Si nu este o exagerare, ci este o concluzie care insumeaza intreg regulamentul GDPR in ceea ce priveste transferurile.
Cu alte cuvinte, nu este de ajuns sa se asigure conformitatea in ceea ce priveste securitatea datelor in timpul transferului, sau legalitatea acestuia, ci la randul sau, atat cel care transfera (operatorul de date), cat si cel care primeste datele (persoana imputernicita) trebuie sa prelucreze acele date personale in conformitate cu intreg regulamentul GDPR, iar in cazul unei incalcarii, cel mai probabil AMBII vor fi amendati!
Toate organizatiile transfera date cu caracter personal, fie catre subcontractori/ terti/ colaboratori sau institutii publice. Si nu ne referim la transferurile internationale in UE sau in afara UE, ci transferurile de date intre operator si persoana vizata pe teritoriul Romaniei.
Poti transfera date personale fara sa iti dai seama, in situatii precum transferul datelor:
- angajatilor catre colaboratorul care furnizeaza bonurile de masa;
- angajatilor catre serviciul externalizat de contabilitate;
- pacientilor catre tertul care asigura mentenanta aplicatiilor informatice;
- pacientilor catre Casa de Asigurari;
- contribuabililor catre institutiile publice teritoriale;
- cursantilor care au participat la cursuri autorizate catre Autoritatea Nationala pentru Calificari;
- clientilor catre furnizatorul aplicatiei de facturare;
Si lista poate continua, pentru ca este aproape imposibil ca o organizatie sa nu realizeze cel putin un transfer de date personale.
Acum ca ai identificat transferurile pe care le realizezi, prima verificare pe care trebuie sa o realizezi este conformitatea cu art. 28, al. 3, care presupune faptul ca “prelucrarea de catre o persoana imputernicita de un operator este reglementata printr-un contract sau alt act juridic”.
Astfel ca, la baza transferului trebuie sa existe un contract care sa includa clauzele privind protectia datelor sau un acord anexat contractului. Pentru ca acordul sau contractul, dupa caz, sa acopere toate aspectele care tin de protectia datelor, trebuie sa cuprinda minim:
- datele operatorului si a persoanei imputernicite;
- definirea termenilor;
- obiectul si durata contractului;
- tipul si scopul prelucrarii datelor;
- tipurile de date cu caracter personal;
- categoriile de persoane vizate;
- instructiunile de prelucrare a datelor din partea operatorului (in conformitate cu art. 28, al. 3(a) din GDPR);
- instructiuni privind obligativitatea de informare a persoanei vizate (in conformitate cu art. 13 din GDPR);
- angajamentul de confidentialitate (in conformitate cu art. 28, al. 3(b) din GDPR);
- securitatea prelucrarii/ masuri tehnice si organizatorice (in conformitate cu art. 32 si art. 28, al. 3 (c) din GDPR);
- instructiuni privind contractarea unor alte persoane imputernicite – subcontractanti (in conformitate cu art. 28, al. 3 (d) din GDPR);
- obligatiile de cooperare si asistenta (in conformitate cu art. 28, al. 3 (e) din GDPR);
- asistenta pentru asigurarea respectarii obligatiilor operatorului de date (in conformitate cu art. 28, al. 3 (f) din GDPR);
- instructiuni privind stergerea si restituirea datelor cu caracter personal (in conformitate cu art. 28, al. 3 (g) din GDPR);
- demonstrarea conformitatii cu obligatiile si contributia la efectuarea auditurilor (in conformitate cu art. 28, al. 3 (h) din GDPR);
doresc consultanta personalizata
Practic, puse in aplicare, toate clauzele enumerate anterior implica respectarea de catre ambele parti (atat a operatorului, cat si a persoanei imputernicite) a Regulamentului General privind Protectia Datelor.
Inca din titlul articolului afirmam ca in cazul transferului de date personale „responsabilitatea ta este dublata, la fel probabilitatea de a fi amendat”. Argumentul principal al acestei afirmatii consta in amenzile date de la intrarea in vigoare a Regulamentului General privind Protectia Datelor, privind aceasta speta. In continuare va vom da doua exemple de amenzi date pentru incalcari survenite in cazul transferului de date, atat pentru organizatii private, cat si pentru cele publice:
- Wind Tre SpA (operatorul de date) a transferat datele utilizatorilor sai catre Merlini SRL (persoana imputernicita), in vederea subcontractarii serviciilor de marketing. Astfel ca, pentru indeplinirea obiectului contractului, Merlini SRL a furnizat utilizatorilor Wind Tre SpA campanii de marketing prin e-mailuri, apeluri telefonice si sms-uri. In urma investigatiilor, Wind Tre SpA a fost amendata cu 16,7 milioane EUR si Merlini SRL cu 200.000 EUR.
- Primaria poloneza din Aleksandrów Kujawski a transferat datelor personale fara a incheia un acord de prelucrarea datelor, cu o companie ale carei servere gazduiau resursele Buletinului de informatii publice. De asemenea, s-a identificat si faptul ca organizatia care gazduia resursele Buletinului de informatii publice nu a respectat perioada de stocare a datelor, avand declaratii de proprietate din 2010, in timp ce perioada de stocare a acestora este de 6 ani. Primaria a fost amendata cu 9.380 EUR, iar in cazul companiei care gazduia resursele Buletinului de informatii publice, investigatia nu s-a incheiat.
Concluzionand, este aproape imposibil sa existe o organizatie care sa nu transfere date cu caracter personal. Iar cum ai putut identifica in cele explicate anterior, responsabilitatea este mult mai mare, la fel si probabilitatea de a lua o amenda, pentru ca desi tu, ca operator de date, esti conform cu Regulamentul GDPR, nu ai control asupra organizatiilor terte carora le transferi datele.
Noi nu doar ca te ajutam sa iti iei toate masurile pentru asigurarea conformitatii cu regulamentul GDPR, ci iti oferim consultanta si in gestionarea relatiei cu tertii, venind cu recomandari si solutii personalizate.
doresc consultanta personalizata
De asemenea, venim in intampinarea nevoilor organizatiei dumneavoastra, cu pachete personalizate, disponibile in link-ul https://gdprexpert.ro/shop.
Urmareste-ne si afla noutatile din domeniul protectiei datelor in articolele urmatoare!
