Legea GDPR 2018 actualizata

(1)   In cazul in care prelucrarea urmeaza sa fie realizata in numele unui operator, operatorul recurge doar la persoane imputernicite care ofera garantii suficiente pentru punerea in aplicare a unor masuri tehnice si organizatorice adecvate, astfel incat prelucrarea sa respecte cerintele prevazute in prezentul regulament si sa asigure protectia drepturilor persoanei vizate. 
 
(2)   Persoana imputernicita de operator nu recruteaza o alta persoana imputernicita de operator fara a primi in prealabil o autorizatie scrisa, specifica sau generala, din partea operatorului. In cazul unei autorizatii generale scrise, persoana imputernicita de operator informeaza operatorul cu privire la orice modificari preconizate privind adaugarea sau inlocuirea altor persoane imputernicite de operator, oferind astfel posibilitatea operatorului de a formula obiectii fata de aceste modificari. 
 
(3)   Prelucrarea de catre o persoana imputernicita de un operator este reglementata printr-un contract sau alt act juridic in temeiul dreptului Uniunii sau al dreptului intern care are caracter obligatoriu pentru persoana imputernicita de operator in raport cu operatorul si care stabileste obiectul si durata prelucrarii, natura si scopul prelucrarii, tipul de date cu caracter personal si categoriile de persoane vizate si obligatiile si drepturile operatorului. Respectivul contract sau act juridic prevede in special ca persoana imputernicita de operator: 
 
(a) prelucreaza datele cu caracter personal numai pe baza unor instructiuni documentate din partea operatorului, inclusiv in ceea ce priveste transferurile de date cu caracter personal catre o tara terta sau o organizatie internationala, cu exceptia cazului in care aceasta obligatie ii revine persoanei imputernicite in temeiul dreptului Uniunii sau al dreptului intern care i se aplica; in acest caz, notifica aceasta obligatie juridica operatorului inainte de prelucrare, cu exceptia cazului in care dreptul respectiv interzice o astfel de notificare din motive importante legate de interesul public; 
(b) se asigura ca persoanele autorizate sa prelucreze datele cu caracter personal s-au angajat sa respecte confidentialitatea sau au o obligatie statutara adecvata de confidentialitate; 
(c) adopta toate masurile necesare in conformitate cu articolul 32; 
(d) respecta conditiile mentionate la alineatele (2) si (4) privind recrutarea unei alte persoane imputernicite de operator; 
(e) tinand seama de natura prelucrarii, ofera asistenta operatorului prin masuri tehnice si organizatorice adecvate, in masura in care acest lucru este posibil, pentru indeplinirea obligatiei operatorului de a raspunde cererilor privind exercitarea de catre persoana vizata a drepturilor prevazute in capitolul III; 
(f) ajuta operatorul sa asigure respectarea obligatiilor prevazute la articolele 32-36, tinand seama de caracterul prelucrarii si informatiile aflate la dispozitia persoanei imputernicite de operator; 
(g) la alegerea operatorului, sterge sau returneaza operatorului toate datele cu caracter personal dupa incetarea furnizarii serviciilor legate de prelucrare si elimina copiile existente, cu exceptia cazului in care dreptul Uniunii sau dreptul intern impune stocarea datelor cu caracter personal; 
(h) pune la dispozitia operatorului toate informatiile necesare pentru a demonstra respectarea obligatiilor prevazute la prezentul articol, permite desfasurarea auditurilor, inclusiv a inspectiilor, efectuate de operator sau alt auditor mandatat si contribuie la acestea.
In ceea ce priveste primul paragraf litera (h), persoana imputernicita de operator informeaza imediat operatorul in cazul in care, in opinia sa, o instructiune incalca prezentul regulament sau alte dispozitii din dreptul intern sau din dreptul Uniunii referitoare la protectia datelor. 
 
(4)   In cazul in care o persoana imputernicita de un operator recruteaza o alta persoana imputernicita pentru efectuarea de activitati de prelucrare specifice in numele operatorului, aceleasi obligatii privind protectia datelor prevazute in contractul sau in alt act juridic incheiat intre operator si persoana imputernicita de operator, astfel cum se prevede la alineatul (3), revin celei de a doua persoane imputernicite, prin intermediul unui contract sau al unui alt act juridic, in temeiul dreptului Uniunii sau al dreptului intern, in special furnizarea de garantii suficiente pentru punerea in aplicare a unor masuri tehnice si organizatorice adecvate, astfel incat prelucrarea sa indeplineasca cerintele prezentului regulament. In cazul in care aceasta a doua persoana imputernicita nu isi respecta obligatiile privind protectia datelor, persoana imputernicita initiala ramane pe deplin raspunzatoare fata de operator in ceea ce priveste indeplinirea obligatiilor acestei a doua persoane imputernicite. 
 
(5)   Aderarea persoanei imputernicite de operator la un cod de conduita aprobat, mentionat la articolul 40, sau la un mecanism de certificare aprobat, mentionat la articolul 42, poate fi utilizata ca element prin care sa se demonstreze existenta garantiilor suficiente mentionate la alineatele (1) si (4) din prezentul articol. 
 
(6)   Fara a aduce atingere unui contract individual incheiat intre operator si persoana imputernicita de operator, contractul sau celalalt act juridic mentionat la alineatele (3) si (4) din prezentul articol se poate baza, integral sau partial, pe clauze contractuale standard mentionate la alineatele (7) si (8) din prezentul articol, inclusiv atunci cand fac parte dintr-o certificare acordata operatorului sau persoanei imputernicite de operator in temeiul articolelor 42 si 43. 
 
(7)  Comisia poate sa prevada clauze contractuale standard pentru aspectele mentionate la alineatele (3) si (4) din prezentul articol si in conformitate cu procedura de examinare mentionata la articolul 93 alineatul (2). 
 
(8)   O autoritate de supraveghere poate sa adopte clauze contractuale standard pentru aspectele mentionate la alineatele (3) si (4) din prezentul articol si in conformitate cu mecanismul pentru asigurarea coerentei mentionat la articolul 63. 
 
(9)   Contractul sau celalalt act juridic mentionat la alineatele (3) si (4) se formuleaza in scris, inclusiv in format electronic. 
 
(10)   Fara a aduce atingere articolelor 82, 83 si 84, in cazul in care o persoana imputernicita de operator incalca prezentul regulament, prin stabilirea scopurilor si mijloacelor de prelucrare a datelor cu caracter personal, persoana imputernicita de operator este considerata a fi un operator in ceea ce priveste prelucrarea respectiva.

Capitolul IV – Operatorul si persoana imputernicita de operator