- 30 Ianuarie 2023
Efectivitatea aplicării GDPR într-o lume interconectată - concluziile conferinței organizată de Autoritatea pentru Protecția Datelor
Conferința a fost menținută la nivel teoretic, întrebările din partea participanților au lipsit pe parcursul evenimentului, iar autoritatea a evitat să transforme conferința într-un prilej de a interacționa cu participanții sau de a intra în dezbateri de ordin practic în materia prelucrării datelor cu caracter personal.
Invitații, reprezentanți ai autorităților publice care se află în bună relație de colaborare cu organizatorul, cum ar fi ANCOM, Ministerul Afacerilor și Internelor, Avocatul Poporului, avocați reprezentanți ai unor reputate case de avocatură din România, precum DLA Piper Dinu, Filip&Company etc. dar și reprezentanți ai unor companii cu capital străin prezente în țara noastră, cum ar fi Vodafone, ING Bank, Telekom Mobile sau BRD – Group Societe Generale, au susținut prezentări extinse, derulate fără pauză.
Prezentările au vizat subiecte precum: transferul datelor cu caracter personal aparținând cetățenilor europeni în afara Uniunii și cu precădere în Statele Unite ale Americii (unde în prezent, datele sunt transferate cu nerespectarea prevederilor GDPR, fiind așteptat un mecanism juridic de redresare a vidului legislativ existent în acest caz) sau utilizarea modulelor “cookie”, subiecte mult discutate la nivelul statelor UE asupra cărora însă autoritatea noastră nu s-a exprimat la nivel național.
Autoritatea a abordat în opinia noastră, o atitudine echilibrată față de aceste subiecte, având în vedere că datele personale sunt în prezent transferate fără ezitare oriunde, iar fișierele cookie sunt utilizate fără a solicita consimțământul (expres manifestat) al utilizatorului în legătură cu aceste aspecte.
Totuși, aceste abateri sunt practici la nivel European, nu numai la nivel național, așadar nu rămânem în singurătatea morală a neaplicării unor prevederi legislative.
La fiecare conferință organizată suntem interesați să aflăm care sunt recomandările autorității în materia prelucrării datelor cu caracter personal după încă un an de activitate, spre ce activități de prelucrare își va concentra atenția autoritatea în următorul an, pentru a primi o orientare despre zonele de interes din domeniul prelucrării datelor cu caracter personal, așteptând cu atenție raportul de activitate din anul încheiat (anunțat de ANSPDCP în fiecare lună ianuarie a noului an).
Față de anul 2021, când autoritatea a realizat 691 investigații, a acordat 36 de amenzi și 93 de avertismente, gestionând un număr total de 4634 de plângeri, în anul 2023, a realizat 595 investigații, a acordat 69 amenzi și 134 de avertismente, gestionând un număr total de 3899 plângeri, ceea ce înseamnă că interesul general la nivel național a rămas constant. Iar asta, e și bine, e și rău.
Este bine pentru că impactul Regulamentului General privind Prelucrarea Datelor se resimte încă în activitatea de business iar oamenii cunosc drepturile pe care le au în raport cu propria viață privată și acționează pentru protejarea acestor drepturi, dar este rău pentru ca nivelul de popularizare al acestor beneficii juridice și al potențialului de exercitare al acestora este minim spre inexistent.
Cu alte cuvinte, autoritatea ar trebui să se implice mai mult în demersurile de popularizare a prezentei Regulamentului Privind Protecția Datelor, a beneficiilor aduse vieții private de prevederile acestui Regulament European dar și a consecințelor nerespectării actului normativ de către autoritățile publice în primul rând și de ceilalți actori care prelucrează date cu caracter personal în subsidiar.
Principalele aspecte reclamate autorității de către persoanele vizate (persoanele fizice afectate prin activitate de prelucrare a datelor lor cu caracter personal), au vizat:
- dezvăluirea neautorizată a datelor cu caracter personal, în special pe internet,
- încălcarea drepturilor persoanelor fizice, în special cel de acces și de ștergere,
- prelucrarea imaginilor prin sisteme de supraveghere video,
- încălcarea măsurilor de securitate și confidențialitate,
- nerespectarea temeiurilor legale ale prelucrării datelor și
- încălcarea principiilor de prelucrare a datelor cu caracter personal.
Măsurile corective aplicate de autoritate, au vizat:
- luarea de măsuri pentru prelucrarea ulterioară a datelor personale numai în scopuri compatibile cu cele inițiale,
- limitarea perioadei de stocare a datelor candidaților în procesul de recrutare,
- anonimizarea datelor cu caracter personal ale minorilor dezvăluite pe internet
- implementarea de măsuri tehnice și organizatorice adecvate pentru asigurarea securității și confidențialității datelor, precum și respectarea acestor măsuri.
Autoritatea a prezentat sumarul unei investigații realizate la nivelul unei autorități publice din domeniul sănătății, care nu a implementat măsuri tehnice și organizatorice adecvate care să prevină divulgarea neautorizată sau accesul neautorizat la date, sancționată cu avertisment și înaintarea unui plan de remediere care include instruirea personalului autorizat să prelucreze date asupra riscurilor și consecințele pe care le implică divulgarea datelor personale.
Totuși, fiind întrebată de ce nu evidențiază public numărul amenzilor acordate autorităților publice și de ce nu comunică public sumarul investigațiilor desfășurate la nivelul acestor organizații, autoritatea a susținut că Legea nr. 190/2018 privind punerea în aplicare a GDPR nu permite acordarea amenzilor autorităților publice înainte de parcurgerea etapelor prevăzute în lege, deși conform acestei legi suma amenzilor cu care pot fi penalizate instituțiile publice împotriva practicilor nelegale privind prelucrarea datelor cu caracter personal, este de până la 200.000 lei.
Avertismentul, este însă o modalitate legală de a finaliza o investigație, la fel cum este și acordarea unei amenzi.
Recomandările A.N.S.P.D.C.P. pentru prelucrarea corectă a datelor cu caracter personal de către organizațiile de interes public și privat la nivel național, comunicate în cadrul conferinței, sunt:
- acordarea unei atenții deosebite măsurilor organizatorice și tehnice interne necesare pentru asigurarea confidențialității și securității datelor,
- intensificarea pregătirii efective si periodice a angajaților proprii, raportat la specificul activității operatorului și atribuțiile corelate,
- tratarea cu mai multă responsabilitate a cererilor de acces, rectificare și ștergere a datelor,
- perfecționarea nivelului profesional de pregătire a responsabililor cu protecția datelor
- consolidarea rolului și întărirea atribuțiilor responsabililor cu protecția datelor în cadrul entității respective
- asigurarea nivelului înalt de raportare a DPO către conducerea operatorului – public și privat.
Din discuțiile purtate, în perioada următoare, interesul autorității de reglementare în domeniul prelucrării datelor cu caracter personal, pare că îl constituie încadrarea corectă a DPO-ului în planul ierarhic organizațional (care trebuie să raporteze celui mai înalt nivel al managementului), implementarea unor politici de retenție, realizarea politicilor de prelucrare a datelor și de securitate informatică susținute de un set de măsuri tehnice de securitate adecvat activităților de prelucrare desfășurate și nu în ultimul rând, eficientizarea relației cu persoana vizată (clientul, utilizatorul, angajatul) în exercitarea drepturilor prevăzute de Regulamentul General privind Protecția Datelor.