Sari direct la conținut

GDPR: Lecții învățate și perspective din cel mai recent raport al ANSPDCP

Deloitte si Reff&Asociatii
Silvia Axinescu, Dragos Sarban, Foto: Deloitte si Reff&Asociatii
Silvia Axinescu, Dragos Sarban, Foto: Deloitte si Reff&Asociatii

În contextul creșterii interesului pentru domeniul protecției datelor și a primelor amenzi impuse de la aplicarea GDPR, în Portugalia, Germania, Austria și, de curând, în Franța, o analiză a celui mai recent raport al Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)ne ajută să extragem cele mai relevante situații care ar putea deveni subiectul unor plângeri și/sau sancțiuni. Deși se bazează pe legislația anterioară GDPR (în principal, pe Legea nr. 677/2001), concluziile rămân valabile și în baza reglementărilor prezente.

Evident, de la an la an, activitatea ANSPDCP a fost una semnificativ crescută, atât la nivelul investigațiilor, precum și al plângerilor, fiind așteptat ca pentru 2018 și 2019, tendința să se mențină. Am sintetizat în continuare cele mai importante constatări ale autorității care pot fi lecții pentru viitor:

Cookies

A fost verificată modalitatea de obținere a acordului pentru instalarea cookies pe device-ul persoanei vizate, precum și furnizarea informațiilor privind scopul prelucrării, tipurile de cookies stocate și accesate, durata acestora de stocare.

În contextul unor decizii aparent contradictorii la nivel european referitoare la opțiunile de acord pentru cookies oferite de paginile media (autoritatea din Austria și, respectiv autoritatea din Marea Britanie) privind analiza valabilității acordului cu privire la acceptarea anumitor cookies pentru vizualizarea gratuită a conținutului versus achitarea unei sume de bani și, mai ales, al actualității subiectului la nivel european, așteptăm cu interes ca verificarea acestui aspect să fie manifestată și de către ANSPDCP, cât și poziția față de care se va alinia.

Date incluse în procese-verbale încheiate în cadrul unor proceduri disciplinare

Datele personale prelucrate în temeiul relațiilor de muncă dintr-un proces-verbal încheiat în cadrul unei proceduri disciplinare nu pot fi transmise, de exemplu, prin e-mail, către toți angajații operatorului, pentru a discuta situația în cadrul unui instructaj privind normele de securitate și sănătate în muncă.

Verificarea identității persoanei vizate

Facebook a solicitat copie a actului de identitate al unei persoanei vizate care voia să își recupereze parola și contul de pe această rețea de socializare. S-a considerat că Facebook pune la dispoziție proceduri diverse ce pot fi parcurse de către persoanele interesate (inclusiv pentru schimbarea parolei, raportarea de abuzuri). Însă, parcurgerea acestor proceduri poate presupune furnizarea de informații suplimentare cerute de Facebook tocmai pentru a putea identifica cu exactitate persoana sau problema la care se face referire.

Considerăm că precizarea este foarte importantă în contextul dreptului de acces, când, în multe situații, se pune problema necesității verificării identității persoanei vizate și, implicit, solicitarea unor informații (documente) în acest sens. Cu toate acestea, o copie a actului de identitate nu poate fi solicitată în toate situațiile în care o persoană vizată își exercită dreptul de acces sau oricare alt drept recunoscut în materie. Operatorul poate condiționa exercitarea unui drept atunci când informațiile pe care ar trebui să le furnizeze (ori prelucreze în alt mod, după caz, în funcție de dreptul exercitat) prezintă un grad de sensibilitate cel puțin mediu (precum date de sănătate – în cazul clinicilor medicale, comunicări cu terți – în cazul platformelor de social media, date financiare – în cazul băncilor).

Transmiterea datelor către alte autorități publice

S-a stabilit că fapta unei autorități publice de a nu informa persoanele vizate despre transmiterea datelor acestora către alte autorități publice și organisme private cu care avea încheiate protocoale nu respectă exigențele necesare aplicării efective a principiului transparanței, persoana vizată nefiind informată în mod complet, fapt care face ca prelucrarea să fie nelegală. În această speță, care a fost dedusă judecății, instanța a făcut aplicarea bine cunoscutei decizii CJUE în Cauza C-201/14 Bara și alții împotriva Președintelui CNAS, CNAS și ANAF și a menținut sancțiunea aplicată.

Respectarea drepturilor persoanelor vizate

Din lectura raportului anterior, nu ne suprinde că una dintre principalele încălcări a fost legată de nerespectarea dreptului la informare a persoanei vizate. De altfel, și în prezent, o parte consistentă a operatorilor nu îndeplinesc ori îndeplinesc doar parțial această cerință, nefurnizând note de informare adecvate, mai ales în ceea ce privește zona de online. Asigurarea dreptului la informare este, până la urmă, expresia prin care se materializează posibilitatea persoanelor vizate de a se afla în deplină cunoștință a modului în care le sunt prelucrate datele, acesta fiind mobilul legislației în materie. Totodată, popularitatea subiectului în rândul persoanelor vizate este de așteptat să atragă verificări și în ceea ce privește respectarea dreptului la acces, mai ales în situația transmiterii unor răspunsuri generale sau incomplete.

O altă zonă care este de așteptat să se mențină în atenția ANSPDCP și pentru viitor este nerespectarea măsurilor de protecție (securitate și confidențialitate) a datelor, mai ales în contextul obligației de notificare a încalcărilor de securitate și, respectiv, informare a persoanei vizate. În acest sens, printre altele, în practică, (i) accesul angajaților se descoperă a fi unul general, iar nu agregat, doar pentru datele la care ar trebui să aibă acces, necesare pentru îndeplinirea activităților, (ii) sistemele de operare nu sunt prevăzute cu un sistem care să oblige utilizatorii (respectiv, angajații) să seteze parole complexe ori să expire la un interval de timp, (iii) salvarea documentelor pe un server cu acces restricționat este înlocuită de salvarea și dublarea acestora în diferite aplicații ori în memoria calculatorului fiecărui angajat.

Ce va urma?

Având în vedere rolul activ al ANSPDCP în ceea ce privește publicarea de acte normative ulterior datei de 25 mai 2018, campaniile de informare desfășurate anterior, prezenței subiectului în presă, există așteptări ca aceasta să fie cel puțin la fel de prezentă, atât din proprie inițiativă, cât și urmare a miilor de sesizări ale persoanelor vizate, tot mai active cu privire la conștientizarea, exercitarea drepturilor lor și cerința unor comportamente adecvate ale persoanelor care le prelucreză datele cu caracter personal.

Rămâne de văzut dacă, la nivelul României, va avea loc o creștere a cuantumului amenzilor (cel puțin în cazul încălcării cu rea-credință ori gravă neglijență a dispozițiilor în materie, respectiv a celor care nu au depus minime eforturi pentru a se conforma legislației ori au făcut-o într-un mod superficial, doar pe hârtie) sau, din contră, preocuparea va fi de a formula avertismente însoțite de recomandări (urmate de verificări ulterioare cu privire la modul de redresare și respectare a acestora) în locul aplicării din start a unor amenzi.

Un articol semnat de Silvia Axinescu, Senior Managing Associate Reff și Asociații Dragoș Șărban, Associate Reff și Asociații

ARHIVĂ COMENTARII