Adaptarea activității Battlegroup in contextul pandemiei de COVID-19

In ultimele săptămâni, am urmărit cu atenție evoluția situației globale in ceea ce priveste  răspândirea, transmiterea si, cel mai important, efectele produse de noul coronavirus, COVID-19, asupra noastră si a celor din jurul nostru.

Battlegroup are in permanență misiunea de a livra clienților serviciile premium pe care le merită, la cele mai inalte standarde de calitate si de promptitudine. Cu toate acestea, in acelasi timp avem si datoria de a asigura si cele mai inalte standarde de securitate atât pentru noi, cât si pentru cei cu care interacționăm zi de zi. Prin urmare, am fost nevoiți să ne adaptăm modul de lucru, cel puțin pentru cele 30 de zile in care ne vom afla sub imperiul stării de urgență decretate astăzi.

Ce măsuri am luat?

  • vineri, 13 martie 2020, a fost ultima zi in care ne-am desfăsurat activitatea fără restricții; incepând de astazi, 16 martie, toată activitatea noastră se desfăsoară  exclusiv remote (la distanță);
  • toate călătoriile noastre in scop de afaceri sunt fie amânate, fie deja reprogramate pentru lunile de vară;
  • toate cursurile si evenimentele cu prezență fizică, organizate de noi si partenerii nostri, programate a se desfăsura in lunile martie si aprilie, sunt anulate;
  • intâlnirile cu clientii si partenerii nostri sunt limitate doar la situațiile de extremă urgență (de exemplu, incidente de securitate sau alte asemenea evenimente de maximă importanță ce nu pot fi gestionate de la distanță).

Ce vom face in continuare?

In mod evident, nu vom lăsa nimic să afecteze activitatea noastră. Intrucât Battlegroup este o companie ce functionează integral informatizat, vom continua să oferim aceleasi servicii si in aceleasi conditii ca si până acum, concentrându-ne in schimb mai mult asupra gestionării relațiilor contractuale fără a fi necesară prezența fizică. La acest moment, estimăm că acest scenariu va fi aplicabil cel puțin până la sfârsitul lunii aprilie 2020.

Toți clienții nostri beneficiază de suport suplimentar in această perioadă, in special cei care sunt nevoiți să implementeze, la rândul lor, lucrul la distantă.

Suntem alături de toți clienții, partenerii si prietenii nostri in efortul comun de a depăsi cât mai repede această perioadă grea.

Dacă mai era nevoie, vă reamintim că ne face plăcere să vă fim de ajutor, pentru orice situatie.

 

Implicațiile Brexit asupra GDPR

Deși incertitudinea este cuvântul de ordine în ceea ce privește ieșirea Marii Britanii din Uniunea Europeana la 31 octombrie 2019, autoritatea de supraveghere a datelor personale din Regatul Unit, Information Commissioner’s Office, desfășoară campanii de informare a operatorilor de date britanici pentru clarificarea modului în care Brexit-ul va afecta prelucrările de date personale ale cetățeniilor UE efectuate de aceștia, în special în care ieșirea din Uniune nu se va face prin intermediul unui acord UE – UK.

In eventualitatea unui Brexit fără acord, cele mai mari provocări le vor avea de înfruntat operatorii de date din Marea Britanie, urmând ca aceștia sa fie considerați după 31 octombrie operatori de date non-UE.

Care va fi legislația aplicabilă după Brexit?

GDPR este un regulament al Uniunii Europene. Aceasta înseamnă că a devenit un act normativ aplicabil în toate statele membre ale UE (inclusiv în Marea Britanie), inclusiv în statele Spațiului Economic European – SEE.

Când Marea Britanie va ieși din UE, GDPR UE nu va mai fi aplicabil în mod direct în Marea Britanie. Cu toate acestea, guvernul britanic va menține GDPR în legislația Regatului Unit, cu modificările necesare pentru a-și adapta dispozițiile pentru Marea Britanie („GDPR UK”).

Principiile, drepturile și obligațiile cheie vor rămâne aceleași. Cu toate acestea, există implicații pentru regulile privind transferurile de date cu caracter personal între Marea Britanie și SEE.

Guvernul britanic intenționează ca GDPR-ul Regatului Unit să se aplice și operatorilor de date personale și împuterniciților acestora cu sediul în afara Regatului Unit, dacă activitățile lor de procesare se referă fie la oferirea de bunuri sau servicii persoanelor fizice din Marea Britanie, fie la monitorizarea comportamentului persoanelor fizice din Marea Britanie.

Există, de asemenea, implicații pentru operatorii de date personale din Marea Britanie care au un sediu si în SEE, sau au clienți în SEE sau monitorizează persoanele din SEE. GDPR UE se va aplica în continuare pentru aceste prelucrări de date personale, dar modul în care operatorii britanici interacționează cu autoritățile europene pentru protecția datelor se va schimba.

Transferurile de date intre Marea Britanie si SEE după Brexit

Autoritatea Europeana de Protecție a Datelor (EDPB) a emis încă din 12 februarie 2019 o informare cu privire la modul în care se vor putea efectua transferuri de date din SEE în Marea Britanie, după ieșirea din UE fără acord.

In lipsa unui acord pentru Brexit, Regatul Unit va deveni o țară terță începând cu 31 octombrie 2019. Acest lucru înseamnă că transferurile de date personale în Marea Britanie trebuie să se bazeze pe unul dintre următoarele instrumente:

  •  Clauze contractuale standard sau ad-hoc de protecție a datelor 
  •  Reguli corporatiste obligatorii
  •  Coduri de conduită și mecanisme de certificare
  •  Derogări ce pot fi utilizate numai în absența clauzelor standard de protecție a datelor sau a unei alte garanții alternative adecvate.

Efectele Brexit-ului asupra cerințelor de conformitate cu GDPR

In situația unui operator de date personale cu sediul în Marea Britanie care nu are o sucursală, birou sau altă unitate într-un stat al UE sau SEE, dar care ofera bunuri sau servicii persoanelor fizice din SEE sau monitorizează comportamentul indivizilor aflați în SEE, atunci acest operator britanic va trebui totuși să respecte GDPR cu privire la această prelucrare chiar și după ce Marea Britanie va părăsi UE.

Întrucât operatorii de date britanici vor fi considerați non-SEE după Brexit, GDPR prevede obligația de desemnare a unui reprezentant în SEE. Acest reprezentant va trebui să fie înființat într-un stat UE sau SEE în care sunt localizate unele dintre persoanele ale căror date personale pe care le prelucrați în acest mod. Operatorii britanici vor trebui să autorizeze, în scris, reprezentantul, să acționeze în numele lor cu privire la respectarea cerințelor GDPR și să gestioneze relațiile cu autoritățile de supraveghere sau persoanele vizate în acest sens. Reprezentantul poate fi o persoană fizică sau o companie sau organizație înființată în SEE și trebuie să poată reprezenta operatorul britanic cu privire la toate obligațiile pe care le are în baza GDPR (de exemplu, o societate de consultanță).

Operatorii britanici vor fi obligați să furnizeze persoanelor cu domiciliul în SEE ale căror date personale le prelucrează, datele de contact ale reprezentantului desemnat. Acest lucru se poate face prin includerea lor în politica de confidențialitate sau în notele de informare furnizate persoanelor fizice atunci când sunt colectate datele lor. De asemenea, datele reprezentantului trebuiesc făcute ușor accesibil autorităților de supraveghere – de exemplu, publicându-l pe site-ul web. Numirea reprezentantului trebuie să fie făcută obligatoriu în scris și ar trebui să stabilească termenii relației operatorului cu acesta. Desemnarea unui reprezentant nu afectează propria responsabilitate sau răspundere a operatorului în ceea ce privește respectarea cerințelor GDPR.

