De ce trebuie ?terse datele personale
Autoritatea danez? pentru protec?ia datelor Datatilsynet a aplicat recent prima sa amend? pentru înc?lcarea GDPR de c?tre compania de taxi Taxa 4 × 35 (Taxa), pentru p?strarea anumitor date ale clien?ilor pentru mai mult timp decât era necesar.
Înc?lcarea principiului minimiz?rii datelor personale
Autoritatea daneza a constatat c? societatea Taxa nu a respectat principiul minimiz?rii datelor GDPR prin re?inerea datelor cu caracter personal mult timp dup? limita de re?inere preconizat? pentru astfel de categorii de date. Taxa a eliminat numele ?i adresele clien?ilor dup? doi ani de re?inere, dar au p?strat numerele de telefon ale clien?ilor pentru înc? trei ani. Taxa a sus?inut c? numerele de telefon au reprezentat o parte esen?ial? a bazei sale de date IT ?i, prin urmare, nu au putut fi ?terse în acela?i timp.
Autoritatea de protec?ie a datelor nu a fost de acord cu justificarea c? o dificultate în cadrul sistemului informatic al unei companii poate justifica o astfel de înc?lcare grav? a confiden?ialit??ii datelor. În plus, încerc?rile de anonimizare ale datelor de?inute de Taxa erau insuficiente. Anonimizarea datelor presupune ca societ??ile s? fac? imposibil? conectarea anumitor informa?ii astfel încât sa nu poat? fi identificata o persoan? fizica. În ciuda ?tergerii numelor clien?ilor de la Taxa, informa?iile ce au r?mas în sistemul s?u informatic pot totu?i sa identifice persoanele vizate prin numerele de telefon.
Care este relevan?a sanc?iunii?
Autoritatea din Danemarca a aplicat o amend? de 1,2 milioane de coroane, adic? aproximativ 160,754 EUR. Aceasta reprezint? aproximativ 2,8% din cifra de afaceri anual? a companiei, ceea ce demonstreaz?, în esen??, disponibilitatea autorit??ilor de supraveghere ale UE de a se apropia de plafonul anual de 4% anual al cifrei de afaceri globale impus de GDPR. Anterior GDPR, o astfel de amend? în Danemarca nu ar fi dep??it 25.000 de coroane (aproximativ 3.350 de euro). Aceast? amenda consistenta este legata de cantitatea mare de date despre clien?i de care compania nu a mai avut nevoie, ci a p?strat-o prea mult timp – ?i anume numere de telefon personale conectate la nou? milioane de c?l?torii de taxi. Decizia autorit??ii stabile?te, de asemenea, ?i un precedent, in sensul c? limit?rile organiza?ionale ale procedurilor ?i aplica?iilor IT nu pot fi recunoscute ca fiind un motiv legitim de a supra-p?stra datele cu caracter personal. Companiile care se confrunt? cu astfel de limit?ri sunt nevoite s? exploreze alte solu?ii pentru a diminua riscurile, de exemplu înlocuirea numerelor de telefon ?i a informa?iilor cu identificatori aleatorii pentru a anonimiza în mod eficient datele personale mai vechi.
Sanc?iunea autorit??ii daneze este prima impus? în aceasta ?ar? pentru nerespectarea cerin?elor GDPR, dup? cum tot prima a fost ?i amenda din Polonia pentru înc?lcarea articolului 14 din GDPR – aproape 220 000 EUR pentru nerespectarea de c?tre o companie a inform?rii persoanelor vizate cu privire la modul în care prelucreaz? datele lor personale, sau amenda-record aplicata în Fran?a gigantului Google, despre care am scris pe larg anterior.
Este evident c? aceast? list? de „prime sanc?iuni” este într-o continua cre?tere, în condi?iile în care autorit??ile de reglementare din UE vor folosi, f?r? îndoial?, practica recent? ca element definitoriu pentru viitoarele controale ?i sanc?iuni. Operatorii de date personale sunt nevoi?i astfel s? ?in? seama de sanc?iunile aplicate în întreaga UE pentru a aprecia consecin?ele înc?lc?rii GDPR ?i a începe s? adopte m?suri tehnice ?i organizatorice de protec?ie a datelor personale.
De ce chiar avem nevoie de GDPR: bazele publice de date
Existen?a companiilor care extrag informa?ii din bazele de date publice ?i ulterior le vând sau revând, într-o form? sau alta, publicului larg, nu reprezint? nicio noutate. Activitatea acestor companii se desf??oar? în cea mai mare parte în mediul online, prin intermediul diferitelor site-uri ?i portale, nefiind afectate (pân? acum) de legisla?ia european? privind protec?ia datelor personale.
