0 comentarii la „De ce trebuie șterse datele personale”

De ce trebuie șterse datele personale

Autoritatea daneză pentru protecția datelor Datatilsynet a aplicat recent prima sa amendă pentru încălcarea GDPR de către compania de taxi Taxa 4 × 35 (Taxa), pentru păstrarea anumitor date ale clienților pentru mai mult timp decât era necesar.

Încălcarea principiului minimizării datelor personale

Autoritatea daneza a constatat că societatea Taxa nu a respectat principiul minimizării datelor GDPR prin reținerea datelor cu caracter personal mult timp după limita de reținere preconizată pentru astfel de categorii de date. Taxa a eliminat numele și adresele clienților după doi ani de reținere, dar au păstrat numerele de telefon ale clienților pentru încă trei ani. Taxa a susținut că numerele de telefon au reprezentat o parte esențială a bazei sale de date IT și, prin urmare, nu au putut fi șterse în același timp.

Autoritatea de protecție a datelor nu a fost de acord cu justificarea că o dificultate în cadrul sistemului informatic al unei companii poate justifica o astfel de încălcare gravă a confidențialității datelor. În plus, încercările de anonimizare ale datelor deținute de Taxa erau insuficiente. Anonimizarea datelor presupune ca societățile să facă imposibilă conectarea anumitor informații astfel încât sa nu poată fi identificata o persoană fizica. În ciuda ștergerii numelor clienților de la Taxa, informațiile ce au rămas în sistemul său informatic pot totuși sa identifice persoanele vizate prin numerele de telefon.

Care este relevanța sancțiunii?

Autoritatea din Danemarca a aplicat o amendă de 1,2 milioane de coroane, adică aproximativ 160,754 EUR. Aceasta reprezintă aproximativ 2,8% din cifra de afaceri anuală a companiei, ceea ce demonstrează, în esență, disponibilitatea autorităților de supraveghere ale UE de a se apropia de plafonul anual de 4% anual al cifrei de afaceri globale impus de GDPR. Anterior GDPR, o astfel de amendă în Danemarca nu ar fi depășit 25.000 de coroane (aproximativ 3.350 de euro). Această amenda consistenta  este legata de cantitatea mare de date despre clienți de care compania nu a mai avut nevoie, ci a păstrat-o prea mult timp – și anume numere de telefon personale conectate la nouă milioane de călătorii de taxi. Decizia autorității stabilește, de asemenea, și un precedent, in sensul că limitările organizaționale ale procedurilor și aplicațiilor IT nu pot fi recunoscute ca fiind un motiv legitim de a supra-păstra datele cu caracter personal. Companiile care se confruntă cu astfel de limitări sunt nevoite să exploreze alte soluții pentru a diminua riscurile, de exemplu înlocuirea numerelor de telefon și a informațiilor cu identificatori aleatorii pentru a anonimiza în mod eficient datele personale mai vechi.

Sancțiunea autorității daneze este prima impusă în aceasta țară pentru nerespectarea cerințelor GDPR, după cum tot prima a fost și amenda din Polonia pentru încălcarea articolului 14 din GDPR – aproape 220 000 EUR pentru nerespectarea de către o companie a informării persoanelor vizate cu privire la modul în care prelucrează datele lor personale,  sau amenda-record aplicata în Franța gigantului Google, despre care am scris pe larg anterior.

Este evident că această listă de „prime sancțiuni” este într-o continua creștere, în condițiile în care autoritățile de reglementare din UE vor folosi, fără îndoială, practica recentă ca element definitoriu pentru viitoarele controale și sancțiuni. Operatorii de date personale sunt nevoiți astfel să țină seama de sancțiunile aplicate în întreaga UE pentru a aprecia consecințele încălcării GDPR și a începe să adopte măsuri tehnice și organizatorice de protecție a datelor personale.

0 comentarii la „De ce chiar avem nevoie de GDPR: bazele publice de date”

De ce chiar avem nevoie de GDPR: bazele publice de date

Existența companiilor care extrag informații din bazele de date publice și ulterior le vând sau revând, într-o formă sau alta, publicului larg, nu reprezintă nicio noutate. Activitatea acestor companii se desfășoară în cea mai mare parte în mediul online, prin intermediul diferitelor site-uri și portale, nefiind afectate (până acum) de legislația europeană privind protecția datelor personale.

