De ceva vreme viata reala s-a mutat in mediul on-line: munca se desfasoara in regim de telemunca sau munca la domiciliu, facem cumparaturi alimentare on-line si curierul le livreaza la domiciliu, copii fac scoala prin zoom sau skype, inclusiv sportul ilfacem in fata unui ecran, prin intermediul unei aplicatii sau cu ajutorul unui instructor on-line. La fel si infractiunile.
Milioane de date cu caracter personal sunt prelucrate zilnic de catre operatori, care de multe ori nicinu stiu ce date cu caracter personal prelucreaza, nefiind constienti ca nu doar numele, adresa si CNP-ul sunt date cu caracter personal.
Ce se intampla cu datele noastre oferite cu atata usurinta si incredere, printr-un simplu click?
Ce presupunem noi ca se intampla nu coincide de multe ori cu ceea ce se intampla efectiv. Noi presupunem ca datele ajung doar unde trebuie sa ajunga, ca operatorul a luat toate masurile necesare pentru asigurarea securitatii datelor cu caracter personal. Ce facem insa cand constatam (tarziu) ca nu mai avem bani pe card pentru ca cineva a platit din contul nostru o cina forte scumpa la un restaurant din Londra in timp ce noi stateam linistiti in casa? Dar daca primim un mesaj ca ne-au fost blocate toate datele din laptop(documente,poze cu copii,etc) si daca le vrem inapoi trebuie sa platim o recompensa, iar daca nu, vor fi sterse?
Ce trebuie sa faca un operator de date cu caracter personal sa previna bresele de securitate?
Una dintre obligatiile esentiale ale operatorului de date este de a asigura securitatea prelucrarii datelor cu caracter personal. In primul rand trebuie sa evalueze riscul pe care activitatea sa il are asupra datelor cu caracter personal iar apoi sa stabileasca masurile tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator acestui risc.
Aceste masuri, exemplificate ca fiind masuri minime de securitate de catre GDPR (Regulamentul General nr. 2016/679 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date) trebuie sa includa cel putin: pseudonimizarea si criptarea datelor cu caracter personal; capacitatea de a asigura confidentialitatea, integritatea, disponibilitatea si rezistetnta continue ale sistemelor si serviciilorde prelucrare; capacitatea de a restabili disponibilitatea datelor cu caracter personal si accesul la acestea in timp util pentru situatia in care are loc un incident de Securitate de natura fizica sau tehnica; un proces pentru testarea, evaluarea si aprecierea periodicaa eficacitatii masurilor tehnice si organizatoriceluatepentru garantarea securitatii prelucrarii.
In cazul unui control din partea Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal(ANSPDCP), va fi verificata inceplinirea cel putin a acestor conditii minime de securitate a prelucrarii, iar amenzile nu sunt mici.
Ce trebuie sa faca un operator de date cu caracter personal in cazul unei brese de securitate?
In cazul in care are loc o incalcare a securitatii datelor cu caracter personal, operatorul este obligat sa notifice bresa de securitate catre ANSPDCP in termen de maxim 72 de ore de la data la care a luat cunostinta de bresa de securitate.
Aceasta notificare trebuie sa cuprindacel putin: descrierea caracterului incalcarii securitatii datelor cu caracter personal, inclusiv categoriile de persoane vizate si numarul aproximativ al persoanelor vizate ale caror date au facut obiectul bresei de securitate; descrierea consecintelor bresei de securitate; descrierea masurilor luate sau care se vor lua pentru remedierea problemei incalcarii securitatii datelor precum si masurile luate pentru atenuarea efectelor bresei de securitate; numele si datele de contact ale Responsabilului cu Protectia Datelor sau un alt punct de contact unde se pot obtine mai multe informatii.
Daca bresa de securitate poate genera un risc ridicat pentru drepturile si libertatile persoanelor fizice, operatorul este obligat, ca pe langa notificarea transmisa catre ANSPDCP, sa notifice si persoana vizata cu privire la aceasta incalcare.
Notificarea transmisa persoanei vizate trebuie sa cuprinda, intr-un limbaj usor accesibil, faptul ca a avut loc o bresa de securitate, in ce a constat, ce efecte produce, ce date ale persoanei au fost afectate si in ce mod, ce masuri a luat pentru a limita efectele incidentului de securitate, masurile luate pentru remedierea problemei si datele persoanei de contact.
Exista cateva situatii in care operatorul nu este obligat sa incunostiinteze si persoana vizata, cum ar fi cazul in care e imposibil ca riscul sa se mai materializeze sau daca datele au fost criptate si este imposibila decriptarea. Daca notificarea tuturor persoanelor afectate necesita un efort disproportionat, operatorul este obligat sa efectueze o informare publica.
Este deosebit de important modul in care se fac aceste informari intrucat niciun comerciant nu si-ar dori sa piarda increderea clientilor sai si nici credibilitatea in piata.
In situatia in care operatorul incalca aceste obligatii, atat cele privind asigurarea securitatii prelucrarii datelor cu caracter personal, cat si cele privind notificarea in cazul unei brese de securitate, este pasibil a fi sanctionat contraventional de catre ANSPDCP, amenzile putand ajunge pana la 10.000.000 de Euro sau 2% din cifra totala anuala de afaceri, luandu-se in calcul valoarea cea mai mare.
In situatia in care amendava depasi 300.000 de Euro, aplicarea amenzii se poate efectua doar prin decizia presedinteluiANSPDCP, in baza procesului verbal de constatare/sanctionare si raportul personalului de control.
AsociatiaProPrivacy
