Analiză: Prelucrarea datelor personale: Zece teme-cheie de inclus pe agenda companiilor, pentru a evita sancțiunile ANSPDCP

Articol scris de Petruș Partene, Senior Associate.

Conform informațiilor publicate de ANSPDCP, în primele patru luni din 2023 au fost primite (înregistrate) 1.565 de plângeri, sesizări și notificări privind incidente de securitate, pe baza cărora au fost deschise 199 de investigații. În plus, ca urmare a investigațiilor efectuate în primele patru luni ale anului 2023, au fost aplicate 36 de amenzi, 40 de avertismente și 39 de măsuri corective. 

Conform ANSPDCP, plângerile, sesizările și notificările privind incidentele de securitate au vizat, în principal, următoarele aspecte: (i) dezvăluirea datelor personale către terți sau pe internet, (ii) utilizarea mijloacelor de supraveghere video la locul de muncă sau la nivelul asociațiilor de proprietari, (iii) nerespectarea drepturilor persoanelor vizate, (iv) nerespectarea cerințelor de informare a persoanelor vizate, (v) transmiterea de mesaje comerciale nesolicitate prin mijloace de comunicații electronice, (vi) atacuri informatice/cibernetice, (vii) dezvăluirea datelor minorilor, respectiv (viii) încălcarea principiilor de prelucrare a datelor.

Analizând aspectele care au făcut obiectul investigațiilor desfășurate de ANSPDCP, am identificat zece direcții-cheie față de care orice operator trebuie să manifeste o atenție sporită pentru a se asigura că activitățile sale de prelucrare a datelor cu caracter personal se desfășoară în deplină conformitate cu prevederile legale aplicabile. 

Cele zece direcții pot fi transpuse în inițiative concrete din partea operatorilor, respectiv:

1. Acordați o atenție sporită în momentul transmiterii de comunicări prin e-mail, fie ele comerciale sau necomerciale. Transmiterea către un număr mare de destinatari a unei astfel de comunicări prin inserarea tuturor adreselor de e-mail în câmpul „TO: ...” în loc de „BCC: ...” a reprezentat în practica autorității o încălcare ce a condus la divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal;

2. Asigurați o efectivitate reală a măsurilor implementate ca urmare a exercitării drepturilor persoanelor vizate. Atunci când o persoană vizată solicită ștergerea datelor cu caracter personal și puteți da curs unei astfel de cereri, asigurați-vă că aceste date sunt șterse din toate sistemele companiei. Într-o investigație desfășurată pe acest subiect, continuarea prelucrării datelor cu caracter personal prin transmiterea de comunicări comerciale prin SMS ulterior depunerii de către persoana vizată a cererii de ștergere a datelor cu caracter personal a fost sancționată de autoritate. Același principiu se aplică și în cazul unei solicitări de rectificare a datelor cu caracter personal. Într-o astfel de situație, autoritatea a considerat că prelucrarea în continuare a adresei de e-mail pentru care persoana vizată a solicitat actualizarea a fost efectuată fără un temei legal de prelucrare, subliniind că „reactivarea” acestei adrese de e-mail putea fi efectuată doar în baza consimțământului persoanei vizate.

3. Implementați un sistem eficient de gestionare a mecanismului de opt-out în cadrul comunicărilor comerciale. Transmiterea de mesaje comerciale ulterior dezabonării / exercitării dreptului de opoziție / exercitării dreptului de a fi uitat de către persoanele vizate de acest tip de comunicări este una dintre faptele care a atras cele mai multe sancțiuni din partea autorității.

4. Asigurați-vă că termenele și condițiile și/sau politica de confidențialitate aferente website-ului gestionat sunt actualizate și cuprind toate elementele necesar a fi aduse la cunoștința persoanelor vizate. Lipsa acestor informații a atras sancțiuni contravenționale din partea autorității, la care s-au adăugat și măsurile corective de aliniere a informațiilor reflectate cu cerințele legislației aplicabile în materia protecției datelor cu caracter personal.

5. Creați un sistem de exercitare a drepturilor persoanelor vizate cât mai facil și uniform. De exemplu, solicitarea transmiterii unei cereri „scrise, datate și semnate” pentru exercitarea drepturilor prevăzute de GDPR prin intermediul serviciilor de e-mail, precum și solicitarea unei copii a actului de identitate în scopul exercitării drepturilor prevăzute de GDPR, a fost considerată ca fiind excesivă în cadrul unei investigații desfășurate de autoritate. De asemenea, este important să vă asigurați că sistemele implementate exclud pe cât posibil riscul de a respinge e-mail-uri prin care se exercită drepturile persoanelor vizate pe motiv că aceste e-mail-uri provin de la adrese de e-mail ce nu prezintă încredere. Într-un astfel de caz, autoritatea a subliniat că stabilirea unui canal unic și exclusiv de comunicare pe care îl pot folosi persoanele vizate, cât și lipsa unei informări adecvate cu privire la anumite limitări din punct de vedere tehnic pot conduce la restricționarea neîntemeiată a drepturilor persoanelor vizate.

6. Acordați o atenție sporită în momentul implementării sistemelor de monitorizare prin GPS a mașinilor de serviciu. În cadrul unei investigații desfășurate pe acest subiect, autoritatea a considerat că operatorul, prin prelucrarea în afara orelor de serviciu a datelor de localizare aferente angajatului operatorului, a efectuat o prelucrare excesivă, fără să fi demonstrat că anterior a epuizat alte metode mai puțin intruzive pentru atingerea prelucrării și fără a face dovada informării complete a angajatului în legătură cu prelucrarea datelor prin intermediul sistemului GPS. De asemenea, autoritatea a considerat problematică și stocarea datelor din sistemul GPS după expirarea termenului de stocare, fără a se prezenta dovezi din care să rezulte că depășirea termenului de 30 de zile prevăzut de Legea nr. 190/2018 privind măsurile de punere în aplicare a GDPR se bazează pe motive justificate.

