Un singur click greșit. O factură trimisă din neatenție altui client. O listă de adrese de e-mail dezvăluită din lipsă de atenție la câmpul CC. Erori aparent nevinovate, dar care pot costa o companie până la 20 de milioane de euro sau 4% din cifra de afaceri, conform Regulamentului privind protecția datelor personale (GDPR).
Iar miza nu se oprește la amenzile usturătoare – urmează pierderea încrederii clienților și afectarea imaginii publice a companiei. Numele firmei sancționate apare public pe site-ul Autorității Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), iar informația poate fi rapid preluată de publicații juridice, naționale sau internaționale. Într-o eră digitală, un astfel de incident nu rămâne niciodată discret.
Chiar dacă Regulamentul GDPR nu mai este de mult timp o noutate – se împlinesc în curând 7 ani de când se aplică - el continuă să fie un dificil test de conformitate pentru antreprenori. Iar cei aflați la început de drum sunt, adesea, cei mai expuși riscurilor.
Despre toate acestea s-a discutat în cadrul seminarului „Ghid practic GDPR pentru antreprenori”, organizat la BT STUP și prezentat de avocatele Cătălina Pițigoi și Cristina Boroșeanu. Cu exemple concrete din practica autorității de supraveghere și un mesaj clar: nicio scuză nu te scapă de sancțiuni dacă ignori regulile.
„Importanța GDPR-ului este mai actuală ca oricând. Cred că tuturor persoanelor prezente aici li se aplică regulamentul – ori că suntem persoane vizate, ori operatori de date. Trebuie să cunoaștem reglementarea pentru a avea control asupra datelor noastre și pentru a evita riscurile majore”, a explicat Cătălina Pițigoi.
- Stup este un proiect al Băncii Transilvania, un spațiu fizic unde antreprenorii pot găsi sprijin indiferent de etapa în care se află business-ul lor. Stup funcționează ca un marketplace de produse și servicii necesare oricărui antreprenor, un loc în care oricând poți găsi consiliere gratuită dedicată afacerii tale. Și pentru că Stup este un loc în care chiar se fac lucruri, poți consulta agenda evenimentelor organizate și găzduite AICI.
Greșeli frecvente care aduc sancțiuni. Cum pot fi evitate
Antreprenorii prezenți au putut afla exemple de spețe în care reprezentanții Autorității Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) au aplicat sancțiuni.
Trimiterea unei facturi către alt destinatar
„Vedem o tendință autorității (ANSPDCP) de a sanctiona destul de mult practica de a trimite mesaje pe e-mail sau pe WhatsApp sau pe diverse platforme. De exemplu, în cazul în care s-au trimis documente sau informații care conțineau date cu caracter personal. De exemplu, o factură a unui client, din eroare umană sau operațională, a fost trimisă pe adresa de e-mail a unui alt client, nu era persona vizată în cauză. S-a considerat că este o neconformitate prin faptul că au fost dezvăluite neautorizat aceste informații - persoana terță a avut acces neautorizat la acele date. A fost aplicată o amendă. Nu este un caz singular”.
E-mailuri fără BCC
„Au fost transmise niște informații pe e-mail către mai mulți destinatari și, în loc să fie aleasă opțiunea de BCC, astfel încât destinatarii să nu aibă acces la adresele de e-mail ale celorlalți, care conțineau nume și prenume, au fost trimise către CC. Și, din nou, Autoritatea – ANSPDCP - a considerat că persoanele acelea nu trebuiau să aibă acces la adresele de e-mail ale celorlalte și a aplicat amendă.”
Site-uri fără politică de confidențialitate:
„Unii operatori nu aveau deloc politici de confidențialitate sau de cookie-uri pe site. Alții le aveau, dar erau incomplete. Și toți au fost sancționați.”
Politici lipsă, răspunsuri întârziate și mesaje comerciale trimise abuziv – calea sigură către amenzi GDPR
Respectarea Regulamentului privind protecția datelor personale nu înseamnă doar să nu greșești, ci să dovedești că ai fost atent la fiecare detaliu. Iar autoritățile nu iartă nici cele mai „banale” scăpări.
„Este foarte important să informăm persoanele vizate prin intermediul unei note de informare sau a unei politici de confidențialitate”, a subliniat Cătălina Pițigoi. Dacă un site permite crearea de conturi, abonarea la newsletter sau prelucrează cookie-uri, atunci trebuie să conțină, în mod obligatoriu, politica de confidențialitate și politica de cookie-uri.
Și nu este suficient ca aceste politici să existe – ele trebuie să fie complete și corect redactate. Au fost sancționați operatori pentru că, deși politicile de confidențialitate erau pe site, erau incomplete”, adică nu respectau cerințele din GDPR.
