Ziua protecției datelor personale: Aspecte importante pentru firme în privința datelor angajaților și clienților și a breșelor de securitate

„Sărbătorirea Zilei Europene a Protecției Datelor, pe data de 28 ianuarie 2022, de către toate statele membre ale Consiliului Europei marchează împlinirea a 41 de ani de la adoptarea, în anul 1981, la Strasbourg, a Convenției 108 pentru protecția persoanelor referitoare la prelucrarea automatizată a datelor cu caracter personal (...)  Marcarea anuală a acestei zile constituie un prilej de a aduce în atenţia publicului importanța respectării principiilor de prelucrare a datelor cu caracter personal, a dreptului la viață privată și a dreptului la protecția datelor personale, consacrate ca drepturi fundamentale”, transmite Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).

Ca angajator, ar trebui să știi că...

Firmele nu au nevoie de consimțământul angajaților ca să monteze sisteme de supraveghere la locul de muncă. Una dintre condițiile impuse pentru monitorizarea video sau a conversațiilor salariaților prin Legea nr. 190/2018, act ce conține câteva reguli de aplicare cerute de GDPR, este informarea prealabilă a salariaților. 

Pentru că suntem în contextul pandemic, câteva chestiuni merită subliniate în mod special:

• monitorizarea telesalariaților din perspectiva protecției datelor personale se face în aceleași condiții ca pentru munca la birou, potrivit unei opinii emise de ANSPDCP;
• angajatorii nu ar trebui să strângă date privind vaccinarea sau să înregistreze rezultatele testelor antigen ale angajaților;
• ce date personale medicale poți prelucra, ca angajator, conform Comitetului European pentru Protecția Datelor.

De asemenea, ai aici un ghid util de la Comitetul European despre incidentele de securitate provocate de angajați. 

Câteva chestiuni importante despre breșele de securitate, DPO și politicile interne

Responsabilul cu protecția datelor sau, pe scurt, DPO-ul (de la „data protection officer”), nu este obligatoriu decât pentru anumite entități, altele însă aleg să-și desemneze unul chiar și dacă nu le revine obligația. De DPO au nevoie cei care au ca activitate de bază monitorizarea persoanelor în mod sistematic și pe scară largă ori cei care prelucrează categorii speciale de date personale la scară largă. DPO-ul poate fi ori un angajat al firmei ori un consultant extern.

Unul din cele mai periculoase incidente pentru datele personale colectate și arhivate de firme, breșa de securitate trebuie, de principiu, raportată imediat ANSPDCP. GDPR extinde însă obligația de informare (în situațiile în care ea există) și cu privire la persoanele afectate direct de acea breșă de securitate și cărora le-a compromis confidențialitatea datelor personale. Dacă un incident de securitate în materia prelucrărilor de date personale produce prejudicii vreuneia dintre persoanele ale cărei date au fost afectate, atunci compania poate să fie pusă în fața unei pretenții de despăgubire. Prejudiciatul se poate adresa fie operatorului, fie împuternicitului și este îndreptățit să obțină despăgubiri atât pentru daune materiale, cât și morale (prejudicii de imagine, de pildă). În cazul unor astfel de incidente, spun specialiștii, cel mai important e ce alege compania să facă, imediat după ce află de incident, pentru cei afectați.

Firmele trebuie să se asigure că orice prelucrare de date personale se desfășoară în interiorul unui cadru de securitate care facilitează confidențialitatea și integritatea datelor prelucrate, iar măsuri de securitate trebuie asigurate pe două planuri - pe de o parte, în ceea ce privește sistemele informatice folosite pentru prelucrarea datelor; pe de altă parte, trebuie asigurată și securitatea fizică, dacă discutăm de date personale prelucrate și, mai ales, stocate în format tipărit.

În raport cu clienții...

O firmă care introduce în contractele folosite cu clienții clauze prebifate conform cărora acei clienți își dau consimțământul la prelucrarea datelor acționează contrar GDPR, de exemplu. De asemenea, atunci când o companie vrea să trimită comunicări comerciale unui destinatar, trebuie să se asigure că acest lucru este permis de GDPR. Dacă acea firmă nu reușește să găsească un temei aplicabil pentru acest lucru, trimiterea solicitărilor, în scop de marketing, este interzisă. O situație concretă e când clientul sau potențialul client optează expres pentru a nu-i fi trimise asemenea comunicări comerciale.

De asemenea, atenție la modificarea datelor din contract fără consimțământul părții vizate. 

Despre colaborarea cu ANSPDCP ar trebui să știi că

În concret, discutăm de două tipuri de obligații de cooperare ale firmelor, a căror nerespectare poate atrage amenzi de până la 3.000 de lei, pe zi de întârziere:

• supunerea la o investigație a ANSPDCP și facilitarea investigației respective, prin furnizarea de documente și informații relevante pentru Autoritate (de exemplu, o abatere ar fi refuzul de a furniza un anumit document);
• publicarea, de către firma sancționată, a oricărei măsuri corective aplicate, dacă ANSPDCP dispune în acest sens.

Odată ce ANSPDCP este sesizată sau se autosesizează cu privire la o posibilă încălcare a prevederilor ce țin de protecția datelor personale, aceasta pornește o investigație cu privire la operatorul de date. Dacă nu primește niciun răspuns de la operator (se cer documente, informații) sau dacă investigația este obstrucționată în orice fel de operator, în baza Legii nr. 102/2005, Autoritatea poate da amenzi firmelor investigate și care sunt executorii de drept - un exemplu de astfel de amendă dată anul trecut, aici.