Necesitatea delimitarii conceptelor de operator, operator asociat, persoana imputernicita de operatorul de date cu caracter personal in unitatile farmaceutice
RGPD defineste doua roluri clare in ceea ce priveste persoanele care prelucreaza date cu caracter personal: operatorul de date cu caracter personal si persoana imputernicita de operator. In consecinta, trebuie sa apreciati calitatea dumneavoastra in raport de diferitele activitati de prelucrare a datelor efectuate si sa stabiliti in ce conditii va calificati ca fiind o persoana imputernicita si in ce conditii sunteti un operator de date cu caracter personal.
Potrivit dispozitiilor art. 4 pct. 7 din Regulament, Operatorul este persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care, singur sau impreuna cu altele, stabileste scopurile si mijloacele de prelucrare a datelor cu caracter personal.
Pe de alta parte, Persoana imputernicita de operator este persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care prelucreaza datele cu caracter personal in numele operatorului.
Conceptele de operator si persoana imputernicita de operator sunt autonome, in sensul ca ar trebui interpretate in principal in conformitate cu legislatia comunitara privind protectia datelor si functional, in sensul ca urmareste sa aloce responsabilitatile acolo unde exista o influenta efectiva, bazandu-se astfel pe o analiza a faptelor, si nu pe o analiza formala.
Conceptul de persoana imputernicita, a carei existenta depinde de decizia pe care o ia operatorul, care poate decide fie sa prelucreze datele in cadrul organizatiei sale, fie sa delege toate activitatile de prelucrare sau o parte dintre acestea unei organizatii externe. Persoana imputernicita de operator trebuie sa indeplineasca doua conditii de baza: pe de o parte, aceasta trebuie sa fie o entitate juridica distincta in raport cu operatorul si, pe de alta parte, sa prelucreze datele personale in numele acestuia.
Asa cum se poate observa din definitiile de mai sus, notiunile de Operator si de Persoana imputernicita de operator sunt extrem de largi, astfel incat atat unitatile farmaceutice se pot circumscrie calitatii de Operator si/sau Persoana imputernicita de operator conform Regulamentului (UE) 2016/679.
Primul si cel mai important rol al conceptului de operator este acela de a stabili cine va fi responsabil de respectarea normelor de protectie a datelor si modul in care persoanele vizate isi pot exercita drepturile in practica. Cu alte cuvinte: alocarea responsabilitatii.
Distinctia dintre cele doua calitati este importanta, in considerarea urmatoarelor aspecte:
Mai mult decat atat, este important ca distinctia dintre cele doua notiuni, precum si atributiile fiecaruia sa fie bine cunoscute si determinate, avand in vedere ca, in cazul in care o persoana imputernicita de operator stabileste scopurile si mijloacele de prelucrare a datelor cu caracter personal, aceasta va fi considerata, in special de catre ANSPDCP, un operator de date cu caracter personal in ceea ce priveste prelucrarea respectiva, aplicandu-i-se intru totul regimul instituit de catre RGPD operatorului de date (drepturi, obligatii, raspundere etc.).
Pentru intelegerea acestor concepte trebuie sa plecati de la premisa ca existenta acestei calitati poate rezulta implicit, prin efectul legii, ca urmare a activitatilor dumneavoastra de prelucrare a datelor personale.
Important! Calitatile de Operator sau Persoana imputernicita de operator nu se exclud reciproc. Astfel, un operator de date cu caracter personal va putea fi in aceeasi masura si persoana imputernicita de operator, daca proceseaza date cu caracter personal in numele si la indicatiile unui alt operator.
Retineti faptul ca o unitate farmaceutica, in cele mai multe situatii are calitatea de operator de date cu caracter personal, spre exemplu, in relatia cu clientii lor, vizitatorii, furnizorii de servicii, personalul propriu. Pe de alta parte, o unitate farmaceutica va putea avea calitatea de persoana imputernicita de operator, spre exemplu, cu privire la obligatiile legale de raportare existente potrivit legislatiei in materie.
