Data Protection – soluții și responsabilități. Un an de la aplicarea GDPR în România

În 23 mai 2019, a avut loc la Palatul Camerei de Comerț și Industrii din București, ediția a VII-a a evenimentului Data Protection – soluții și responsabilități. Un an de la aplicarea GDPR în România, organizată de Universul Juridic și Camera de Comerț a Municipiului București, cu sprijinul ASCDP, în parteneriat cu ARGO SECURITY și Professionals Business Science Society.

A fost o zi întreaga de conferințe în care s-au dezbătut modalități de aplicare în România a Regulamentului European pentru protecția datelor cu caracter personal 679/2016. Au fost invitați specialiști în domeniul protecției datelor cu caracter personal și în securitatea informației, avocați, profesori și lectori universitari, dar și antreprenori care au pus în practică măsurile de protecție a datelor în compania lor prevăzute de regulament și legislația în vigoare.

Enumerăm câțiva dintre aceștia: Raluca Popa de la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), Florența Răducanu – Director General al Argo Security, avocații Ciprian Păun și Raluca Comănescu, lectorii universitari dr. Raul Felix Hodoș din Târgu Mureș și Vasile Adrian Cămărășan din Cluj Napoca, Cristiana Deca – Vicepreședinte al Asociației Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD), Bogdan Manolea, co-fondator TRUSTED.ro și director executiv ApTI – Asociatia pentru Tehnologie si Internet. Întreaga listă de invitați și agenda completă a evenimentului, o găsiți pe site-ul UniversulJuridic.ro.

Conform cifrelor pe care Dna Raluca Popa, consilier la Biroul Plângeri al ANSPDCP, ni le-a prezentat, în perioada 25.05.2018 – 15.05.2019 Autoritatea de Supraveghere a primit 4.892 de plângeri, 391 notificări de încălcări de securitate și a efectuat 946 investigații inițiate din oficiu sau la pângere. De asemenea, ANSPDCP a anunțat că în România, în data de 22 mai 2019, erau înregistrați un număr de 9.335 de DPO – Responsabili cu Protecția Datelor cu Caracter Personal - un număr mare, au apreciat specialiștii, ținând cont că, până în data de 25 mai 2018, în România se știau foarte puține lucruri despre acest Regulament European care fusese adoptat cu 2 ani în urmă.

Ce sunt datele cu caracter personal și care sunt aspectele sensibile ale GDPR

Pe scurt, datele cu caracter personal sunt orice informații care se referă la o persoană fizică identificată sau identificabilă; informațiile diferite care conduc la identificarea unei persoane sunt date cu caracter personal.

Cuvintele cheie privind prelucrarea datelor personale sunt: confidențialitate, integritate, disponibilitate și reziliență. Operatorii de date cu caracter personal și împuterniciții acestora au obligația să se asigure că au acces sau dețin date cu caracter personal în baza unui temei legal, în baza interesului legitim sau a consimțământului dat explicit de către persoana vizată.

Aspecte delicate, care încă necesită lămuriri, pentru că Regulamentul 679/2016 lasă loc la interpretări privind măsurile pentru protecția datelor cu caracter personal, sunt prelucrarea în interes legitim, colectarea și stocarea sau prelucrarea de date personale biometrice, supravegherea video sau geolocalizarea / urmărirea prin GPS.

Durata stocării datelor personale colectate de un operator sau un împuternicit, așa cum este definită în GDPR  - “pe durata necesară atingerii scopului stocării sau prin decizie judecătorească” – este, de asemenea, un aspect ce lasă loc la interpretări.

Cum se inițiază și se derulează investigațiile Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal
Investigațiile sunt efectuate în baza unei plângeri primite de către Autoritatea Națională de Supraveghere sau din oficiu, dar și pentru verificarea unor date și informații de care ia cunoștință prin sesizări, din mass-media și internet, în baza unor investigații anterioare sau prin cooperarea cu autorități din străinătate. De asemenea, ANSPDCP efectuează audituri la sediul instituțiilor de stat sau private, pentru verificarea modului în care sunt aplicate regulile GDPR.

