Toate firmele, mici sau mari, sunt rotițe dintr-un angrenaj comercial, lanțul valorii. Toate firmele sunt simultan și client și furnizor. Succesul tuturor firmelor este dependent de valoarea mărfurilor sau serviciilor furnizate. În GDPR, riscul tuturor firmelor este dependent (și) de riscul furnizorilor de servicii.
Este bine de știut că operatorul de date personale poartă întreaga responsabilitate – și pentru propriile activități și măsuri de protecție a datelor personale și pentru activitățile și măsurile de protecție a datelor personale întreprinse de furnizorii săi de servicii. Nu există delegare sau limitare de responsabilitate. De aceea, articolul 28, paragraf 1 menționează explicit: “…operatorul recurge doar la persoane împuternicite care oferă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute în prezentul regulament și să asigure protecția drepturilor persoanei vizate.”
Așadar firmele care își propun să respecte cerințele GDPR trebuie să ia în considerare și nivelul de conformitate al tuturor furnizorilor de servicii. Printre cele mai uzuale servicii prestate de terțe părți enumerăm, fără nicio pretenție de a fi o listă completă: recrutare, salarizare, instruire, marketing, curierat, administrare soluții IT, administrare hardware IT, hosting, servicii cloud, pază, etc, etc
În consecință orice analiză și mai ales implementare a unor măsuri organizaționale și/sau tehnice TREBUIE să includă răspunsurile și dovezile concludente din partea furnizorilor la următoarele întrebări:
Obligația și motivația instruirii întregului personal sunt definite de posibilitatea că oricare angajat să greșească din neglijență sau cu rea credința. Nu contează poziționarea ierarhică sau formala fișă a postului, ci accesul real, direct sau indirect, la date personale. Instruirea reduce considerabil probabilitatea că un angajat să producă un prejudiciu costisitor pentru angajator și pentru clientul angajatorului. Instruirea favorizează un limbaj comun și deci colaborarea între client și furnizor.
În mod absolut logic măsurile luate de operatorul de date personale trebuie să fie însoțite și eventual completate sau îmbogățite de măsurile luate de împuterniciții acestuia, adică furnizorii săi. În caz contrar principiul verigii slabe se poate manifestă cu consecințe dureroase și costisitoare.
Solicitările de ștergere pot veni din partea persoanelor fizice (dreptul de a fi uitat sau obiecție) sau din partea operatorului-client care poate decide ștergerea și/sau distrugerea datelor considerate a nu mai fi necesare. Astfel de solicitări trebuie soluționate într-un timp relativ scurt și ar fi ideal dacă ștergerea se poate face automat și cu dovada ștergerii.
Este foarte posibil ca furnizorii să aibă proprii furnizori subcontractați pentru anumite servicii și în acest caz este de la sine înțeles că și aceștia trebuie să respecte GDPR – pe lângă notificarea și respectiv acordul clientului.
Ultimul lucru pe care vi-l doriți este un incident de securitate – fie datorită unor atacuri cibernetice externe sau unor cauze interne. Seriozitatea clientului TREBUIE să fie însoțită de seriozitatea furnizorilor. În condițiile extreme de criză seriozitatea și colaborarea impecabilă pentru detectarea și soluționarea breșelor de securitate pot face diferența dintre un incident și un dezastru.
Principiul dominoului GDPR va testa multe relații comerciale actuale. Acest articol ridică doar o parte din cortină. Pentru restul există consultanți cu expertiză și experiență de business.
Ce frumoasă și ușoară ar fi viața angajatorilor dacă nu ar trebui să-și facă deloc griji cu privire la integritatea…
Cu un temerar optimism, firmele mici și mijlocii sunt încredințate că amploarea cerințelor GDPR și a amenzilor aferente nu reprezintă…
Responsabilul cu Protecția Datelor (DPO): personajul inedit introdus de GDPR despre care s-a discutat mult și s-a acționat mult mai…
Breșele de securitate sunt în imensa majoritate a cazurilor considerate a fi produse de hackeri necunoscuti. Realitatea statistica contrazice ferm…
Institutiile medicale de stat sau private sunt in mod special vulnerabile in fata cerintelor complexe ale protectiei datelor personale din…
Zilele se scurg din ce în ce mai repede spre un verdict din ce în ce mai probabil: “no deal…
Acest site foloseste module cookie.