Art. 29. - Art. 29: Persoana împuternicită de operator - Regulamentul 1725/23-oct-2018 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal de către instituţiile, organele, oficiile şi agenţiile Uniunii şi privind libera circulaţie a acestor date şi de abrogare a Regulamentului (Ce) nr. 45/2001 şi a Deciziei nr. 1247/2002/CE
Acte UE
Jurnalul Oficial 295L
În vigoare Versiune de la: 21 Noiembrie 2018
Art. 29: Persoana împuternicită de operator
(1)În cazul în care prelucrarea urmează să fie realizată în numele unui operator, operatorul recurge doar la persoane împuternicite care oferă garanţii suficiente pentru punerea în aplicare a unor măsuri tehnice şi organizatorice adecvate, astfel încât prelucrarea să respecte cerinţele prevăzute în prezentul regulament şi să asigure protecţia drepturilor persoanei vizate.
(2)Persoana împuternicită de operator nu recrutează o altă persoană împuternicită de operator fără a primi în prealabil o autorizaţie scrisă, specifică sau generală, din partea operatorului. În cazul unei autorizaţii generale scrise, persoana împuternicită de operator informează operatorul cu privire la orice modificări preconizate privind adăugarea sau înlocuirea altor persoane împuternicite de operator, oferind astfel operatorului posibilitatea de a formula obiecţii faţă de aceste modificări.
(3)Prelucrarea de către o persoană împuternicită de un operator este reglementată printr-un contract sau un alt act juridic în temeiul dreptului Uniunii sau al dreptului intern care are caracter obligatoriu pentru persoana împuternicită de operator în raport cu operatorul şi care stabileşte obiectul şi durata prelucrării, natura şi scopul prelucrării, tipul de date cu caracter personal şi categoriile de persoane vizate şi obligaţiile şi drepturile operatorului. Respectivul contract sau act juridic prevede în special că persoana împuternicită de operator:
a)prelucrează datele cu caracter personal numai pe baza unor instrucţiuni susţinute de documente din partea operatorului, inclusiv în ceea ce priveşte transferurile de date cu caracter personal către o ţară terţă sau o organizaţie internaţională, cu excepţia cazului în care această obligaţie îi revine în temeiul dreptului Uniunii sau al dreptului statului membru care i se aplică; în acest caz, persoana împuternicită de operator notifică această obligaţie juridică operatorului înainte de prelucrare, cu excepţia cazului în care legislaţia respectivă interzice această informare din motive importante legate de interesul public;
b)se asigură că persoanele autorizate să prelucreze datele cu caracter personal s-au angajat să respecte confidenţialitatea sau au o obligaţie legală adecvată de confidenţialitate;
c)adoptă toate măsurile necesare în conformitate cu articolul 33;
d)respectă condiţiile menţionate la alineatele (2) şi (4) privind recrutarea unei alte persoane împuternicite de operator;
e)ţinând seama de natura prelucrării, oferă asistenţă operatorului prin măsuri tehnice şi organizatorice adecvate, în măsura în care acest lucru este posibil, pentru îndeplinirea obligaţiei operatorului de a răspunde cererilor privind exercitarea de către persoana vizată a drepturilor prevăzute în capitolul III;
f)ajută operatorul să asigure respectarea obligaţiilor prevăzute la articolele 33-41, ţinând seama de caracterul prelucrării şi de informaţiile aflate la dispoziţia persoanei împuternicite de operator;
g)la alegerea operatorului, şterge sau returnează operatorului toate datele cu caracter personal după încetarea furnizării serviciilor legate de prelucrare şi elimină copiile existente, cu excepţia cazului în care dreptul Uniunii sau dreptul intern impune stocarea datelor cu caracter personal;
h)pune la dispoziţia operatorului toate informaţiile necesare pentru a demonstra respectarea obligaţiilor prevăzute la prezentul articol, permite desfăşurarea auditurilor, inclusiv a inspecţiilor, efectuate de operator sau alt auditor mandatat şi contribuie la acestea.
În ceea ce priveşte primul paragraf litera (h), persoana împuternicită de operator informează imediat operatorul în cazul în care, în opinia sa, o instrucţiune încalcă prezentul regulament sau alte dispoziţii din dreptul intern sau din dreptul Uniunii referitoare la protecţia datelor.
(4)În cazul în care o persoană împuternicită de un operator recrutează o altă persoană împuternicită pentru efectuarea de activităţi de prelucrare specifice în numele operatorului, aceleaşi obligaţii privind protecţia datelor prevăzute în contractul sau în alt act juridic încheiat între operator şi persoana împuternicită de operator, astfel cum se prevede la alineatul (3), revin celei de a doua persoane împuternicite, prin intermediul unui contract sau al unui alt act juridic, în temeiul dreptului Uniunii sau al dreptului intern, în special furnizarea de garanţii suficiente pentru punerea în aplicare a unor măsuri tehnice şi organizatorice adecvate, astfel încât prelucrarea să îndeplinească cerinţele prezentului regulament. În cazul în care această a doua persoană împuternicită nu îşi respectă obligaţiile privind protecţia datelor, persoana împuternicită iniţială rămâne pe deplin răspunzătoare faţă de operator în ceea ce priveşte îndeplinirea obligaţiilor acestei a doua persoane împuternicite.
(5)În cazul în care o persoană împuternicită de un operator nu este o instituţie sau un organ al Uniunii, aderarea la un cod de conduită aprobat, menţionat la articolul 40 alineatul (5) din Regulamentul (UE) 2016/679, sau la un mecanism de certificare aprobat, menţionat la articolul 42 din Regulamentul (UE) 2016/679, poate fi utilizată ca element prin care să se demonstreze existenţa unor garanţii suficiente, astfel cum sunt menţionate la alineatele (1) şi (4) din prezentul articol.
(6)Fără a aduce atingere unui contract individual încheiat între operator şi persoana împuternicită de operator, contractul sau celălalt act juridic menţionat la alineatele (3) şi (4) din prezentul articol se poate baza, integral sau parţial, pe clauzele contractuale standard menţionate la alineatele (7) şi (8) din prezentul articol, inclusiv atunci când fac parte dintr-o certificare acordată persoanei împuternicite de operator, care nu este o instituţie sau un organ al UE, în temeiul articolului 42 din Regulamentul (UE) 2016/679.
(7)Comisia poate să prevadă clauze contractuale standard pentru aspectele menţionate la alineatele (3) şi (4) din prezentul articol şi în conformitate cu procedura de examinare menţionată la articolul 96 alineatul (2).
(8)Autoritatea Europeană pentru Protecţia Datelor poate să adopte clauze contractuale standard pentru aspectele menţionate la alineatele (3) şi (4).
(9)Contractul sau celălalt act juridic menţionat la alineatele (3) şi (4) se formulează în scris, inclusiv în format electronic.
(10)Fără a aduce atingere articolelor 65 şi 66, în cazul în care o persoană împuternicită de operator încalcă prezentul regulament prin stabilirea scopurilor prelucrării şi a mijloacelor de prelucrare, persoana împuternicită de operator este considerată a fi un operator în ceea ce priveşte prelucrarea respectivă.