Probabil că v-ați confruntat de numeroase ori cu diverse solicitări cu caracter comercial, provenite de la persoane ce justifică deținerea datelor dumneavoastră cu caracter personal ca fiind preluate din baze de date publice. Sau poate ați fost puși în situația de a cumpăra chiar de la aceste societăți părți din aceste baze de date, pentru diverse activități de marketing. Credeți că doar pentru faptul ca ele provin din registre publice, avem voie sa le folosim asa cum vrem? Think again.

Ce s-a întâmplat?

In 26 martie 2019, Autoritatea de supraveghere a prelucrării datelor personale din Polonia (UODO) a amendat o companie poloneza cu suma de 200.000 euro pentru încălcarea obligației de informare a persoanelor fizice vizate. Compania în cauza prelucra datele a peste 6 milioane de persoane, date colectate în majoritate din Registrul Electronic Central al Activităților Economice din Polonia, echivalentul Registrului Comerțului din Romania. Prin decizia de sancționare, s-a reținut în esență faptul ca, deși acele informații proveneau din surse publice, compania amendata le folosea pentru activități comerciale, fapt ce generează obligațiile prevazute de GDPR în sarcina operatorului de date personale.

Autoritatea a verificat nerespectarea obligației de informare cu privire la persoanele fizice care desfășoară activități economice. Aceste persoane sunt atât antreprenorii care desfășoară în prezent o astfel de activitate, sau au suspendat-o, precum și antreprenorii care au desfășurat o astfel de activitate în trecut. Operatorul de date personale și-a îndeplinit obligația de informare furnizând informațiile cerute de art. 14 alin. (1) – (3) din GDPR numai în privința persoanelor ale căror adrese de e-mail le-a avut la dispoziție. În cazul celorlalte persoane, operatorul nu a respectat obligația de informare – așa cum s-a explicat în cursul investigației – din cauza costurilor operaționale ridicate. Prin urmare, s-a rezumat la a prezenta o clauză de informare numai pe site-ul său web.

Ce a generat amenda?

În cazul de față, compania a prelucrat, printre alte tipuri de date, și adresele poștale și numerele de telefon ale persoanelor vizate. Prin urmare, compania ar fi putut respecta obligația de a furniza informații persoanelor ale căror date sunt prelucrate prin folosirea oricărei modalități de contact. Compania și-a justificat nerespectarea obligației de informare prin costurile disproporționate generate de transmiterea prin postă a  unei informări scrise către toate persoanele vizate, însă Autoritatea nu a luat în seamă aceste afirmații, motivând că existau și alte modalități de aducere la îndeplinire a obligației (n.r. prin telefon).

Importanța acestei decizii de sancționare este subliniată și de modul în care s-a făcut comunicarea publică a acesteia. Comitetul European pentru Protecția Datelor (EDPB) a publicat în mod direct comunicatul de presă aferent, lăsând să se întrevadă aplicabilitatea la nivelul întregii Uniuni Europene a concluziilor autorității poloneze. 

Ce trebuie să reținem?

  • Indiferent de sursa datelor personale, folosirea lor în scopuri comerciale fără respectarea cerințelor GDPR va duce la sancțiuni din partea autorităților competente;
  • Obligația de informare prevazută de articolul 14 GDPR, cunoscută în practica drept informarea din sursa indirectă, trebuie îndeplinită indiferent de costurile pe care aceasta le-ar putea genera;
  • Nu este suficientă o informare efectuată exclusiv prin afișarea pe site-ul propriu, aceasta fiind practic doar o completare a informării adresate individual fiecărei persoane fizice vizate.

 

Textul complet al comunicatului de presă (în limba engleză): https://edpb.europa.eu/news/national-news/2019/first-fine-imposed-president-personal-data-protection-office_en

0 comentarii la „GDPR: 10 lucruri pe care ar trebui să le faceți”

GDPR: 10 lucruri pe care ar trebui să le faceți

Au trecut peste 100 de zile de la intrarea în vigoare a GDPR. Ne-am gândit să vă prezentăm zece acțiuni-cheie pe care firma dvs. ar trebui să le întreprindă pentru a demonstra în mod activ conformitatea cu GDPR.

