Ce este un procesator de date conform Gdpr?

Regulamentul general privind protecția datelor (GDPR) definește în mod explicit un împuternicit de prelucrare a datelor ca fiind „o persoană, o agenție, o autoritate publică sau orice alt organism care prelucrează date cu caracter personal în numele operatorului de date” (Regulamentul (UE) 2016/679, art. 4(8)). Această definiție subliniază rolul împuternicitului ca entitate care nu deține sau nu controlează datele, ci acționează strict conform instrucțiunilor operatorului de date.

Elementul central al cadrului GDPR este distincția dintre operatorii de date și împuterniciții de prelucrare a datelor. În timp ce operatorii stabilesc scopurile și mijloacele de prelucrare a datelor cu caracter personal, împuterniciții doar execută sarcini de prelucrare. Această distincție este crucială deoarece definește domeniul de aplicare al responsabilităților legale și al obligațiilor de reglementare. Împuterniciții de prelucrare a datelor, deși nu sunt responsabili pentru conformitatea generală în același mod ca operatorii, sunt obligați în temeiul articolului 28 să:

• Implementeze măsuri organizatorice și tehnice adecvate pentru a asigura securitatea datelor.
• Prelucrarea datelor se face numai pe baza instrucțiunilor documentate de la operator.
• Să mențină evidența activităților de prelucrare.
• Să coopereze cu autoritățile de supraveghere, atunci când este necesar.

Exemplele frecvent citate pentru împuterniciții de prelucrare a datelor includ servicii terțe, cum ar fi:

• Instrumente de analiză (de exemplu, Google Analytics)
• Furnizori de software de contabilitate
• Software de management al resurselor umane
• Instrumente de cercetare de piață

Acești împuterniciți prelucrează date cu caracter personal în conformitate cu acordurile contractuale, dar nu decid scopul sau mijloacele de prelucrare, ceea ce îi deosebește de operatori (Voigt & Von dem Bussche, 2017).

Cadrul legal impune împuterniciților responsabilitatea de a menține standarde înalte de protecție a datelor, dar nu le acordă autonomia de a lua decizii privind utilizarea datelor. Acest lucru limitează răspunderea împuterniciților în principal la respectarea instrucțiunilor operatorului și la conformitatea cu GDPR în activitățile lor de prelucrare. Nerespectarea poate duce la penalități, subliniind rolul lor critic în ecosistemul de protecție a datelor (Kuner, 2018).

În concluzie, GDPR poziționează împuterniciții de prelucrare a datelor ca entități care efectuează sarcini de prelucrare sub îndrumarea operatorilor, impunând respectarea strictă a măsurilor de securitate și a instrucțiunilor legale, fără a avea drept de proprietate sau autoritate decizională asupra datelor cu caracter personal pe care le gestionează.