Stocarea de date sensibile din breșe de securitate. Încălcam legea cu faptul că vom deține aceste date?

Buna ziua,
Cred ca cel mai bine ar fi sa intrebati la ANSPDCP.

pentru inceput va trebuie un ofiter de protectie a datelor (angajat) . el stie ce e de facut ca sa fiti in regula

Bună ziua!
Situația prezentată de dvs. este foarte interesantă ca speță.
Sper că am înțeles bine activitatea dvs. - practic dvs. primiți baze de date cu informații confidențiale privind anumite companii și date cu caracter personal ale persoanelor fizice - salariați, și verificați constant - la cererea clientului (Compania care vă transmite datele sale) - dacă nu cumva aceste date se regăsesc pe partea de Dark Web.

S-ar impune aici o discuție împărțită pe două coordonate:
a) În ce privește datele confidențiale ale companiilor (și aici nu includem nimic referitor la persoane fizice - ci discutăm strict de date privind activitatea companiei, date care nu sunt date cu caracter personal ci date confidențiale ale companiei)
Aici ar trebui sa aveți pe lângă contractul de prestări servicii cu Clientul - Companie și un Act Adițional privind aceste date, cum le primiți, cum le stocați, cum le utilizați, ar fi de gândit strategic aici și clauze de tip - disclaimer unde să vă limitați răspunderea în anumite situații, aflat în afara controlului dvs., etc.

b) În ceea ce privește datele cu caracter personal pe care Clientul - Companie le deține privind proprii săi salariați, manageri și vi le transmite dvs. pentru a verifica dacă acestea sunt în pericol și se regăsesc pe partea de Dark Web.
Aici discutăm despre un set de obligații pe care Clientul-Companie le are față de proprii săi angajați/manageri - cărora trebuie să le comunice ce va face cu datele lor, unde și către cine le va transmite , în ce scop , etc.
Un alt set de obligații intervin în relația dintre Client-Companie și dvs. - Prestator de servicii.
În acest caz, pe lângă acel contract deja încheiat cu Clientul - Companie, ar trebui să vă calificați în mod corect calitățile din punctul de vedere al Regulamentului GDPR - respectiv dacă veți fi persoană împuternicită sau operator, iar ulterior stabilirii calității dvs., să încheiați un Acord între operator - persoană împuternicită sau Acord operator-operator.

În acest acord va trebui să stabiliți foarte clar care sunt obligațiile fiecărei părți referitor la datele transmise -primite, unde se vor păstra. ce veți face cu ele, etc.

Pentru a stabili în mod corect calitatea dvs. (operator / persoană împuternicită) trebuie să aveți în vedere - nivelul de instrucțiuni emise de operatorul de date, care stabilesc marja de manevră a persoanei împuternicite, monitorizarea de către operatorul de date a modului în care serviciile sunt executate, vizibilitatea / imaginea pe care operatorul o oferă persoanei vizate și așteptările acestora pe baza acestei vizibilități, expertiza părților, puterea autonomă de luare a deciziilor și mulți alți factori exemplificați chiar și în Avizul nr. 1 /2010 care ajută în încadrarea calităților părților.

Așadar trebuie stabilit în concret ce faceți dvs. cu datele, ce control există din partea Companiei-Client asupra dvs., modalitatea de luare a deciziilor (independența), pentru a stabili exact ce trebuie făcut pentru a vă proteja de eventuale riscuri (destul de mari).

Cu stimă,
Av. ALEXA N.