Principalele abateri de la dispozițiile Regulamentului (UE) nr. 679 din 27 aprilie 2016 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (în continuare denumit „GDPR” sau „Regulamentul”), săvârșite de către operatorii de date cu caracter personal situați pe teritoriul României („Operatorii”) și sancționate de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal („Autoritatea de Supraveghere”) în anul 2023 pot fi prezentate sintetic după cum urmează:
- accesarea neautorizată a mediilor de stocare a datelor personale (atât a celor clasice, precum dosarele fizice, cât și a mediilor digitale, inclusiv prin atacuri informatice de tipul ransomware sau phishing), cu consecința accesării neautorizate a respectivelor date și, în unele cazuri, a compromiterii integrității acestora;
- colectarea nelegală de date personale prin intermediul unor (i) formulare on-line sau în format fizic (inclusiv a unor formulare on-line false, aduse în atenția publicului ca urmare a unui atac informatic de tip malware), (ii) module tip cookies, instalate pe sistemul informatic al utilizatorului site-ului fără acordul acestuia sau fără posibilitatea acestuia de a se împotrivi instalării sau al unor (iii) dispozitive tehnice diverse (e.g., G.P.S., sisteme tip bodycam), fără a se realiza informarea persoanelor vizate conform dispozițiilor GDPR și fără îndeplinirea condițiilor specifice acestui Regulament privind legalitatea prelucrării datelor;
- divulgarea neautorizată, de către Operatori sau de către persoanele care acționau sub autoritatea acestora (de exemplu, salariați) a unor date personale, către terțe persoane sau chiar către publicul larg, fără acordul titularilor respectivelor date personale, în situații precum: (i) expunerea unor înregistrări efectuate prin intermedul sistemului de supraveghere video, (ii) afișarea datelor personale la un avizier, (iii) publicarea unor date personale cu caracter medical pe un blog de specialitate, (iv) transmiterea de date personale către autoritățile publice (e.g., instanțe de judecată), fără existența vreunei solicitări în acest sens din partea autorităților în cauză, (v) transmiterea accidentală a datelor către un terț sau (vi) publicarea accidentală a datelor personale în mediul on-line (e.g., pe site-uri sau sub forma unor fișiere accesibile utilizatorilor site-urilor, ori ca urmare a actualizării unor aplicații informatice);
- încălcarea dreptului de acces al titularului la propriile date personale în împrejurări precum (i) refuzarea punerii la dispoziția acestuia a convorbirii telefonice purtate cu serviciul call center al Operatorului sau (ii) refuzarea transmiterii unei copii a unei înregistrări video către titularul datelor personale;
- păstrarea de către Operatori, fără un temei legal, a unor date personale, ulterior solicitărilor de ștergere a acestora, primite din partea titularului datelor respective, urmată, în unele cazuri, de prelucrarea datelor în scopul transmiterii către titularii acestora de mesaje publicitare (e.g., prin S.M.S., e-mailuri, corespondență de tipul newsletter);
- transmiterea de răspunsuri incomplete la solicitările de informare ale titularilor de date personale (e.g., nu s-au comunicat integral categoriile de date personale prelucrate, scopurile prelucrării, destinatarii datelor sau categoriile de destinatari);
- absența notificării către Autoritatea de Supraveghere a incidentelor de securitate în termenul din Regulament, anume, în cel mult 72 de ore de la momentul la care Operatorii au cunoscut existența incidentelor;
- neîndeplinirea unor măsuri corective dispuse de către Autoritatea de Supraveghere printr-un proces-verbal emis anterior, care constau în permiterea accesului Autorității de Supraveghere la anumite date cu caracter personal și la anumite informații necesare în vederea îndeplinirii sarcinilor de control ale acesteia.
Pentru încălcarea Regulamentului, Operatorii au fost sancționați contravențional de către Autoritatea de Supraveghere, atât cu avertismente, cât și cu amenzi cuprinse între 200 și 110.000 euro (i.e., cea mai mare amendă a fost aplicată unui operator, o societate care operează o rețea de benzinării în România, pentru că nu a luat măsuri pentru a se asigura că orice persoană fizică care acționează sub autoritatea acestuia și are acces la datele cu caracter personal nu le prelucrează decât la cererea sa. Astfel, în cadrul investigației, Autoritatea de Supraveghere a constatat că datele cu caracter personal aparținând clienților operatorului și introduse în programul informatic deținut de operator au fost accesate și utilizate în mod neautorizat, în repetate rânduri, în scopul obținerii unor credite de la societăți financiare nebancare în numele clienților operatorului).
În plus, Autoritatea de Supraveghere a dispus, în mod frecvent, implementarea unor măsuri corective specifice în scopul remedierii abaterilor identificate.
Având în vedere dispozițiile GDPR, precum și sancțiunile, respectiv măsurile corective dispuse de către Autoritatea de Supraveghere în anul 2023, prezentăm în cele ce urmează câteva recomandări pentru prevenirea repetării unor astfel de încălcări ale Regulamentului:
- luarea unor măsuri tehnice și organizatorice adecvate prevenirii riscurilor corespunzătoare prelucrării datelor cu caracter personal, inclusiv sub forma instruirii corespunzătoare a personalului din subordinea Operatorilor în legătură cu dispozițiile legale în materie, în scopul prevenirii divulgării, transmiterii sau, după caz, accesării neautorizate a datelor cu caracter personal;
- facilitarea de către Operatori a exercitării de către titularii datelor cu caracter personal a dreptului de acces al acestora la date și neîngrădirea nelegală a acestui drept;
- asigurarea de către Operatori a posibilității dovedirii ștergerii datelor cu caracter personal, în eventualitatea în care ștergerea acestora le-a fost solicitată de către titularii datelor și în care nu mai subzistă niciun temei al prelucrării acestora, respectiv necontinuarea prelucrării datelor în absența temeiului legal în acest sens;
- transmiterea de către Operatori a unor răspunsuri complete la solicitările de informare ale titularilor de date personale și punerea la dispoziția acestora a datelor personale care le-au fost sau le sunt prelucrate, în acord cu rigorile specifice ale GDPR;
- recurgerea la mijloace invazive de colectare a datelor personale, precum sistemele de supraveghere video, G.P.S. sau bodycam, numai în situația în care alte mijloace mai puțin invazive nu ar fi eficiente față de interesul legitim urmărit de Operator și numai cu respectarea tuturor rigorilor GDPR, inclusiv a celor referitoare la obligația de informare a titularilor datelor personale care urmează a fi astfel colectate, precum și efectuarea evaluării de impact privind protecția datelor;
- asigurarea unei cooperări adecvate între Operatori și Autoritatea de Supraveghere, prin modalități precum notificarea către aceasta a incidentelor de securitate în termenul legal de 72 de ore, implementarea măsurilor corective dispuse și facilitarea accesului Autorității de Supraveghere la date personale și la informații, în condițiile Regulamentului.
Conform unor informații furnizate presei de către Autoritatea de Supraveghere la finalul anului 2023, o investigație are o durată medie cuprinsă între 12 și 18 luni. Autoritatea de Supraveghere a mai specificat că, până la data de 7 decembrie 2023, a finalizat un număr de 460 de investigații și a aplicat amenzi într-un cuantum total de aproximativ 470.000 de euro (i.e., mai mult decât dublul amenzilor aplicate în anul precedent).
Societatea noastră de avocatură este pregătită să le ofere persoanelor interesate asistența și îndrumarea necesare în scopul respectării prevederilor GDPR la cele mai înalte standarde profesionale.