Instruirea permanentă a angajaților, esențială pentru asigurarea securității datelor prelucrate de către companie

Asta pentru că cele mai multe greșeli în materia GDPR sunt făcute de către angajați, intenționat sau nu. În plus, chiar dacă de vină pentru neregulile privind prelucrarea datelor este un angajat, amenda este adresată și va fi plătită de firmă.

Dovada acestui fapt stă în numeroasele amenzi aplicate de ANSPDCP de la adoptarea GDPR. Le prezentăm, în continuare, pe cele mai mari:

• 150.000 euro, în 2019, pentru o bancă deoarece două angajate au transmis unei firme de brokeraj, prin WhatsApp, date din documentele de identitate ale unor persoane fizice, pentru a efectua interogări ale Biroului de Credit pentru a determina eligibilitatea la creditare;
• 100.000 euro, în 2020, pentru postarea pe o rețea de socializare a unui salariat dintr-o banca a motivelor pentru care un client solicita un credit de circa 85.000 euro;
• 20.000 euro, în 2019, deoarece un angajat al unei companii de transport aerian a accesat neautorizat aplicația de rezervări și a fotografiat lista cu datele personale a mai multor pasageri, pe care, ulterior, a divulgat-o online.

Instruirea angajaților în spiritul GDPR nu este opțională, ci este o obligație care reiese explicit din întregul cuprins al Regulamentului general privind protecția datelor.

Pentru ca salariații să respecte regulile în domeniul GDPR, aceștia trebuie să cunoască și să înțeleagă foarte bine atribuțiilor pe care le au în privința protecției datelor, dar și să aplice măsurile de securitate adoptate la nivelul companiilor. 

Potrivit unei opinii Deloitte România transmise redacției noastre, un alt aspect ce reiese din raportul autorității de supraveghere națională pe anul trecut, care trebuie luat în calcul de companii, pe lângă educarea salariaților, este legat de necesitatea intensificării controalelor interne, astfel încât firmele să se asigure că aplică măsurile tehnice și organizaționale corespunzătoare pentru garantarea securității datelor.

Aplicarea corectă a măsurilor de securitate existente de către salariați și de către firmă poate duce la evitarea apariției breșelor de securitate.

"Pe viitor, organizațiile trebuie să își exerseze capacitatea de a anticipa și de a răspunde rapid la atacurile cibernetice sau la erorile interne care intervin în procesul de protecție a datelor cu caracter personal, astfel încât să reducă riscul de compromitere a datelor. În acest sens, este important să desfășoare exerciții de testare a proceselor de management al crizelor, având în vedere că incidentele de securitate cibernetică sunt deja percepute ca având cel mai mare risc asupra afacerii", potrivit opiniei Deloitte.