Romunska Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) je v letu 2024 fokusirala svojo aktivnost na outsourcing storiteve. ANSPDCP je издal 28 odločb v zvezi z GDPR — од това 11 (39 %) ki je vključevalo outsourcing storitve BPO (Business Process Outsourcing).
Za državo s 19 milijoni prebivalci in rastočo outsourcing industrijo, je ta fokus odsev povečane regulatorne pričakovanja.
BPO industrija v Romuniji
Romunija je postala regionalna hub za outsourcing storitve. BPO podjetja — kot so Zitec, Accenta, Tekhnos — obdelujejo osebne podatke klientov iz Nemčije, Francije, Belgije. Vrsta podatkov:
- Podatki strank: Imena, naslovi, telefonske številke, e-naslov
- Finančni podatki: Računi, plačila, transakcije
- Zdravstveni podatki: Zahtevki za nadomestilo škode (za zdravstveno zavarovanje)
- Podatki zaposlenih: Evidenca prisotnosti, dohodki, podatki iz socialnega zavarovanja
Romunski ANSPDCP je v letu 2024 navedel, da 45 % BPO podjetij nima jasno napisanih pogodb za obdelavo podatkov (DPA) z nadzorniki podatkov. To je direktna kršitev članka 28 GDPR.
Kontraktne zahteve
Člen 28 GDPR zahteva, da ima vsak BPO obdelovalec podatkov (processor) napisano pogodbo za obdelavo podatkov (Data Processing Agreement, DPA). DPA mora pokrivati:
- Predmet obdelave
- Vrsta osebnih podatkov
- Kategorije upravičenih oseb
- Trajanje obdelave
- Pomoč pri izvajanju pravic GDPR oseb
- Ukrepov za varnost