ZRP
Tuca Zbarcea & Asociatii

Necesitatea prevenției în materia prelucrării datelor cu caracter personal

20 Octombrie 2017   |   Andrei Georgescu, Partener al Suciu, Popa și Asociații

Apreciem că există încă nevoia unei discuții despre obligația generală de protecție a datelor cu caracter personal, impusă deopotrivă de GDPR, dar și de actuala legislație, prin raportare și la entități care nu au o prezență semnificativă în mediul online și cărora le sunt aplicabile, totuși, prevederile GDPR.

Andrei Georgescu, Partener al Suciu, Popa si Asociatii

 
 
Încă din 14 aprilie 2016, data adoptării Regulamentului General privind Protecția Datelor cu Caracter Personal (GDPR) (Regulamentul (UE) 2016/679), pe site-urile de specialitate au fost publicate o serie de articole care prezintă în ansamblu prevederile GDPR, cu accent deosebit pe noul regim sancționator.

Foarte multe dintre aceste articole oferă drept exemplu de risc cazuri spectaculoase, atât prin natura scurgerilor de date, dar și prin ordinul de mărime al amenzii. . Cazurile prezentate au, preponderent, în centrul lor giganți din mediul online, sancționați pentru inadecvarea măsurilor de securitate față de riscurile implicate de acivitatea lor și numărul utilizatorilor afectați, putând reaminti și aici:

►    Sony Computer Entertainment Europe, ținta a unui atac cibernetic asupra sistemului Play Station Network, care a pus în pericol numele, adresele și datele cardurilor bancare a circa 77 de milioane de utilizatori;
►    YAHOO!, care din cauza unor vulnerabilități ale sistemului de autentificare a utilizatorilor a compromis peste 1,5 miliarde de conturi de e-mail;
►    Dropbox, ținta unui atac informatic care a condus la compromiterea unui număr de circa 70 de milioane de conturi.

Apropiindu-se data intrării în vigoare a GDPR, 25 mai 2018, constatăm însă că astfel de exemple nu contribuie în mod semnificativ nici la conștientizarea nevoii de conformare cu GDPR și nici la măsurile concrete ce trebuie luate. Nu orice entitate administrează o rețea globală cu zeci de milioane de utilizatori online și, în consecință, un atac cibernetic nu este considerat un risc prioritar.

Tocmai de aceea, apreciem că există încă nevoia unei discuții despre obligația generală de protecție a datelor cu caracter personal, impusă deopotrivă de GDPR, dar și de actuala legislație, prin raportare și la entități care nu au o prezență semnificativă în mediul online și cărora le sunt aplicabile, totuși, prevederile GDPR.

Principala dificultate întâmpinată în practică este conștientizarea faptului că activități uzuale ce nu se înscriu în obiectul principal de activitate, activități pe care le impune legea sau activități realizate dintotdeauna (în orice caz înainte ca protecția datelor cu caracter personal să constituie „o problemă”) sunt calificate drept prelucrări de date.

Câteva cazuri în care incidența protecției datelor cu caracter personal nu este neapărat detectată intuitiv, dar care expun la sancțiuni sunt următoarele: 
►    Un consiliu local din Marea Britanie a fost sancționat pentru că un angajat a pierdut date cu caracter personal în urma unui furt desfașurat în propriul domiciliu. Autoritatea a considerat că angajatorul nu a luat măsurile organizaționale necesare împotriva pierderii accidentale a documentelor stocate pe hârtie. Deși angajatorul avea o politica de securitate, măsurile din aceasta nu explicau angajaților modul în care trebuie stocate documentele fizice sau aspectul că nu trebuie scoase din incinta angajatorului.
►    O casă de asigurări de sănătate a fost sancționată pentru publicarea pe propriul site a datelor cuprinzând numele și codul de asigurat al membrilor. Aceasta nu avea nicio politică de instruire a angajaților cu privire la informațiile ce pot fi publicate online.
►    Un spital a fost sancționat pentru că datele medicale ale unui pacient au fost transmise către o altă adresă, din cauza neactualizării datelor de contact ale persoanei în cauză.
►    Airbnb a fost sancționată pentru refuzul de a acorda acces unui client la o plângere formulată de gazda unui apartament pe care clientul îl închiriase. Refuzul a fost cauzat de faptul că un angajat Airbnb a considerat că astfel de informații sunt confidențiale și clienții nu pot avea acces la ele. Airbnb nu avea o politică clară de rezolvare a unor astfel de situații.
►    Un hotel din România a fost sancționat pentru că realiza supravegherea video a incintei fără a informa clienții hotelului despre acest aspect.

Prima concluzie ce se poate trage din situații precum cele de mai sus este aceea că (i) orice entitate care are clienți și/sau angajați deține date cu caracter personal, (ii) angajații oricărei entități sunt în mod curent implicați în operațiuni de procesare a datelor cu caracter personal, uneori involuntar sau fără a avea o atribuție de serviciu expresă în acest sens.

