Deși din definițiile date de GDPR pare că înțelegem destul de bine ce înseamnă un operator de date, sau un împuternicit, în practică, chiar și acum, după 5 ani de la intrarea în vigoare a GDPR, atribuirea uneia sau alteia dintre aceste calități unei entități ce prelucrează date personale nu este un demers ușor. De aceea, circumstanțele concrete în care sunt prelucrate datele personale, rolurile participanților la prelucrare, independența sau, dimpotrivă, dependența decizională, sunt tot atâția factori care vor trebui analizați pentru a stabili calitatea unei entități, fie de operator independent, de operator asociat sau de împuternicit.

Operatorul independent de date este entitatea care stabilește (i) scopul și (ii) mijloacele prelucrării datelor personale.

Dar ce înseamnă concret aceste concepte?

Scopul prelucrării nu este altceva decât “motivul, obiectivul final pentru care este necesară acea prelucrare”, respectiv, „ce urmărește să obțină entitatea juridică în cauză din prelucrarea datelor într-o anumită circumstanță”. Prin urmare, analizând scopul, se va putea determina și entitatea căreia îi servește în mod direct acel scop. Dacă scopul servește în mod evident unei entități determinate, atunci, cel mai probabil, acea entitate este și operatorul de date. Mai simplu spus, operatorul de date este entitatea cu care scopul are legăturile cele mai strânse.

Câteva exemple: 

• un angajator va prelucra datele salariaților săi pentru derularea raporturilor de muncă și pentru executarea obligațiilor născute din contractul de muncă;

• o agenție de turism va prelucra datele clienților în scopul îndeplinirii obligațiilor contractuale privind furnizarea serviciilor turistice;

• o companie ce comercializează articole de îmbrăcăminte sau orice alte produse de consum va prelucra datele participanților la campanii promoționale pe care le derulează în scopul organizării acestor campanii, desemnării câștigătorilor și atribuirii premiilor;

• un furnizor de servicii medicale va prelucra date medicale de la pacienți în scopul furnizării serviciilor medicale solicitate de aceștia;

• o companie de recrutare de personal va prelucra datele personale ale candidaților în scopul furnizării serviciilor de recrutare.

După cum se poate observa din exemplele de mai sus, de cele mai multe ori, calitatea de operator este dictată de relația strânsă dintre companie → serviciile/produsele pe care le oferă și → clientela sa (adică persoanele fizice ale căror date personale sunt prelucrate, denumite de GDPR “persoane vizate”).

Mijloacele prelucrării reprezintă modalitatea, metoda, procedeul prin care se poate atinge acel scop.

Aceste mijloace trebuie privite din două perspective, în raport de importanța și impactul lor asupra prelucrării datelor, cea de-a doua perspectivă având o strânsă legătură cu noțiunea de împuternicit pe care o vom analiza mai jos.

Mijloace esențiale prelucrării, și a căror natură are mai degrabă o importanță juridică, privind categoriile de date personale prelucrate, persoanele cărora le sunt dezvăluite datele, perioada pentru care sunt prelucrate datele într-un anumit scop.

Mijloace neesențiale prelucrării și care au mai degrabă o natură logistică, ce ține cu precădere de modalitatea concretă de implementare a mijloacelor esențiale. Acestea sunt, deseori, variate și au un caracter alternativ. Tocmai pentru că operatorul le poate înlocui cu altele fără a schimba scopul prelucrării sau mijloacele esențiale, ele nu sunt de esența acelei prelucrări.

Câteva exemple:

• prelucrarea datelor de payroll și salarizare se poate face de un operator prin utilizarea programului software x, pe care ulterior, același operator îl schimbă cu programul Y. Așadar, scopul prelucrării nu se schimbă și nici mijloacele esențiale prelucrării nu se schimbă (se prelucrează aceleași date, pentru aceleași perioade etc.), schimbându-se doar mijlocul neesențial care este programul software;

• operatorul poate organiza o campanie promoțională la care se pot înscrie mai mulți participanți. Modalitatea de colectare a datelor de la participanți se poate face, fie prin corespondență prin email, fie prin intermediul rețelelor sociale, fie printr-o platformă dedicată campaniei respective. Așadar, aceste mijloace de prelucrare a datelor (colectarea de date fiind o prelucrare, noțiune ce va fi clarificată într-un articol viitor) sunt variante alternative pe care operatorul de date le poate folosi fără a afecta nici scopul prelucrării și nici mijloacele esențiale ale acestei prelucrări.

Operatorii asociați de date sunt de fapt acei operatori despre care am discutat mai sus, dar care au un scop comun al prelucrării. Aceasta înseamnă că, în comun, doi sau mai mulți operatori (independenți în alte circumstanțe), în ce privește un anumit proiect, apărut la un moment dat, au un interes comun, motiv pentru care stabilesc împreună atât scopul, cât și mijloacele prelucrării. Pentru a fi operatori asociați nu este absolut necesar ca prelucrarea de date realizată de fiecare dintre ei să fie identică, ca perioada de stocare a datelor să fie identică etc., ci mai degrabă să urmărească același obiectiv, pe care să îl atingă utilizând (chiar și în proporții diferite) aceleași mijloace ale prelucrării.

