Lista de verificare pentru contracte intre operatori si persoanele imputernicite de operatori
Contractele trebuie sa includa urmatoarele date obligatorii:
- obiectul si durata prelucrarii;
- natura si scopul prelucrarii;
- tipul de date cu caracter personal si categoriile de persoane vizate;
- obligatiile si drepturile operatorului.
Contractele trebuie sa includa urmatoarele conditii obligatorii:
- persoana imputernicita de operator trebuie sa actioneze numai in baza instructiunilor documentate din partea operatorului (cu exceptia cazului in care legea - ii permite sa actioneze fara asemenea instructiuni);
- persoana imputernicita de operator trebuie sa se asigure ca persoanele autorizate care prelucreaza datele cu caracter personal sunt supue unei obligatii de confidentialitate sau au o obligatie statutara adecvata de confidentialitate;
- persoana imputernicita de operator trebuie sa ia masuri tehnice si organizatorice adecvate pentru a asigura securitatea prelucrarii;
- persoana imputernicita de operator trebuie sa angajeze un subcontractant numai cu acordul prealabil al operatorului de date cu caracter personal si printr-un contract scris;
- persoana imputernicita de operator trebuie sa asiste operatorul de date cu caracter personal in vederea asigurarii accesului persoanelor vizate si permiterii exercitarii drepturilor ce le revin conform GDPR;
- persoana imputernicita de operator trebuie sa asiste operatorul de date cu caracter personal la indeplinirea obligatiilor GDPR in legatura cu securitatea prelucrarii, notificarea incalcarilor securitatii datelor cu caracter personal si evaluarile impactului asupra protectiei datelor;
- persoana imputernicita de operator trebuie sa stearga sau sa returneze operatorului toate datele cu caracter personal, la alegerea operatorului, dupa incetarea furnizarii serviciilor legate de prelucrare si sa elimine copiile existnte, cu exceptia cazului in care legea impune stocarea datelor cu caracter personal;
- persoana imputernicita de operator trebuie sa se supuna unor audituri si inspectii efectuate de operator sau alt auditor mandatat, sa furnizeze operatorului orice informatii de care acesta are nevoie pentru a se asigura ca amandoi isi respecta obligatiile conform art. 28, precum si sa raporteze imediat operatorului daca i se solicita sa faca ceva ce incalca GDPR sau o alta lege privind protectia datelor a UE sau a unui stat membru.
Crearea unui cadru contractual care sa depaseasca simpla formulare a art. 28 pentru a specifica cerinte mai detaliate, precum:
- masuri minime de securitate specifice;
- necesitatea de a adera la un plan de securitate;
- necesitatea de a trece prin testari periodice ale sistemelor;
- necesitatea de a efectua evaluari ale amenintarilor, ale vulnerabilitatii si ale maturitatii
- locuri de prelucrare permise si nepermise;
- permiterea sau nepermiterea subcontractarii;
- un plan pentru ce se intampla cu datele la finalul angajamentului comercial;
- indemnizatii impotriva penalitatilor si sanctiunilor regulamentare;
- orice alte costuri aferente unei incalcari, cum ar fi o notificare sau servicii destinate victimelor (persoanelor vizate).
Ca buna practica, contractele ar trebui:
- sa prevada ca nicio prevedere din contract nu o exonereaza pe persoana imputernicita de operator de responsabilitatile si raspunderile sale directe conform GDPR;
- sa stipuleze orice indemnizatie convenita.
Responsabilitatile si raspunderile persoanelor imputernicite de operator
Persoana imputernicita de operator ar trebui:
- sa actioneze numai in baza instructiunilor scrise ale operatorului;
- sa nu foloseasca un subcontractant fara permisiunea prealabila scrisa a operatorului;
- sa coopereze cu autoritatile de supraveghere (precum ANSPDCP);
- sa asigure securitatea prelucrarii;
- sa pastreze evidenta activitatilor sale de prelucrare;
- sa angajeze un responsabil cu protectia datelor, daca este necesar;
- sa desemneze (in scris) un reprezentant in UE, daca este necesar.
De asemenea, persoana imputernicita de operator ar trebui sa:
- poate fi supusa puterilor investigative si corective ale autoritatilor de supraveghere (precum ANSPDCP);
- daca nu isi indeplineste obligatiile, poate fi supusa unei amenzi administrative;
- daca nu isi indeplineste obligatiile, poate fi supusa unei penalitati;
- daca nu isi indeplineste obligatiile prevazute in GDPR, poate fi obligata sa plateasca despagubiri.
Etapa precontractuala de verificare prealabila a persoanei imputernicite de operator si a subcontractantilor persoanei imputernicite de operator
Lista de verificare a aspectelor de luat in considerare in etapa precontractuala de verificare prealabila, care pot furniza dovezi ca au fost urmati pasii necesari. De exemplu, acesti pasi pot include:
- verificarea faptului ca persoana imputernicita de operator/subcontractantul cunoaste cerintele esentiale referitoare la protectia datelor;
- cercetarea daca persoana imputernicita de operator a suferit orice incalcari recente sau grave ale confidentialitatii sau ale securitatii;
- clarificarea daca persoana imputernicita de operator face sau a facut obiectul unor investigatii pentru orice incalcari ale legii privind protectia datelor;
- identificarea celorlalti clienti ai persoanei imputernicite de operator;
- clarificarea daca persoana imputernicita de operator este acreditata conform ISO 27001, CBEST, PCI sau DSS sau conform oricarui sistem similar de securitate a informatiilor;
- analizarea cadrului de politici ale persoanei imputernicite de operator cu privire la securitate si protectia datelor;
- efectuarea unor audituri;
- identificarea punctelor de lucru ale persoanei imputernicite de operator;
- intelegerea lantului de aprovizionare si subcontractantilor persoanei imputernicite de operator.
