Scopul articolului este să explice rolul și importanța stabilirii clauzelor contractuale în mod corect între părți prin binecunoscutul „acord GDPR”. Din rândurile de mai jos veți putea afla care sunt provocările, dar și recomandările de tipologii de clauze care ar putea fi incluse în relația operator – persoană împuternicită în temeiul RGPD – Regulament General privind Protecția Datelor.

Provocarea stabilirii unui acord de prelucrare a datelor cu caracter personal

De foarte multe ori, pe parcursul implementării standardului privind protecția datelor cu caracter personal, te poți întâlni cu percepția operatorilor cum că implementarea GDPR se rezumă la semnarea unui acord de prelucrare a datelor cu caracter personal, lucru tradus în „dați-ne un model de acord gdpr. Pe de-o parte, acesta este un lucru îmbucurător, pentru că există un interes aparent de asigurare la nivel contractual că lucrurile sunt „în regulă”. Pe de altă parte însă, este o adevărată provocare pentru că acest acord gdpr reprezintă de fapt un rezumat al implementării standardului GDPR și astfel poți ridica toate aspectele necesare a fi conformate înainte de semnarea anexei sau actului adițional (dacă este posibilă).

Astfel poți găsi o multitudine de tipologii de contracte care conțin clauze contractuale, adecvate sau mai puțin adecvate, specifice sau foarte generice, aplicabile sau nu. Ideea, pe scurt, este că operatorii sunt interesați să găsească un model de acord de prelucrare a datelor cu caracter personal, să îl semneze și să își poată desfășura „în liniște” activitatea dorită. Cu toate acestea, se pot întâlni adesea clauze contradictorii, abuzive sau neaplicabile, lucru care în cazul unui conflict între părți, poate ridica multe tensiuni și neplăceri.

Haideți să vedem un exemplu:

În calitate de Responsabil cu Protecția Datelor a unui spital, te prezinți la birou într-una dintre dimineți și afli de la colegii de la IT că platforma de gestiune a pacienților este indisponibilă momentan din cauza unor erori tehnice care au fost generate de niște actualizări ale sistemului desfășurate pe parcursul nopții. Ba mai mult, ți se aduce la cunoștință că este posibil ca o parte din baza de date să fie vizibilă publicului, prin accesarea  unui anumit link. Sistemul este oferit de un furnizor de servicii de dezvoltare de platforme informatice. Intrând în alertă, îți pui imediat două mari probleme: 

  1. Ce este de făcut? Și aici lucrurile pot fi destul de clare în momentul în care există deja implementat un plan de reacție la incidentele de securitate. 
  2. Cine poartă răspunderea pentru întreaga situație? Iar aici răspunsul este întotdeauna legat de felul în care au fost stabilite lucrurile la nivel contractual cu furnizorul de servicii, tocmai prin așa-zisul acord GDPR, în termeni mai exacți, printr-un acord de prelucrare a datelor cu caracter personal sau garanțiile contractuale asumate de părți și oferite în mod specific de furnizorul de servicii.

În mod natural, fiecare dintre părți va căuta să identifice responsabilitatea la cealaltă parte, iar aici încep cel mai adesea tensiunile.

Acord GDPR – Tipologii

Înainte de a merge înainte către soluții și către felul în care o astfel de anexă GDPR ar trebui să arate, haideți însă să vedem care ar fi tipologiile de acorduri care se pot încheia între doi operatori.

Pentru asta, trebuie să parcurgem cel mai important pas, și anume stabilirea rolului fiecărei părți la acel contract și a poziției pe care o are fiecare parte în conformitate cu regulamentul. Pe scurt, putem vorbi în linii mari despre:

  • Poziționarea operator – persoană împuternicită (ex. Cazul furnizării de servicii de curierat);
  • Poziționarea operatori asociați (ex. Cazul unei gestionări comune între două autorități locale a unei baze de date cu cetățenii care plătesc taxe și impozite);
  • Poziționarea operatori „independenți” (greșit spus poate, dar des întâlnită în practică, spre exemplu atunci când fiecare parte consideră că îndeplinește un serviciu reglementat prin lege, însă în scop propriu și cu mijloace proprii dar interconectate, cum ar fi medicina muncii).

