Folosești interpuși pentru transmiterea datelor personale? Asigură-te că respectă măsuri adecvate de securitate și organizaționale

În concret, potrivit unui comunicat recent al ANSPDCP, banca nu s-a asigurat că existau măsuri de securitate și măsuri organizatorice adecvate, în relația cu un partener contractual care primea date personale de la operator (banca), prin intermediul unui împuternicit, ca acel partener contractual să încheie polițe de asigurări.

Practic, acest lucru a dus la transmiterea unor informații neactualizate ale unor persoane fizice. După cum am mai menționat și în alte părți, GDPR prevede, ca principiu de bază, că datele prelucrate, în orice scop, trebuie să fie actualizate și relevante.

În situația de față, lipsa măsurilor de securitate și organizaționale adecvate a determinat prelucrarea eronată a datelor și transmiterea unor informații neactualizate, în vederea încheierii polițelor.

Comunicatul ANSPDCP este foarte vag și nu este clar ce departament a prelucrat eronat datele - cel al băncii (operatorul de date, adică persoana care decide ce date sunt prelucrate și pentru ce) sau persoana împuternicită (cea care prelucrează acele date în interesul primeia).

Dar, având în vedere că ANSPDCP a constatat încălcarea unor articole ce se referă la limitele în care un mandatar poate prelucra date, putem presupune, în mod rezonabil, că departamentul acestei entități nu a respectat procedura și nu s-a asigurat că datele prelucrate erau actualizate - după cum e precizat și în comunicat, „[f]ișierele transmise conțineau informații neactualizate, întrucât angajații departamentului de monitorizare al polițelor de asigurare nu au verificat și procesat polițele de asigurare în conformitate cu Procedura de lucru, fiind afectate 270 de persoane fizice”.

În orice caz, după cum reiese, atât din GDPR, cât și din comunicatul ANSPDCP, responsabilitatea pentru existența unor măsuri adecvate de securitate și organizaționale este, în primul rând, a operatorului de date (în cazul acesta, banca).