- La regulació de la relació entre el responsable i l’encarregat del tractament s’ha d’establir mitjançant un contracte que els vinculi jurídicament i defineixi la posició de l’encarregat del tractament. El contracte o l’acte jurídic ha de constar per escrit i pot ser en format electrònic.
- D’acord amb la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals, el contracte ha d’establir l’objecte, la durada, la naturalesa i la finalitat del tractament, el tipus de dades personals i les categories d’interessats, i les obligacions i els drets del responsable.
- L’encàrrec ha de descriure de manera clara i concreta, amb instruccions precises, els tractaments de dades que ha de dur a terme l’encarregat del tractament, el tipus de servei i la manera de prestar-lo. Ha de determinar de forma clara les comunicacions a tercers que el responsable encomana a l’encarregat o que es deriven del servei prestat. La subjecció a les instruccions del responsable s’ha de produir, igualment, en el cas de les transferències internacionals de dades que tenen lloc com a conseqüència de la prestació del servei.
- El responsable té una obligació especial de diligència en l’elecció i la supervisió de l’encarregat i no es pot limitar a una llista en què es marca si s’aplica o no una mesura. La diligència del responsable s’entén assolida amb l’acreditació d’una anàlisi o una valoració real de les mesures de seguretat.
- Tenint en compte l’estat de la tècnica, els costos d’aplicació i la naturalesa, l’abast, el context i les finalitats del tractament, així com els riscos de probabilitat i gravetat variables per als drets i les llibertats de les persones físiques, el responsable i l’encarregat del tractament han d’aplicar les mesures tècniques i organitzatives apropiades per garantir el nivell de seguretat adequat al risc existent. Les mesures de seguretat concretes es poden determinar amb una llista exhaustiva o amb una remissió a un estàndard o marc regulador reconegut. L’adhesió a codis de conducta o la possessió d’un certificat són elements que serveixen per demostrar el compliment d’aquests requisits.
- El responsable i l’encarregat del tractament han de prendre mesures per garantir que qualsevol persona que actua sota la seva autoritat i té accés a dades personals només pot tractar aquestes dades seguint instruccions del responsable, tret que hi estigui obligada en virtut d’una norma legal.
- El règim de subcontractació es pot establir en el contracte i es fonamenta en qualsevol cas en l’autorització prèvia del responsable del tractament. Aquesta autorització pot ser genèrica o específica, que identifiqui l’entitat concreta. Si l’autorització és de caràcter general, l’encarregat ha d’informar el responsable de la incorporació d’un subencarregat o de la substitució per altres subencarregats; d’aquesta manera, dona al responsable l’oportunitat d’oposar-se a aquests canvis. El subencarregat del tractament ha d’estar subjecte a les mateixes condicions i a les mateixes formalitats que l’encarregat del tractament, en relació amb el tractament adequat de les dades personals i la garantia dels drets de les persones afectades. Si el subencarregat les incompleix, l’encarregat inicial continua sent plenament responsable del compliment de les obligacions del subencarregat davant del responsable del tractament.
- Si una part o la totalitat de l’encàrrec es basa en la recollida de dades, correspon a l’encarregat del tractament complir amb el dret d’informació de les persones afectades en nom i per compte del responsable. El contracte de l’encarregat del tractament ha de fixar la forma i el moment en què s’ha de fer efectiva aquesta obligació.
- Si una part o la totalitat de l’encàrrec es basa en les obligacions relatives a l’avaluació d’impacte, la consulta prèvia, la seguretat i confidencialitat del tractament o la notificació i comunicació d’una violació de seguretat de les dades personals a l’autoritat de control o a la persona interessada, el compliment d’aquestes obligacions queda supeditat a la naturalesa del tractament efectuat i a la informació que estigui a disposició de l’encarregat.
- Quan s’apliqui la legislació de contractes del sector públic, també cal tenir en compte les disposicions específiques establertes en aquest Reglament.
- El principi d’extraterritorialitat permet aplicar les obligacions d’aquest Reglament a encarregats del tractament que tractin dades personals en el context de les activitats d’un establiment de l’encarregat a Andorra, independentment que el tractament tingui lloc a Andorra o en un altre país. Si l’establiment es troba fora del territori andorrà, s’aplica el Reglament sempre que ofereixi béns o serveis a interessats que resideixin a Andorra, o bé controlin el comportament d’interessats que resideixin en territori andorrà. La transmissió de dades personals en el marc d’un acord d’encarregat del tractament a l’estranger es regeix per la regulació establerta a la Llei 29/2021 per a les transferències internacionals.
B
BOPA·CHAT← Decret 367/2022, del 14-9-2022, d’aprovació del Reglament d’aplicació de la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals.
151 versions
Decret 367/2022, del 14-9-2022, d’aprovació del Reglament d’aplicació de la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals.
Évolution de cet article à travers toutes les versions de la loi.
Encarregat del tractament
Decret 367/2022, del 14-9-2022, d’aprovació del Reglament d’aplicació de la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals.