Ghid de reacție în caz de investigație vizând protecția datelor cu caracter personal
Ca în cazul oricărei alte activități de control desfășurate de către autorități, și investigațiile derulate de ANSPDCP în domeniul protecției datelor cu caracter personal au o doză semnificativă de imprevizibil. Astfel, este important ca operatorii de date să aibă un plan de reacție prestabilit, care să le permită să gestioneze în mod eficient o posibilă investigație din partea acestei autorități.
Cum arată o investigație în domeniul protecției datelor cu caracter personal?
O investigație poate fi declanșată din oficiu sau la plângerea persoanelor vizate și se poate referi la orice aspect privind respectarea regulilor de prelucrare a datelor cu caracter personal. Se poate desfășura la sediul autorității, în scris (prin mijloace de comunicare la distanță), sau pe teren (la sediul operatorului de date).
Chiar dacă, de multe ori, trebuie să răspundă la solicitările autorităților într-un termen destul de scurt, în cazul investigațiilor desfășurate în scris sau la sediul ANSPDCP operatorul de date are flexibilitatea și controlul de a putea identifica și pregăti informațiile și documentația ce trebuie puse la dispoziția autorității. În astfel de cazuri, operatorul de date poate organiza implicarea tuturor responsabililor relevanți din cadrul societății sau asistența juridică sau tehnică din partea consultanților externi.
Operatorii de date nu au acest „lux‟ în cazul investigațiilor desfășurate pe teren, și în special a celor inopinate. În acest tip de investigație, cu un caracter mai intruziv și care impune reacție instantanee, este esențial ca echipa operatorului de date să fie pregătită în prealabil. Pentru motive justificate, ANSPDCP poate amâna sau suspenda efectuarea investigației, inclusiv la solicitarea justificată a operatorului.
Ce înseamnă a fi pregătit pentru o investigație derulată de ANSPDCP „pe teren‟?
Pentru a avea capacitatea de a acționa în mod eficient și corect în cazul în care este vizat de o investigație desfășurată de ANSPDCP pe teren, este important ca operatorul de date să acționeze anticipativ, prin documentarea pașilor procedurali de urmat și instruirea membrilor echipei. Această pregătire trebuie să țină cont (cel puțin) de următoarele aspecte:
- Verificările pot fi efectuate (inclusiv simultan) la sediul/ domiciliul/ punctul de lucru al operatorului, dar și în alte locații unde acesta își desfășoară activitatea sau locații care au legătură cu prelucrarea în cauză, după caz.
- Pot fi verificate toate aspectele care au legătură cu obiectul investigației, prin solicitarea oricăror informații legate de obiectivele controlului și/sau verificarea oricărui document, echipament, mijloc sau suport de stocare a datelor necesare desfășurării investigației. Corelativ, este necesar ca operatorul să îi asigure accesul personalului de control în incintele în care își desfășoară activitatea, la orice astfel de echipament, mijloc sau suport de prelucrare/stocare a datelor, în vederea efectuării verificărilor necesare desfășurării investigației, inclusiv la cele care pot fi accesate la distanță și să furnizeze într-o formă completă documentele, informațiile, înregistrările și evidențele solicitate, precum și orice lămuriri necesare, fără a putea opune caracterul confidențial al acestora, în condițiile legii.
- După caz, pentru evitarea riscului distrugerii unor documente relevante, personalul de control poate proceda la aplicarea de sigilii, în linie cu prevederile Codului de Procedură Penală, în situația în care investigația nu poate fi finalizată în ziua în care a început, precum și în alte situații în care se impune o astfel de măsură. Operatorul de date are obligația de a asigura integritatea sigiliilor, iar în caz contrar, ANSPDCP va proceda la sesizarea organelor de cercetare penală cu privire la săvârșirea infracțiunii de rupere de sigilii.
- Personalul de control poate utiliza echipamente de înregistrare şi stocare audiovideo/ foto ori de câte ori echipa de control consideră că este necesar în cadrul derulării activității de control. De asemenea, poate audia persoanele ale căror declarații sunt considerate relevante și necesare desfășurării investigației.
- După caz, personalul de control poate solicita asistență din partea organelor de poliție, fie anterior investigației, în condițiile în care există indicii privind o posibilă opoziție la investigație sau pe parcursul derulării acesteia. În același sens, în cazurile în care personalul de control este împiedicat în orice mod în exercitarea atribuțiilor specifice, ANSPDCP poate solicita autorizarea judiciară, dată prin încheiere de către președintele Curții de Apel București sau de către un judecător delegat de acesta. În acest sens, va fi suficientă o singură autorizare, chiar dacă investigația urmează a fi efectuată în multiple locații ale operatorului, întrucât toate aceste locații vor putea fi reflectate în cuprinsul aceleiași încheieri de autorizare.
Concluzie
Așadar, pentru a face față unei investigații derulate de ANSPDCP pe teren, în special a unei inspecții inopinate, pregătirea este esențială. În acest sens, este util ca operatorul să definească un ghid de reacție în cazul unei astfel de investigații, care să includă – printre altele – contacte cheie (interne și externe), proceduri de reacție, obligații ce trebuie respectate. Un astfel de ghid poate fi un proiect de sine stătător sau poate face parte din manualul mai amplu privind reacția corectă în raport cu activitatea de control a diverselor autorități. Mai mult, este foarte important ca operatorul de date să îi instruiască pe membrii echipei sale cu privire la respectarea și aplicarea acestui ghid, iar atât această instruire, cât și revizuirea măsurilor respective, să fie actualizate periodic.
Articol scris de: Carla Filip (attorney at law) și Marta Gogoneață (attorney at law), avocați specializați în protecția datelor cu caracter personal în cadrul Schoenherr și Asociații SCA