Scris de Procurement Hub
21 noiembrie 2022

GDPR, în practica Achizițiilor (II)

Pentru o bună acoperire legală, în procesul de achiziție trebuie să existe reglementată și situația în care furnizorul prelucrează date personale.

Prin urmare, specialistul în Achiziții trebuie să se asigure încă de la momentul demarării procesului de selecție că furnizorul care are acces la date cu caracter personal prelucrate de operator, beneficiarul serviciilor, îndeplinește condițiile prevăzute de regulament în acest sens.

 

În prima etapă trebuie identificată măsura în care furnizorul dobândește acces la datele cu caracter personal. Potrivit regulamentului, prin date cu caracter personal se înțelege orice informație care în mod direct sau indirect duce la identificarea unei persoane , cum ar fi nume, prenume, număr de telefon, adresă informații din cartea de identitate, în timp ce prin acces se înțelege orice formă de utilizarea acestor date, de exemplu simpla vizualizare a datelor personale se încadrează tot ca acces la date.

În măsura în care prin serviciile prestate, furnizorul are un astfel de de acces, atunci se califică fie ca persoană împuternicită, fie ca operator de date cu caracter personal, în funcție de tipul servicilor prestate și de natura activităților pe care acesta le desfășoară pentru beneficiar.

 

Dacă la întrebarea legată de accesul furnizorului la date personale, răspunsul este afirmativ, operatorul trebuie să se asigure că părțile implicate în proces sunt calificate corect din perspectiva rolurilor deținute în activitatea de prelucrare. Operator este un organism (public sau privat) care stabilește scopul și mijloacele de prelucrare a datelor personale, respectiv elementele cheie ale utilizării datelor, motivul și modalitatea de utilizare.

 

Furnizorul poate deține rol atât de operator cât și de persoană împuternicită

 

Totodată, operatorul este cel responsabil pentru conformitate cu Regulamentul și pentru demonstrarea conformității față de autoritatea competentă.

Furnizorul poate deține rol atât de operator cât și de persoană împuternicită. În cazul în care care rolul său este cel de persoană împuternicită, operatorul trebuie să se asigure că implică în prelucrarea datelor un furnizor care îndeplinește condițiile prevăzute de Regulament.

Prin persoana împuternicită se înțelege acea persoană juridică (publică sau privată) care utilizează datele în numele și pe seama operatorului, respectiv la instrucțiunile operatorului. De exemplu, în cazul furnizării servicilor de plată a salariilor angajaților, operator este cel care decide ce salarii se plătesc, când și la ce dată, în timp ce furnizorul este cel care are un loc de manevră destul de mic în stabilirea condițiilor de prelucrare (de exemplu, poate să stabilească numărul și rolul angajaților în aplicațiile folosite pentru prestarea servicilor).

 

 

În procesul de selecție, Operatorul are obligația de a utiliza numai persoane împuternicite care oferă suficiente garanții pentru a implementa măsuri tehnice și organizatorice astfel încât prelucrarea să îndeplinească cerințele prevăzute de regulament, inclusiv cele legate de securitatea prelucrărilor. Operatorul este responsabil pentru evaluarea garanțiilor suficiente oferite de persoana împuternicită cu condiția ca aceasta să poată demonstra că  a luat în considerare toate elementele solicitate de regulament. În acest sens este nevoie de un schimb de documente prin care să demonstreze această conformitate, evaluarea de către operator a garanțiilor constând într-o evaluare de risc indisolubil legată de tipul prelucrării efectuate de persoana împuternicită, având în vedere natura datelor, contextul și scopurile prelucrării precum și drepturile și obligațiile persoanei vizate.

 

Fiabilitatea persoanelor împuternicite este foarte importantă

 

Operatorul trebuie să aibă în vedere următoarele aspecte, măsuri tehnice și organizatorice implementate:

(a) expertiza de specialitate a persoanei împuternicite, de exemplu expertiza tehnică legată de măsurile de securitate și de incidentele de securitate a datelor;

(b) fiabilitatea persoanei împuternicite, respectiv în ce măsură persoana împuternicită este de încredere, aspect care poate fi dedus și din informații legate de partenerii contractuali, vechimea companiei, reputația pe piață, dimensiunea afacerii, cifra de afaceri;

(c) istoricul relației cu autoritatea de prelucrarea datelor care poate rezulta atat registrul de control, cât și din informațiile postare pe website-ul;

(d) politica de confidențialitate;

(e) politica de guvernantă a protecției datelor cu caracter personal care guvernează rolurile și responsabilitățile persoanelor implicate în utilizarea datelor cu caracter personal, inclusiv responsabilul privind protecția datelor;

(f) Registrul de încălcări ale Securității datelor personale;

(g) politica privind gestionarea încălcărilor de securitate a datelor personale în cazul în care acestea apar;

(h) registrul de evidență a prelucrării datelor;

(i) Proceduri interne care să adreseze gestionarea exercitării drepturilor drepturilor persoanelor vizate,  de exemplu atât de ștergere, dreptul de acces, dreptul de portabilitate, dreptul de restricționare și colaborarea cu operatorul în cazul apariției unei astfel de situații;

(j) Proceduri care să reglementeze cooperarea operatorului cu persoana împuternicită în cazul existenței unui control din partea autorității de protecția datelor cu privire la datele personale utilizate de persoana împuternicită pe seama operatorului.

 

Atenție la sub-contractanți!

 

Totodată, în chestionarul de evaluare a persoanei împuternicite, operatorul trebuie să identifice în ce măsură acesta utilizează sub-contractanți în prestarea servicilor cu acces la date cu caracter personal ale operatorului.

De asemenea, un aspect supus verificării constă localizarea țării din care are acces persoana împuternicită sau subcontractanții ei. În măsura în care există un acces la date personale dintr-o țară situată în afara spațiului Economic European, trebuie să fie încheiate măsuri adiționale.

Alte aspecte supuse evaluării sunt cele legate de ștergere sau returnare a datelor personale, precum și cele de securitate a datelor personale.

Informațiile solicitate furnizorului vor fi puse la dispoziția specialiștilor de protecție a datelor personale din cadrul operatorului, în scopul evaluării riscurilor prelucrării datelor prin intermediul furnizorului.

Ulterior etapei de selecție a furnizorului atât din perspectiva furnizării serviciilor, cât și din perspectiva asigurării protecției corespunzătoare a datelor, urmează faza de contractare în care se negociază și se încheie atât contractul de furnizare servicii, cât și anexele specifice prelucrării datelor personale prin împuternicit.

 

Procesul de evaluare evidențiat mai sus are rolul de a demonstra responsabilitatea operatorului și a persoanei împuternicite privind conformarea cu Regulamentul.

Share if you care

Articole asemănătoare

GDPR, în practica Achizițiilor (I)

Note introductive Rozalia Arsene   Revoluția informațională, proces devenit în ultimele decade irezistibil și, fără îndoială, ireversibil, a adus în […]

Citeste mai mult

Conformarea în aplicarea sancțiunilor internaționale: noi măsuri de reglementare propuse la nivelul Uniunii Europene. Știu companiile ce riscuri au și cum să le reducă?

Articol de opinie de Laura Lică-Banu, Director, Silvia Iancuș, Manager, Consultanță Financiară, Servicii Corporate Forensic, Deloitte România, și Cătălin Chibzui, Manager, […]

Citeste mai mult

Susținerea managementului, hit sau mit?

“S-a întâmplat odată, nu prea de mult ca într-un tărâm corporativ agitat, un achizitor misterios să se alăture unei organizații […]

Citeste mai mult

Categorii

Arhiva