Cum putem să stabilim corect relația? Uitându-ne la definițiile date de GDPR și la considerentele și articolele relevante, cum ar fi art. 28 privind persoana împuternicită. Stabilirea corectă a acestei relații nu face subiectul acestui articol, ci poate fi un subiect în sine care merită a fi abordat.

Ei bine, de îndată ce am stabilit corect relația și am parcurs clauzele prevăzute de GDPR, înțelegem cu ușurință ce trebuie prevăzut în fiecare model de acord gdpr (acord de prelucrare a datelor cu caracter personal). Cum realizăm însă lucrurile în mod practic?

Pași practici în realizarea unui acord GDPR

  1. Notarea rapidă a contractului într-un registru

Primul pas, după identificarea relației în mod corect este notarea rapidă într-un registru a contractului, a obiectului acestuia, dacă există sau nu clauze sau dacă trebuie sau nu să fie revizuite. Vorbim aici de exemplu, de registrul persoanelor împuternicite, sau de registrul operatorilor cu care se colaborează. Acest lucru este foarte important, întrucât, în procesul semnării, vom ajunge să lucrăm și pe alte spețe sau alte contracte în paralel și acest instrument ne ajută să revenim cu rapiditate și să revedem informațiile relevante pentru noi. Totodată, la momentul revizuirii contractelor, după un an spre exemplu, având un astfel de registru actualizat ne va fi foarte ușor să vedem ce s-a făcut și ce este de făcut în continuare.

Pentru mai multe detalii referitoare la întocmirea unui astfel de registru ne poți contacta la adresa contact@gdprcomplet.ro și te putem ajuta. Echipa GDPR Complet oferă servicii de Consultanță GDPR complete și personalizate în funcție de specificul operatorului.   

  1. Stabilirea clauzelor contractuale

Pasul al doilea este stabilirea clauzelor contractuale în funcție de specificul contractului.

Înainte de toate însă, este de menționat faptul că GDPR-ul obligă operatorul să colaboreze sau să apeleze DOAR la serviciile persoanelor împuternicite care oferă suficiente garanții în ceea ce privește adoptarea de măsuri tehnice și organizatorice adecvate (atenție!) conforme cu cerințele regulamentului. În acest sens, în cazul amintit mai sus, un caz foarte des întâlnit, la contractul dintre operator și persoana împuternicită (care aici este furnizorul de servicii informatice – dezvoltare de platforme digitale), ar putea fi avute în vedere următoarele clauze conform cerințelor articolului 28:

  • Adoptă măsuri tehnice și organizatorice adecvate pentru protecția datelor cu caracter personal;
  • Nu subcontractează și nu apelează la o altă persoană împuternicită pentru desfășurarea serviciilor fără a exista o autorizație scrisă din partea operatorului. În cazul în care se oferă o astfel de autorizație, aceleași garanții pe care partea și le-a asumat în relație cu operatorul le va avea și persoana împuternicită subcontractată.
  • Realizează o descriere a următoarelor:
    • obiectul prelucrărilor de date,
    • durata acestora,
    • natura și scopul acestora,
    • tipurile de date cu caracter personal prelucrate,
    • persoanele vizate și
    • obligațiile și drepturile operatorului;
  • Persoana împuternicită:
    • va prelucra date numai pe baza unor instrucțiuni documentate din partea operatorului;
    • se va asigura că toți angajații acesteia sau colaboratorii autorizați să prelucreze datele operatorului s-au angajat să respecte confidențialitatea datelor;
    • va adopta toate măsurile necesare pentru a demonstra conformitatea cu articolul 32 referitoare la securitatea datelor cu caracter personal;
    • va oferi asistență operatorului și sprijin în elaborarea răspunsurilor la cererile privind exercitarea drepturilor persoanelor vizate;
    • va ajuta operatorul să asigure respectarea obligațiilor specifice prevăzute în articolele 32-36 cu privire la încălcările de securitate a datelor cu caracter personal, modalitatea de raportare, termenul și modalitatea de lucru în cazul unui incident;
    • după încheierea contractului, în funcție de alegerea operatorului, va șterge sau va returna toate datele cu caracter personal operatorului și totodată va elimina copiile existente, cu excepția cazului în care există o obligație legală de păstrare a acestora; – va pune la dispoziția operatorului toate informațiile necesare pentru a-și demonstra respectarea obligațiilor și va permite audituri sau inspecții specifice;
  • Alte prevederi referitoare la drepturile sau obligațiile operatorului;
  • Aspecte privitoare la răspundere, compensații sau alte aspecte relevante.
  1.  Negocierea și semnarea contractului

