Ce este un operator de date conform GDPR?

Regulamentul general privind protecția datelor (GDPR) definește un operator de date ca fiind „o persoană, autoritate publică, agenție sau alt organism care, singur sau împreună cu alții, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal” (Parlamentul European și Consiliul, 2016). Acest rol implică responsabilitatea de a decide de ce și cum sunt prelucrate datele cu caracter personal. Operatorul de date nu numai că identifică scopul utilizării datelor, ci specifică și sfera datelor necesare pentru atingerea acelui scop.

De exemplu, o afacere mică ce gestionează informațiile clienților pentru a onora comenzile de expediere se califică drept operator de date. În astfel de cazuri, afacerea decide scopul (expedierea produselor) și stabilește ce date (de ex., nume, adresă) sunt necesare. Atunci când această afacere externalizează expedierea către o terță parte, acea terță parte acționează ca persoană împuternicită de operator, executând sarcini în numele operatorului fără a decide scopul sau mijloacele prelucrării datelor.

GDPR impune ca operatorii de date să aibă un temei legal pentru prelucrarea datelor cu caracter personal, cum ar fi:

• Consimțământul persoanei vizate,
• Interesul legitim urmărit de operator,
• Respectarea unei obligații legale,
• Executarea unui contract.

Operatorii sunt obligați să se asigure că prelucrarea este legală, echitabilă și transparentă. Mai mult, aceștia trebuie să implementeze măsuri tehnice și organizatorice adecvate pentru a proteja datele cu caracter personal împotriva accesului neautorizat, utilizării necorespunzătoare sau divulgării. Aceste responsabilități subliniază responsabilitatea și protecția datelor începând cu momentul conceperii și în mod implicit (Voigt & von dem Bussche, 2017).

Responsabilitățile cheie ale unui operator de date includ:

• Definirea scopurilor și mijloacelor de prelucrare,
• Stabilirea temeiurilor legale pentru prelucrare,
• Asigurarea transparenței față de persoanele vizate,
• Implementarea măsurilor de securitate,
• Gestionarea drepturilor persoanelor vizate, cum ar fi accesul, rectificarea și ștergerea.

Neîndeplinirea corespunzătoare a acestor obligații poate duce la penalități semnificative în conformitate cu aplicarea GDPR.

Acest cadru delimitează clar rolul operatorului de date ca fiind central pentru conformitatea cu GDPR, asigurând controlul asupra prelucrării datelor cu caracter personal și protejând în același timp drepturile individuale la viață privată.

Referințe:

• Parlamentul European și Consiliul. (2016). Regulamentul (UE) 2016/679 (Regulamentul general privind protecția datelor). https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679

• Voigt, P., & von dem Bussche, A. (2017). The EU General Data Protection Regulation (GDPR): A Practical Guide. Springer. https://link.springer.com/book/10.1007/978-3-319-57959-7