Val de amenzi aplicat in ultimele doua saptamani de Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP) pentru nerespectarea prevederilor legale incidente in materia protectiei datelor: au fost sanctionate aceleasi greseli constatate si in trecut, fapt care denota o data in plus ca masurile de conformare implementate nu sunt, poate, cele mai eficiente. Potrivit comunicarilor ANSPDCP, trei au fost situatiile care au dus la sanctiuni:
1. Incalcarea principiul exactitatii datelor
In trei din cele cinci cazuri investigate, autoritatea de supraveghere a constatat ca a fost incalcat principiul exactitatii datelor cu caracter personal, care au fost prelucrate, in plus, si in lipsa unor masuri tehnice si organizatorice adecvate.
Astfel, potrivit informatiilor publice prezentate la terminarea investigatiei, in cazul unui operator de telefonie mobila, autoritatea a constatat intr-o prima investigatie ca raspunsul operatorului a fost transmis catre un alt destinatar decat cel care a formulat o reclamatie, iar, intr-o alta situatie, un solicitant de servicii a primit prin intermediul postei electronice un contract de servicii, ce cuprindea datele altei persoane.
Aceeasi incalcare a fost constatata si in cazul unui furnizor de utilitati care a transmis unui client, prin posta electronica, datele cu caracter personal apartinand altui client.
Ce e de facut?
Nerespectarea principiului exactitatii datelor, asa cum este enuntat de Regulamentul General privind Protectia Datelor (Regulamentul), are ca efect prelucrarea in mod gresit a datelor de catre operator. Prin urmare, verificarea corectitudinii datelor prelucrate este foarte importanta si trebuie realizata cu diligenta sporita. In cazurile descrise anterior, este foarte posibil sa fie vorba de o eroare umana aparuta in contextul unui volum mare de date prelucrate. Cu toate acestea, raspunderea apartine operatorului si este imposibil de evitat.
Asa cum a retinut si ANSPDCP, este necesara implementarea unor masuri tehnice si organizatorice adecvate. Este greu de crezut ca operatorii sanctionati nu au facut pasi semnificativi in aceasta directie, dar aceste eforturi trebuie dublate de instruiri si testari regulate menite sa ofere, in timp real, raspunsuri cu privire la eficienta procedurilor interne, a modului de lucru efectiv cu datele, dar si a masurilor tehnice adoptate pentru a asigura integritatea si confidentialitatea datelor cu caracter personal.
Nu in ultimul rand, mai trebuie precizat ca nerespectarea principiului exactitatii datelor, de fapt prelucrarea gresita a unor date, poate constitui un incident de securitate pe care operatorii trebuie sa il raporteze la ANSPDCP. Lipsa unei astfel de notificari este de natura a atrage aplicarea de amenzi, asa cum s-a intamplat in cazul operatorului de telefonie mobila mentionat mai sus.
Asadar, eficienta masurilor tehnice si organizatorice adecvate trebuie sa vizeze si capacitatea operatorului de a detecta astfel de incidente si de a lua masurile necesare pentru a limita consecintele asupra persoanelor vizate. Doar in acest fel poate fi prevenita o situatie accidentala sau ilegala care ar putea conduce la divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal prelucrate.
De altfel, majoritatea amenzilor aplicate de ANSPDCP sunt insotite de masuri corective menite sa asigure respectarea standardelor impuse de Regulament.
2. Nerespectarea dreptul de opozitie la prelucrare
O alta amenda aplicata de autoritatea de supraveghere a vizat nerespectarea dreptului de a se opune prelucrarii exercitat de clientul unui magazin online. Astfel, desi clientul in cauza a solicitat dezabonarea de la comunicarile comerciale, iar operatorul a confirmat dezabonarea, a primit in continuare astfel de comunicari.
Fara a aprecia cu privire la temeinicia celor retinute de ANSPDCP, situatia de fapt este larg intalnita in mediul online si reprezinta o sursa constanta de nemultumire din partea persoanelor vizate.
De cele mai multe ori problema rezulta din modul in care bazele de date prelucrate in mod curent sunt interconectate si aduse la zi. Simpla manifestare a dreptului de opozitie in cazul comunicarilor comerciale ar trebui sa conduca la scoaterea imediata a persoanei solicitante din listele active de marketing. Acest lucru poate fi greu de realizat in cazul in care operatorul nu prelucreaza baze de date integrate, tinute la zi si bine organizate sub aspectul drepturilor de acces.
Ce e de facut?
Pentru a preintampina astfel de situatii operatorii ar trebui tina mereu la zi bazele de date (cum ar fi adresele de posta electronica), asigurandu-se ca opozitiile la prelucrare sunt imediat si ireversibil implementate. In acest sens, o procedura interna care sa prevada actiuni, termene si roluri clare in randul angajatilor, dublata de masuri tehnice concretizate prin sisteme informatice care sa permita interconectarea si interoperabilitatea bazelor de date, reprezinta posibile solutii.
3. Nefurnizarea de informatii la solicitarea ANSPDCP
Ultima amenda analizata nu ne ofera detalii cu privire la situatia de fapt, dar releva o conduita destul de des intalnita in randul operatorilor, respectiv nefurnizarea de informatii la solicitarea ANSPDCP cu ocazia realizarii unor investigatii.
Trebuie precizat ca procedura de efectuare a investigatiilor acorda autoritatii dreptul de a solicita informatii cu privire la activitatile de prelucrare investigate si impun operatorilor de obligatia de raspunde acestor solicitari. Nerespectarea acestei obligatii conduce la aplicarea de amenzi, practica autoritatii fiind bogata in acest sens.
Ce e de facut?
Orice solicitare a autoritatii de supraveghere trebuie sa primeasca un raspuns din partea operatorului investigat, si asta nu doar pentru a evita aplicarea unei amenzi in caz de necomunicare a informatiilor solicitate, ci si pentru a-si asigura in mod eficient dreptul la aparare.
Concluzionand, daca analizam spetele de mai sus, constatam ca, desi au trecut aproape 2 ani de la data aplicarii Regulamentului, implementarea regulilor europene si nationale in materia protectiei datelor cu caracter personal necesita in continuare resurse umane, financiare si de timp din partea operatorilor, asigurarea conformitatii fiind un proces continuu si mereu adaptabil realitatii activitatilor de prelucrare. Cu alte cuvinte, asigurarea conformitatii trebuie sa reprezinte o preocupare majora si constanta in activitatea obisnuita indiferent de domeniul de activitate.
Un material de Daniel Vinerean, CIPP/E - Senior Associate at D&B David si Baias SCA/Manager PwC - Data Protection Practice