Amendă GDPR de 400 000 EUR: încălcarea securității datelor și nerespectarea duratei de păstrare

Autoritatea franceza de supraveghere a datelor personale – CNIL a dispus amendarea companiei SERGIC cu suma de 400.000 EUR pentru protecția insuficientă a datelor personale ale utilizatorilor site-ului său web și pentru modul necorespunzător de stocare a acestor date.

Prin decizia CNIL nr. SAN – 2019-005 din 28 mai 2019, s-a reținut faptul ca societatea SERGIC este specializată în dezvoltarea imobiliară, cumpărarea, vânzarea, închirierea și administrarea proprietăților. În scopul desfășurării activității sale, a creat și gestionat site-ul http://www.sergic.com. Prin intermediul acestui site, compania permite clienților încărcarea și descărcarea de documente justificative necesare pentru constituirea dosarului lor.

Sursa amenzii: plângerea unui utilizator

În august 2018, CNIL a primit o plângere din partea unui utilizator al site-ului, care a declarat că poate accesa, din spațiul sau personal de pe site, documentele salvate de alți utilizatori prin modificarea ușoară a adresei URL afișate în browser.
Un control la distanta, efectuat de autoritate la 7 septembrie 2018, a constatat că documentele transmise de către solicitanți pentru închiriere au fost accesibile în mod liber, fără autentificare prealabilă. Aceste documente includeau copii ale cărților de identitate, declarațiilor fiscale, certificatelor eliberate de fondul de alocații familiale, hotărâri de divorț, extrase de cont sau alte documente bancare.

Chiar în ziua controlului, CNIL a alertat compania asupra acestui incident de securitate și a încălcării în consecință a regulilor de prelucrare a datelor cu caracter personal.
Câteva zile mai târziu, s-a efectuat un control la sediul companiei. Cu această ocazie, a devenit evident că societatea era conștientă de vulnerabilitate încă din martie 2018 și că, dacă ar fi inițiat dezvoltări informatice pentru a o corecta, deficienta putea fi înlăturată complet pana la data controlului.

Doua încălcări ale GDPR

In primul rând, CNIL a constatat că societatea SERGIC nu și-a îndeplinit obligația de a asigura securitatea datelor personale ale utilizatorilor site-ului său, prevăzută la articolul 32 din GDPR.
Compania nu a avut o procedură de autentificare a utilizatorului pentru site, pentru a se asigura că persoanele care accesează documentele au avut acest drept, chiar dacă era de așteptat o astfel de măsură elementară. Acest eșec a fost agravat, pe de o parte, de natura datelor puse la dispoziție și, pe de altă parte, de lipsa de diligență a societății în corectarea acesteia: vulnerabilitatea nu a fost corectată definitiv decât după 6 luni și nu au fost luate măsuri de urgență pentru a limita impactul vulnerabilității.

In al doilea rând, autoritatea a constatat faptul că societatea a păstrat în baza sa activă de date toate documentele transmise de către candidați, fără o limitare a duratei de păstrare.

Concluzii

In motivarea sancțiunii, CNIL a reamintit că, în principiu, perioada de păstrare a datelor cu caracter personal trebuie să fie stabilită în funcție de scopul prelucrării.
Atunci când acest scop (de exemplu, gestionarea cererilor utilizatorilor) este atins și că nici un alt scop nu justifică păstrarea datelor în baza activă, datele trebuie fie șterse, fie arhivate, dacă retenția este necesară pentru respectarea cerințelor legale sau pentru eventuale litigii. În acest caz, datele trebuie plasate în arhivare intermediară, de exemplu într-o bază de date separată. Din nou, durata acestei arhivări trebuie să fie limitată la ceea ce este strict necesar.

Pentru stabilirea cuantumului amenzii, autoritatea a luat în considerare gravitatea încălcărilor, lipsa de diligență a societății în abordarea vulnerabilității și faptul că documentele astfel accesibile au relevat aspecte foarte intime ale vieții oamenilor. De asemenea, a ținut cont și de mărimea companiei și de situația sa financiară.

