Comunitatea DPOCategorie: Aspecte generalecalificare rol firma de audit
Mihaela Gospodin asked 8 luni ago

Buna seara.

Ma puteti ajuta, va rog, cu o opinie privind calificarea rolului unei firme de audit pentru certificare SRAC? La o prima analiza pare a fi imputernicit (operatorul stabileste scopul, auditorul prelucreaza in numele operatorului). Cu toate acestea, modalitatea prin care auditorul prelucreaza datele tine doar de experienta si expertiza sa. Prin esenta serviciilor de audit, acesta trebuie sa fie independenta fata de client, rolul de persoana imputernicita negand aceasta independenta.

Nici operatori asociati nu par a fi, din moment ce partile nu stabilesc in comun scopul si mijloacele de prelucrare, cf art. 26: auditorul solicita documente pe care le considera necesare, uneori direct de la angajatii clientului; auditorul prelucreaza datele si in scop propriu, dupa finalizarea auditului: dezvoltarea propriei afaceri (ex: imbunatatirea calitatii serviciilor), pastrarea anumitor evidente pentru a demonstra serviciile furnizate ( inteleg ca e o obligatie legala ce revine auditorilor). In acest caz partile nu sunt operatori independenti?

Multumesc

Ciprian Petculescu replied 8 luni ago

Din punctul meu de vedere, ambele Parti actioneaza ca operatori independenti.
Exista un ghid a WP 29 din 2010 care defineste operatorul si imputerniciitul acolo gasesti si exemple similare : avocati, contabili, care nu sunt incadrati ca imputerniciti din aceleasi motive pe care le-ai mentionat si tu .

Un alt ghid mai gasesti pe site-ul autoritatii de supraveghere din UK , ICO , il gasesti denumit asa : ICO UK -data-controllers-and-data-processors-dp ICO -guidance .

Zi frumoasa!

1 Answers
Darius Farcas answered 8 luni ago

Bună ziua,

Auditorul prestează un serviciu în favoarea clientului său. Totuși, aceasta nu înseamnă în mod necesar că auditorul este persoană împuternicită în sensul Regulamentului. Recomandăm situația să se analizeze de la caz la caz, în funcție de rolul lor în contextul fiecărei prelucrări de date cu caracter personal, dacă respectiva prelucrare se realizează în calitate de operator sau de persoană împuternicită de operator.

În calificarea auditorului ca operator, un rol esențial îl va avea gradul de control al auditorului în ce privește respectiva prelucrare, mai concret:

  1. Stabilește auditorul care vor fi persoanele vizate de prelucrare? (”Cine?”)
  2. Stabilește auditorul ce categorii de date vor fi prelucrate? (”Ce?”)
  3. Stabilește auditorul pentru ce scop se va realiza prelucrarea? (”Pentru ce?”)
  4. Stabilește auditorul cum se va realiza prelucrarea? (”Cum?”) – de pildă, cui se dezvăluie datele cu caracter personal, pentru cât timp se rețin datele cu caracter personal etc.

Dacă răspunsurile la întrebările de mai sus sunt majoritar ”DA”, atunci auditorul va acționa ca operator (independent) de date cu caracter personal, iar nu ca persoană împuternicită de operator.

În cele mai multe cazuri auditorul este operator, întrucât el este cel care stabilește care sunt datele cu caracter personal de care are nevoie în vederea pregătirii auditării (”Ce?”) și cum vor fi utilizate aceste date pentru auditarea proceselor clientului său (”Cum?”).

Exemplu: o persoană juridică se adresează unui auditor efectuarea unui audit. Clientul are reprezentarea serviciului pe care auditorul îl va presta, însă auditorul este cel care decide:

  1. ce documente care conțin date cu caracter personal solicită clientului,
  2. care dintre acestea vor fi utilizate în demersul auditării și
  3. cum vor fi acestea folosite.

Din momentul în care clientul transmite documentele / datele cu caracter personal auditorului, acesta exercită un control semnificativ în ce privește modul în care le va prelucra, chiar dacă prelucrarea se face pentru client. În consecință, în exemplul de mai sus, auditorul va acționa în calitate de operator independent.