Probabil c? v-a?i confruntat de numeroase ori cu diverse solicit?ri cu caracter comercial, provenite de la persoane ce justific? de?inerea datelor dumneavoastr? cu caracter personal ca fiind preluate din baze de date publice. Sau poate a?i fost pu?i în situa?ia de a cump?ra chiar de la aceste societ??i p?r?i din aceste baze de date, pentru diverse activit??i de marketing. Crede?i c? doar pentru faptul ca ele provin din registre publice, avem voie sa le folosim asa cum vrem? Think again.
Ce s-a întâmplat?
In 26 martie 2019, Autoritatea de supraveghere a prelucr?rii datelor personale din Polonia (UODO) a amendat o companie poloneza cu suma de 200.000 euro pentru înc?lcarea obliga?iei de informare a persoanelor fizice vizate. Compania în cauza prelucra datele a peste 6 milioane de persoane, date colectate în majoritate din Registrul Electronic Central al Activit??ilor Economice din Polonia, echivalentul Registrului Comer?ului din Romania. Prin decizia de sanc?ionare, s-a re?inut în esen?? faptul ca, de?i acele informa?ii proveneau din surse publice, compania amendata le folosea pentru activit??i comerciale, fapt ce genereaz? obliga?iile prevazute de GDPR în sarcina operatorului de date personale.
Autoritatea a verificat nerespectarea obliga?iei de informare cu privire la persoanele fizice care desf??oar? activit??i economice. Aceste persoane sunt atât antreprenorii care desf??oar? în prezent o astfel de activitate, sau au suspendat-o, precum ?i antreprenorii care au desf??urat o astfel de activitate în trecut. Operatorul de date personale ?i-a îndeplinit obliga?ia de informare furnizând informa?iile cerute de art. 14 alin. (1) – (3) din GDPR numai în privin?a persoanelor ale c?ror adrese de e-mail le-a avut la dispozi?ie. În cazul celorlalte persoane, operatorul nu a respectat obliga?ia de informare – a?a cum s-a explicat în cursul investiga?iei – din cauza costurilor opera?ionale ridicate. Prin urmare, s-a rezumat la a prezenta o clauz? de informare numai pe site-ul s?u web.
Ce a generat amenda?
În cazul de fa??, compania a prelucrat, printre alte tipuri de date, ?i adresele po?tale ?i numerele de telefon ale persoanelor vizate. Prin urmare, compania ar fi putut respecta obliga?ia de a furniza informa?ii persoanelor ale c?ror date sunt prelucrate prin folosirea oric?rei modalit??i de contact. Compania ?i-a justificat nerespectarea obliga?iei de informare prin costurile dispropor?ionate generate de transmiterea prin post? a unei inform?ri scrise c?tre toate persoanele vizate, îns? Autoritatea nu a luat în seam? aceste afirma?ii, motivând c? existau ?i alte modalit??i de aducere la îndeplinire a obliga?iei (n.r. prin telefon).
Importan?a acestei decizii de sanc?ionare este subliniat? ?i de modul în care s-a f?cut comunicarea public? a acesteia. Comitetul European pentru Protec?ia Datelor (EDPB) a publicat în mod direct comunicatul de pres? aferent, l?sând s? se întrevad? aplicabilitatea la nivelul întregii Uniuni Europene a concluziilor autorit??ii poloneze.
Ce trebuie s? re?inem?
- Indiferent de sursa datelor personale, folosirea lor în scopuri comerciale f?r? respectarea cerin?elor GDPR va duce la sanc?iuni din partea autorit??ilor competente;
- Obliga?ia de informare prevazut? de articolul 14 GDPR, cunoscut? în practica drept informarea din sursa indirect?, trebuie îndeplinit? indiferent de costurile pe care aceasta le-ar putea genera;
- Nu este suficient? o informare efectuat? exclusiv prin afi?area pe site-ul propriu, aceasta fiind practic doar o completare a inform?rii adresate individual fiec?rei persoane fizice vizate.
Textul complet al comunicatului de pres? (în limba englez?): https://edpb.europa.eu/news/national-news/2019/first-fine-imposed-president-personal-data-protection-office_en
GDPR: 10 lucruri pe care ar trebui s? le face?i
Au trecut peste 100 de zile de la intrarea în vigoare a GDPR. Ne-am gândit s? v? prezent?m zece ac?iuni-cheie pe care firma dvs. ar trebui s? le întreprind? pentru a demonstra în mod activ conformitatea cu GDPR.
1. Testa?i-v? planul de r?spuns la bre?ele de securitate a datelor
Pân? acum, ar trebui s? ave?i un plan de r?spuns la înc?lc?rile de securitate a datelor. Urm?torul lucru cheie trebuie f?cut: testa?i planul ?i asigura?i-v? c? func?ioneaz?. Dac? planul dvs. se baza pe persoane sau roluri specifice, s-ar putea s? descoperi?i c?, în cele câteva luni de la intrarea în vigoare a Regulamentului, oamenii s-au mutat sau rolurile s-au schimbat. Experien?a ne-a ar?tat c? planurile nerevizuite regulat se pot pr?bu?i, ajungând din nou la nivel de schi??, mai ales atunci când toat? lumea încearc? s? evite responsabilitatea pentru datele pierdute. Ve?i ob?ine doar acest lucru prin testarea sistemelor regulat – în mod ideal la cel pu?in fiecare ?ase luni. Un lucru pe care oamenii îl pot trece cu vederea este s? se asigure c? sunt con?tien?i de obliga?ia de notificare a Autorit??ii de supraveghere (ANSPDCP) care trebuie s? fie notificat? în cazul unei înc?lc?ri.
De asemenea, trebuie s? acorda?i prioritate persoanelor fizice ale c?ror date au fost afectate de bre?a de securitate. Nu fi?i tenta?i s? v? concentra?i atât de mult asupra propriei dvs. conformit??i interne ?i asupra posibilelor sanc?iuni ale autorit??ilor, cu riscul de a ignora persoanele care au fost efectiv afectate. ANSPDCP va dori s? aud? c? face?i tot ce pute?i pentru a ajuta persoanele vizate de date afectate. ?ine?i cont de faptul c? am putea vorbi despre angaja?i, clien?i sau parteneri de afaceri – oricine ar fi persoanele afectate, trebuie s? v? asigura?i c?:
- acestea beneficiaz? de suportul dumnevoastr?;
- simt c? nu a?i profitat de ei sau de datele lor personale;
- furniza?i suficiente informa?ii pe baza c?rora persoanele vizate pot ac?iona ulterior, în cazul în care acestea vor dori acest lucru.
Trebuie s? ave?i grij? de persoanele afectate în modul în care a?i avea grij? de un client dezam?git. O ridicare colectiv? din umeri nu va ar?ta bine atunci când ANSPDCP v? va întreba ce a?i f?cut pentru a remedierea situa?iei persoanelor vizate afectate.
2. Examina?i comunic?rile interne ?i externe
Folosi?i cele mai sigure platforme? Ave?i metodele corecte de securitate în func?iune? Orice sistem care este fie nesecurizat, fie bazat în afara UE ar trebui s? fi fost actualizat pân? acum. Dac? utiliza?i aplica?ii precum Gmail sau Dropbox, disponibile în mod gratuit, v? recomand?m s? lua?i m?suri alternative.
De asemenea, ar fi trebuit s? opri?i pân? acum utilizarea de sisteme de comunica?ii cum ar fi WhatsApp sau Telegram pentru transmiterea datelor personale.
Asigura?i-v? c? a?i implementat m?suri care s? demonstreze conformitatea dvs. cu Regulamentul în fa?a autorit??ilor, dac? totu?i se întâmpl? un incident de securitate.
3. Reanaliza?i obliga?ia de desemnare a unui ofi?er de protec?ie a datelor (DPO)
S-ar putea s? fi decis anterior c? nu ave?i nevoie de un DPO, dar aceasta este o decizie pe care organiza?ia dumneavoastr? ar trebui s? o revad? în mod regulat. Noi recomand?m câte o reanalizare a situa?iei la un interval de aproximativ ?ase luni.
Vor trebui verificate:
- circumstan?ele actuale ale firmei dvs.
- prevderile legale actuale
- planul de dezvoltare a afacerii
- tipurile de activit??i pe care le desf??ura?i
- sensibilitatea ?i volumul datelor personale pe care le manipula?i
Dac? observa?i modific?ri ale elementelor de mai sus, atunci un DPO ar trebui s? fie de ajutor. Dac? ave?i deja un DPO existent, acesta ar trebui s? se concentreze pe în?elegerea rolul s?u ?i pe eficientizarea activit??ii în companie. De asemenea, nu trebuie s? uita?i despre notificarea ANSPDCP-ului cu privire la desemnarea DPO-ului.
4. Efectua?i evalu?ri frecvente ale impactului asupra vie?ii private
Întreprinderile ar trebui s? realizeze un astfel de audit pentru orice nou proiect major care implic? prelucrarea de date cu caracter personal. De exemplu, vom avea nevoie de o astfel de evaluare atunci când:
- implementa?i noi sisteme IT
- realiza?i site-uri noi
- introduce?i sisteme noi de management al datelor
- schimba?i loca?ia birourilor
- permite?i personalului s? lucreze de acas? / la distan??
