罗马尼亚的BPO问题
ANSPDCP(罗马尼亚数据保护当局)对BPO(业务流程外包)部门进行严格的执行。
Why?罗马尼亚是欧洲的BPO中心。许多罗马尼亚公司为欧洲银行、保险公司、电信公司处理客户数据。
常见的BPO角色:
- 呼叫中心代理(与客户交谈,访问账户详情)
- 数据输入操作员(输入客户数据)
- 税务准备助理(处理税号和财务信息)
- 医疗转录员(从医生的录音转录医疗记录)
ANSPDCP的关键关注
关注1:处理人与控制人的不清晰关系
Many罗马尼亚BPO公司与其欧洲客户之间没有清晰的数据处理协议(DPA)。
ANSPDCP说:
- 数据处理协议是强制性的(GDPR第28条)
- 协议必须明确说明双方的责任
- 许多BPO公司没有适当的DPA
关注2:跨国转移缺乏安全措施
Many罗马尼亚BPO公司处理欧洲PII但部分员工位于罗马尼亚之外的地方。
ANSPDCP问:"您如何处理跨国转移?您有什么安全措施?"许多公司说"我们没有考虑过。"
关注3:员工PII访问控制不足
Many呼叫中心让所有员工都可以访问所有客户账户。ANSPDCP说:这违反了最小化原则。
员工应该只能访问完成他们的工作所需的数据。
关注4:数据保留太长
Many BPO公司由于工作流的困难,长期保留客户数据。
ANSPDCP说:数据应在30-90天内与原始控制人共享,除非有法律要求保留。
ANSPDCP对BPO的常见罚款
| 违规 | 典型罚款 |
|---|---|
| 无DPA | €5,000-25,000 |
| 员工访问过度 | €5,000-15,000 |
| 数据保留太长 | €10,000-30,000 |
| 没有员工培训 | €3,000-10,000 |
ANSPDCP对BPO部门的改进要求
-
签署正确的DPA
- 清晰说明数据所有权
- 清晰说明删除责任
- 包括审计权
-
员工培训
- 所有员工都应该知道GDPR和PII处理
- 定期的(至少每年)
-
访问控制
- 员工应该只能访问他们的工作所需的数据
- 角色基础访问控制(RBAC)
- 审计日志所有访问
-
数据处理协议和程序
- 清晰的数据流
- 清晰的删除程序
- 清晰的违规报告程序
底线
ANSPDCP对BPO部门的关键信息:强有力的DPA、员工培训和访问控制是强制性的。
来源: