avocatnet.ro 
Preocuparea pentru protecția datelor personale trebuie să coboare din vârful ierarhiei, într-o firmă, pe toate palierele din organigramă unde există persoane care lucrează cu date personale. În schema GDPR, cel amendat pentru nereguli în prelucrarea datelor este firma, nu angajatul firmei care a acționat greșit și a condus compania spre o situație de încălcare a GDPR-ului sau la un context care să creeze astfel de încălcări. Firma e amendată de Autoritatea de Protecția Datelor și apoi compania se întoarce către angajat, pe acțiunea în regres. Dar care angajat va avea de unde plăti firmei câteva zeci sau sute de mii de euro, dacă nu mai mult?
Desigur, cineva poate spune că și în baza unei instruiri adecvate se poate ajunge la o situație în care angajatul e culpabil pentru o situație de încălcare a GDPR-ului (de pildă, o breșă de securitate). Corect, însă riscurile sunt semnificativ diminuate atunci când angajații sunt instruiți și cunosc și ei riscurile și importanța respectării principiilor și regulilor de prelucrare a datelor personale. E ca și cum ai face diferența între un medic puțin pregătit și unul suficient pregătit: amândoi pot greși cu bisturiul, dar sunt mai multe "șanse" la cel dintâi.
În recenta informare privind a doua amendă aplicată, Autoritatea de Protecția Datelor de la noi a arătat cu degetul și înspre instruirea angajaților: "Operatorul WORLD TRADE CENTER BUCHAREST S.A. a fost sancționat deoarece nu a luat măsuri pentru a se asigura că angajații săi care au acces la date cu caracter personal nu le prelucrează decât la cererea sa, potrivit legii".
Obligația de a informa și instrui angajații în spiritul GDPR reiese explicit și implicit din întreg cuprinsul Regulamentului. Pentru că angajații sunt cei care intră în contact direct cu sistemele companiilor pentru care lucrează, sisteme care pot presupune și prelucrarea de date personale, atunci necesitatea de a instrui angajații este mai mult decât evidentă. Să zicem că în companie se implementează o aplicație nouă, adecvată protecției datelor personale. Dacă folosirea ei nu este normală, atunci nici protecția oferită nu va mai fi adecvată.
De altfel, operatorii de date și împuterniciții lor vor trebui să demonstreze inspectorilor de protecția datelor, în cazul unui control, că se implementează măsuri efective de protecția datelor - o subliniază recent și Autoritatea de Protecția Datelor, cu ocazia celor două amenzi date. Un mod de a demonstra aceste măsuri este și educarea angajaților în spiritul GDPR.
Conform GDPR:REPORT, majoritatea breșelor de securitate sunt cauzate de erorile angajaților. Dacă unul sau mai mulți angajați anunță cu întârziere conducerea departamentului în care lucrează sau conducerea companiei despre producerea unui incident de securitate, din cauză că sunt (parțial) culpabili și se tem de repercusiuni, întârzierea poate duce la consecințe mai grave. În final, compania va putea fi amendată sau pusă să despăgubească anumite persoane cu sume substanțiale. Instruirea angajaților, aici, înseamnă întâi de toate să știe cum să acționeze în cazul unor astfel de breșe și că cel mai important este să nu încerce ascunderea acestui incident.
Importanța educării salariaților în spiritul protecției datelor personale stă și în diminuarea acestor riscuri. Amenzile cu multe zerouri care se pot da în numele GDPR sunt greu, dacă nu chiar imposibil de acoperit apoi de la salariații vinovați.
În noiembrie anul trecut, prezentam un caz din Marea Britanie în care o companie a fost declarată responsabilă pentru un incident de securitate provocat intenționat de un salariat. Un angajat a copiat, pe un stick USB, date privind angajații companiei, publicându-le ulterior pe internet. Desigur, răspunderea a fost împărțită, dar o parte a fost atribuită și companiei, oricât de greu de crezut ar putea fi.
Util: Opt aspecte care te ajută să-ți dai seama cât de riscantă e o breșă de securitate
În încheiere, am să ofer exemplul a cinci persoane pe care le-am întrebat azi dacă au fost instruite în vreun fel la locul de muncă în privința GDPR-ului sau dacă știu că alți colegi de-ai lor au fost instruiți. Fiecare lucrează într-un domeniu diferit, în România, în companii/entități cu organizări diferite, dar toate acestea prelucrează date personale (resurse umane, marketing, spital public, financiar, juridic). Niciuna nu a primit niciun fel de instruire, de când a intrat GDPR în vigoare, adică de la finele lui mai 2018).
DPO1956