Investigațiile se efectuează în cazul plângerilor considerate admisibile, în conformitate cu Procedura de primire și soluționare a plângerilor, aprobată prin Decizia nr. 133/2018 a președintelui ANSPDCP, și se pot realiza pe teren (la sediul / domiciliul / punctul de lucru / alte locații care au legătură cu prelucrarea în cauză), cu înștiințare sau inopinat, la sediul ANSPDCP sau în scris.
Echipa de investigații ANSPDCP poate să verifice orice aspect care este legat de respectarea regulilor de prelucrare a datelor și înregistrează investigația în registrul unic de control al entității controlate – organizația controlată este obligată să dețină acest registru.

Concret, echipa de control solicită informații și verifică toate aspectele legate de obiectivele controlului, ridică documente, întocmește procesul-verbal de constatare/sancționare și aplică măsuri corective și/sau amendă. Organizația sau persoana controlată este obligată, prin lege, să asigure suportul necesar pentru desfășurarea investigației, accesul în incinte și la echipamente, să pună la dispoziție informații, documente, înregistrări și să permită utilizarea de către personalul de control a echipamentelor de înregistrare audio/video/foto.
 

DPO-ul – între mit și realitate. Care sunt interesele pe care le reprezintă?

Am notat cateva lucruri esențiale care au fost subliniate și discutate la conferințele din cadrul evenimentului, precum:

• DPO-ul reprezintă și apără interesele și drepturile persoanei vizate, acesta are ca responsabilitate punerea în aplicare a Regulamentului 679/2016 și are rol de auditor independent, ceea ce înseamnă că răspunde doar în fața conducerii organizației.
• Numirea unui DPO este obligatorie pentru autoritățile și organismele publice (cu excepția instanțelor de judecată) și în cazul operatorilor sau al împuterniciților care au ca activități principale operațiuni de prelucrare de date personale obținute în urma unei monitorizări periodice și sistematice a persoanelor vizate la scară largă sau care prelucrează date sensibile.
• DPO-ul nu răspunde personal pentru neconformitatea Operatorului cu prevederile Regulamentului, însă, conform Codului Civil, acesta este răspunzător, în condițiile legii, de prejudiciul cauzat organizației dacă acest prejudiciu decurge din ne-îndeplinirea atribuțiilor și obligațiilor pe care și le-a asumat prin contract.

Aceste aspecte de mai sus demontează 2 mituri – acela că DPO-ului îi revine întreaga responsabilitate privind aplicarea GDPR, fără ca organizația să aibă vreo implicare activă și decizională, și acela că DPO-ul nu răspunde în fața legii pentru aplicarea defectuoasă sau ne-aplicarea măsurilor prevăzute de GDPR.
 

Aspecte care necesită măsuri speciale, în aplicarea GDPR

Au fost discutate, de asemenea, aspecte sensibile, care necesită atenție sporită și măsuri speciale de securitate a datelor personale. Acestea sunt departamentul contabil și de resurse umane, lucrul la distanță, prin intermediul internetului, stocarea de date și lucrul în CLOUD, dar și angajații precum și furnizorii de servicii.

În acest context, acțiunile de informare și de conștientizare privind importanța Regulamentului 679/2019 pentru angajații organizației, pentru colaboratori, furnizori sau sub-contractori sunt esențiale. O măsură de prevenire a incidentelor este restricționarea accesului acestora exclusiv la date cu caracter personal de care au nevoie pentru a-și îndeplini obligațiile asumate prin contractul de angajare sau de colaborare.

Cele mai frecvente incidente sau breșe de securitate legate de date cu caracter personal sunt lucrul la distanță, pe calculatoare personale sau accesarea datelor de pe telefoane mobile personale sau calculatoare ale companiei care nu au programe cu licență sau conexiune la internet securizată.

De asemenea, programele de monitorizare a activității angajaților, instalate pe calculatoarele pe care își desfășoară activitatea la locul de muncă, cu sau fără informarea și consimțământul acestora, reprezintă un risc pentru organizație, iar temeiul legitim în care se face această monitorizare trebuie să fie foarte bine definit.

Autoritatea de Supraveghere ne-a confirmat că au fost aplicate amenzi pentru monitorizarea emailurilor angajaților și că termenul monitorizare trebuie folosit cu atenție, în regulamentul intern al companiei, sau chiar evitat.

Încheiem această prezentare succintă a temelor abordate la eveniment cu mulțumiri pentru organizatorii evenimentului și invitaților pentru informațiile și lămuririle practice și foarte utile.