- obiectul si durata prelucrarii;
- natura si scopul prelucrarii;
- tipul de date cu caracter personal si categoriile de persoane vizate;
- obligatiile si drepturile operatorului.
Contractele trebuie sa includa urmatoarele conditii obligatorii:
- persoana imputernicita de operator trebuie sa actioneze numai in baza instructiunilor documentate din partea operatorului (cu exceptia cazului in care legea - ii permite sa actioneze fara asemenea instructiuni);
- persoana imputernicita de operator trebuie sa se asigure ca persoanele autorizate care prelucreaza datele cu caracter personal sunt supue unei obligatii de confidentialitate sau au o obligatie statutara adecvata de confidentialitate;
- persoana imputernicita de operator trebuie sa ia masuri tehnice si organizatorice adecvate pentru a asigura securitatea prelucrarii;
- persoana imputernicita de operator trebuie sa angajeze un subcontractant numai cu acordul prealabil al operatorului de date cu caracter personal si printr-un contract scris;
- persoana imputernicita de operator trebuie sa asiste operatorul de date cu caracter personal in vederea asigurarii accesului persoanelor vizate si permiterii exercitarii drepturilor ce le revin conform GDPR;
- persoana imputernicita de operator trebuie sa asiste operatorul de date cu caracter personal la indeplinirea obligatiilor GDPR in legatura cu securitatea prelucrarii, notificarea incalcarilor securitatii datelor cu caracter personal si evaluarile impactului asupra protectiei datelor;
- persoana imputernicita de operator trebuie sa stearga sau sa returneze operatorului toate datele cu caracter personal, la alegerea operatorului, dupa incetarea furnizarii serviciilor legate de prelucrare si sa elimine copiile existnte, cu exceptia cazului in care legea impune stocarea datelor cu caracter personal;
- persoana imputernicita de operator trebuie sa se supuna unor audituri si inspectii efectuate de operator sau alt auditor mandatat, sa furnizeze operatorului orice informatii de care acesta are nevoie pentru a se asigura ca amandoi isi respecta obligatiile conform art. 28, precum si sa raporteze imediat operatorului daca i se solicita sa faca ceva ce incalca GDPR sau o alta lege privind protectia datelor a UE sau a unui stat membru.
Crearea unui cadru contractual care sa depaseasca simpla formulare a art. 28 pentru a specifica cerinte mai detaliate, precum:
- masuri minime de securitate specifice;
- necesitatea de a adera la un plan de securitate;
- necesitatea de a trece prin testari periodice ale sistemelor;
- necesitatea de a efectua evaluari ale amenintarilor, ale vulnerabilitatii si ale maturitatii
- locuri de prelucrare permise si nepermise;
- permiterea sau nepermiterea subcontractarii;
- un plan pentru ce se intampla cu datele la finalul angajamentului comercial;
- indemnizatii impotriva penalitatilor si sanctiunilor regulamentare;
- orice alte costuri aferente unei incalcari, cum ar fi o notificare sau servicii destinate victimelor (persoanelor vizate).
Ca buna practica, contractele ar trebui:
- sa prevada ca nicio prevedere din contract nu o exonereaza pe persoana imputernicita de operator de responsabilitatile si raspunderile sale directe conform GDPR;
- sa stipuleze orice indemnizatie convenita.
Responsabilitatile si raspunderile persoanelor imputernicite de operator
Persoana imputernicita de operator ar trebui:
- sa actioneze numai in baza instructiunilor scrise ale operatorului;
- sa nu foloseasca un subcontractant fara permisiunea prealabila scrisa a operatorului;
- sa coopereze cu autoritatile de supraveghere (precum ANSPDCP);
- sa asigure securitatea prelucrarii;
- sa pastreze evidenta activitatilor sale de prelucrare;
- sa angajeze un responsabil cu protectia datelor, daca este necesar;
- sa desemneze (in scris) un reprezentant in UE, daca este necesar.
De asemenea, persoana imputernicita de operator ar trebui sa:
- poate fi supusa puterilor investigative si corective ale autoritatilor de supraveghere (precum ANSPDCP);
- daca nu isi indeplineste obligatiile, poate fi supusa unei amenzi administrative;
- daca nu isi indeplineste obligatiile, poate fi supusa unei penalitati;
- daca nu isi indeplineste obligatiile prevazute in GDPR, poate fi obligata sa plateasca despagubiri.
Etapa precontractuala de verificare prealabila a persoanei imputernicite de operator si a subcontractantilor persoanei imputernicite de operator
Lista de verificare a aspectelor de luat in considerare in etapa precontractuala de verificare prealabila, care pot furniza dovezi ca au fost urmati pasii necesari. De exemplu, acesti pasi pot include:
- verificarea faptului ca persoana imputernicita de operator/subcontractantul cunoaste cerintele esentiale referitoare la protectia datelor;
- cercetarea daca persoana imputernicita de operator a suferit orice incalcari recente sau grave ale confidentialitatii sau ale securitatii;
- clarificarea daca persoana imputernicita de operator face sau a facut obiectul unor investigatii pentru orice incalcari ale legii privind protectia datelor;
- identificarea celorlalti clienti ai persoanei imputernicite de operator;
- clarificarea daca persoana imputernicita de operator este acreditata conform ISO 27001, CBEST, PCI sau DSS sau conform oricarui sistem similar de securitate a informatiilor;
- analizarea cadrului de politici ale persoanei imputernicite de operator cu privire la securitate si protectia datelor;
- efectuarea unor audituri;
- identificarea punctelor de lucru ale persoanei imputernicite de operator;
- intelegerea lantului de aprovizionare si subcontractantilor persoanei imputernicite de operator.
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!
Un produs marca