Relația angajat-angajator vs relația operator de date-împuternicit al operatorului de date [Observații critice]

Introducere

Un nou studiu realizat de dr. Nicolae Ploeșteanu, care urmează a fi publicat în revistele de specialitate, arată că există o confuzie între relația angajator-angajat și cea dintre operatorul de date și împuternicitul său. Această confuzie poate avea consecințe negative atât în formarea profesională, cât și în implementarea Regulamentului General privind Protecția Datelor (RGPD / GDPR). Studiul concluzionează că asimilarea dintre cele două relații este nefirească și trebuie evitată.

Relația angajator-angajat vs relația operator de date-împuternicit al operatorului de date

Studiul continuă prin a explica faptul că, potrivit Regulamentului General privind Protecția Datelor (RGPD / GDPR), angajații sunt considerați persoane vizate și au nevoie de protecție. În același timp, RGPD / GDPR stabilește responsabilitatea și răspunderea operatorului pentru orice prelucrare a datelor cu caracter personal efectuată de către acesta sau în numele său.

Prin urmare, dacă relația angajat-angajator ar fi asimilată cu relația operator de date-împuternicit al operatorului de date, ar însemna că fiecare angajat ar deveni o persoană împuternicită a operatorului, ceea ce ar fi imposibil de acceptat și de realizat. De aceea, studiul concluzionează că o astfel de asimilare nu poate fi acceptată.

Operator vs persoană împuternicită

Considerentul 95 din RGPD face o distincție clară între operator și persoana împuternicită, în ceea ce privește autonomia juridică de care se bucură fiecare. Această distincție nu poate fi realizată în relația angajator-angajat, decât exclusiv din perspectiva dreptului muncii. Prin urmare, angajații nu pot fi considerați persoane împuternicite ale operatorului, deoarece nu oferă asistență operatorului, ci își îndeplinesc obligațiile contractuale de dreptul muncii. În plus, obligațiile de evaluare a impactului asupra protecției datelor sunt mai degrabă specifice profesioniștilor specializați în protecția datelor, nu angajaților.

Regulamentul General privind Protecția Datelor (RGPD / GDPR) face o distincție clară între operatorii de date si persoanele împuternicite ale acestora din punct de vedere al autonomiei juridice. RGPD / GDPR impune atât operatorilor cât și împuterniciților care transferă date în afara Uniunii Europene să îndeplinească anumite condiții specifice privind protecția datelor, cum ar fi utilizarea regulilor corporatiste obligatorii și clauzelor standard de protecție a datelor.

Pare improbabil ca RGPD / GDPR să aibă în vedere ca o persoană fizică să fie împuternicit al unui operator de date, deoarece obligațiile specifice privind protecția datelor sunt mai degrabă specifice profesioniștilor si nu sunt specifice persoanelor care lucrează ca angajați. De asemenea, persoanele care lucrează ca angajați nu pot fi considerate împuternicite ale operatorilor de date din punct de vedere al RGPD, deoarece nu îndeplinesc condițiile specificate de către acest regulament privind împuternicirile.

Articolul 4, punctele 7 și 8 din RGPD definesc noțiunile de operator și persoană împuternicită de operator. Operatorul are dreptul de a stabili scopul și mijloacele de prelucrare a datelor personale, în timp ce persoana împuternicită de operator prelucrează datele personale în numele operatorului conform instrucțiunilor acestuia. Însă, dacă instrucțiunile permit și prelucrarea acelorași date personale sau a unei categorii din acestea de către persoana împuternicită de operator, în nume propriu, atunci aceasta poate deveni atât operator, cât și persoană împuternicită de operator.

Orientările 07/2020 privind conceptele de operator și persoană împuternicită de operator în RGPD precizează că o persoană poate fi împuternicită de operator în cazul în care acesta nu își asumă responsabilitatea pentru toate prelucrările de date personale care sunt realizate în numele său. În schimb, o persoană poate fi operator asociat în cazul în care partajează responsabilitatea pentru prelucrarea de date personale cu operatorul. În cele din urmă, o persoană poate fi operator independent în cazul în care realizează prelucrări de date personale fără a fi împuternicit de operator sau operator asociat.

Ai nevoie de DPO extern?
Lasă provocările GDPR în seama GDPR Complet – echipă de profesioniști cu expertiză juridică, expertiză în securitate IT și expertiză în managementul afacerilor

Concluzie

Elementele de legislație, inclusiv regulile adoptate de fostul Grup de lucru articolul 29 și, în prezent, de Comitetul european de protecție a datelor, oferă suficiente elemente pentru a concluziona că relația de tip angajat – angajator nu poate să fie asimilată, în parte, unei relații de tip operator – împuternicit al operatorului de date.