad-Data (GDPR) u biex tiġi ggarantita l-protezzjoni tad-drittijiet tal-individwi.
Il-proċessur maħtur ma jistax sussegwentement jaħtar proċessur ieħor mingħajr l-awtorizzazzjoni tiegħek mogħtija bil-miktub minn qabel, kemm jekk speċifika jew ġenerali. Il-kuntratt jew l-att legali bejn il-kumpanija/organizzazzjoni tiegħek u l-proċessur għandu jinkludi l-elementi li ġejjin:
- l-ipproċessar jista' jsir biss fuq struzzjonijiet dokumentati mingħand il-kontrollur;
- il-proċessur jiżgura li l-persuni awtorizzati biex jipproċessaw id-data personali jkunu impenjaw ruħhom li jżommu l-kunfidenzjalità jew li jkunu taħt obbligu statutorju xieraq ta' kunfidenzjalità;
- il-proċessur għandu joffri livell ta' sigurtà minimali ddefinit mill-kontrollur;
- il-proċessur għandu jassisti biex tiġi żgurata l-konformità mal-GDPR.
Eżempji
Kumpanija tal-kostruzzjoni qed tuża sottokuntrattur għal xogħol ta' kostruzzjoni speċifiku, u tipprovdih bid-dettalji ta' kuntatt tal-klijenti fejn jeħtieġ li jsir ix-xogħol ta' kostruzzjoni. Is-sottokuntrattur juża wkoll id-data biex jibgħat materjal ta' kummerċjalizzazzjoni lill-klijenti. Is-sottokuntrattur f'dan il-każ ma jikkwalifikax biss bħala “proċessur” skont il-GDPR għaliex is-sottokuntrattur mhux biss qed jipproċessa d-data personali f'isem il-kumpanija tal-kostruzzjoni, imma jipproċessaha wkoll għall-finijiet tiegħu stess. Is-sottokuntrattur qiegħed għalhekk jaġixxi bħala “kontrollur tad-data”.
Inti kumpanija tal-bejgħ bl-imnut li tiddeċiedi li taħżen verżjoni ta' riżerva tal-bażi ta' data tal-klijenti tiegħek fuq cloud server. Għal dan il-għan inti tidħol f'kuntratt ma' fornitur tal-cloud magħruf għall-istandards tiegħu fir-rigward tal-protezzjoni tad-data u li għandu wkoll sistema ċċertifikata ta' kriptaġġ tad-data. Il-fornitur tal-cloud huwa l-proċessur tiegħek għaliex billi jaħżen id-data personali tal-klijenti tiegħek fis-servers tiegħu dan ikun qed jipproċessa d-data personali f'ismek.
Referenzi
Examples
A construction company is using a sub-contractor for specific construction work, and provides it with the contact details of the clients where the construction work needs to be done. The sub-contractor further uses the data to send the clients marketing material. The sub-contractor in that case doesn’t qualify merely as a ‘processor’ under the GDPR as the sub-contractor is not only processing personal data on behalf of the construction company, but also further processing it for its own purposes. The sub-contractor is therefore acting as a ‘data controller’.
You’re a retail company that decides to store a back-up version of your client database on a cloud server. To that end you enter into a contract with a cloud provider known for its data protection standards and which also has a certified system of encryption of data. The cloud provider is your processor as by storing the personal data of your clients in its servers it will be processing personal data on your behalf.