Page contents Page contents Răspuns Altcineva (o persoană fizică sau juridică ori un alt organism) poate să prelucreze date cu caracter personal în numele dvs. cu condiția să existe un contract sau un alt act juridic. Este important ca persoana împuternicită de operator pe care o numiți să ofere suficiente garanții de aplicare a unor măsuri tehnice și organizaționale adecvate pentru a se asigura că prelucrarea va întruni standardele Regulamentului general privind protecția datelor (RGPD) și pentru a garanta protecția drepturilor persoanelor fizice. Persoana împuternicită de operator nu poate numi în continuare o altă persoană împuternicită de operator fără a primi în prealabil o autorizație scrisă, specifică sau generală, din partea dvs. Contractul sau actul juridic dintre societatea/organizația dvs. și persoana împuternicită de operator ar trebui să includă următoarele elemente: posibilitatea de a efectua prelucrarea numai pe baza unor instrucțiuni documentate din partea operatorului; asigurarea de către persoana împuternicită de operator a faptului că persoanele autorizate să prelucreze datele cu caracter personal s-au angajat să respecte confidențialitatea sau au o obligație statutară adecvată de confidențialitate; obligația persoanei împuternicite de operator de a oferi un nivel de securitate minim definit de către operator; obligația persoanei împuternicite de operator de a vă ajuta să asigurați respectarea RGPD. Exemple O firmă de construcții folosește serviciile unui subcontractant pentru anumite lucrări de construcții și îi furnizează acestuia datele de contact ale clienților la care trebuie desfășurate lucrările de construcții. Subcontractantul utilizează mai departe datele pentru a le trimite clienților materiale de marketing. În acest caz, subcontractantul nu este considerat doar „persoană împuternicită de operator” în temeiul RGPD, deoarece subcontractantul nu numai că prelucrează date cu caracter personal în numele firmei de construcții, ci și prelucrează mai departe datele respective în scopuri proprii. Prin urmare, subcontractantul acționează ca „operator de date”. Sunteți o societate de vânzări cu amănuntul și decideți să stocați pe un server din cloud o versiune de rezervă a bazei de date cu clienții dvs. În acest scop, încheiați un contract cu un furnizor de servicii de cloud cunoscut pentru standardele sale de protecție a datelor și care deține, de asemenea, un sistem certificat de criptare a datelor. Furnizorul de servicii de cloud este persoana împuternicită de dvs. ca operator, deoarece, stocând datele cu caracter personal ale clienților dvs. pe serverele sale, va prelucra în numele dvs. date cu caracter personal. Referințe Articolul 28; motivul 81 din RGPD Examples A construction company is using a sub-contractor for specific construction work, and provides it with the contact details of the clients where the construction work needs to be done. The sub-contractor further uses the data to send the clients marketing material. The sub-contractor in that case doesn’t qualify merely as a ‘processor’ under the GDPR as the sub-contractor is not only processing personal data on behalf of the construction company, but also further processing it for its own purposes. The sub-contractor is therefore acting as a ‘data controller’. You’re a retail company that decides to store a back-up version of your client database on a cloud server. To that end you enter into a contract with a cloud provider known for its data protection standards and which also has a certified system of encryption of data. The cloud provider is your processor as by storing the personal data of your clients in its servers it will be processing personal data on your behalf. References Article 28 and Recital (81) of the GDPR
