Interviu cu Daniela Cireașă, fondator Netspace, Senior Consultant Neoprivacy, Vicepreședinte ASCPD și Președinte CONAF Sucursala Brăila:
Absolventă a Facultății de Drept în anul 2001, Daniela Cireașă și-a început activitatea în mediul privat din postul de consilier juridic. În prezent deține funcția de Vicepreședinte al Asociației Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD), este co-autor al instrumentului de lucru GDPR Aplicat apărut în ianuarie 2020, participant și lector la evenimentele privind protecția datelor personale din România, câștigător împreună cu echipa a titlului de “Cel mai bun DPO din Romania” în iunie 2019 la Tg. Mureș, autor si co-autor a numeroase articole apărute în “Revista Română pentru securitatea și protecția datelor cu caracter personal”, juridice.ro, dpo-net.ro. Daniela Cireașă este, de asemenea, consultant în protecția datelor personale și DPO extern, fondator Netspace, Senior Consultant la Neoprivacy și Președinte al Sucursalei CONAF Brăila. În luna martie 2021 Daniela a devenit “PECB Certified Data Protection Officer” și “PECB Certified Trainer”, ambele certificări fiind recunoscute la nivel internațional.
Cum își pot convinge antreprenorii din industria infrumusețării angajații să nu utilizeze datele clienților în alte scopuri?
În primul rând, responsabilitățile și atribuțiile angajaților trebuie să fie precizate foarte clar în fișa postului. Toți angajații care au acces la datele personale (fie ale celorlalți angajați, fie ale clienților) trebuie să semneze cu angajatorul un acord de confidențialitate. Sancțiunile pentru nerespectarea fișei postului sau a acordului de confidențialitate dar și a procedurilor interne trebuie specificate în Regulamentul Intern al angajatorului.
Pentru menținerea unui nivel ridicat de conștientizare, angajatorul realizează periodic sau ori de câte ori este cazul, instructajul personalului.
Trebuie precizat că operatorul trebuie să ia măsuri pentru a asigura faptul că orice persoană fizică care acţionează sub autoritatea operatorului sau a persoanei împuternicite de operator şi care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului sau în baza unei obligații legale.
Există, totuși, cazuri în care angajații, deoarece au prelucrat datele în alte scopuri decât cele pentru care au fost colectate de către angajator, au devenit operatori și au fost sancționați (spre exemplu, un polițist a folosit datele personale extrase dintr-un sistem de stat în scopuri personale. Autoritatea pentru protecția datelor competentă a hotărât ca polițistul să fie amendat cu 1400 EUR).
Acordul de confidențialitate încheiat de către angajat cuprinde, printre altele, precizarea că toate informațiile și datele despre care angajatul a luat cunoștință în orice mod pe perioada de valabilitate a contractului individual de muncă, în îndeplinirea atribuțiilor de serviciu sunt confidențiale. De asemenea, informațiile confidențiale ale angajatorului vor putea fi folosite numai pentru îndeplinirea îndatoririlor din contractul individual de muncă sau atribuțiilor de serviciu prevăzute în fișa postului. Acordul prevede că angajatul nu are voie să vândă, să doneze ori să transmită în niciun mod astfel de date sau informații iar la încetarea contractului de muncă al angajatului pentru orice motiv, acesta va returna angajatorului toate documentele ce conțin informații confidențiale și sate personale, proprietatea Angajatorului, incluzând, dar fără a se limita la: rapoarte, manuale, corespondență, dosare, aplicații informatice/parolele de acces pe aceste aplicații sau orice alte materiale, inclusiv copii ale acestora, obținute de angajat în orice mod pe toată durata contractului individual de muncă.
Un al doilea capitol al acestui accord de confidențialitate ar trebui să se refere la faptul că angajatul prelucrează datele cu caracter personal ale persoanelor vizate cu respectarea strictă a prevederilor Regulamentului (UE) 2016/679 (GDPR), numai în scopurile și cu mijloacele stabilite de angajator, în legătură strictă și directă cu atribuțiile de serviciu, în condițiile legii și că este obligat să notifice de îndată angajatorul și să ofere toate informațiile pe care le deține despre orice încălcări de securitate generate în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.
