Importanta conformarii la cerintele privind protectia datelor cu caracter personal nu a fost nicicand mai evidenta ca astazi. La un an dupa dezvaluirea initiativei de reformare a legislatiei UE privind protectia datelor cu caracter personal, subiectul constituie in continuare obiectul unor dezbateri intense. Aparent ajungerea la un acord nu va fi usoara.
“Uniunea Europeana are nevoie de uniformizarea si modernizarea legislatiei privind protectia datelor personale pentru a asigura increderea si cresterea economica in cadrul pietei unice digitale” a declara la inceputul acestui an comisarul european pentru justitie Viviane Reding, exprimandu-si speranta ca acest obiectiv va fi atins pana anul viitor de ziua europeana a protectiei datelor personale[1] (n.n. 28 ianuarie).
Printre obiectivele-cheie se numara acela de a oferi persoanelor mai mult control asupra informatiilor private utilizate in mediul online dar si combaterea altor probleme care iau din ce in ce mai multa amploare, cum ar fi furtul identitatii.
Multe din companiile de pe piata locala nu constientizeaza responsabilitatea pe care si-o asuma prin colectarea, stocarea, procesarea si distrugerea datelor cu caracter personal, ceea ce le poate expune mai multor riscuri, incepand cu amenzile consistente aplicate de Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), actionarea in instanta de catre clienti nemultumiti sau angajati, si finalizand cu deteriorarea reputatiei pe termen lung.
Unul din cazurile notabile din Romania este acela in care Primaria sectorului 1 a fost condamnata la plata sumei de 10.000 Euro cu titlu de daune-morale[2] unei persoane fizice ale carei date personale au fost publicate pe saitul institutiei.
In timp ce labirintul protectiei datelor cu caracter personal se poate dovedi foarte complex (motiv pentru care sunt necesare intotdeauna recomandarile unui specialist), exista unele masuri aplicabile tuturor categoriilor de institutii publice sau private mici sau mari, de la comerciantii cu amanuntul si pana la call-center-uri sau companii farmaceurice prin care sa poata fi evaluata conformitatea cu prevederile legale aplicabile dar si descoperirea viciilor care afecteaza procesul de conformare.
Pentru inceput – cand este necesara notificarea Autoritatii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) ?
In principiu, daca institutia proceseaza orice informatie referitoare la persoane in viata si poate decide in privinta informatiilor care sunt stocate, atunci probabil ca institutia este un operator de date cu caracter personal, fapt pentru care legislatia in vigoare impune notificarea ANSPDCP.
Presupunand ca institutia a notificat déjà ANSPDCP, este important sa luati in considerare cativa factori, inclusiv:
– Persoanele (denumite in general „Persoane Vizate”) de la care sunt colectate date sunt informate in privinta activitatii de colectare a datelor ?
– Le-au fost explicate acestor persoane scopurile in care le sunt procesate datele ?
– Toate informatiile colectate sunt relevante scopului pentru care sunt procesate ?
Citim adesea despre institutii publice sau private nationale sau internationale care pierd datele clientilor. Legea romana prevede ca este responsabilitatea operatorului sa asigure protectia datelor, in caz de esec prevazand aplicarea de amenzi, ceea ce nu exclude si acordarea unor despagubiri persoanelor vizate.
Printre masurile pe care orice intreprindere, indiferent de statutul pe care il are pe piata, ar trebui sa le ia in vederea asigurarii unei protectii mai sigure pentru datele personale, sunt incluse:
– Utilizarea unor paravane de protectie securizate (firewall-uri) si a unor programe de criptare pentru toate dispozitivele electronice care contin datele clientilor si angajatilor ;
– Dublarea datelor detinute si stocarea lor in medii sigure. Aceasta masura nu se conformeaza doar cerintelor legale dar este utila si bunei gestionari a activitatii companiei. Fie ca informatia este stocata pe suport electronic sau tiparit, este important sa existe un duplicat al datelor colectate de la fiecare Persoana Vizata;
– In plus, fata de stocarea datelor unei persoane, operatorii sunt responsabili si in ceea ce priveste eliberarea informatiilor, la cerere, in timp util. Operatorii sunt obligati pe de o parte sa se asigure ca toate fisierele clientilor sunt actualizate iar pe de alta parte sa adopte proceduri interne pentru tratarea imediata a solicitarilor Persoanelor Vizate privind accesul la propriile date operate.
De asemenea, distrugerea securizata a datelor personale este la fel de importanta ca procesarea si colectarea informatiilor. Din momentul in care datele nu mai servesc scopului pentru care au fost colectate, de exemplu la implinirea termenului convenit dupa executarea obligatiilor dintr-un contract, operatorul este obligat sa distruga datele intr-un mod sigur.
Punerea in aplicare a prevederilor legale privind protectia datelor cu caracter personal este din ce in ce mai stricta, avand in vedere si practica recenta a instantelor care se pronunta in favoarea celor ale caror drepturi au fost incalcate.
Sfatuim intreprinzatorii sa isi evalueze politicile si procedurile referitoare la protectia datelor cu caracter personal acum, daca doresc sa evite amenzile, plata de daune si cheltuielile de judecata in viitor.