maxresdefault

1. Testați-vă planul de răspuns la breșele de securitate a datelor 

Până acum, ar trebui să aveți un plan de răspuns la încălcările de securitate a datelor. Următorul lucru cheie trebuie făcut: testați planul și asigurați-vă că funcționează. Dacă planul dvs. se baza pe persoane sau roluri specifice, s-ar putea să descoperiți că, în cele câteva luni de la intrarea în vigoare a Regulamentului, oamenii s-au mutat sau rolurile s-au schimbat. Experiența ne-a arătat că planurile nerevizuite regulat se pot prăbuși, ajungând din nou la nivel de schiță, mai ales atunci când toată lumea încearcă să evite responsabilitatea pentru datele pierdute. Veți obține doar acest lucru prin testarea sistemelor regulat – în mod ideal la cel puțin fiecare șase luni. Un lucru pe care oamenii  îl pot trece cu vederea este să se asigure că sunt conștienți de obligația de notificare a  Autorității de supraveghere (ANSPDCP) care trebuie să fie notificată în cazul unei încălcări.

De asemenea, trebuie să acordați prioritate persoanelor fizice ale căror date au fost afectate de breșa de securitate. Nu fiți tentați să vă concentrați atât de mult asupra propriei dvs. conformități interne și asupra posibilelor sancțiuni ale autorităților, cu riscul de a ignora persoanele care au fost efectiv afectate. ANSPDCP va dori să audă că faceți tot ce puteți pentru a ajuta persoanele vizate de date afectate. Țineți cont de faptul că am putea vorbi despre angajați, clienți sau parteneri de afaceri – oricine ar fi persoanele afectate, trebuie să vă asigurați că:

  • acestea beneficiază de suportul dumnevoastră;
  • simt că nu ați profitat de ei sau de datele lor personale;
  • furnizați suficiente informații pe baza cărora persoanele vizate pot acționa ulterior,  în cazul în care acestea vor dori acest lucru.

Trebuie să aveți grijă de persoanele afectate în modul în care ați avea grijă de un client dezamăgit. O ridicare colectivă din umeri nu va arăta bine atunci când ANSPDCP vă va întreba ce ați făcut pentru a remedierea situației persoanelor vizate afectate.

2. Examinați comunicările interne și externe

Folosiți cele mai sigure platforme? Aveți metodele corecte de securitate în funcțiune? Orice sistem care este fie nesecurizat, fie bazat în afara UE ar trebui să fi fost actualizat până acum. Dacă utilizați aplicații precum Gmail sau Dropbox, disponibile în mod gratuit, vă recomandăm să luați măsuri alternative.

De asemenea, ar fi trebuit să opriți până acum utilizarea de sisteme de comunicații cum ar fi WhatsApp sau Telegram pentru transmiterea datelor personale.

Asigurați-vă că ați implementat măsuri care să demonstreze conformitatea dvs. cu  Regulamentul în fața autorităților, dacă totuși se întâmplă un incident de securitate.

3. Reanalizați obligația de desemnare a unui ofițer de protecție a datelor (DPO)

S-ar putea să fi decis anterior că nu aveți nevoie de un DPO, dar aceasta este o decizie pe care organizația dumneavoastră ar trebui să o revadă în mod regulat. Noi recomandăm câte o reanalizare a situației la un interval de aproximativ șase luni.

Vor trebui verificate:

  • circumstanțele actuale ale firmei dvs.
  • prevderile legale actuale
  • planul de dezvoltare a afacerii
  • tipurile de activități pe care le desfășurați
  • sensibilitatea și volumul datelor personale pe care le manipulați

Dacă observați modificări ale elementelor de mai sus, atunci un DPO ar trebui să fie de ajutor. Dacă aveți deja un DPO existent, acesta ar trebui să se concentreze pe înțelegerea rolul său și pe eficientizarea activității în companie. De asemenea, nu trebuie să uitați despre notificarea ANSPDCP-ului cu privire la desemnarea DPO-ului.

