¿Cuáles son sus obligaciones?

Los datos son procesados ​​por organizaciones, ya sea desde la posición de un controlador de datos, o procesador de datos. Por lo tanto, las responsabilidades son diferentes dependiendo de esta calidad. Como todas las organizaciones procesan al menos algunos datos personales (por ejemplo, información personal del empleado), caen bajo la categoría de procesador o controlador.

Obligaciones para Procesadores de Datos:

Como procesador de datos, sólo puede procesar los datos de acuerdo con los requisitos del controlador, especificados en el contrato controlador / procesador. Como consecuencia, los procesadores de datos deben cumplir con muchas de las obligaciones de los controladores de datos.

El procesador está obligado a informar al controlador sobre cualquier subcontratista nuevo (subprocesadores) y a reflejar sobre las obligaciones que tiene con el controlador en su contrato con el subcontratista.

Está obligado a informar al controlador si alguna de las instrucciones del contrato infringe GDPR.

Los procesadores deben realizar un seguimiento de todas las categorías de actividades de procesamiento.

Los procesadores de datos están obligados a informar a los controladores en el caso de una violación de datos, cuanto antes después de tomar conocimiento de ello.

Tanto los procesadores de datos como los controladores están obligados a nombrar a un oficial de protección de datos (DPO) en situaciones tales como cuando sus actividades requieran un seguimiento regular de los datos a gran escala o cuando involucren grandes cantidades de datos sensibles (por ejemplo, delitos penales).

Obligaciones para los controladores de datos:

Como controlador de datos, sólo puede seleccionar procesadores de datos que demuestren que pueden realizar sus tareas de procesamiento de acuerdo con el GDPR.

Los controladores de datos, así como los procesadores, deben implementar medidas de seguridad apropiadas para el GDPR, dependiendo de los datos.

Los controladores de datos están obligados a informar a los interesados en caso de incumplimiento en el caso de que el incumplimiento "pueda afectarlos" (por ejemplo, nombre, dirección de correo electrónico) e informar tanto a los interesados como a la Autoridad de Protección de Datos) si los datos violados contienen también datos monetizables (por ejemplo, número de cuenta bancaria) en un máximo de 72 horas.

En conjunto, según el artículo 24 del GDPR, los responsables de los datos son responsables de asegurar que cualquier actividad de procesamiento se realice siguiendo el GDPR.