Textul complet al deciziei, in limba franceza, poate fi consultat AICI

Sursa informațiilor: https://www.cnil.fr

De ce trebuie șterse datele personale

Autoritatea daneză pentru protecția datelor Datatilsynet a aplicat recent prima sa amendă pentru încălcarea GDPR de către compania de taxi Taxa 4 × 35 (Taxa), pentru păstrarea anumitor date ale clienților pentru mai mult timp decât era necesar.

Încălcarea principiului minimizării datelor personale

Autoritatea daneza a constatat că societatea Taxa nu a respectat principiul minimizării datelor GDPR prin reținerea datelor cu caracter personal mult timp după limita de reținere preconizată pentru astfel de categorii de date. Taxa a eliminat numele și adresele clienților după doi ani de reținere, dar au păstrat numerele de telefon ale clienților pentru încă trei ani. Taxa a susținut că numerele de telefon au reprezentat o parte esențială a bazei sale de date IT și, prin urmare, nu au putut fi șterse în același timp.

Autoritatea de protecție a datelor nu a fost de acord cu justificarea că o dificultate în cadrul sistemului informatic al unei companii poate justifica o astfel de încălcare gravă a confidențialității datelor. În plus, încercările de anonimizare ale datelor deținute de Taxa erau insuficiente. Anonimizarea datelor presupune ca societățile să facă imposibilă conectarea anumitor informații astfel încât sa nu poată fi identificata o persoană fizica. În ciuda ștergerii numelor clienților de la Taxa, informațiile ce au rămas în sistemul său informatic pot totuși sa identifice persoanele vizate prin numerele de telefon.

Care este relevanța sancțiunii?

Autoritatea din Danemarca a aplicat o amendă de 1,2 milioane de coroane, adică aproximativ 160,754 EUR. Aceasta reprezintă aproximativ 2,8% din cifra de afaceri anuală a companiei, ceea ce demonstrează, în esență, disponibilitatea autorităților de supraveghere ale UE de a se apropia de plafonul anual de 4% anual al cifrei de afaceri globale impus de GDPR. Anterior GDPR, o astfel de amendă în Danemarca nu ar fi depășit 25.000 de coroane (aproximativ 3.350 de euro). Această amenda consistenta  este legata de cantitatea mare de date despre clienți de care compania nu a mai avut nevoie, ci a păstrat-o prea mult timp – și anume numere de telefon personale conectate la nouă milioane de călătorii de taxi. Decizia autorității stabilește, de asemenea, și un precedent, in sensul că limitările organizaționale ale procedurilor și aplicațiilor IT nu pot fi recunoscute ca fiind un motiv legitim de a supra-păstra datele cu caracter personal. Companiile care se confruntă cu astfel de limitări sunt nevoite să exploreze alte soluții pentru a diminua riscurile, de exemplu înlocuirea numerelor de telefon și a informațiilor cu identificatori aleatorii pentru a anonimiza în mod eficient datele personale mai vechi.

Sancțiunea autorității daneze este prima impusă în aceasta țară pentru nerespectarea cerințelor GDPR, după cum tot prima a fost și amenda din Polonia pentru încălcarea articolului 14 din GDPR – aproape 220 000 EUR pentru nerespectarea de către o companie a informării persoanelor vizate cu privire la modul în care prelucrează datele lor personale,  sau amenda-record aplicata în Franța gigantului Google, despre care am scris pe larg anterior.

Este evident că această listă de „prime sancțiuni” este într-o continua creștere, în condițiile în care autoritățile de reglementare din UE vor folosi, fără îndoială, practica recentă ca element definitoriu pentru viitoarele controale și sancțiuni. Operatorii de date personale sunt nevoiți astfel să țină seama de sancțiunile aplicate în întreaga UE pentru a aprecia consecințele încălcării GDPR și a începe să adopte măsuri tehnice și organizatorice de protecție a datelor personale.

