avocatnet.ro 
În anul 2017, o parte dintre plângerile și sesizările ce au fost adresate Autorității Naţionale de Supraveghere din România au avut ca obiect fie dezvăluirea datelor personale către terțe persoane, fie accesarea neautorizată a datelor personale (inclusiv de către angajații proprii), ca urmare a faptului că operatorii în cauză (comercianți, autorități publice, furnizori de servicii de telefonie, clinici medicale etc.) nu au implementat proceduri interne eficiente, de ordin tehnic sau organizatoric, care să conducă la preîntâmpinarea unor astfel de probleme.
În raportul său de anul trecut, Autoritatea Națională de Supraveghere a menționat un caz în care a sancționat un operator pentru lipsa unor măsuri de securitate menite să elimine posibilitatea ca datele personale ale unei persoane să ajungă la persoane neautorizate.
Studiu de caz: Vânzarea-cumpărarea de telefoane la mâna a doua
Un petent a reclamat la autorități că angajați ai unui magazin care vinde produse electrocasnice au accesat în mod neautorizat contul său de poștă electronică de pe telefonul cumpărat de la această societate comercială și returnat ulterior pentru casare.
În urma demersurilor de investigare întreprinse de Autoritatea Națională de Supraveghere, s-a constatat că petentul a achiziționat un telefon de la un magazin de produse electrocasnice, iar apoi l-a predat la un punct de lucru al operatorului, pe motiv că nu funcționează corespunzător. Telefonul, în stare de funcționare, a fost păstrat în magazin, cu posibilitatea de vânzare ca produs resigilat.
La o dată ulterioară, telefonul a fost achiziționat de un alt client la un preț de discount, fără însă a se verifica în prealabil dacă telefonul a fost readus la setările din fabrică. În urma sesizării operatorului de către petent că e-mail-ul său a fost accesat de pe telefonul returnat, operatorul a încercat, fără rezultat, contactarea noului posesor al telefonului. La o dată ulterioară, posesorul telefonului s-a prezentat în magazin și a reclamat că telefonul nu funcționează corespunzător. Operatorul a stornat factura, a reținut telefonul, l-a resetat și l-a trimis spre casare.
În cadrul investigației, s-a constatat că operatorul nu a făcut dovada că deține o politică de securitate în ceea ce privește produsele returnate și, eventual, revândute, care pot conține date cu caracter personal ale clienților. Totodată, s-a constatat că operatorul nu a luat măsuri de verificare a telefonului returnat de petent, în sensul de a fi readus la setările din fabrică înainte de a fi vândut unei alte persoane.
În acest fel, a fost posibilă dezvăluirea neautorizată a datelor cu caracter personal ale petentului.
La finalizarea demersurilor întreprinse, Autoritatea Națională de Supraveghere a sancționat operatorul pentru fapta prevăzută de art. 33 din Legea nr. 677/2001, întrucât acesta nu a luat măsuri suficiente împotriva dezvăluirii sau accesului neautorizat în ceea ce privește datele cu caracter personal ale petentului, stocate pe telefonul mobil returnat operatorului și revândut altei persoane.
Concluzie
Chiar dacă speța de mai sus vorbește despre Legea nr. 677/2001, înlocuită în prezent prin aplicarea GDPR, concluzia autorităților rămâne de actualitate. Este obligația operatorului de a implementa proceduri interne eficiente, de ordin tehnic sau organizatoric, care să conducă la preîntâmpinarea unor astfel de probleme. În caz contrar, organizația în cauză poate fi sancționată.
lenareg