RSS
Should the controller reassess the relationship with its processor in the context of this new pandemic?
07 Aprilie 2020 Cristina Crețu, Senior Privacy & Technology Consultant - Maravela, Popescu & Roman
We live in a new era, where the risks are multiplying and endanger the security and integrity of data.
|
|
Cristina Cretu, Senior Privacy & Technology Consultant - Maravela, Popescu & Roman |
Pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (“General Data Protection Regulation”), controllers must only use processors that provide sufficient guarantees regarding their capability to implement appropriate technical and organizational measures to ensure that all processing activities are performed and protected in line with the legal requirements.
In this respect, before engaging the services of a processor, the controller must perform a proper assessment of the processor’s capabilities to process the entrusted personal data in a secure and confidential manner, in accordance with the provisions of the General Data Protection Regulation.
The duty of care that needs to be observed by the processor must be reflected into a contract concluded with the controller. Such contract must stipulate that the processor will take all technical and organizational measures to ensure a level of security in accordance with the risk, including inter alia as appropriate:
(i) the ability to ensure the ongoing confidentiality, integrity, availability and resilience of processing systems and services;
(ii) the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident;
(iii) a process for regularly testing, assessing and evaluating the effectiveness of technical and organizational measures for ensuring the security of the processing.
2. Times are changing, should the processors be reassessed?
Due to the new severe acute respiratory syndrome coronavirus 2, known as SARS-CoV-2, emergency measures were taken throughout the world in order to contain the spread of and fight against the effects of SARS-CoV-2. One of those measures was for the companies, where possible, to send their employees to work from home.
Does this new scenario change the controller’s initial assessment on the processor’s ability to ensure the technical and organizational measures in relation with the processing of personal data?
The answer is yes, if the controller considered only the capabilities offered by the processor within its premises. It is possible that most controllers did not took into account the processor’s readiness to ensure the secure processing of personal data via remote access by employees working from home. From a security perspective, any remote access to data might present a risk that needs to be properly addressed.
The EU Agency for Cybersecurity (“ENISA”), the National Cyber Security and Incident Response Teams (“CERTs”) and the national Data Protection Authorities (“DPAs”) are all advising on the need to maintain an adequate level of cybersecurity when working from home and recommend companies to take measures such as:
(i) to ensure that the corporate VPN solution scales and is able to sustain a large number of simultaneous connections;
(ii) to provide secure video conferencing for corporate clients;
(iii) all the corporate business applications must be accessible only via encrypted communication channels;
(iv) access to application portals should be safeguarded using multifactor authentication mechanisms.
These recommendations were issued not just because there is an increase in the number of people that are working and having access to systems remotely, but also because in this state of emergency the number of cyber-attacks, such as denial-of-service (DoS) and distributed denial-of-service (DDoS) attacks, man-in-the-middle (MitM) attack, phishing and spear phishing attacks, drive-by attack, password attack, intensified. Both situations can result in an increase number of security incidents, from which a lot of such might prove be data breaches.
In this context, it is evident that, from a security perspective, we operate in a scenario, that is different than the one took into account by the controller when selecting the processor. The initial assessment of the risks presented by the data processing, such as accidental and unlawful destruction, loss, unauthorized disclosure of data, translated into security measures meant to mitigate the respective risks. But now the scenario is different, and the risks presented by the data processing in the new environment (working from home) might require different security measures in order to mitigate the such.
In this respect, the controllers should perform at least an assessment on the security measures in place and if such measures are enough to ensure that their processors are still fit to handle the entrusted personal data.