Odată conștientizat riscul, apare problema răspunderii angajatorului. Acest subiect poate genera panică sau, dimpotrivă, resemnare, întrucât, în aparență, angajatorul poartă o răspundere absolută pentru situații relativ imprevizibile.

În realitate, fiecare entitate ce prelucrează date cu caracter personal trebuie să ia măsuri tehnice și organizatorice adecvate potrivit stadiului tehnicii utilizate în procesul de prelucrare și de costuri. Legea impune, astfel, o obligație de diligență a oricărei entități de a preveni fapta propriului angajat și de a limita expunerea față de terți, fără ca întinderea acestei obligații să fie oneroasă în mod excesiv. Foarte important, în practica autorităților de protecție a datelor cu caracter personal este sancționată pasivitatea organizației în detectarea și adresarea unor riscuri previzibile, iar nu erorile cauzate de culpa exclusivă a unui angajat sau situațiile ce depășesc o grijă rezonabilă. 

În fapt, legea obligă fiecare entitate la o auto-evaluare a datelor pe care le deține și le folosește în activitatea curentă, a factorilor de risc și o trecere în revistă a măsurilor de preîntâmpinare a riscului. De cele mai multe ori, activitatea unei intreprinderi poate fi reglementată din pespectiva protecției datelor fără a impune măsuri de siguranță informatică complexe și costisitoare, ci mai degrabă printr-o simplă reorganizare a fluxului de informații și a accesului la acestea, dublate de o instruire corectă a angajaților.

De aceea, este esențial ca toate societățile care prelucrează date cu caracter personal, să realizeze un exercițiu de audit al sistemelor prin care prelucrează datele personale, pentru a determina riscurile aferente acestor operațiuni și a pune la punct mecanisme de securitate adecvate.

Andrei Georgescu este Partener al Suciu, Popa și Asociații, aria sa de practică incluzând protecția datelor cu caracter personal. Cu o experiență de 11 ani, Andrei acoperă întregul spectru al asistenței în materia protecției datelor cu caracter personal, de la dezvoltarea și implementarea programelor de conformare, până la reprezentarea în cadrul investigațiilor desfășurate de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.
 
 

PNSA

 
 

ARTICOLE PE ACEEASI TEMA

ARTICOLE DE ACELASI AUTOR


     

    Ascunde Reclama
     
     

    POSTEAZA UN COMENTARIU


    Nume *
    Email (nu va fi publicat) *
    Comentariu *
    Cod de securitate*







    * campuri obligatorii


    Articol 1535 / 12358
     

    Ascunde Reclama
     
     
     
    BREAKING NEWS
    ESENTIAL
    AkzoNobel a bătut palma cu Oresa Ventures pentru achiziția Fabryo Corporation. Avocații Popovici Nițu Stoica & Asociații au fost alături de fond, Schoenherr a asistat cumpăratorul
    Penaliștii de la Mareș|Danilescu|Mareș în asociere cu Dan Lupașcu au obținut sesizarea CCR în ”Dosarul Gala Bute”, în care îl apără pe Rudel Obreja. Argumentele cu care avocații au obținut decizia favorabilă la ÎCCJ
    Cum lucrează performanta echipă de 46 de avocați ai Țuca Zbârcea & Asociații specializați în practica de Dispute Resolution. Mandate cu greutate printre cele 4.200 de litigii ”lucrate” anul trecut, arbitraje internaționale cu pretenții de 4,9 mld. $ și servicii integrate pe zona de penal-comercial
    Promovări la Suciu Popa. Iulian Cioienaru devine partener, alți doi avocați urcă în poziția de Senior Associate
    Cum lucrează avocații specializați în litigii și arbitraj de la Voicu & Filipescu. Cu accent pe litigiile comerciale, firma soluționează cu succes cazuri în toate domeniile relevante pentru activitatea companiilor publice sau private
    Pe piața de capital, sunt oportunități pentru toate tipurile de companii, spun avocații Bondoc & Asociații. Proiectele uneia dintre cele mai mari și experimentate echipe de Capital Markets din România
    Schimbări în structura parteneriatului Schoenherr București
    NICULEASA LAW FIRM convinge Tribunalul Bucureşti să sesizeze Curtea de Justiție a Uniunii Europene pe mai multe probleme ce privesc raportul dintre procedura penală și cea fiscală
    PeliFilip a asistat Ministerul Finanțelor Publice în premieră într-o operațiune de preschimbare de titluri de stat în dolari
    RTPR Allen & Overy, alături de sculptorul Mihai Buculei, în cadrul negocierilor pentru semnarea contractului privind realizarea „Monumentului Marii Uniri”
    Mușat & Asociații, premiată la Praga pentru ‘Tranzacția anului 2017 în România’
    România a atras de pe pieţele externe 1, 2 mld. usd şi a realizat, în premieră, o tranzacţie de răscumpărare anticipată de obligaţiuni în dolari. Clifford Chance Badea, avocații băncilor
     
    Citeste pe SeeNews Digital Network
    • BizBanker

    • BizLeader

        in curand...
    • SeeNews

      in curand...