Cele mai recente amenzi aplicate de Autoritatea Națională de Supraveghere a Prelucrării Datelor: Trei lecții de învățat

1. Încălcarea principiul exactității datelor

În trei din cele cinci cazuri investigate, autoritatea de supraveghere a constatat că a fost încălcat principiul exactității datelor cu caracter personal, care au fost prelucrate, în plus, și în lipsa unor măsuri tehnice și organizatorice adecvate. 

Astfel, potrivit informațiilor publice prezentate la terminarea investigației, în cazul unui operator de telefonie mobilă, autoritatea a constatat într-o primă investigație că răspunsul operatorului a fost transmis către un alt destinatar decât cel care a formulat o reclamație, iar, într-o altă situație, un solicitant de servicii a primit prin intermediul poștei electronice un contract de servicii, ce cuprindea datele altei persoane.

Aceeași încălcare a fost constatată și în cazul unui furnizor de utilități care a transmis unui client, prin poșta electronică, datele cu caracter personal aparținând altui client.

Ce e de făcut?

Nerespectarea principiului exactității datelor, așa cum este enunțat de Regulamentul General privind Protecția Datelor (Regulamentul), are ca efect prelucrarea în mod greșit a datelor de către operator. Prin urmare, verificarea corectitudinii datelor prelucrate este foarte importantă și trebuie realizată cu diligență sporită. În cazurile descrise anterior, este foarte posibil să fie vorba de o eroare umană apărută în contextul unui volum mare de date prelucrate. Cu toate acestea, răspunderea aparține operatorului și este imposibil de evitat.

Așa cum a reținut și ANSPDCP, este necesară implementarea unor măsuri tehnice și organizatorice adecvate. Este greu de crezut că operatorii sancționați nu au făcut pași semnificativi în această direcție, dar aceste eforturi trebuie dublate de instruiri și testări regulate menite să ofere, în timp real, răspunsuri cu privire la eficiența procedurilor interne, a modului de lucru efectiv cu datele, dar și a măsurilor tehnice adoptate pentru a asigura integritatea și confidențialitatea datelor cu caracter personal.

Nu în ultimul rând, mai trebuie precizat că nerespectarea principiului exactității datelor, de fapt prelucrarea greșită a unor date, poate constitui un incident de securitate pe care operatorii trebuie să îl raporteze la ANSPDCP. Lipsa unei astfel de notificări este de natura a atrage aplicarea de amenzi, așa cum s-a întâmplat în cazul operatorului de telefonie mobilă menționat mai sus.

Așadar, eficiența măsurilor tehnice și organizatorice adecvate trebuie să vizeze și capacitatea operatorului de a detecta astfel de incidente și de a lua măsurile necesare pentru a limita consecințele asupra persoanelor vizate. Doar în acest fel poate fi prevenită o situație accidentală sau ilegală care ar putea conduce la divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal prelucrate.

De altfel, majoritatea amenzilor aplicate de ANSPDCP sunt însoțite de măsuri corective menite să asigure respectarea standardelor impuse de Regulament. 

2. Nerespectarea dreptul de opoziție la prelucrare

O altă amendă aplicată de autoritatea de supraveghere a vizat nerespectarea dreptului de a se opune prelucrării exercitat de clientul unui magazin online. Astfel, deși clientul în cauză a solicitat dezabonarea de la comunicările comerciale, iar operatorul a confirmat dezabonarea, a primit în continuare astfel de comunicări.

Fără a aprecia cu privire la temeinicia celor reținute de ANSPDCP, situația de fapt este larg întâlnită în mediul online și reprezintă o sursă constantă de nemulțumire din partea persoanelor vizate.

De cele mai multe ori problema rezultă din modul în care bazele de date prelucrate în mod curent sunt interconectate și aduse la zi. Simpla manifestare a dreptului de opoziție în cazul comunicărilor comerciale ar trebui să conducă la scoaterea imediată a persoanei solicitante din listele active de marketing. Acest lucru poate fi greu de realizat în cazul în care operatorul nu prelucrează baze de date integrate, ținute la zi și bine organizate sub aspectul drepturilor de acces.

Ce e de făcut?

Pentru a preîntâmpina astfel de situații operatorii ar trebui țină mereu la zi bazele de date (cum ar fi adresele de poștă electronică), asigurându-se că opozițiile la prelucrare sunt imediat și ireversibil implementate. În acest sens, o procedură internă care să prevadă acțiuni, termene și roluri clare în rândul angajaților, dublată de măsuri tehnice concretizate prin sisteme informatice care să permită interconectarea și interoperabilitatea bazelor de date, reprezintă posibile soluții.

3. Nefurnizarea de informații la solicitarea ANSPDCP

Ultima amendă analizată nu ne oferă detalii cu privire la situația de fapt, dar relevă o conduită destul de des întâlnită în rândul operatorilor, respectiv nefurnizarea de informații la solicitarea ANSPDCP cu ocazia realizării unor investigații.

Trebuie precizat că procedura de efectuare a investigațiilor acordă autorității dreptul de a solicita informații cu privire la activitățile de prelucrare investigate și impun operatorilor de obligația de răspunde acestor solicitări. Nerespectarea acestei obligații conduce la aplicarea de amenzi, practica autorității fiind bogată în acest sens.

Ce e de făcut?

Orice solicitare a autorității de supraveghere trebuie să primească un răspuns din partea operatorului investigat, și asta nu doar pentru a evita aplicarea unei amenzi în caz de necomunicare a informațiilor solicitate, ci și pentru a-și asigura în mod eficient dreptul la apărare. 

Concluzionând, dacă analizăm spețele de mai sus, constatăm că, deși au trecut aproape 2 ani de la data aplicării Regulamentului, implementarea regulilor europene și naționale în materia protecției datelor cu caracter personal necesită în continuare resurse umane, financiare și de timp din partea operatorilor, asigurarea conformității fiind un proces continuu și mereu adaptabil realității activităților de prelucrare. Cu alte cuvinte, asigurarea conformității trebuie să reprezinte o preocupare majoră și constantă în activitatea obișnuită indiferent de domeniul de activitate.