Câteva exemple:

• o companie de produse cosmetice și o alta de servicii de spa & wellness doresc să se promoveze în comun, sens în care demarează o campanie promoțională de tip concurs la care se pot înscrie mai multe persoane, câștigătorii urmând a primi drept cadou un pachet de produse cosmetice și un voucher la spa. Prin regulamentul campaniei cele două entități stabilesc scopul comun, precum și mijloacele prelucrării, respectiv ce tipuri de date vor colecta, pentru ce perioadă le vor stoca, cui vor da acces la date, dar și cum vor face toate acestea în mod concret (prin ce platforme vor derula campania, în ce bază de date vor colecta și vor stoca datele etc.)

• o societate ce oferă servicii de recrutare este solicitată de o companie să îi identifice o persoană care să ocupe funcția x. Compania de recrutare are un portofoliu de persoane în căutarea unui loc de muncă (potențiali candidați), dar va identifica în piață și alte persoane ce răspund cerințelor acelei poziții. Într-o primă etapă, recrutarea presupune o verificare a CV-urilor potențialilor candidați, din portofoliul companiei de recrutare sau identificați ulterior, și primele interviuri, doar de către compania de recrutare, perioadă în care compania de recrutare va acționa ca și operator independent. Însă, într-o etapă următoare, 3 dintre candidații aflați pe lista scurtă vor avea întâlniri și vor trebui cunoscuți și de către client. Din acest moment, până la finalizarea procesului de recrutare, compania de recrutare și clientul vor putea fi considerați operatori asociați întrucât au un scop comun (recrutarea celui mai bun candidat), iar mijloacele prin care realizează atingerea scopului sunt stabilite în comun (clientul și compania de recrutare participă la întâlniri cu candidații, schimbă impresii, informații despre experiența acestuia, așteptările sale în raportul de funcția pentru care se derulează procesul de recrutare etc.)

Împuternicitul este entitatea care prelucrează datele în numele operatorului independent sau operatorilor asociați. Împuternicitul nu urmărește un scop propriu prin raportare la persoanele vizate ale căror date sunt prelucrate, cu prin raportare la operatorul de date prin sprijinirea acestuia în demersul său de a-si atinge scopul propus. Este adevărat că, în practică, împuternicitul are o contribuție proprie la atingerea scopului prelucrării, cu precădere prin utilizarea unor mijloace neesențiale proprii sau propuse de el. Însă, dat fiind faptul că aceste mijloace propuse de el sunt din categoria celor neesențiale, împuternicitul nu dictează nici cu privire la scop, nici cu privire la ce date personale trebuie prelucrate.

Împuternicitul poate sfătui operatorul de date, însă nu va lua decizia în locul acestuia, iar dacă va lua o decizie în locul operatorului o va putea lua doar pentru faptul că operatorul, prin contractul încheiat, i-a permis acest lucru. Așadar, în final, este tot decizia operatorului care trasează pentru împuternicit drepturile pe care le are în privința prelucrării datelor, limitele puterilor lui, practic, limita mandatului în care își poate îndeplini rolul său de împuternicit (așa numitele “instrucțiuni” ale operatorului).

Câteva exemple:

• un angajator apelează la o firmă de payroll și salarizare pentru îndeplinirea tuturor sarcinilor din acest domeniu în legătură cu salariații săi. Firma de payroll deține propriul software (mijloc neesențial) pentru prestarea serviciilor la care s-a angajat. Însă, în această relație, firma de payroll nu va avea niciodată calitatea de operator de date întrucât nu stabilește nici salariile angajaților respectivi, nici când li se acordă zile libere, nici valoarea indemnizației pentru ore suplimentare, nici dacă plătește un bonus salariatului sau nu. Firma de payroll și salarizare va fi întotdeauna un împuternicit.

• o companie care derulează o campanie promoțională angajează o agenție de publicitate pentru pregătirea și gestionarea campaniei. Agenția de publicitate poate avea libertatea de a alege mijloacele (neesențiale) de prelucrare a datelor participanților la campanie (ex: pe ce rețele sociale să se deruleze campania), însă derularea campaniei în sine, publicul țintă, premiile ce se vor acorda, perioada în care se va derula etc. vor fi decise de beneficiarul companiei, respectiv compania în cauză, și nu de către agenția de publicitate.

HINT! Ca regulă generală (fără a exclude excepții și care trebuie analizate de la caz la caz), atunci când doriți să stabiliți dacă o entitate juridică are calitatea de operator de date sau de împuternicit puteți analiza dacă serviciile acesteia, prin natura lor, sunt destinate mai degrabă persoanelor juridice sau pot fi destinate, în egală măsură, și companiilor și persoanelor fizice. Dacă sunt, mai degrabă, destinate companiilor, și nu în mod direct persoanelor fizice, probabilitatea ca acea entitate juridică să acționeze ca și împuternicit este foarte mare. Dimpotrivă, dacă serviciile unei entități sunt, prin natura lor, destinate cu precădere persoanelor fizice sau in egală măsură și persoanelor fizice și celor juridice, probabilitatea ca acea entitate să fie operator de date este foarte mare.

Exemple:

• servicii destinate, prin natura lor, cu precădere, persoanelor juridice = acționează cu precădere ca împuterniciți: SSM, payroll, contabilitate, mentenanță IT, servicii de cloud, agenții de publicitate, servicii de call center externe,

• servicii destinate, prin natura lor, cu precădere, persoanelor fizice sau, in egală măsură, și persoanelor fizice și celor juridice = acționează cu precădere ca operatori de date: servicii medicale, turistice, hoteliere, juridice, notariale, asigurări.