ZRP
Tuca Zbarcea & Asociatii

Necesitatea prevenției în materia prelucrării datelor cu caracter personal

20 Octombrie 2017   |   Andrei Georgescu, Partener al Suciu, Popa și Asociații

Apreciem că există încă nevoia unei discuții despre obligația generală de protecție a datelor cu caracter personal, impusă deopotrivă de GDPR, dar și de actuala legislație, prin raportare și la entități care nu au o prezență semnificativă în mediul online și cărora le sunt aplicabile, totuși, prevederile GDPR.

Andrei Georgescu, Partener al Suciu, Popa si Asociatii

 
 
Încă din 14 aprilie 2016, data adoptării Regulamentului General privind Protecția Datelor cu Caracter Personal (GDPR) (Regulamentul (UE) 2016/679), pe site-urile de specialitate au fost publicate o serie de articole care prezintă în ansamblu prevederile GDPR, cu accent deosebit pe noul regim sancționator.

Foarte multe dintre aceste articole oferă drept exemplu de risc cazuri spectaculoase, atât prin natura scurgerilor de date, dar și prin ordinul de mărime al amenzii. . Cazurile prezentate au, preponderent, în centrul lor giganți din mediul online, sancționați pentru inadecvarea măsurilor de securitate față de riscurile implicate de acivitatea lor și numărul utilizatorilor afectați, putând reaminti și aici:

►    Sony Computer Entertainment Europe, ținta a unui atac cibernetic asupra sistemului Play Station Network, care a pus în pericol numele, adresele și datele cardurilor bancare a circa 77 de milioane de utilizatori;
►    YAHOO!, care din cauza unor vulnerabilități ale sistemului de autentificare a utilizatorilor a compromis peste 1,5 miliarde de conturi de e-mail;
►    Dropbox, ținta unui atac informatic care a condus la compromiterea unui număr de circa 70 de milioane de conturi.

Apropiindu-se data intrării în vigoare a GDPR, 25 mai 2018, constatăm însă că astfel de exemple nu contribuie în mod semnificativ nici la conștientizarea nevoii de conformare cu GDPR și nici la măsurile concrete ce trebuie luate. Nu orice entitate administrează o rețea globală cu zeci de milioane de utilizatori online și, în consecință, un atac cibernetic nu este considerat un risc prioritar.

Tocmai de aceea, apreciem că există încă nevoia unei discuții despre obligația generală de protecție a datelor cu caracter personal, impusă deopotrivă de GDPR, dar și de actuala legislație, prin raportare și la entități care nu au o prezență semnificativă în mediul online și cărora le sunt aplicabile, totuși, prevederile GDPR.

Principala dificultate întâmpinată în practică este conștientizarea faptului că activități uzuale ce nu se înscriu în obiectul principal de activitate, activități pe care le impune legea sau activități realizate dintotdeauna (în orice caz înainte ca protecția datelor cu caracter personal să constituie „o problemă”) sunt calificate drept prelucrări de date.

Câteva cazuri în care incidența protecției datelor cu caracter personal nu este neapărat detectată intuitiv, dar care expun la sancțiuni sunt următoarele: 
►    Un consiliu local din Marea Britanie a fost sancționat pentru că un angajat a pierdut date cu caracter personal în urma unui furt desfașurat în propriul domiciliu. Autoritatea a considerat că angajatorul nu a luat măsurile organizaționale necesare împotriva pierderii accidentale a documentelor stocate pe hârtie. Deși angajatorul avea o politica de securitate, măsurile din aceasta nu explicau angajaților modul în care trebuie stocate documentele fizice sau aspectul că nu trebuie scoase din incinta angajatorului.
►    O casă de asigurări de sănătate a fost sancționată pentru publicarea pe propriul site a datelor cuprinzând numele și codul de asigurat al membrilor. Aceasta nu avea nicio politică de instruire a angajaților cu privire la informațiile ce pot fi publicate online.
►    Un spital a fost sancționat pentru că datele medicale ale unui pacient au fost transmise către o altă adresă, din cauza neactualizării datelor de contact ale persoanei în cauză.
►    Airbnb a fost sancționată pentru refuzul de a acorda acces unui client la o plângere formulată de gazda unui apartament pe care clientul îl închiriase. Refuzul a fost cauzat de faptul că un angajat Airbnb a considerat că astfel de informații sunt confidențiale și clienții nu pot avea acces la ele. Airbnb nu avea o politică clară de rezolvare a unor astfel de situații.
►    Un hotel din România a fost sancționat pentru că realiza supravegherea video a incintei fără a informa clienții hotelului despre acest aspect.

Prima concluzie ce se poate trage din situații precum cele de mai sus este aceea că (i) orice entitate care are clienți și/sau angajați deține date cu caracter personal, (ii) angajații oricărei entități sunt în mod curent implicați în operațiuni de procesare a datelor cu caracter personal, uneori involuntar sau fără a avea o atribuție de serviciu expresă în acest sens.