Există, totuși, cazuri în care angajații, deoarece au prelucrat datele în alte scopuri decât cele pentru care au fost colectate de către angajator, au devenit operatori și au fost sancționați (ex un polițist a folosit datele personale extrase dintr-un sistem de stat în scopuri personale. Autoritatea pentru protecția datelor competentă a hotărât că în acest caz polițistul să fie amendat cu 1400 EUR).
Cine este responsabil în cazul unui incident de securitate în cadrul unui salon de înfrumusețare?
Principiul responsabilității operatorului reiese din întregul text al Regulamentului European nr. 679/2016 (GDPR). În primul rând, operatorul trebuie să demonstreze respectarea principiilor protecției datelor personale, respectiv datele trebuie prelucrate în condiții de „legalitate, echitate şi transparenţă”, „limitare la scop”, „reducere la minimum a datelor”, „exactitate”, „limitare legată de stocare”, „integritate şi confidenţialitate”. De asemenea, GDPR stabilește că Operatorul este responsabil de respectarea principiilor menționate şi că trebuie să demonstreze această respectare („responsabilitate”).
Articolul 24 din GDPR tratează Responsabilitatea operatorului stabilind că operatorul pune în aplicare măsuri tehnice şi organizatorice adecvate pentru a garanta şi a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu regulamentul iar respectivele măsuri se revizuiesc şi se actualizează dacă este necesar, inclusiv prin în aplicare de către operator a unor politici adecvate de protecţie a datelor.
O altă responsabilitate a operatorului este asigurarea protecţiei datelor începând cu momentul conceperii şi în mod implicit (privacy by design&by default), articolul 25 din GDPR stabilind că operatorul, atât în momentul stabilirii mijloacelor de prelucrare, cât şi în cel al prelucrării în sine, pune în aplicare măsuri tehnice şi organizatorice adecvate care sunt destinate să pună în aplicare în mod eficient principiile de protecţie a datelor, precum reducerea la minimum a datelor, şi să integreze garanţiile necesare în cadrul prelucrării, pentru a îndeplini cerinţele prezentului regulament şi a proteja drepturile persoanelor vizate.
Aș menționa că orice persoană care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a regulamentului are dreptul să obţină despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit. Orice operator implicat în operaţiunile de prelucrare este răspunzător pentru prejudiciul cauzat de operaţiunile sale de prelucrare care încalcă regulamentul.
Așadar, pentru a răspunde întrebării, operatorul, salonul de înfrumusețare în cazul nostru, este responsabil în cazul unui incident de securitate. Precizez că operatorul are obligația ca în cazul în care are loc o încălcare a securităţii datelor cu caracter personal, să notifice acest lucru autorităţii de supraveghere, fără întârzieri nejustificate şi, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoştinţă de aceasta. De asemenea, în cazul în care încălcarea securităţii datelor cu caracter personal este susceptibilă să genereze un risc ridicat pentru drepturile şi libertăţile persoanelor fizice, operatorul informează persoana vizată fără întârzieri nejustificate cu privire la această încălcare.
Pentru stabilirea exactă a responsabilităților și a strategiei în cazul unui incident de securitate, operatorul trebuie să întocmească un Plan de răspuns la incidente pe care sa-l implementeze și pe care sa-l aducă la cunoștința celor implicați.
Care sunt sancțiunile pentru operatori în cazul încalcării protecției datelor personale?
Valoarea amenzilor pentru încălcarea prevederilor GDPR este de până la 20 000 000 EUR sau, în cazul unei întreprinderi, de până la 4 % din cifra de afaceri mondială totală anuală corespunzătoare exerciţiului financiar anterior, luându-se în calcul cea mai mare valoare. Aceste valori se aplică tuturor operatorilor privați, pentru instituțiile publice din România fiind stabilite alte valori prin legislația internă (legea 190/2018).