Pasul al treilea îl reprezintă negocierea și semnarea contractului. Ce am putut întâlni adesea în practică, în special prin preluarea rolului de DPO externalizat pentru diverși operatori, instituții publice și companii private, sunt diverse neînțelegeri între furnizor și client datorită unei lipse de cunoștințe a obligațiilor GDPR. Astfel că prin acordul GDPR, sau anexa GDPR de acest tip, nu de puține ori se poate vedea forțarea unor clauze, precum cele privitoare la marketing, la obținerea consimțământului, la folosirea fără temei legal a unei baze de date, la neasumarea anumitor obligații impuse chiar prin prevederile regulamentului. De aceea considerăm că în tot procesul, încă de la elaborarea unui acord GDPR (întâlnit și “acord de prelucrare a datelor cu caracter personal”)  și până la semnarea lui, respectiv verificarea măsurilor asumate, este foarte util să fie implicat Responsabilul cu Protecția Datelor, fie el intern sau DPO extern, persoana cu atribuții, sau dacă nu există, consultantul cu privire la protecția datelor a ambelor părți. Având o înțelegere comună și unitară a prevederilor contractului, lucrurile pot merge foarte ușor și astfel să fie evitate obstacole care pot duce chiar la întreruperea anumitor relații contractuale.

Mai sus am oferit exemplul relației operator-persoană împuternicită fiindcă este foarte des întâlnit și de regulă prezintă cele mai multe aspecte sensibile. Cu toate acestea, aceiași pași vor fi urmați și în cadrul celorlalte două ipoteze amintite: operatori asociați sau „independenți”. În cazul operatorilor asociați, iată aici un acord GDPR, model cu cerințe minime de inclus.

Echipa GDPR Complet este o echipă de specialiști cu expertiză juridică, expertiză în securitate IT și expertiză în managementul afacerilor. Acest lucru ne permite să oferim servicii de consultanță GDPR completă și personalizată fiecărui operator. Contactează-ne pentru orice întrebări referitoare la GDPR.

Acord GDPR – Concluzii

Adesea ne întâlnim cu nevoia de a avea un model de acord de prelucrare a datelor cu caracter personal cumva considerând că dacă încheiem un astfel de acord gdpr la nivelul contractului, suntem „acoperiți” de orice probleme care pot apărea în această direcție. Cu toate acestea, se acordă prea puțină atenție conținutului acestor tipologii de documente. Acest articol a avut ca scop clasificarea tipologiilor de relații și acorduri GDPR care se pot încheia și sperăm că v-a fost de folos. Totodată, sperăm că v-au fost folositoare prevederile menționate mai sus, pe care le puteți particulariza în mod specific pentru contractul pe care doriți să îl încheiați.

În situația în care considerați că acest lucru este peste resursele necesare pe care doriți să le alocați (de timp și de energie), noi vă putem ajuta prin documentarea tipologiilor de contracte, stabilirea corectă a poziționării (în lipsa căreia în cazul unor incidente putem avea mari probleme) și sprijin în tot ceea ce este nevoie pentru ca procesele de contractare să decurgă ușor și fără obstacole.

Astfel, dacă dorești să te ajutăm în oricare dintre aceste direcții sau dacă ești interesat de a avea în noi un partener de încredere – Responsabil cu Protecția Datelor extern, contactează-ne la adresa contact@gdprcomplet.ro.