Problema operatorilor de date asociaţi

feature photo

Dr. Gabriela Zanfir
Specialist în protecția datelor personale

*Acest articol reprezintă un extras din articolul publicat integral
în Revista Curierul Judiciar nr. 4/2015.

Conceptul de operator de date şi interacţiunea acestuia cu conceptul de persoană împuternicită să prelucreze datele au un rol esenţial în aplicarea Directivei 95/46/CE[1], deoarece acestea stabilesc cine este responsabil de respectarea normelor de protecţie a datelor, care este legislaţia naţională aplicabilă şi cât de eficient pot opera autorităţile de protecţie a datelor”[2]. Prin analogie, acelaşi rol esenţial îl are înţelesul noţiunii de „operator de date” în aplicarea Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date[3], lege prin care Directiva 95/46/EC a fost transpusă în România.

În afara operatorului de date și a persoanei împuternicite de operator, are relevanță juridică și „operatorul asociat” pentru stabilirea titularilor obligațiilor corelative ale dreptului la protecția datelor personale. Singura diferenţă dintre definiţia dată de legea română şi definiţia conţinută în art. 2 lit. d) al Directivei 95/46/CE[4] este aceea că directiva face referire la posibilitatea ca scopurile şi mijloacele prelucrării să fie stabilite fie de un singur organism, fie de acesta împreună cu alte organisme. „Din această definiţie se înţelege că este posibil să existe mai mulţi operatori pentru aceeaşi operaţiune de prelucrare (aşa-zişii co-operatori – n.n.)”[5]. Această posibilitate este însă disputată în unele state membre, precum Franţa, întrucât în legea naţională „definiţia nu încorporează expresia singur sau împreună cu altele[6], cum se întâmplă, de altfel, şi în România. În acest sens, trebuie avută însă în vedere obligaţia de interpretare conformă a dreptului naţional, conform căreia definiţia din legea de transpunere trebuie să fie interpretată în sensul definiţiei conţinute în Directiva 95/46/CE.

Operatorul de date cu caracter personal – titularul obligațiilor corelative dreptului la protecția datelor

Autor: Gabriela Zanfir

Curierul Judiciar
nr. 4/2015

Este posibil să existe mai mulţi operatori pentru aceeaşi operaţiune de prelucrare.
Articolul integral

Cu privire la operatorii asociaţi, Grupului de Lucru al Art. 29 s-a exprimat subliniind că „în primul rând, ar trebui remarcat faptul că probabilitatea implicării mai multor părţi în prelucrarea datelor cu caracter personal este legată în mod firesc de diferitele tipuri de activităţi care, conform directivei, pot constitui „prelucrarea” de date personale şi care, în ultimă instanţă, reprezintă obiectul „controlului comun”. „Definiţia prelucrării, conform art. 2 lit. (b) din Directivă nu exclude posibilitatea implicării mai multor părţi în diferite operaţiuni sau serii de operaţiuni privind datele cu caracter personal”[7]. Acelaşi organism consultativ a stabilit şi că „într-un mediu atât de complex, este şi mai important ca rolurile şi responsabilităţile să poată fi alocate cu uşurinţă, astfel încât complexitatea controlului comun să nu determine o distribuţie inaplicabilă a responsabilităţilor, care ar limita eficacitatea legislaţiei privind protecţia datelor”[8].

Odată cu adoptarea şi intrarea în vigoare a noului regulament privind protecţia datelor, aflat în prezent în dezbaterea Consiliului de Miniștri al UE[9], situaţia „operatorilor asociaţi” va fi reglementată distinct. Art. 24 al proiectului de regulament prevede că „atunci când un operator stabileşte, împreună cu alţi operatori, scopul, condiţiile, mijloacele de prelucrare a datelor cu caracter personal, operatorii asociaţi stabilesc, de comun acord, responsabilităţile fiecăruia în ceea ce priveşte îndeplinirea obligaţiilor care le revin în temeiul prezentului regulament, în special în ceea ce priveşte procedurile şi mecanismele de exercitare a drepturilor persoanelor vizate, prin intermediul unui acord între acestea”. Regula stabilită în proiectul de regulament este aceea conform căreia operatorii asociaţi trebuie să stabilească în mod clar distribuirea responsabilităţii în ceea ce priveşte îndeplinirea obligaţiilor care le revin.

 

[1] Directiva 95/46/CE a Parlamentului European şi a Consiliului privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date (JO L 281/23.11.1995).

[2] Grupul de Lucru al Art. 29, Avizul nr. 1/2010 privind conceptele de „operator” şi „persoană împuternicită de operator”, 00264/10/RO, GL 169, adoptat la 16 februarie 2010, p. 1.

[3] M.Of. nr. 790/12.12.2001.

[4] „operator înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin acte cu putere de lege naționale sau comunitare, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi stabilite prin dreptul național sau comunitar” (Art. 2 lit. d) al Directivei 95/46/EC);

[5] L. Moerel, Back to basics: when does EU data protection law apply?, în International Data Privacy Law, Vol. 1, nr. 2/2011, p. 98 (t.a.).

[6] Idem, nota de subsol 41, p. 98.

[7] Grupul de Lucru al Art. 29, Avizul nr. 1/2010, cit. supra, p. 18. Unul din exemplele ipotetice ale existenţei operatorilor asociaţi a fost explicat în aviz astfel: „Agenţia de turism, lanţul hotelier şi linia aeriană decid să creeze o platformă comună prin internet, pentru a-şi îmbunătăţi cooperarea cu privire la procesul de rezervare a călătoriilor. Acestea convin asupra elementelor importante ale mijloacelor care vor fi utilizate, cum ar fi datele care vor fi stocate, modul în care vor fi alocate şi confirmate rezervările şi persoanele care pot avea acces la informaţiile stocate. În plus, acestea decid să utilizeze în comun datele privind clienţii lor, în vederea realizării unor acţiuni de marketing integrate. În acest caz, agenţia de turism, linia aeriană şi lanţul hotelier vor controla în comun modul în care sunt prelucrate datele personale ale clienţilor lor şi vor avea astfel rolul de operatori asociaţi în ceea ce priveşte operaţiunile de prelucrare în legătură cu platforma comună de rezervări prin internet. Totuşi, fiecare va deţine controlul exclusiv în ceea ce priveşte alte activităţi de prelucrare, de exemplu cele legate de managementul resurselor umane”.

[8] Ibidem.

[9] Propunere de Regulament al Parlamentului European şi al Consiliului privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date (Regulament general privind protecţia datelor), COM(2012) 11 final, Bruxelles, 25 ianuarie 2012.

Related posts:

  1. Inregistrarea ca operator de date cu caracter personal obligatorie pentru angajatori de la 1 august
  2. Titus Corlatean: Nu s-a pus problema desfiintarii Curtii Constitutionale
  3. Rovinieta isi va mentine valabilitatea in cazul schimbarii numarului de inmatriculare

Adauga un comentariu

Imagine cod de securitate
*

Acest site folosește cookie-uri. Continuarea navigării presupune că ești de acord cu utilizarea cookie-urilor. Detalii

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close