Protectia datelor

Protecția datelor la sfârșitul anului 2020

De Mugurel Olariu, RPD protectie date

Autoritățile de protecția datelor – atât de la nivel european/CEPD, cât și de la nivel național/ANSPDCP, au depus eforturi pe parcursul anului pandemic 2020, pentru asigurarea respectării mecanismelor de protecție a datelor cu caracter personal.

La nivelul CEPD, în ultima ședință plenară din 15 decembrie 2020, au fost adoptate mai multe documente, între care și Strategia 2021 – 2023. Astfel, Strategia stabilește obiectivele pe termen scurt și mediu ale Comitetului, grupate în jurul a patru piloni, precum și trei acțiuni cheie pe pilon pentru a contribui la atingerea acestor obiective.
Cei patru piloni principali ai strategiei EDPB sunt:
• avansarea armonizării și facilitarea conformității;
• sprijinirea aplicării eficiente și a cooperării eficiente între autoritățile naționale de supraveghere;
• o abordare a drepturilor fundamentale a noilor tehnologii și,
• dimensiunea globală.

Strategia va fi, de asemenea, implementată printr-un program de lucru, care va detalia în detaliu acțiunile CEPD. Acest program de lucru va fi adoptat la începutul anului 2021.

Mai precizăm și faptul că, se află în faza de consultare publică, până la data de 12 februarie 2021, Orientările nr.10/2020 privind restricțiile prevăzute de art.23 din RGPD *1.

La nivel național, ANSPDCP a publicat pe site-ul oficial o serie de informări ale activităților specializate desfășurate, respectiv:
– o analiză a demersurilor de protecția datelor, specializată pentru asociațiile de proprietari;
– întâlnirea de lucru cu AmCham, pentru clarificarea aspectelor legate de efectele pe care le produce Decizia CJUE în cauza Schrems II și aplicabilitatea Scutului de confidențialitate SUA-UE.
– măsuri corective dispuse pentru operatorii investigați – din mediul privat și public, respectiv amenzi contravenționale, avertismente, planuri de remediere, asigurarea conformității prelucrărilor cu RGPD etc.

Se remarcă o amendă contravențională *2 destul de consistentă – echivalentul a 100.000 Euro la un operator economic din sectorul bancar – și care a constatat încălcarea dispozițiilor art. 32 alin. (1) și (2) coroborate cu art. 5 lit. f) din RGPD. Operatorul a fost sancționat contravențional cu amendă în cuantum de 487.380 lei (echivalentul a 100.000 EURO).

Investigația a fost demarată în urma primirii unor sesizări cu privire la încălcarea confidențialității și securității datelor personale. S-a constatat că a avut loc dezvăluirea în spațiul public (on-line) a declarației solicitată de operator unui client al său cu privire la modul în care intenționa să utilizeze o anumită sumă de bani pe care acesta dorea să o ridice din contul său. Această declarație a fost distribuită între câțiva angajați ai Băncii pe adresele de e-mail de serviciu. Unul dintre angajați a listat e-mailul ce conținea declarația clientului, precum și e-mailul ce conținea conversația internă între angajații operatorului. Un alt angajat a fotografiat cu telefonul mobil înscrisul listat și l-a distribuit prin intermediul aplicației WhatsApp. Ulterior, înscrisul listat a fost postat și distribuit pe rețeaua de socializare Facebook și pe un site.

Această situație a condus la dezvăluirea și accesul neautorizat la anumite date cu caracter personal (nume și prenume, adrese de e-mail, date comportamentale, preferințe personale, valoare tranzacție financiară, adresa locului de muncă, funcție și locul muncii, număr de telefon de serviciu) a 4 persoane fizice vizate (un client și 3 angajați proprii), deși potrivit art. 5 lit. f) din RGPD, operatorul avea obligația de a respecta principiul integrității și confidențialității datelor personale.

Dezvăluirea produsă în spațiul public dovedește și ineficiența instruirii interne a angajaților operatorului privind respectarea normelor de protecția datelor cu caracter personal ale persoanelor vizate, deși instruirea angajaților este parte intrinsecă a măsurilor tehnice și organizatorice pe care operatorul era obligat să le adopte în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării, încălcându-se astfel prevederile art. 32 din RGPD.

În acest context, s-a avut în vedere și că dezvăluirea datelor cu character personal în spațiul public (pe internet) a generat o serie de prejudicii de natură morală, precum și alte dezavantaje semnificative de natură economică sau socială pentru persoana fizică afectată de producerea incidentului de securitate (client al Băncii).

——————————————————————————————
1. A se vedea la https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/guidelines-102020-restrictions-under-article-23_ro

2. A se vedea la https://www.dataprotection.ro/?page=Comunicat_17_12_2020&lang=ro