Masuri de siguranta pentru un colaborator extern
Intrebare: Firma noastra are mai multi clienti carora le pune la dispozitie utilizarea unei aplicatii informatice web pentru administrarea personalului. Fata de de client suntem imputernicit. Alta firma realizeaza pentru acelasi client servicii de administrare de personal. Atat noi cat si firma de HR avem acces la datele personale ale angajatilor clientului. Conform GDPR ar trebui sa dam curs cererilor persoanelor vizate, adica acestor angajati, desi e foarte putin probabil ca vreunul sa ne adreseze vreo cerere in acest sens. Totusi, daca asa ceva se intampla noi nu avem dreptul conform contractului de servicii cu clientul sa operam modificari in baza de date de angajati pentru ca nu realizam servicii de administrare de personal. Acestea trebuie sa fie realizate de departamentul de HR al clientului sau al firmei de administrare de personal. Cum putem demonstra ca ne conformam legii intr-o astfel de situatie?
Raspuns:
Cu titlu general mentionam ca in acordul de prelucrare a datelor cu caracter personal incheiat cu clientul ar trebui sa fie atent reglementate aspectele indicate in cuprinsul art. 28 si 29 din Regulamentul (UE) 2016/679, printre care ar trebui sa se regaseasca si instructiuni precise si clare din partea operatorului in ceea ce priveste prelucrarea datelor cu caracter personal de catre dumneavoastra.
Ca obligatie principala si generala prevazuta de GDPR in sarcina persoanei imputernicite este de a oferi garantii suficiente pentru punerea in aplicare a unor masuri tehnice si organizatorice adecvate, astfel incat prelucrarea sa respecte cerintele prevazute in regulament si sa asigure protectia drepturilor persoanei vizate (implementare algoritm de criptare/abstractizare si decriptare pe contul utilizatorului/clientului, implementare procedura interna cu drepturi de acces limitate, politica de securitate, procedura de reactie la eventuale brese de securitate s.a.m.d.).
Ca obligatie principala si generala prevazuta de GDPR in sarcina persoanei imputernicite este de a oferi garantii suficiente pentru punerea in aplicare a unor masuri tehnice si organizatorice adecvate, astfel incat prelucrarea sa respecte cerintele prevazute in regulament si sa asigure protectia drepturilor persoanei vizate (implementare algoritm de criptare/abstractizare si decriptare pe contul utilizatorului/clientului, implementare procedura interna cu drepturi de acces limitate, politica de securitate, procedura de reactie la eventuale brese de securitate s.a.m.d.).
In ceea ce priveste raspunsul necesar a fi acordat cererilor persoanelor vizate, conform art. 29 alin. 3 lit. e), persoana imputernicita de operator: tinand seama de natura prelucrarii, ofera asistenta operatorului prin masuri tehnice si organizatorice adecvate, in masura in care acest lucru este posibil, pentru indeplinirea obligatiei operatorului de a raspunde cererilor privind exercitarea de catre persoana vizata a drepturilor prevazute in capitolul III; . Asadar, conform GDPR dumneavoastra, in calitate de imputernicit trebuie sa ajutati operatorul in acest sens, care de altfel este singurul in masura, conform legii, sa raspunda cererilor persoanelor vizate.
Ca variante de acoperire a ipotezei in care persoanele vizate (angajatii clientului) va vor adresa o cerere in baza GDPR puteti implementa masuri de redirectionare automata a acestora catre operator, masura ce poate fi setata (de cele mai multe ori) direct din portal sau implementata in afara acestuia. Ca dovada trebuie sa pastrati cererile de redirectionare. Daca redirectionarea se face direct din portal puteti efectua un mecanism de audit al cererilor sau in ipoteza contara se impune salvarea e-mailurilor intr-o casuta de email cu drepturi limitate de acces. O varianta alternativa a redirectionarii cererilor poate fi plasarea acestora pe un server SFTP la care clientul/departamentul de HR are acces. Recomandam ca, indiferent de varianta pe care o veti aborda, aceasta sa fie prevazuta in acordul de prelucrare a datelor cu caracter personal incheiat cu operatorul client.
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!
Articole similare din categoria Drepturile persoanelor fizice
06Sep2018
Proceduri GDPR aplicate in departamentul de resurse umane dintr-o institutie publica
de Oxana Dumitrache - Chironda
valabil la 06 Sep 2018
24Mai2018
Ce masuri trebuie sa ia o companie care lucreaza cu angajati ocazionali?
de Andreea COMAN
valabil la 24 Mai 2018