Nu in ultimul rand, o unitate farmaceutica poate avea calitatea de operator asociat cu alt operator de date cu caracter personal in privinta anumitor activitati de prelucrare a datelor cu caracter personal. Astfel, unitatea farmaceutica si un alt operator pot deveni operatori asociati in sensul GDPR, astfel ca vor stabili intr-un mod transparent responsabilitatile fiecaruia in ceea ce priveste indeplinirea obligatiilor care le revin in temeiul Regulamentului, in special in ceea ce priveste exercitarea drepturilor persoanelor vizate si indatoririle fiecaruia de furnizare a informatiilor obligatorii, cu exceptia cazului in care responsabilitatile operatorilor sunt stabilite in dreptul Uniunii sau in dreptul intern care se aplica acestora. Prin acord scris, partile pot sa desemneze un punct de contact unic pentru persoanele vizate, iar esenta acordului astfel incheiat trebuie adus la cunostinta persoanei vizate.
Recomandam ca aceasta chestiune sa fie analizata de la caz la caz, in contextul fiecarei prelucrari a datelor cu caracter personal, astfel incat sa se determine categoriile de date prelucrate si rolul fiecarei entitati implicate in activitatile de prelucrare a datelor, stabilindu-se, ca urmare, calitatea de operator, operator asociat sau de persoana imputernicita de operator in ceea ce priveste prelucrarea datelor cu caracter personal.
Potrivit dispozitiilor art. 4 pct. 7 din Regulament, Operatorul este persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care, singur sau impreuna cu altele, stabileste scopurile si mijloacele de prelucrare a datelor cu caracter personal.
Pe de alta parte, Persoana imputernicita de operator este persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care prelucreaza datele cu caracter personal in numele operatorului.
Conceptele de operator si persoana imputernicita de operator sunt autonome, in sensul ca ar trebui interpretate in principal in conformitate cu legislatia comunitara privind protectia datelor si functional, in sensul ca urmareste sa aloce responsabilitatile acolo unde exista o influenta efectiva, bazandu-se astfel pe o analiza a faptelor, si nu pe o analiza formala.
Conceptul de persoana imputernicita, a carei existenta depinde de decizia pe care o ia operatorul, care poate decide fie sa prelucreze datele in cadrul organizatiei sale, fie sa delege toate activitatile de prelucrare sau o parte dintre acestea unei organizatii externe. Persoana imputernicita de operator trebuie sa indeplineasca doua conditii de baza: pe de o parte, aceasta trebuie sa fie o entitate juridica distincta in raport cu operatorul si, pe de alta parte, sa prelucreze datele personale in numele acestuia.
Asa cum se poate observa din definitiile de mai sus, notiunile de Operator si de Persoana imputernicita de operator sunt extrem de largi, astfel incat atat unitatile farmaceutice se pot circumscrie calitatii de Operator si/sau Persoana imputernicita de operator conform Regulamentului (UE) 2016/679.
Primul si cel mai important rol al conceptului de operator este acela de a stabili cine va fi responsabil de respectarea normelor de protectie a datelor si modul in care persoanele vizate isi pot exercita drepturile in practica. Cu alte cuvinte: alocarea responsabilitatii.
Distinctia dintre cele doua calitati este importanta, in considerarea urmatoarelor aspecte:
- Obligatiile operatorului sunt mai numeroase decat cele ale persoanei imputernicite. De pilda, cu exceptia unor situatii limitate, operatorul este obligat sa informeze persoanele vizate cu privire la prelucrare si caracteristicile acesteia, sa stearga datele cu caracter personal inregistrate sau sa rectifice datele stocate in mod eronat.
- Raspunderea operatorului este mai extinsa decat cea a persoanei imputernicite, in special din perspectiva cazurilor de raspundere.