Nu este cazul s? v? sim?i?i descuraja?i gândindu-v? c? o astfel de evaluare va fi costisitoare sau hiper-detaliat?; ea trebuie doar s?:
1. s? identifice riscurile pentru datele personale asociate proiectului
2. s? precizeze ce m?suri ar trebui s? fie luate pentru a reduce aceste riscuri
3. s? detalia?i cum ve?i reduce riscurile
Efectuarea periodic? a unei astfel de evalu?ri va contribui la asigurarea transferului responsabilit??ilor, mai ales în cazul în care personalul implicat poate p?r?si compania.
5. Aplica?i politici de p?strare ?i prelucrare a datelor
Întreprinderile ar trebui s? revizuiasc? în mod regulat arhivele, bazele de date ?i mesajele de po?t? electronic?. Asigura?i-v? c? datele cu caracter personal nu sunt ?inute mai mult timp decât a?i declarat ini?ial. Exist? motive întemeiate pentru care unele date sunt p?strate pentru perioade prelungite (de exemplu,acte financiar-contabile, state de salarii). Cu toate acestea, în cazul unei înc?lc?ri care implic? prelucr?ri de date cu caracter personal de-a lungul unei perioade de zece ani, dac? politica de p?strare a datelor a firmei afirm? c? aceste date vor fi ?terse dup? ?apte ani, a?i putea fi sanc?ionat de ANSPDCP. Asigura?i-v? c? politica dvs. este corect? ?i aplicat? uniform.
6. Documenta?i-v? riscurile
Asigura?i-v? c? documentele dumneavoastr? interne reflect? toate riscurile asociate cu GDPR ?i protec?ia datelor. Acestea ar trebui s? fie revizuite în mod regulat ?i actualizate ca parte a monitoriz?rii permanente a conformit??ii companiei cu GDPR. Din nou, este recomandat ca ?i aceast? revizuire s? aib? loc la fiecare sase luni, pentru a v? asigura c? respecta?i în continuare legile privind protec?ia datelor ?i lua?i în considerare orice noi orient?ri ale ANSPDCP.
7. Efectua?i teste regulate de penetrare a sistemelor informatice
Ar trebui s? v? asigura?i c? sistemele informatice ale firmei dvs. sunt testate în mod regulat. Testele ar trebui efectuate de un furnizor extern, pentru a evalua pe deplin orice riscuri asociate cu sistemele dumneavoastr? de comunica?ii electronice, inclusiv site – uri web, e-mail, servere, telefoane mobile sau dispozitivele pentru munca la distan??. Dac? apar probleme, ac?iona?i imediat ?i reduce?i la minimum riscurile identificate.
8. Examina?i practicile de lucru la distan??
Asigura?i-v? c? firma dvs. respect? cele mai bune practici în ceea ce prive?te munca de la distan??. De exemplu, personalul ar trebui s? ?tie s? nu foloseasc? Wi-Fi public gratuit, nici s? lucreze în cafenele sau în public transport (atunci când ecranul laptopului sau un fi?ier sensibil poate fi observat de c?tre persoana de lâng?).
9. Instrui?i-v? personalul
Firma dvs. ar trebui s? aib? un program de formare bine pus la punct, care ar trebui s? fie revizuit în mod regulat ?i prezentat tuturor angaja?ilor noi ca parte a instructajului lor ini?ial. În cadrul acestor activit??i aceast? formare, ar trebui s? oferi?i personalului o mul?ime de exemple pentru a le ajuta s? se identifice „ingineriile de social media”, cum ar fi phishing-ul, în cazul în care fraudatorii reprezint? o firm? sau o institu?ie public?. Re?ine?i c? astfel de atacuri nu se mai limiteaz? la e-mailuri, ci pot avea loc ?i prin social media, mesaj text sau alte forme de mass-media. Este notorie în?el?toria prin mesaje false care încearc? s?-i fac? pe oameni s? acceseze un link pentru a asculta aparent un mesagerie vocal?, în timp ce, de fapt, acest lucru ar instala malware sau ar permite accesul la PC sau la dispozitivul mobil.
10. Fi?i la curent cu cele mai recente prevederi legale ?i recomand?ri
În afar? de respectarea constant? a regulilor privind prelucrarea datelor, ar trebui s? ave?i o analiz? periodic? a activit??ii dumneavoastr? pentru a aborda noile probleme de reglementare pentru GDPR. În cadrul acestor analize ar trebui s? monitorizeze, printre altele, ?i actualiz?rile din partea Comitetului european pentru protec?ia datelor sau din partea ANSPDCP. De asemenea, trebuie s? fi?i la curent ?i cu ?tirile în leg?tur? cu GDPR provenite din activit??ile de control ale ANSPDCP.