GDPR aduce o alocare dublă a responsabilităţii în domeniu pe anumite zone. Operatorul continuă să fie responsabil pe tot ceea ce înseamnă cerinţe, vorbim şi de privacy by design, privacy by default, dar vedem o serie de obligaţii care nu mai sunt ale operatorului, ci ale operatorului şi împuternicitului, a spus Roxana Ionescu, partener, Head of Data Protection, NNDKP, în cadrul ZF Digital 17.
Chiar dacă eşti împuternicit, dar activităţile pe care le prestezi pentru mulţi operatori pot antrena riscuri, nu este suficient ca operatorul să aibă un responsabil desemnat, şi furnizorul de servicii trebuie să aibă un responsabil desemnat.
Regulamentul spune clar că acolo unde împuternicitul, având acces la datele operatorului, face ceva nu pentru operator, ci pentru propriile scopuri şi utilizând mijloace în controlul lui, pentru acele fapte el e considerat operator şi răspunde în nume propriu. Acest lucru este valabil şi pentru servicii cloud.
