Toate firmele, mici sau mari, sunt rotițe dintr-un angrenaj comercial, lanțul valorii. Toate firmele sunt simultan și client și furnizor. Succesul tuturor firmelor este dependent de valoarea mărfurilor sau serviciilor furnizate. În GDPR, riscul tuturor firmelor este dependent (și) de riscul furnizorilor de servicii.
Este bine de știut că operatorul de date personale poartă întreaga responsabilitate – și pentru propriile activități și măsuri de protecție a datelor personale și pentru activitățile și măsurile de protecție a datelor personale întreprinse de furnizorii săi de servicii. Nu există delegare sau limitare de responsabilitate. De aceea, articolul 28, paragraf 1 menționează explicit: “…operatorul recurge doar la persoane împuternicite care oferă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute în prezentul regulament și să asigure protecția drepturilor persoanei vizate.”
Așadar firmele care își propun să respecte cerințele GDPR trebuie să ia în considerare și nivelul de conformitate al tuturor furnizorilor de servicii. Printre cele mai uzuale servicii prestate de terțe părți enumerăm, fără nicio pretenție de a fi o listă completă: recrutare, salarizare, instruire, marketing, curierat, administrare soluții IT, administrare hardware IT, hosting, servicii cloud, pază, etc, etc
În consecință orice analiză și mai ales implementare a unor măsuri organizaționale și/sau tehnice TREBUIE să includă răspunsurile și dovezile concludente din partea furnizorilor la următoarele întrebări:
1. Ați derulat programe de instruire a personalului pe tema GDPR?
Obligația și motivația instruirii întregului personal sunt definite de posibilitatea că oricare angajat să greșească din neglijență sau cu rea credința. Nu contează poziționarea ierarhică sau formala fișă a postului, ci accesul real, direct sau indirect, la date personale. Instruirea reduce considerabil probabilitatea că un angajat să producă un prejudiciu costisitor pentru angajator și pentru clientul angajatorului. Instruirea favorizează un limbaj comun și deci colaborarea între client și furnizor.
2. Care este stadiul de implementare a măsurilor organizaționale și tehnice privitoare la GDPR?
În mod absolut logic măsurile luate de operatorul de date personale trebuie să fie însoțite și eventual completate sau îmbogățite de măsurile luate de împuterniciții acestuia, adică furnizorii săi. În caz contrar principiul verigii slabe se poate manifestă cu consecințe dureroase și costisitoare.
3. Puteți soluționa solicitările de ștergere a datelor personale? Dacă da, cât de repede?
Solicitările de ștergere pot veni din partea persoanelor fizice (dreptul de a fi uitat sau obiecție) sau din partea operatorului-client care poate decide ștergerea și/sau distrugerea datelor considerate a nu mai fi necesare. Astfel de solicitări trebuie soluționate într-un timp relativ scurt și ar fi ideal dacă ștergerea se poate face automat și cu dovada ștergerii.
4. Există terțe părți care au acces la datele personale?
Este foarte posibil ca furnizorii să aibă proprii furnizori subcontractați pentru anumite servicii și în acest caz este de la sine înțeles că și aceștia trebuie să respecte GDPR – pe lângă notificarea și respectiv acordul clientului.
5. Ce plan de măsuri este elaborat și aplicabil în cazuri de breșe de securitate?
Ultimul lucru pe care vi-l doriți este un incident de securitate – fie datorită unor atacuri cibernetice externe sau unor cauze interne. Seriozitatea clientului TREBUIE să fie însoțită de seriozitatea furnizorilor. În condițiile extreme de criză seriozitatea și colaborarea impecabilă pentru detectarea și soluționarea breșelor de securitate pot face diferența dintre un incident și un dezastru.
Principiul dominoului GDPR va testa multe relații comerciale actuale. Acest articol ridică doar o parte din cortină. Pentru restul există consultanți cu expertiză și experiență de business.