De la aplicarea GDPR-ului încoace, ANSPDCP a dat cele mai mari amenzi pentru divulgarea de date personale de către angajații unor companii din România. Poate cea mai faimoasă dintre acestea, amenda de 100.000 de euro dată celor de la Banca Transilvania (BT) - faimoasă pentru că documentul cu multe și „foarte personale” date care „a scăpat” din bancă a ajuns pe tot internetul și la televizor, fiind subiect de glumă zile în șir de la incident. Pe scurt, angajații BT au făcut public un răspuns destul de explicit al unui client al băncii, căruia i se solicitase să ofere explicații privind folosirea unei mari sume de bani. Documentul a fost împărtășit apoi între angajați ai băncii și, destul de repede, și-a făcut loc în spațiul public, fiind distribuit prin WhatsApp, apoi pe Facebook și alte rețele sociale. Vinovați, trei angajați ai BT.
Joi, ANSPDCP ne-a anunțat că a câștigat procesul cu BT, care a contestat amenda de 100.000 de euro și ne-a publicat și câteva dintre considerentele instanței.
La finele lunii viitoare se împlinesc patru ani de când GDPR a devenit un instrument obligatoriu pentru toate entitățile care prelucrează date personale din România și celelalte state membre ale Uniunii, iar sublinierile și atenționările privind instruirea adecvată a angajaților în materie de GDPR ocupă mereu primul loc în discursul specialiștilor în protecția datelor.
Din speța cu BT și sublinierile instanței, o concluzie reiese destul de clar și ar trebui să ajungă la toate entitățile ce prelucrează date personale: dacă e nevoie, în fața ANSPDCP și a judecătorului, nu e suficientă așa-zisa maculatură de GDPR, procedurile scrise și, chipurile, însușite de toți cei din firmă; e nevoie de dovezi concrete că s-au făcut instruirile și că angajaților le-au fost verificate cunoștințele. Iar instruirile, similar, dacă vreți, celor de sănătate și securitate în muncă, ar trebui să fie periodice. Chiar cu ocazia unei amenzi recente date de ANSPDCP, pe care am prezentat-o în acest material, observăm aceeași subliniere a Autorității: operatorii trebuie să dovedească instruirea concretă.
„În cauză, pentru a dovedi conduita sa diligentă în ce privește instruirea personalului în domeniul protecției datelor cu caracter personal reclamanta a depus o serie de reglementări interne precum și dovada organizării unor cursuri având această tematică, însă apare important de subliniat ca nu s-a dovedit participarea efectivă a personalului la aceste cursuri și nici aplicarea efectivă a vreunei modalități de verificare a însușirii acestor cunostințe și informații.
De altfel, aspectele invocate de reclamantă în sensul în care ar fi luat măsuri adecvate, în scopul implementării prevederilor din Regulament, sunt contrazise chiar de faptele constatate prin procesul verbal de contravenție și necontestate, care atestă divulgarea intenționată, în mod neautorizat, de către persoanele aflate sub autoritatea Băncii, a unui [set] însemnat de date cu caracter personal (unele din categoria datelor extrem de sensibile) către un număr foarte mare de persoane (...)
Așa fiind, înscrisurile prezentate de reclamantă, în dovedirea implementării măsurilor tehnice organizatorice adecvate, nu sunt de natură să probeze asigurarea unui nivel de securitate corespunzător privind capacitatea de a asigura confidențialitatea și testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării”, a susținut instanța de fond.
Instanța subliniază „dezinvoltura” cu care angajații BT au acționat aici prin trimiterea acelui document de la unul la altul și, apoi, unor terțe persoane, prin WhatsApp, chestiune care ar dovedi că aceștia nici nu cunosc procedurile de lucru și nici nu sunt în stare să recunoască datelor cu care lucrează caracterul de date personale (și pe care, în mod evident, nu ar trebui să le împărtășească cu alții).
Desigur, cu toate instruirile și cu toate măsurile luate în mod concret de un operator de date pentru angajații săi, nimic nu va garanta că aceștia vor acționa întotdeauna corect și cu bună-credință în privința datelor personale cu care se întâlnesc și pe care le operează în activitatea curentă.
De ce o sancțiune atât de mare aici - sau, mai corect spus, de ce atât de mare prin comparație cu majoritatea amenzilor de ANSPDCP la noi în toți acești ani? O dată, pentru că informațiile respective au ajuns la un număr uriaș de persoane, iar așa cum se întâmplă cu tot ceea ce se viralizează, urmele acestui incident sunt, practic, imposibil de șters acum de pe internet și pot fi accesibile oricui la o simplă căutare pe Google, dar și pentru că era vorba de informații sensibile, cu potențial de prejudiciere.