La acest moment, subiectul este foarte cunoscut, așa că nu merită să intru în prea multe detalii. Unui client i s-a cerut să justifice ce face cu o sumă de aproape 85.000 euro. Revoltat, acesta a dat un răspuns explicit, în care detalia cum va cheltui banii - mergând în Olanda și făcând unele lucruri care sunt legale doar acolo. Ulterior, angajații băncii au început să schimbe documentul între ei. Doar că, se pare, acel document nu a ajuns doar la angajați, ci a fost trimis, mai departe, și unor persoane din afara băncii. În cele din urmă, a ajuns și pe internet. 

Doar că, astfel, s-a ajuns la dezvăluirea ilegală a unor date personale unui număr foarte ridicat de persoane. Iar Autoritatea română de protecție a datelor (ANSPDCP) a reacționat, amendând banca cu 100.000 euro. 

„Autoritatea de supraveghere a constatat că operatorul nu a luat măsuri suficiente pentru a asigura faptul că orice persoană fizică care acţionează sub autoritatea operatorului (salariații operatorului) şi care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului”, a punctat ANSPDCP în comunicatul de joi, prin care a anunțat aplicarea sancțiunii.

Pentru a face lucrurile mai ușor de înțeles, prelucrarea de date se referă la orice activitate ce implică date personale (de la colectarea acestora, până la divulgare). O prelucrare are loc în momentul când clientului i se cere să completeze o declarație privind proveniența banilor. Acea prelucrare e legală, pentru că e cerută de lege.

Dar dacă, ulterior, un salariat, pentru că i se pare interesant ce scrie în documentul respectiv, îl trimite și altor colegi (care, teoretic, nici nu sunt autorizați să aibă acces la datele respective), nu mai discutăm de o prelucrare legală. Situația devine și mai gravă când acel document ajunge să fie comunicat unor persoane din afara băncii. Cu alte cuvinte, când are loc o divulgare nepermisă a datelor persoanei vizate.

În acest context, sancțiunea ridică o problemă serioasă pentru firme - faptul că acestea trebuie să investească în pregătirea și instruirea angajaților, pentru a evita astfel de dezvăluiri ilegale ale datelor personale pe care le colectează, în activitatea lor.

„Dezvăluirea produsă în spațiul public dovedește și ineficiența instruirii interne a angajaților operatorului privind respectarea normelor de protecția datelor cu caracter personal ale persoanelor vizate, deși instruirea angajaților este parte intrinsecă a măsurilor tehnice și organizatorice pe care operatorul era obligat să le adopte în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării”, a mai reținut ANSPDCP.

Redacția avocatnet.ro a mai scris, în trecut, despre problema instruirii angajaților, pentru a se asigura conformarea cu GDPR. În primul rând, obligația de a instrui angajații este, în sine, o cerință prevăzută de GDPR - deși ea poate oferi și alte avantaje, nu doar legale și de conformare. În al doilea rând, dacă ne uităm la cifre, o bună parte din încălcările GDPR au loc din vina - sau neglijența - angajaților. De aceea, instruirea salariaților ar avea și un impact cuantificabil considerabil.

Nu în ultimul rând, e important pentru firme să rețină că amenda prezentată aici nu este prima care este aplicată unei firme, din cauza unor angajați. De exemplu, mai multe situații au fost detaliate aici, aici sau aici. De asemenea, nu e prima dată când o amendă ajunge sau chiar depășește 100.000 euro, tot din vina angajaților (sau din cauza lipsei de pregătire a lor).