În anul 2020 amenzile la nivelul Uniunii Europene au fost de 306,3 milioane de euro iar în primul trimestru din 2021 amenzile impuse au depașit 33 de milioane de euro.
Numai în primele luni ale anului 2021 Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal din România a comunicat amenzi totalizând 122.503,70 lei, atât pentru încalcarea Regulamentului 679/2016 (GDPR) cât și a Legii 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice.
Adoptarea măsurilor tehnice și organizatorice insuficiente pentru a proteja într-un mod adecvat datele cu caracter personal rămâne motivul cel mai des întâlnit pentru care operatorii români sunt amendați și în 2021.
Printre cei sancționați se află un angajator care și-a supravegheat excesiv angajații prin intermediul camerelor video dar și o persoană fizică.
Reamintesc, totuși, că în afară de cuantumul amenzii, deloc de neglijat, riscul reputațional este poate cel mai important.
Reamintesc importanța fie a desemnării unui Responsabil cu protecția datelor acolo unde este cazul, fie contactarea unui specialist cu ajutorul căruia să fie implementate principiile prelucrării datelor personale în condiții de legalitate.
Dacă tot ai amintit de responsabilitatea operatorilor și de importanța transparenței modului în care sunt prelucrate datele cu caracter personal, cum poate verifica un client dacă activitatea salonului de înfrumusețare respectă protecția datelor sale personale?
Primul contact al clientului cu salonul este momentul programării. Dacă i se cere să-și facă programare pe Facebook, pe Whatsapp sau prin intermediul unei adrese de email de gmail sau yahoo, clientul ar putea să se îngrijoreze deoarece nu mai are control asupra acestor date, nici el și nici operatorul. Dacă i se cer prea multe date, iarași este un semn de întrebare.
Dacă programarea se face prin intermediul unui site, clientul poate verifica oricare dintre elementele de conformitate pe care le-am precizat în interviul despre site-urile operatorilor.
Următorul contact este cel din momentul prezentării în salon, moment în care clientul poate constata lipsa unei informări sau camere video fără avertizare scrisă.
Pe mine, ca și client, m-ar interesa daca registrul de programări ar putea fi vizualizat de către ceilalți clienți ai salonului sau dacă li s-ar da informații despre mine în urma unei simple întrebări.
Deloc de neglijat, conversațiile despre alți clienți între angajații salonului sau între aceștia și alți clienți sunt un semn al lipsei de instruire a personalului.
Cu siguranță niciunuia dintre noi nu i-ar face plăcere să se discute despre el în urma vizitei la salon. Toate acestea și multe altele sunt indicii clare ale neconformității activității de prelucrare a datelor de către operator.
În final, ce sfat oferi antreprenorilor, indiferent de domeniul de activitate?
Cred ca implementarea principiilor GDPR trebuie văzută mai mult ca o investiție în reputația firmei și crearea unei culturi “privacy by design” în rândul tuturor angajaților poate fi transformată într-un important avantaj concurențial.
Antreprenorii trebuie să știe că nu sunt singuri în fața obligațiilor legale introduse de acest Regulament. Cel mai bun prieten este Responsabilul cu protectia datelor, un specialist născut oficial acum trei ani dar care are un rol strategic în dezvoltarea firmei și care asigură echilibrul între interesele firmei și drepturile clienților și ale angajaților.
Există deja firme pe piața din România care oferă servicii profesioniste de asistență și consultanță în domeniul protecției și securității datelor cu caracter personal și sfatul meu este ca atunci când un antreprenor alege să externalizeze aceste servicii să se asigure de experiența practică a consultanților și a faptului că sunt buni cunoscatori ai domeniului în care acesta iși desfasoară activitatea.
Interviu realizat de Carmen Burtea contributie CONAF, pentru Ziarul News-editie natioanala.
