avocatnet.ro 
ANSPDCP a dat două amenzi de 150.000 de euro, respectiv 20.000 de euro, pentru lipsa măsurilor de securitate adecvate, în ceea ce privește datele personale și, în special, în ceea ce privește autorizarea angajaților de a accesa date personale.
În concret, conform ANSPDCP este foarte important pentru firme să implementeze măsuri prin care să se asigure „că orice persoană fizică care acționează sub autoritatea acestuia (în principal, e vorba de angajați, dar nu numai aceștia-n.r.) și care are acces la date cu caracter personal, nu le prelucrează decât la cererea sa, cu excepția cazului în care această obligație îi revine în temeiul dreptului Uniunii sau al dreptului intern”.
Problema pregătirii angajaților pentru Regulamentul general privind protecția datelor (GDPR) este una destul de complexă. Puteți citi, aici și aici (în acest din urma articol, a fost prezentată și o amendă pentru fapte asemănătoare cu cele pentru care ANSPDCP a aplicat sancțiunile menționate mai sus), despre cum trebuie instruiți angajații când vine vorba de prelucrare de date personale și pe ce ar trebui să insiste angajatorii. De asemenea, este important de reținut că răspunderea companiei pentru faptele angajaților se întinde inclusiv cu privire la acțiunile care cauzează prejudicii și sunt comise cu intenție, de către cei din urmă.
Ce s-a întâmplat concret
Angajații unei bănci au folosit informațiile din documentele de identitate ale unor clienți (informații pe care le-au primit de la angajații unei alte firme, prin WhatsApp) pentru a verifica eligibilitatea lor (prin intermediul Biroului de Credite) cu privire la obținerea unor eventuale credite. Mai mult, au fost consultate și informații din bazele de date ale ANAF cu privire la unii clienți. Totul s-a întâmplat, conform ANSPDCP, cu nerespectarea procedurilor interne.
Așadar, Autoritatea a considerat că nu au fost luate măsuri suficiente de autorizare a angajaților, în ceea ce privește prelucrarea, de către aceștia,a datelor personale ale clienților. În plus, s-a mai considerat că banca nu a adoptat suficiente măsuri de securitate și nu a evaluat, în mod adecvat, riscul prezentat de activitatea acesteia, cu privire la datele personale prelucrate.
În același timp, a mai fost dată o amendă (cea de 20.000 de euro, despre care vorbeam mai sus) și companiei ale cărei angajați au divulgat datele prin WhatsApp. Din nou, a fost vorba de lipsa măsurilor de securitate corespunzătoare, însă și de faptul că acea companie „nu a notificat autorității de supraveghere încălcarea securității datelor cu caracter personal, fără întârzieri nejustificate, deși constatase producerea acestui incident de securitate încă din luna decembrie 2018, ceea ce a condus la încălcarea confidențialității datelor cu caracter personal ale clienților proprii (persoanele vizate) și la prelucrarea neautorizată/ilegală a datelor cu caracter personal ale acestora”.
Pentru a fi în acord cu GDPR, este foarte important să vă actualizați, constant, cadrul de securitate al aplicațiilor și platformelor pe care le folosiți.
miai222