Într-o lume digitalizată în continuă expansiune, protecția datelor personale a devenit o prioritate majoră pentru toate organizațiile. Regulamentul General privind Protecția Datelor (GDPR), care se aplică în România începând cu luna mai 2018, a stabilit un nou standard global în ceea ce privește modul în care datele personale trebuie gestionate și protejate. Cu amenzi semnificative de până la 4% din cifra de afaceri și riscuri legale în joc, conformitatea cu GDPR nu mai este doar o opțiune, ci o necesitate stringentă pentru orice companie care prelucrează datele cetățenilor europeni.
Însă respectarea GDPR nu se limitează doar la procesele interne ale unei organizații. Orice partener sau furnizor poate deveni un punct de vulnerabilitate dacă nu respectă, la rândul său, reglementările GDPR. O breșă de securitate sau un incident legat de protecția datelor la nivelul unei terțe părți poate avea consecințe devastatoare pentru compania ta, inclusiv amenzi, pierderi financiare și daune de imagine considerabile.
Acest articol își propune să exploreze de ce este crucial să verificați conformitatea la GDPR a partenerilor și furnizorilor cu care colaborați și cum puteți realiza această verificare. Vom analiza riscurile asociate, obligațiile legale și cele mai bune practici pentru a asigura că toate entitățile implicate respectă standardele impuse de GDPR.
Implementează GDPR și evită amenzile!
De ce trebuie verificați partenerii și furnizorii?
Datele cu caracter personal nu stau pe loc, ci circulă între multiple organizații. Atunci când datele cu caracter personal sunt supuse unui incident de securitate în cadrul unei organizații, este posibil ca și partenerii acestei organizații să sufere sancțiuni legale. Mai concret, dacă aveți un partener care nu respectă GDPR și are o breșă de securitate care afectează date cu caracter personal care provin de la dvs., există riscul ca organizația dvs. să fie amendată pentru fapta partenerului care nu respectă GDPR. Această situație este posibilă deoarece, potrivit art. 28 alin. (1) din GDPR, operatorul este obligat să lucreze doar cu furnizori (persoane împuternicite) care oferă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate pentru respectarea GDPR. Astfel, dacă s-a produs o breșă de securitate la furnizorul căruia i-ai transmis datele și nu poți demonstra că ai verificat în prealabil că furnizorul respectiv respectă GDPR, atunci poți fi amendat pentru încălcarea art. 28 alin. (1) din GDPR, cuantumul amenzii urmând să fie stabilit în funcție de criterii precum numărul persoanelor afectate, natura datelor, durata încălcării, gradul de vinovăție, etc.
Exemplul #1: O companie de e-commerce stochează datele personale ale clienților săi, inclusiv nume, adrese de email și adresa de livrare, într-un serviciu de cloud oferit de un furnizor terț. Acest furnizor suferă o breșă de securitate în urma căreia atacatorii cibernetici obțin acces la aceste date. În acest caz, dacă compania nu poate demonstra că a verificat conformitatea GDPR a furnizorului înainte de a-i încredința aceste date, compania poate fi amendată conform art. 28 alin. (1) din GDPR. Amenzile pot fi aplicate chiar dacă breșa a avut loc la furnizor, deoarece compania este considerată co-responsabilă pentru nerespectarea reglementărilor privind protecția datelor.
Exemplul #2: O companie de retail colaborează cu un furnizor de servicii de curierat pentru a livra produsele comandate de clienți. Furnizorul colectează datele personale ale clienților, inclusiv adresele și numerele de telefon, pentru a efectua livrările. Dacă furnizorul de curierat nu respectă GDPR și își pierde baza de date cu informațiile clienților în urma unui incident de securitate, compania de retail poate fi trasă la răspundere. Dacă nu poate demonstra că a verificat măsurile de protecție a datelor ale furnizorului înainte de a colabora, compania poate fi amendată pentru nerespectarea obligațiilor de a lucra cu furnizori conformi GDPR.
Cum verificăm că partenerii respectă GDPR?
Cea mai utilizată metodă pentru a verifica dacă partenerii respectă GDPR este utilizarea unor chestionare de conformitate GDPR. Aceste chestionare trebuie să acopere aspecte precum măsurile tehnice și organizatorice implementate, politicile de securitate, procesele de gestionare a datelor și măsurile de răspuns la incidente. În KIT-ul nostru de implementare GDPR, găsiți un model de chestionar pentru verificarea furnizorilor (persoane împuternicite). O altă metodă de verificare este efectuarea unui audit de conformitate la sediul partenerului pentru a verifica practicile acestuia în mod direct. De cele mai multe ori este necesar ca furnizorul să vă transmită documentația GDPR pentru a verifica în mod direct măsurile tehnice și organizatorice implementate.
Vrei să afli mai multe despre implementarea GDPR? Atunci înscrie-te la webinarul despre implementarea GDPR!
Dorești să externalizezi implementarea GDPR către un profesionist? Atunci consultă oferta noastră de servicii de implementare GDPR & DPO!