- Drepturile persoanelor vizate se exercita, in principal, in relatia cu operatorul, persoana imputernicita avand, de principiu, un rol de asistare a operatorului in exercitarea acestor drepturi.
Mai mult decat atat, este important ca distinctia dintre cele doua notiuni, precum si atributiile fiecaruia sa fie bine cunoscute si determinate, avand in vedere ca, in cazul in care o persoana imputernicita de operator stabileste scopurile si mijloacele de prelucrare a datelor cu caracter personal, aceasta va fi considerata, in special de catre ANSPDCP, un operator de date cu caracter personal in ceea ce priveste prelucrarea respectiva, aplicandu-i-se intru totul regimul instituit de catre RGPD operatorului de date (drepturi, obligatii, raspundere etc.).
Pentru intelegerea acestor concepte trebuie sa plecati de la premisa ca existenta acestei calitati poate rezulta implicit, prin efectul legii, ca urmare a activitatilor dumneavoastra de prelucrare a datelor personale.
Important! Calitatile de Operator sau Persoana imputernicita de operator nu se exclud reciproc. Astfel, un operator de date cu caracter personal va putea fi in aceeasi masura si persoana imputernicita de operator, daca proceseaza date cu caracter personal in numele si la indicatiile unui alt operator.
Retineti faptul ca o unitate farmaceutica, in cele mai multe situatii are calitatea de operator de date cu caracter personal, spre exemplu, in relatia cu clientii lor, vizitatorii, furnizorii de servicii, personalul propriu. Pe de alta parte, o unitate farmaceutica va putea avea calitatea de persoana imputernicita de operator, spre exemplu, cu privire la obligatiile legale de raportare existente potrivit legislatiei in materie.
Nu in ultimul rand, o unitate farmaceutica poate avea calitatea de operator asociat cu alt operator de date cu caracter personal in privinta anumitor activitati de prelucrare a datelor cu caracter personal. Astfel, unitatea farmaceutica si un alt operator pot deveni operatori asociati in sensul GDPR, astfel ca vor stabili intr-un mod transparent responsabilitatile fiecaruia in ceea ce priveste indeplinirea obligatiilor care le revin in temeiul Regulamentului, in special in ceea ce priveste exercitarea drepturilor persoanelor vizate si indatoririle fiecaruia de furnizare a informatiilor obligatorii, cu exceptia cazului in care responsabilitatile operatorilor sunt stabilite in dreptul Uniunii sau in dreptul intern care se aplica acestora. Prin acord scris, partile pot sa desemneze un punct de contact unic pentru persoanele vizate, iar esenta acordului astfel incheiat trebuie adus la cunostinta persoanei vizate.
Recomandam ca aceasta chestiune sa fie analizata de la caz la caz, in contextul fiecarei prelucrari a datelor cu caracter personal, astfel incat sa se determine categoriile de date prelucrate si rolul fiecarei entitati implicate in activitatile de prelucrare a datelor, stabilindu-se, ca urmare, calitatea de operator, operator asociat sau de persoana imputernicita de operator in ceea ce priveste prelucrarea datelor cu caracter personal.
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!
Articole similare din categoria Obligatiile persoanelor juridice
31Mai2022
Despre obligatia de informare a persoanelor vizate cu privire la prelucrarea datelor cu caracter personal
de Andrei Savescu
31 Mai 2022
04Apr2022
Despre drepturile operatorilor in confruntarea cu persoanele vizate
de Andrei Savescu
04 Apr 2022
23Feb2022
Problema transparentei in cazul concursurilor pentru ocuparea unor posturi
de Andrei Savescu
23 Feb 2022
09Mar2020
Raspunderea angajatilor in cazul unui data breach, in contextul folosirii tehnologiei mobile
de Alexandra Jivan
09 Mar 2020
03Mar2020
Pastrarea pentru totdeauna a datelor cu caracter personal
de Andrei Savescu
03 Mar 2020
Un produs marca