7. Atunci când implementați sisteme de supraveghere audio/video, asigurați-vă de proporționalitatea reală a acestor măsuri. Într-o investigație desfășurată pe acest subiect, autoritatea a concluzionat că un operator, prin intermediul unui sistem de supraveghere video instalat în birouri și în sala de mese, a prelucrat date cu caracter personal cu nerespectarea principiilor de prelucrare, în lipsa unui temei legal de prelucrare care să justifice o asemenea intruziune în viața privată a angajaților. În analiza sa, autoritatea a subliniat că scopurile declarate de operator, anume (i) monitorizarea accesului persoanelor, (ii) asigurarea securității spațiilor și bunurilor, respectiv (iii) siguranța persoanelor, se pot realiza prin mijloace mai puțin intruzive pentru viața privată a angajaților.

8. Asigurați-vă că aveți implementat un plan care să includă un proces de testare, evaluare și actualizare periodică a securității sistemelor tehnice utilizate. În cadrul mai multor investigații ce vizau aspecte privind încălcarea securității datelor cu caracter personal, autoritatea a dispus ca măsură corectivă conturarea unui astfel de plan pentru a permite operatorului monitorizarea periodică a gradului de securitate a sistemelor tehnice utilizate tocmai pentru a se asigura respectarea obligației de implementare a unor măsuri tehnice și organizatorice care să asigure securitatea prelucrării datelor cu caracter personal. 

9. Acordați o atenție sporită modalității de transmitere a documentelor ce conțin date cu caracter personal. Spre exemplu, în cadrul unei investigații efectuate, autoritatea a constatat că operatorul a divulgat ilegal date cu caracter personal ale unui client și ale altor persoane către o instanță de judecată fără a fi luate în prealabil măsuri prin care să fie verificate legitimitatea unei astfel de dezvăluiri de date. Ca măsură corectivă, autoritatea a impus operatorului să stabilească proceduri clare privind transmiterea datelor cu caracter personal către instanțele judecătorești și/sau justițiabili prin care să fie aplicate măsuri adecvate de securitate și confidențialitate - spre exemplu, pseudonimizarea datelor. 

10. Asigurați-vă că personalul este instruit la intervale de timp regulate pe subiectul protecției datelor cu caracter personal. Conform autorității, simpla instruire a personalului la momentul angajării, urmată de sesiuni de formare ținute doar în situații specifice și particularizate la nivel de departament, nu este suficientă pentru a demonstra conformitatea cu cerințele GDPR. 

Aspectele evidențiate mai sus nu reprezintă o listă exhaustivă a obligațiilor și responsabilităților operatorilor în legătură cu activitățile de prelucrare a datelor cu caracter personal. Sunt, însă, câteva dintre aspectele majore pe care ANSPDCP le-a abordat și pe care operatorii trebuie să le ia în considerare. Întrucât mediul digital și modalitățile de prelucrare a datelor evoluează rapid, este esențial ca operatorii să manifeste o atenție sporită și să asigure protecția datelor începând cu momentul conceperii și în mod implicit, după cum este reglementat cu claritate în GDPR.

Importanța aspectelor semnalate mai sus se justifică și dintr-o perspectivă comercială. Contextul este dat, printre altele, de rezultatele IAPP Privacy and Consumer Trust Report, al cărui rezumat este disponibil aici, publicat în martie 2023. Conform acestui raport (care are la bază identificarea modului în care consumatori din întreaga lume percep importanța aspectelor privind protecția vieții private), 64% dintre consumatori au afirmat că organizațiile care oferă informații clare despre politicile lor de confidențialitate le sporesc încrederea. În același timp, 33% dintre consumatori au afirmat că și-ar pierde încrederea într-o organizație care le folosește datele pentru a le oferi produse sau servicii de la o altă organizație. Nu în ultimul rând, peste 80% dintre consumatori au declarat că este posibil să nu mai apeleze la serviciile unei organizații după ce aceasta a fost victima unui atac cibernetic.

Concluzia imediată este că operatorii trebuie să fie conștienți de importanța respectării principiilor de confidențialitate, transparență și securitate în toate activitățile de prelucrare desfășurate, de la colectarea și stocarea datelor până la utilizarea lor în scopuri specifice și transferul către terțe părți. 

Ținând cont de experiența practică, recomandarea noastră este ca fiecare etapă a procesului de prelucrare să fie abordată cu o atenție deosebită, în special în contextul mai larg al întregii activități economice desfășurate de operator.  

În plus, monitorizarea și revizuirea constantă a politicilor și procedurilor de prelucrare a datelor sunt esențiale pentru a rămâne în actualitate cu evoluția legislației și cu așteptările persoanelor vizate, care sunt din ce în ce mai mari.

În acest fel, operatorii se pot asigura că au implementat un cadru operațional care să asigure evitarea unui impact negativ generat atât de sancțiunile aplicate ca urmare a constatării nerespectării prevederilor aplicabile (de notat că, doar în prima jumătate a anului 2023, primele trei sancțiuni din perspectiva cuantumului amenzilor aplicate au atins (i) 40.000 euro (detalii, aici), (ii) 18.000 euro (detalii, aici), respectiv (iii) 11.000 euro (detalii, aici)), cât și de eventualele consecințe reputaționale negative pe care un operator le poate suferi ca urmare a nerespectării prevederilor care protejează datele cu caracter personal.