Alte cazuri des întâlnite sunt cele în care operatorii au ignorat sau au tratat superficial drepturile persoanelor vizate – răspunsuri întârziate, incomplete sau chiar lipsă au dus la sancțiuni.
„Dacă nu răspunzi în termenul de maximum o lună de la momentul la care ai primit solicitare sau răspunzi, dar oferi un răspuns incomplet sau necorespunzător, autoritatea aplică amenzi.”
Iar când vine vorba de dreptul la ștergere, lucrurile pot deveni și mai delicate. „În practică, deși ăsta a fost răspunsul operatorilor – că ne-am conformat, am șters datele și că nu vom mai trimite mesaje – ei au continuat, la câteva săptămâni, după câteva luni, să transmită în continuare mesaje comerciale. Bineînțeles că nu au fost în măsură să dovedească faptul că persoana vizată își oferise în continuare consimțământul pentru aceste mesaje ulterioare și au fost aplicate amenzi pentru că nu s-au conformat, până la urmă, cu dreptul de ștergere a datelor”.
Și în cazul înregistrărilor video, operatorii trebuie să fie extrem de atenți.
„Dacă imaginea captează comportamentul, activitatea, imaginea altor persoane care nu sunt relevante pentru situația respectivă, trebuie să avem grijă, când furnizăm astfel de imagini personalizate, să blurăm, să pixelăm imaginea celorlalți subiecți nevizați.”
O altă greșeală costisitoare este neglijența în alegerea partenerilor contractuali.
„Operatorul are obligația de a face un fel de proces de due diligence înainte să își aleagă împuternicitul, ca să fie sigur că datele sale vor fi prelucrate în condiții de siguranță de către împuternicit”, a avertizat Cătălina Pițigoi. Acest lucru presupune nu doar o evaluare inițială, ci și „audituri și inspecții” periodice pentru a verifica dacă împuternicitul respectă măsurile prevăzute de regulamentul GDPR.
Când aceste măsuri lipsesc și se produce un incident de securitate – cum a fost cazul unei breșe de date cauzată de lipsa de protecție adecvată – autoritatea de supraveghere nu iartă:
„A sancționat atât împuternicitul, pentru că nu s-a conformat propriilor obligații, cât și operatorul, pentru că nu a fost suficient de proactiv și de diligent.”
Cristina Boroșeanu a explicat că există și cazuri în care doar persoana împuternicită a fost sancționată, deoarece operatorul și-a îndeplinit obligațiile și a pus la dispoziție toate procedurile necesare. Totuși, avocata a subliniat că ANSPDCP decide de la caz la caz cine este responsabil – nu există o regulă fixă privind sancționarea exclusivă a operatorului, a împuternicitului sau a ambilor.
Supravegherea angajaților
Supravegherea angajaților – o practică sensibilă, dar frecventă în companii – poate deveni un teren minat în lipsa unei documentații solide și a respectării stricte a regulilor.
Monitorizarea prin camere video, GPS sau a comunicărilor electronice este condiționată clar atât de regulamentul GDPR, cât și de Legea 190/2018. Cu alte cuvinte, patronul nu poate porni camerele și abia apoi să se gândească ce justificare găsește. Consultarea prealabilă a sindicatului, informarea angajaților și respectarea unui termen maxim de stocare de 30 de zile pentru datele colectate sunt pași esențiali – care, odată săriți, pot atrage sancțiuni usturătoare.
Sunt deja cazuri în care firmele au fost amendate pentru că nu au informat salariații în mod clar despre supraveghere sau pentru că au păstrat imaginile mai mult decât permite legea. De aici concluzia simplă: chiar dacă două companii comit greșeli aparent similare, rezultatul poate fi complet diferit. Autoritatea nu este obligată să-și urmeze precedentul și analizează fiecare caz individual, în funcție de context și de gravitatea neregulilor, au explicat avocatele Cătălina Pițigoi și Cristina Boroșeanu.
Concepte-cheie. Cine este „persoana vizată”
Avocatele au subliniat că este esențial să înțelegem corect conceptele-cheie din legislația privind protecția datelor personale. Le folosim zilnic, în emailuri, în contracte, în site-uri sau în relația cu angajații. Și chiar dacă par abstracte, o clipă de neatenție sau o necunoaștere a termenilor poate costa scump.
„Persoana vizată” este orice persoană fizică ale cărei date sunt prelucrate în activitatea desfășurată de un operator. Important de reținut: persoanele juridice nu intră sub protecția GDPR. Într-o relație B2B, ceea ce ne interesează sunt reprezentanții legali ai partenerilor contractuali – aceștia pot fi considerați persoane vizate dacă le prelucrăm datele pentru încheierea sau executarea contractului.