Odată conștientizat riscul, apare problema răspunderii angajatorului. Acest subiect poate genera panică sau, dimpotrivă, resemnare, întrucât, în aparență, angajatorul poartă o răspundere absolută pentru situații relativ imprevizibile.

În realitate, fiecare entitate ce prelucrează date cu caracter personal trebuie să ia măsuri tehnice și organizatorice adecvate potrivit stadiului tehnicii utilizate în procesul de prelucrare și de costuri. Legea impune, astfel, o obligație de diligență a oricărei entități de a preveni fapta propriului angajat și de a limita expunerea față de terți, fără ca întinderea acestei obligații să fie oneroasă în mod excesiv. Foarte important, în practica autorităților de protecție a datelor cu caracter personal este sancționată pasivitatea organizației în detectarea și adresarea unor riscuri previzibile, iar nu erorile cauzate de culpa exclusivă a unui angajat sau situațiile ce depășesc o grijă rezonabilă. 

În fapt, legea obligă fiecare entitate la o auto-evaluare a datelor pe care le deține și le folosește în activitatea curentă, a factorilor de risc și o trecere în revistă a măsurilor de preîntâmpinare a riscului. De cele mai multe ori, activitatea unei intreprinderi poate fi reglementată din pespectiva protecției datelor fără a impune măsuri de siguranță informatică complexe și costisitoare, ci mai degrabă printr-o simplă reorganizare a fluxului de informații și a accesului la acestea, dublate de o instruire corectă a angajaților.

De aceea, este esențial ca toate societățile care prelucrează date cu caracter personal, să realizeze un exercițiu de audit al sistemelor prin care prelucrează datele personale, pentru a determina riscurile aferente acestor operațiuni și a pune la punct mecanisme de securitate adecvate.

Andrei Georgescu este Partener al Suciu, Popa și Asociații, aria sa de practică incluzând protecția datelor cu caracter personal. Cu o experiență de 11 ani, Andrei acoperă întregul spectru al asistenței în materia protecției datelor cu caracter personal, de la dezvoltarea și implementarea programelor de conformare, până la reprezentarea în cadrul investigațiilor desfășurate de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.
 
 

PNSA

 
 

ARTICOLE PE ACEEASI TEMA

ARTICOLE DE ACELASI AUTOR


     

    Ascunde Reclama
     
     

    POSTEAZA UN COMENTARIU


    Nume *
    Email (nu va fi publicat) *
    Comentariu *
    Cod de securitate*







    * campuri obligatorii


    Articol 219 / 11042
     

    Ascunde Reclama
     
     
     
    BREAKING NEWS
    ESENTIAL
    Anda Todor, Managing Partner Dentons România: Suntem și vom rămâne o prezență constantă pe această piață. Puterea echipei și dorința de a ne adapta și de a inova cred că sunt atuurile noastre importante pentru viitor (VIDEO)
    RTPR Allen & Overy câştigă un litigiu împotriva ANAF pentru restituirea TVA în valoare de 1 mil. €. Ce avocați au făcut parte din echipă
    Wolf Theiss își extinde echipa. Patru noi avocați se alătura firmei
    Mușat & Asociații - Ethics & Compliance Hub. Politici de conformitate și etică profesională în era consumatorilor
    Maravela|Asociații, partenerul român al primei GC Powerlist din CEE a The Legal 500. 10 români, printre cei mai puternici General Counsels din regiune
    CEE Attorneys - Boanță, Gidei & Asociații SCPA, alături de grupul Keswick Enterprises în vânzarea filialei din România, Tibbett Logistics
    Muşat & Asociaţii - “Nou şi vechi în Codul Muncii. Soluţii de implementare. Bune practici în situaţii de criză în organizaţie”
    Suciu Popa: Pachetul legislativ în domeniul achizițiilor publice continuă să genereze probleme de interpretare și aplicare. Firma are multe mandate pe dispute din contracte de achiziție publică, soluționate pe calea arbitrajului internațional
    LegiTeam: ZRP recrutează avocat definitiv pentru departamentul Litigii
    Povestea fabuloasă a unui avocat care s-a reinventat continuu. Etapele determinante din cariera Cristinei Metea, partener într-o firmă de top în anii ‘fierbinți’ ai avocaturii, acum relocată în Asia, pe poziția de Regional Compliance Attorney la Microsoft Corporation India
    Temele puse în discuție de Wolf Theiss la primul eveniment organizat în Cluj-Napoca. Adrian Șter, Partener: Am întâlnit practicieni remarcabili, extrem de interesați de riscurile pe care le ridică lipsa de conformare
    Țuca Zbârcea & Asociații a contribuit la lansarea, în premieră pe piața locală, a unui studiu de impact al GDPR la nivel multi-jurisdicțional
     
    Citeste pe SeeNews Digital Network
    • BizBanker

    • BizLeader

        in curand...
    • SeeNews

      in curand...