avocatnet.ro explicăm legislația
Caută (ex. salariu minim) 210 soluții astăzi
Forum Discuţii juridice Dreptul, calculatorul meu şi ... Stocarea de date sensibile din breșe de securitate. ...
Discuție deschisă în Dreptul, calculatorul meu şi internetul

Stocarea de date sensibile din breșe de securitate. Încălcam legea cu faptul că vom deține aceste date?

Buna ziua,

Suntem o companie de securitate cibernetica si oferim clientilor nostri (companii) un serviciu prin care monitorizam daca datele lor sensibile precum conturi si parole, conturi bancare, date despre angajati si clienti etc. apar in baze de date ale breselor de securitate, care se gasesc in general hostate pe Dark Web.

Aceste baze de date trebuie descarcate in serverele noastre, pentru a putea cauta in ele si contin date sensibile despre mii de companii si persoane.

Intrebarea mea este: d.p.d.v legal, incalcam legea prin faptul ca vom detine aceste date? Si daca da, ce anume putem face pentru a oferii serviciul legal.
Scopul exercitiului este acela de a ajuta companiile client sa afle daca au avut brese de securitate, dar detinerea de date ale altor companii ne ingrijoreaza.

Multumesc anticipat!
Ultima modificare: Luni, 25 Februarie 2019
Manuela Rășină, administrator
Cel mai recent răspuns: ALEXA - Cabinet de avocatură , Avocat 21:26, 24 Februarie 2019
Buna ziua,
Cred ca cel mai bine ar fi sa intrebati la ANSPDCP.
pentru inceput va trebuie un ofiter de protectie a datelor (angajat) . el stie ce e de facut ca sa fiti in regula
2 din 2 utilizatori consideră
acest răspuns util
Bună ziua!
Situația prezentată de dvs. este foarte interesantă ca speță.
Sper că am înțeles bine activitatea dvs. - practic dvs. primiți baze de date cu informații confidențiale privind anumite companii și date cu caracter personal ale persoanelor fizice - salariați, și verificați constant - la cererea clientului (Compania care vă transmite datele sale) - dacă nu cumva aceste date se regăsesc pe partea de Dark Web.

S-ar impune aici o discuție împărțită pe două coordonate:
a) În ce privește datele confidențiale ale companiilor (și aici nu includem nimic referitor la persoane fizice - ci discutăm strict de date privind activitatea companiei, date care nu sunt date cu caracter personal ci date confidențiale ale companiei)
Aici ar trebui sa aveți pe lângă contractul de prestări servicii cu Clientul - Companie și un Act Adițional privind aceste date, cum le primiți, cum le stocați, cum le utilizați, ar fi de gândit strategic aici și clauze de tip - disclaimer unde să vă limitați răspunderea în anumite situații, aflat în afara controlului dvs., etc.

b) În ceea ce privește datele cu caracter personal pe care Clientul - Companie le deține privind proprii săi salariați, manageri și vi le transmite dvs. pentru a verifica dacă acestea sunt în pericol și se regăsesc pe partea de Dark Web.
Aici discutăm despre un set de obligații pe care Clientul-Companie le are față de proprii săi angajați/manageri - cărora trebuie să le comunice ce va face cu datele lor, unde și către cine le va transmite , în ce scop , etc.
Un alt set de obligații intervin în relația dintre Client-Companie și dvs. - Prestator de servicii.
În acest caz, pe lângă acel contract deja încheiat cu Clientul - Companie, ar trebui să vă calificați în mod corect calitățile din punctul de vedere al Regulamentului GDPR - respectiv dacă veți fi persoană împuternicită sau operator, iar ulterior stabilirii calității dvs., să încheiați un Acord între operator - persoană împuternicită sau Acord operator-operator.

În acest acord va trebui să stabiliți foarte clar care sunt obligațiile fiecărei părți referitor la datele transmise -primite, unde se vor păstra. ce veți face cu ele, etc.

Pentru a stabili în mod corect calitatea dvs. (operator / persoană împuternicită) trebuie să aveți în vedere - nivelul de instrucțiuni emise de operatorul de date, care stabilesc marja de manevră a persoanei împuternicite, monitorizarea de către operatorul de date a modului în care serviciile sunt executate, vizibilitatea / imaginea pe care operatorul o oferă persoanei vizate și așteptările acestora pe baza acestei vizibilități, expertiza părților, puterea autonomă de luare a deciziilor și mulți alți factori exemplificați chiar și în Avizul nr. 1 /2010 care ajută în încadrarea calităților părților.

Așadar trebuie stabilit în concret ce faceți dvs. cu datele, ce control există din partea Companiei-Client asupra dvs., modalitatea de luare a deciziilor (independența), pentru a stabili exact ce trebuie făcut pentru a vă proteja de eventuale riscuri (destul de mari).

Cu stimă,
Av. ALEXA N.

~ final discuție ~

Alte discuții în legătură

Ce înseamnă ”prestarea de activități economice la sediul ... R2004GEO R2004GEO Ce înseamnă ”prestarea de activități economice la sediul firmei”? Doresc să-mi deschid o afacere în mediul online, un site de cărți, mai exact, ... (vezi toată discuția)
Magazin online cu sediu social fara activitate economica EllenB EllenB Buna ziua! Voi deschide un magazin online ce se va ocupa cu comertul de haine. Activitatea de preluare comenzi, tot ce tine de relatia cu furnizorii, comenzile ... (vezi toată discuția)
Gdpr dezvoltator software care ofera dezvoltare continua si mentenanta Educativ Educativ Buna ziua, 1. Firmele care dezvolta si administreaza tehnic magazine online au nevoie de DPO sau sa se inscrie in registre nationale a operatorilor de date ... (vezi toată discuția)