3. Conclusion
| Publicitate pe BizLawyer? |
  |
| Articol 4310 / 4606 | Următorul articol |
| Publicitate pe BizLawyer? |
                                    |
Apreciată constant de ghidurile juridice internaționale pentru mandatele sofisticate, practica de Capital Markets a CMS România a devenit, prin consistență și profunzime, unul dintre pilonii reputației firmei pe piața locală și un reper important în rețeaua sa regională | De vorbă cu Cristina Reichmann (Partener) despre disciplina pregătirii pentru bursă, finețea aplicării regulilor de piață și forța unei echipe care lucrează articulat, cu roluri clare și obiective aliniate
Filip & Company a organizat în parteneriat cu Asociația Studenților în Drept cea de-a zecea ediție a Concursului de negocieri simulate „Teodora Tudose”
MAXIM ̸ Asociații asistă EMSIL TECHTRANS în tranzacția imobiliară încheiată cu METSO pentru o proprietate industrială din Oradea
Kinstellar a consiliat GEA Group, firmă cu operațiuni în peste 150 de țări, cu privire la crearea unui joint venture cu RebelDot, companie de tehnologie din Cluj-Napoca. Echipa care a gestionat proiectul a fost condusă de Rusandra Sandu (Partner) și Mihai Stan (Managing Associate)
Mitel & Asociații dezvoltă o practică de litigii construită în jurul unui nucleu de avocați cu mare experiență, capabilă să ducă la capăt mandate complexe cu impact financiar și reputațional major, într-o piață în care disputele devin tot mai tehnice și mai dure | De vorbă cu Magda Dima (Partener) despre cum se construiește strategia, se evaluează riscurile și se formează generația nouă de litigatori
Echipa de Concurență a RTPR îmbină experiența cu precizia operațională, într-o formulă remarcată în Legal 500 și Chambers | De vorbă cu partenerii Valentin Berea și Roxana Ionescu despre modul de lucru care privilegiază consistența și rigoarea, cu rezultate ce confirmă profesionalismul și anvergura practicii
NNDKP, Popescu & Asociații și ZRVP au cei mai mulți profesioniști listați în Benchmark Litigation - 2025. Ce avocați au intrat în liga „Litigation Stars” și prin ce s-au remarcat firmele aflate în plutonul de forță al practicii
Mușat & Asociații confirmă, în Real Estate, forța unei echipe obișnuite să lucreze sub presiunea timpului și a reglementărilor, menținând proiectele pe un traseu sigur de la due diligence la implementare | De vorbă cu Monia Dobrescu (Partener) despre combinația de rigoare juridică, luciditate în evaluarea riscurilor și creativitate în soluții, într-o periodă plină de provocări
NNDKP confirmă, prin practica de Litigii, că este prima opțiune pentru companiile care au nevoie de reprezentare în dosare cu miză de sute de milioane de euro, în instanțe și arbitraje la curți internaționale | De vorbă cu Emil Bivolaru (Partener Executiv) și Sorina Olaru (Partner) despre combinația dintre strategie, tehnologie și echipe capabile să ducă la capăt dosare complexe cu soluții favorabile, construite pe argumente solide, într-o piață a disputelor sofisticată
Patru firme de avocați din România, evidențiate pentru activitatea în domeniul Competition ̸ Antitrust | NNDKP, CMS, TZA și D&B David și Baias au intrat în topul global al firmelor cu cea mai bună practică de concurență. Cine sunt avocații evidențiați de GCR 100 – 2026 și care au fost proiectele care au adus recunoaștere echipelor locale
ZRVP, desemnată din nou „Firma de Avocatură a Anului din România” la Lexology Index Awards 2025 | Dr. Cosmin Vasile (Managing Partner): Un premiu obținut doi ani la rând spune un lucru simplu: că echipa merge în direcția bună. O astfel de recunoaștere confirmă nivelul profesional atins și, în același timp, ne obligă să rămânem la fel de exigenți
Fiscalitate ̸ Litigii Fiscale - Practica de Taxe a Kinstellar funcționează ca un „hub” integrat între drept, fiscalitate și finanțe, ce conturează un parcurs procedural previzibil, din faza de control al documentelor până la soluțiile finale ale instanței. Clienții beneficiază de pregătire proactivă, probatoriu robust și o echipă calibrată pentru litigii sofisticate | De vorbă cu Theodor Artenie (Counsel) și Raluca Botea (Counsel) despre tendințele ultimului an, prevenție, timing și modul de lucru al unei echipe recunoscute de directoarele internaționale
-
BizBanker
-
BizLeader
- in curand...
-
SeeNews
in curand...
