ANSPDCP Rumunia: Compliance dla outsourcingu Business Process Outsourcing i rozliczania wynagrodzenia
Problem
Rumunska firma BPO (Business Process Outsourcing) przetwarza listę płac dla:
- Klientów z UE (podlegają RODO)
- Klientów z USA (podlegają CCPA)
- Klientów z Brazylii (podlegają LGPD)
Wszystko zarówno pod ANSPDCP.
ANSPDCP wymogi dla BPO
ANSPDCP wydała wytyczne "Outsourcing PII Przetwarzania":
1. Data Processing Agreement (DPA)
- Wymagany dla każdego klienta
- Musi specificować typ danych i cel
- Musi być podpisany PRZED przetwarzaniem
2. Security measures:
- Szyfrowanie "at rest" (AES-256)
- Szyfrowanie "in transit" (TLS 1.2+)
- Kontrola dostępu do systemów
3. Sub-processor disclosure:
- Jeśli zlecasz pracę innej firmie, musisz to ujawnić
- ANSPDCP może wymagać godz dla sub-processora
4. Data breach notification:
- 24 godziny na zgłoszenie ANSPDCP
- Automatyczne powiadamianie klientów
Architektura compliant BPO
Klient → Umowa DPA → Rumunska BPO → Szyfrowanie → Skarbonka danych
↓
Przetwarzanie
↓
Rezultat szyfrowany
Wieloregionowe wyzwania
USA (CCPA):
- Right to know: Klienta w USA mogą żądać swoich danych
- Right to delete: Muszą być usunięte w 45 dni
- Right to opt-out: Mogą zablokować sprzedaż danych
UE (RODO):
- Right to access: W 30 dni
- Right to erasure: W 30 dni
- Right to data portability: W formatach otwartych
Brazylia (LGPD):
- Right to access: W 15 dni
- Right to erasure: Ścisła (nie pseudonymizacja)
- International transfer: Wymaga zgody
Praktyczne procedury
1. Intake procedury:
Klient wysyła dane → Sprawdzenie czy jest DPA → Szyfrowanie na wejściu
2. Processing:
Otrzymane dane → Przetwarzanie w isolated environment → Szybkie usunięcie
3. Output:
Rezultat przetwarzania → Szyfrowanie na wyjściu → Dostarczenie klientowi
4. Retention:
Jak długo przechowywać dane? → Zależy od umowy DPA
Zaključak
Rumunska BPO mająca klientów z całego świata musi obsługiwać RODO, CCPA i LGPD równocześnie. Klucz to czista dokumentacja DPA, szyfrowanie i automatyczne procedury usuwania.