Servicii IT

Operatorii economici care ofera servicii IT de dezvoltare, mentenanta, SaaS au acces la o gama larga de date cu caracter personal, inclusiv date sensibile,  care apartin clientilor lor. Protectia datelor trebuie realizata “by design” si “by default” atat prin masuri tehnice dar si organizatorice. Gradul de conformare la prevederile Regulamentului incepe sa reprezinte un criteriu foarte important in alegerea unui furnizor IT, in contextul in care incidentele de securitate IT sunt din ce în ce mai frecvente si in conditiile in care bresele de securitate a datelor cu caracter personal implica aproape intotdeauna sisteme de calcul on premise sau cloud.

Intrucat Regulamentul prevede dreptul operatorului de evaluare si auditare a persoanei imputernicite, categorie in care se inscriu peste 90 % din furnizorii de servicii IT, dar si raspunderea solidara cu operatorul in cazul prejudiciilor cauzate persoanelor vizate, conform Art. 82 GDPR, analizam cu precadere :

• existenta acordurilor de prelucrare a datelor cu caracter personal incheiate cu operatorii si a conditiilor scrise de prelucrare
• inventarierea corecta a datelor personale si a caracterului sensibil sau special al acestora la care furnizorii IT au acces
• necesitatea realizarii de analize de impact
• problematica transferurilor de date cu caracter personal si a condițiilor legale in care aceastea pot avea loc
• existența certificarilor cu privire la securitatea datelor precum ISO 2700x sau ISO 29134
• necesitatea desemnarii unui DPO
• masurile de securitate care protejeaza solutiile informatice
• existenta auditurilor IT
• instruirea personalului furnizorilor IT cu privire la cerintele Regulamentului
• politicile si  procedurile cu privire la recuperarea in caz de dezastru si continuitatea afacerii ( DR/BC)
• existenta prelucrarilor de date in alt scop decat cel initial