Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a aplicat, în ultimele două săptămâni, un val de amenzi pentru nerespectarea prevederilor legale incidente în materia protecţiei datelor, anunţă Daniel Vinerean, Senior Associate D&B David şi Baias.
Potrivit domniei sale au fost sancţionate aceleaşi greşeli constatate şi în trecut, fapt care denotă, o dată în plus, că măsurile de conformare implementate nu sunt, poate, cele mai eficiente.
Astfel, conform comunicărilor ANSPDCP, Daniel Vinerean afirmă că au fost trei situaţii care au dus la sancţiuni:
1.Încălcarea principiul exactităţii datelor - "În trei din cele cinci cazuri investigate, autoritatea de supraveghere a constatat că a fost încălcat principiul exactităţii datelor cu caracter personal, care au fost prelucrate, în plus, şi în lipsa unor măsuri tehnice şi organizatorice adecvate. Astfel, potrivit informaţiilor publice prezentate la terminarea investigaţiei, în cazul unui operator de telefonie mobilă, autoritatea a constatat într-o primă investigaţie că răspunsul operatorului a fost transmis către un alt destinatar decât cel care a formulat o reclamaţie, iar, într-o altă situaţie, un solicitant de servicii a primit prin intermediul poştei electronice un contract de servicii, ce cuprindea datele altei persoane. Aceeaşi încălcare a fost constatată şi în cazul unui furnizor de utilităţi care a transmis unui client, prin poşta electronică, datele cu caracter personal aparţinând altui client.", transmite Daniel Vinerean.
Potrivit acestuia, nerespectarea principiului exactităţii datelor, aşa cum este enunţat de Regulamentul General privind Protecţia Datelor (Regulamentul), are ca efect prelucrarea în mod greşit a datelor de către operator. Prin urmare, verificarea corectitudinii datelor prelucrate este foarte importantă şi trebuie realizată cu diligenţă sporită. În cazurile descrise anterior, este foarte posibil să fie vorba de o eroare umană apărută în contextul unui volum mare de date prelucrate. Cu toate acestea, răspunderea aparţine operatorului şi este imposibil de evitat.
"Aşa cum a reţinut şi ANSPDCP, este necesară implementarea unor măsuri tehnice şi organizatorice adecvate. Este greu de crezut că operatorii sancţionaţi nu au făcut paşi semnificativi în această direcţie, dar aceste eforturi trebuie dublate de instruiri şi testări regulate menite să ofere, în timp real, răspunsuri cu privire la eficienţa procedurilor interne, a modului de lucru efectiv cu datele, dar şi a măsurilor tehnice adoptate pentru a asigura integritatea şi confidenţialitatea datelor cu caracter personal. Nu în ultimul rând, mai trebuie precizat că nerespectarea principiului exactităţii datelor, de fapt prelucrarea greşită a unor date, poate constitui un incident de securitate pe care operatorii trebuie să îl raporteze la ANSPDCP. Lipsa unei astfel de notificări este de natura a atrage aplicarea de amenzi, aşa cum s-a întâmplat în cazul operatorului de telefonie mobilă menţionat mai sus. Aşadar, eficienţa măsurilor tehnice şi organizatorice adecvate trebuie să vizeze şi capacitatea operatorului de a detecta astfel de incidente şi de a lua măsurile necesare pentru a limita consecinţele asupra persoanelor vizate. Doar în acest fel poate fi prevenită o situaţie accidentală sau ilegală care ar putea conduce la divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal prelucrate. De altfel, majoritatea amenzilor aplicate de ANSPDCP sunt însoţite de măsuri corective menite să asigure respectarea standardelor impuse de Regulament. ", a explicat reprezentantul D&B David şi Baias.
2. Nerespectarea dreptul de opoziţie la prelucrare - "O altă amendă aplicată de autoritatea de supraveghere a vizat nerespectarea dreptului de a se opune prelucrării exercitat de clientul unui magazin online. Astfel, deşi clientul în cauză a solicitat dezabonarea de la comunicările comerciale, iar operatorul a confirmat dezabonarea, a primit în continuare astfel de comunicări. Fără a aprecia cu privire la temeinicia celor reţinute de ANSPDCP, situaţia de fapt este larg întâlnită în mediul online şi reprezintă o sursă constantă de nemulţumire din partea persoanelor vizate. De cele mai multe ori problema rezultă din modul în care bazele de date prelucrate în mod curent sunt interconectate şi aduse la zi. Simpla manifestare a dreptului de opoziţie în cazul comunicărilor comerciale ar trebui să conducă la scoaterea imediată a persoanei solicitante din listele active de marketing. Acest lucru poate fi greu de realizat în cazul în care operatorul nu prelucrează baze de date integrate, ţinute la zi şi bine organizate sub aspectul drepturilor de acces.", a transmis Daniel Vinerean.
Potrivit domniei sale, pentru a preîntâmpina astfel de situaţii operatorii ar trebui ţină mereu la zi bazele de date (cum ar fi adresele de poştă electronică), asigurându-se că opoziţiile la prelucrare sunt imediat şi ireversibil implementate. În acest sens, o procedură internă care să prevadă acţiuni, termene şi roluri clare în rândul angajaţilor, dublată de măsuri tehnice concretizate prin sisteme informatice care să permită interconectarea şi interoperabilitatea bazelor de date, reprezintă posibile soluţii.
3. Nefurnizarea de informaţii la solicitarea ANSPDCP - "Ultima amendă analizată nu ne oferă detalii cu privire la situaţia de fapt, dar relevă o conduită destul de des întâlnită în rândul operatorilor, respectiv nefurnizarea de informaţii la solicitarea ANSPDCP cu ocazia realizării unor investigaţii. Trebuie precizat că procedura de efectuare a investigaţiilor acordă autorităţii dreptul de a solicita informaţii cu privire la activităţile de prelucrare investigate şi impun operatorilor de obligaţia de răspunde acestor solicitări. Nerespectarea acestei obligaţii conduce la aplicarea de amenzi, practica autorităţii fiind bogată în acest sens.", a declarat Vinerean.
Acesta menţioneazăcă, orice solicitare a autorităţii de supraveghere trebuie să primească un răspuns din partea operatorului investigat, şi asta nu doar pentru a evita aplicarea unei amenzi în caz de necomunicare a informaţiilor solicitate, ci şi pentru a-şi asigura în mod eficient dreptul la apărare.
"Concluzionând, dacă analizăm speţele de mai sus, constatăm că, deşi au trecut aproape 2 ani de la data aplicării Regulamentului, implementarea regulilor europene şi naţionale în materia protecţiei datelor cu caracter personal necesită în continuare resurse umane, financiare şi de timp din partea operatorilor, asigurarea conformităţii fiind un proces continuu şi mereu adaptabil realităţii activităţilor de prelucrare. Cu alte cuvinte, asigurarea conformităţii trebuie să reprezinte o preocupare majoră şi constantă în activitatea obişnuită indiferent de domeniul de activitate.", a conchis reprezentantul D&B David şi Baias.
1. fără titlu
(mesaj trimis de anonim în data de 06.04.2020, 16:30)
Asigurarea conformitatii este mult mai scumpa decit plata amenzilor. Legile sint facute pe dos, sau cum sa ma exprim pe romaneste, in stil BALKANIC