avocatnet.ro 
Incidentul a avut loc în august 2023, când PSNI a publicat din greșeală un tabel Excel conținând informații confidențiale ca răspuns la o cerere în baza Legii privind Libertatea de Informare (Freedom of Information Act 2000). Datele expuse includeau prenumele și inițialele prenumelui, fișa postului, funcția, gradul, departamentul, localizarea postului, tipul contractului, sexul și numărul de personal PSNI, punând în pericol nu doar intimitatea, ci și siguranța personală a ofițerilor de poliție și a familiilor lor.
Contextul legislativ în Regatul Unit este complex. Deși țara a părăsit Uniunea Europeană, a menținut standarde ridicate de protecție a datelor prin adoptarea UK GDPR (United Kingdom General Data Protection Regulation) și prin actualizarea Data Protection Act 2018. Aceste legi reflectă, în mare măsură, prevederile GDPR-ului european, asigurând o continuitate în ceea ce privește principiile de protecție a datelor și drepturile persoanelor vizate.
Investigația ICO a scos la iveală o serie de deficiențe grave în practicile PSNI de protecție a datelor. S-au constatat lipsa unor procese adecvate pentru gestionarea cererilor de informații care implică date personale, absența unei evaluări a impactului asupra protecției datelor (DPIA) pentru sistemul implicat în incident și neefectuarea unor verificări de calitate înainte de publicarea datelor. De asemenea, s-a observat utilizarea unui format de fișier inadecvat (Excel) pentru răspunsurile la cererile de informații și lipsa unei instruiri adecvate a personalului în domeniul protecției datelor.
John Edwards, Comisarul pentru Informații al Regatului Unit, a subliniat gravitatea incidentului, declarând: „Această încălcare a expus identitățile a mii de persoane, punându-le în pericol siguranța și, potențial, încrederea publicului în serviciul de poliție.” Comisarul a accentuat importanța implementării unor măsuri robuste de protecție a datelor, în special pentru organizațiile care gestionează informații sensibile.
În România, un incident similar ar cădea sub incidența GDPR și, procedural, a Legii nr. 190/2018 privind măsuri de punere în aplicare a GDPR, urmând a fi investigat de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).
Patru aspecte esențiale
Cazul PSNI oferă lecții valoroase pentru operatorii de date din România, indiferent de sectorul în care activează. În primul rând, subliniază importanța dezvoltării unei culturi organizaționale care să pună accent pe protecția datelor. Aceasta implică implicarea activă a conducerii în problemele de protecție a datelor, numirea, atunci când este cazul, a unui responsabil cu protecția datelor (DPO) competent și integrarea principiilor de protecție a datelor în toate procesele organizaționale.
În al doilea rând, cazul evidențiază necesitatea implementării unor procese robuste de gestionare a datelor. Operatorii de date ce primesc astfel de solicitări ar trebui să-și revizuiască practicile, asigurându-se că au proceduri clare pentru gestionarea solicitărilor de informații, în special atunci când acestea implică date personale. Este esențială implementarea unor mecanisme de verificare înainte de orice divulgare de date, precum și de utilizarea de tehnologii și formate de fișiere sigure pentru gestionarea informațiilor sensibile.
Un aspect crucial, subliniat de acest caz, este importanța efectuării evaluărilor de impact asupra protecției datelor (DPIA). Conform art. 35 din GDPR și ghidurilor emise de EDPB, operatorii din România sunt obligați să efectueze DPIA pentru operațiunile de prelucrare care prezintă riscuri ridicate pentru drepturile și libertățile persoanelor.
Incidentul PSNI evidențiază, de asemenea, importanța instruirii continue a personalului în domeniul protecției datelor. Operatorii de date din România ar trebui să investească în programe de formare comprehensive, asigurându-se că toți angajații, de la managementul de vârf până la personalul operațional, înțeleg importanța protecției datelor și sunt familiarizați cu cele mai bune practici în domeniu.
În ceea ce privește notificarea încălcărilor de securitate, atât legislația din UK, cât și cea din România (în conformitate cu art. 33 din GDPR) impun operatorilor obligația de a notifica autoritatea de supraveghere în termen de 72 de ore de la luarea la cunoștință a incidentului. În România, operatorii trebuie să notifice ANSPDCP utilizând procedura și formularul specific puse la dispoziție de autoritate.
Cazul PSNI servește ca un semnal de alarmă pentru toți operatorii de date, fie că sunt din sectorul public sau privat, din UK, România sau oriunde în lume. El subliniază necesitatea imperativă de a trata protecția datelor ca o prioritate organizațională de prim rang. Investițiile în tehnologie, procese robuste și instruirea personalului nu sunt doar obligații legale, ci și măsuri esențiale pentru protejarea reputației organizației și menținerea încrederii publicului.
Tyno1974
Comentarii articol (0)