ad oprávnění k nakládání s osobními daty / utajovanými skutečnostmi: velmi snadno. stačí doložit kvalifikaci a certifikaci dle ISO o ochraně zpracovávaných informací, a dané informace ti může zpracovávat firma klidně z Tasmánie. ta bezpečnostní "prověrka" se pak vydává firmě, a je JEJÍ problém, aby si prověřila zaměstnance, kteří na tom úkolu budou dělat (resp oni prověření na potřebnou úroveň už v době podání nabídky na veřejnou zakázku mít musí).
jak jsem pochopil, tak se neví, ZDA ta data někdo poslal dál, ale bylo zjištěno právě to, že dodavatelé nesplnili svoji povinnost zajistit, aby na úkolu pracovali pouze zaměstnanci s patřičným prověřením.
IMO mají obrovskou kliku, že GDPR ještě nezačala platit, protože to by byl flastr jak prase.