De ce chiar avem nevoie de GDPR: bazele publice de date

Existența companiilor care extrag informații din bazele de date publice și ulterior le vând sau revând, într-o formă sau alta, publicului larg, nu reprezintă nicio noutate. Activitatea acestor companii se desfășoară în cea mai mare parte în mediul online, prin intermediul diferitelor site-uri și portale, nefiind afectate (până acum) de legislația europeană privind protecția datelor personale.

Probabil că v-ați confruntat de numeroase ori cu diverse solicitări cu caracter comercial, provenite de la persoane ce justifică deținerea datelor dumneavoastră cu caracter personal ca fiind preluate din baze de date publice. Sau poate ați fost puși în situația de a cumpăra chiar de la aceste societăți părți din aceste baze de date, pentru diverse activități de marketing. Credeți că doar pentru faptul ca ele provin din registre publice, avem voie sa le folosim asa cum vrem? Think again.

Ce s-a întâmplat?

In 26 martie 2019, Autoritatea de supraveghere a prelucrării datelor personale din Polonia (UODO) a amendat o companie poloneza cu suma de 200.000 euro pentru încălcarea obligației de informare a persoanelor fizice vizate. Compania în cauza prelucra datele a peste 6 milioane de persoane, date colectate în majoritate din Registrul Electronic Central al Activităților Economice din Polonia, echivalentul Registrului Comerțului din Romania. Prin decizia de sancționare, s-a reținut în esență faptul ca, deși acele informații proveneau din surse publice, compania amendata le folosea pentru activități comerciale, fapt ce generează obligațiile prevazute de GDPR în sarcina operatorului de date personale.

Autoritatea a verificat nerespectarea obligației de informare cu privire la persoanele fizice care desfășoară activități economice. Aceste persoane sunt atât antreprenorii care desfășoară în prezent o astfel de activitate, sau au suspendat-o, precum și antreprenorii care au desfășurat o astfel de activitate în trecut. Operatorul de date personale și-a îndeplinit obligația de informare furnizând informațiile cerute de art. 14 alin. (1) – (3) din GDPR numai în privința persoanelor ale căror adrese de e-mail le-a avut la dispoziție. În cazul celorlalte persoane, operatorul nu a respectat obligația de informare – așa cum s-a explicat în cursul investigației – din cauza costurilor operaționale ridicate. Prin urmare, s-a rezumat la a prezenta o clauză de informare numai pe site-ul său web.

Ce a generat amenda?

În cazul de față, compania a prelucrat, printre alte tipuri de date, și adresele poștale și numerele de telefon ale persoanelor vizate. Prin urmare, compania ar fi putut respecta obligația de a furniza informații persoanelor ale căror date sunt prelucrate prin folosirea oricărei modalități de contact. Compania și-a justificat nerespectarea obligației de informare prin costurile disproporționate generate de transmiterea prin postă a  unei informări scrise către toate persoanele vizate, însă Autoritatea nu a luat în seamă aceste afirmații, motivând că existau și alte modalități de aducere la îndeplinire a obligației (n.r. prin telefon).

Importanța acestei decizii de sancționare este subliniată și de modul în care s-a făcut comunicarea publică a acesteia. Comitetul European pentru Protecția Datelor (EDPB) a publicat în mod direct comunicatul de presă aferent, lăsând să se întrevadă aplicabilitatea la nivelul întregii Uniuni Europene a concluziilor autorității poloneze. 

Ce trebuie să reținem?

  • Indiferent de sursa datelor personale, folosirea lor în scopuri comerciale fără respectarea cerințelor GDPR va duce la sancțiuni din partea autorităților competente;
  • Obligația de informare prevazută de articolul 14 GDPR, cunoscută în practica drept informarea din sursa indirectă, trebuie îndeplinită indiferent de costurile pe care aceasta le-ar putea genera;
  • Nu este suficientă o informare efectuată exclusiv prin afișarea pe site-ul propriu, aceasta fiind practic doar o completare a informării adresate individual fiecărei persoane fizice vizate.

 

Textul complet al comunicatului de presă (în limba engleză): https://edpb.europa.eu/news/national-news/2019/first-fine-imposed-president-personal-data-protection-office_en