Exemplele sunt multiple: pot fi angajați, în contextul relației de muncă, candidați, în etapa de recrutare, clienți persoane fizice, consumatori, vizitatori ai site-ului sau chiar vizitatori ai unei locații dacă le înregistrăm datele, fie în registrul de acces, fie prin camere CCTV. Cu alte cuvinte, persoana vizată este oricine despre care colectăm și procesăm date, în funcție de activitatea noastră concretă.
Tipuri de date cu caracter personal
În primul rând, sunt acele informații banale: nume, prenume, adrese, emailuri, numere de telefon. Dar sunt și date mai puțin evidente, care intră tot sub această umbrelă: datele de localizare, cum ar fi cele captate prin GPS, care ne permit inclusiv să construim un profil comportamental, date de trafic, date de conținut din comunicații electronice, adresa IP, date bancare, date foto-video sau informații din CV-uri sau din cartea de identitate. Practic, orice informație care ne poate ajuta să identificăm - direct sau indirect - o persoană.
Pe lângă acestea, există și o categorie aparte – datele speciale – pentru care este necesară o atenție sporită. Acestea includ date biometrice, date genetice (cum ar fi ADN-ul), originea rasială sau etnică, opiniile politice, credințele religioase sau filozofice, orientarea sexuală și informațiile privind sănătatea. Prelucrarea acestora este mult mai restrictivă și, de cele mai multe ori, necesită consimțământ expres al persoanei vizate, întrucât este dificil de justificat un interes legitim al operatorului, a explicat Cătălina Pițigoi.
Tot în sfera gestionării datelor intră și tehnicile de protecție precum pseudonimizarea și anonimizarea. Pseudonimizarea presupune înlocuirea datelor cu identificatori artificiali – este o măsură recomandată de GDPR și se folosește atunci când interesul este asupra rezultatului analizei, nu asupra identității persoanei. Criptarea este o formă de pseudonimizare, folosită adesea pentru protejarea datelor transmise prin rețele nesecurizate sau stocate în cloud. Datele pseudonimizate rămân în continuare date cu caracter personal, deoarece procesul este reversibil, iar identitatea poate fi recuperată, pentru că există cheia criptării.
În schimb, anonimizarea este un proces ireversibil – după anonimizare, datele nu mai pot fi asociate niciunei persoane, nici măcar prin coroborarea cu alte informații. În acest caz, datele nu mai intră sub incidența GDPR și sunt considerate ca fiind distruse din punct de vedere legal.
Procesul de prelucrare a datelor personale
„Totul pornește de la colectarea datelor. De acolo, orice se întâmplă, orice operațiune sau set de operațiuni pe care le executăm asupra datelor pe care le-am primit în sistemele noastre reprezintă prelucrare de date. Faptul că înregistrăm niște date, că le organizăm, că le structurăm, că le stocăm, că le rectificăm, le modificăm, le actualizăm, extragem datele, le transmitem mai departe, le divulgăm sau le diseminăm, le îmbinăm cu alte elemente, le restricționăm – chiar și atunci când ștergem sau distrugem datele – aceasta reprezintă o prelucrare a datelor cu caracter personal. Chiar și în situația în care datele stau pentru o foarte scurtă perioadă de timp în sistemul nostru, adică doar le primim și le transmitem mai departe, deci nici măcar nu le stocăm, simpla manipulare a acestor date reprezintă prelucrare, ceea ce înseamnă că trebuie să ne conformăm cu toate regulile care derivă din acest fapt”, a explicat Cătălina Pițigoi.
Datele personale colectate nu pot fi păstrate pe durată nelimitată, ci trebuie stabilit un termen fix de stocare sau criterii clare pe baza cărora să se determine perioada de păstrare. Acestea vor fi prelucrate doar atât timp cât este necesar pentru îndeplinirea scopului în vederea căruia au fost colectate. Atunci când datele nu mai sunt necesare pentru acel scop, ele vor fi șterse.
Urmăriți Republica pe Google News
Urmăriți Republica pe Threads
Urmăriți Republica pe canalul de WhatsApp
Alătură-te comunității noastre. Scrie bine și argumentat și poți fi unul dintre editorialiștii platformei noastre.
Upsa iar bat campii. ai de facut un referat despre protectia datelor si gdpr? zii ca ti se rupe ca nu e de la voi. dar mult mai usor din primarii si anaf.
Sa vezi cand ti s pare tie ca esti frumoasa ca eu ma imping in tine la coada. in aproape 45 sec, devii neinteresanta.
Sfaturi
1. chiar daca e enervant datele de siguranta (persoana, grupa sanguina,alergii....) apar inainte de parola
2.parola nu trebuie sa valoreze mai mult decat viata ta
3. nu activezi wireless bluetooyhdecat cand ai nevoie