4. Efectuați evaluări frecvente ale impactului asupra vieții private

Întreprinderile ar trebui să realizeze un astfel de audit pentru orice nou proiect major care implică prelucrarea de date cu caracter personal. De exemplu, vom avea nevoie de o astfel de evaluare atunci când:

  • implementați noi sisteme IT
  • realizați site-uri noi
  • introduceți sisteme noi de management al datelor
  • schimbați locația birourilor
  • permiteți personalului să lucreze de acasă / la distanță

Nu este cazul să vă simțiți descurajați gândindu-vă că o astfel de evaluare va fi costisitoare sau hiper-detaliată; ea trebuie doar să:

1. să identifice riscurile pentru datele personale asociate proiectului

2. să precizeze ce măsuri ar trebui să fie luate pentru a reduce aceste riscuri

3. să detaliați cum veți reduce riscurile

Efectuarea periodică a unei astfel de evaluări va contribui la asigurarea transferului responsabilităților, mai ales în cazul în care personalul implicat poate părăsi compania.

5. Aplicați politici de păstrare și prelucrare a datelor

Întreprinderile ar trebui să revizuiască în mod regulat arhivele, bazele de date și mesajele de poștă electronică. Asigurați-vă că datele cu caracter personal nu sunt ținute mai mult timp decât ați declarat inițial. Există motive întemeiate pentru care unele date sunt păstrate pentru perioade prelungite (de exemplu,acte financiar-contabile, state de salarii). Cu toate acestea, în cazul unei încălcări care implică prelucrări de date cu caracter personal de-a lungul unei perioade de zece ani, dacă politica de păstrare a datelor a firmei afirmă că aceste date vor fi șterse după șapte ani, ați putea fi sancționat de ANSPDCP. Asigurați-vă că politica dvs. este corectă și aplicată uniform.

6. Documentați-vă riscurile

Asigurați-vă că documentele dumneavoastră interne reflectă toate riscurile asociate cu GDPR și protecția datelor. Acestea ar trebui să fie revizuite în mod regulat și actualizate ca parte a monitorizării permanente a conformității companiei cu GDPR. Din nou, este recomandat ca și această revizuire să aibă loc la fiecare sase luni, pentru a vă asigura că respectați în continuare legile privind protecția datelor și luați în considerare orice noi orientări ale ANSPDCP.

7. Efectuați teste regulate de penetrare a sistemelor informatice

Ar trebui să vă asigurați că sistemele informatice ale firmei dvs. sunt testate în mod regulat. Testele ar trebui efectuate de un furnizor extern, pentru a evalua pe deplin orice riscuri asociate cu sistemele dumneavoastră de comunicații electronice, inclusiv site – uri web, e-mail, servere, telefoane mobile sau dispozitivele pentru munca la distanță. Dacă apar probleme, acționați imediat și reduceți la minimum riscurile identificate.

8. Examinați practicile de lucru la distanță

Asigurați-vă că firma dvs. respectă cele mai bune practici în ceea ce privește munca de la distanță. De exemplu, personalul ar trebui să știe să nu folosească Wi-Fi public gratuit, nici să lucreze în cafenele sau în public transport (atunci când ecranul laptopului sau un fișier sensibil poate fi observat de către persoana de lângă).

9. Instruiți-vă personalul

Firma dvs. ar trebui să aibă un program de formare bine pus la punct, care ar trebui să fie revizuit în mod regulat și prezentat tuturor angajaților noi ca parte a instructajului lor inițial. În cadrul acestor activități această formare, ar trebui să oferiți personalului o mulțime de exemple pentru a le ajuta să se identifice „ingineriile de social media”, cum ar fi phishing-ul, în cazul în care fraudatorii reprezintă o firmă sau o instituție publică. Rețineți că astfel de atacuri nu se mai limitează la e-mailuri, ci pot avea loc și prin social media, mesaj text sau alte forme de mass-media. Este notorie înșelătoria prin mesaje false care încearcă să-i facă pe oameni să acceseze un link pentru a asculta aparent un mesagerie vocală, în timp ce, de fapt, acest lucru ar instala malware sau ar permite accesul la PC sau la dispozitivul mobil.

10. Fiți la curent cu cele mai recente prevederi legale și recomandări

În afară de respectarea constantă a regulilor privind prelucrarea datelor, ar trebui să aveți o analiză periodică a activității dumneavoastră pentru a aborda noile probleme de reglementare pentru GDPR. În cadrul acestor analize ar trebui să monitorizeze, printre altele, și actualizările din partea Comitetului european pentru protecția datelor sau din partea ANSPDCP. De asemenea, trebuie să fiți la curent și cu știrile în legătură cu GDPR provenite din activitățile de control ale ANSPDCP.