Ce pot face companiile, atunci când angajații lor generează încălcări de securitate a datelor cu caracter personal? Cum se pot proteja operatorii de date de riscul apariției unor astfel de situații? Ce măsuri interne sunt necesare la nivelul companiilor și cum poate fi măsurată eficiența implementării lor? – Acestea sunt câteva dintre temele abordate de avocații specializați în protecția datelor cu caracter personal ai Schoenherr și Asociații SCA, în cadrul unui eveniment organizat recent de firma de avocatură.
Majoritatea sancțiunilor aplicate de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) operatorilor de date cu caracter personal de la intrarea în vigoare a GDPR se referă la încălcări de securitate a datelor. Din totalul amenzilor, cele mai multe vizează incidente de securitate cauzate de acțiuni/ inacțiuni umane din interiorul companiei și mai puțin vulnerabilități tehnice.
„Practica arată că, de cele mai multe ori, sursa incidentelor de securitate vizând date cu caracter personal este cineva din interiorul companiei. Cauza o reprezintă, în general, o insuficientă cunoaștere a obligațiilor în acest domeniu în rândul angajaților‟ – a declarat Georgiana Bădescu (partner), coordonatoarea practicii specializate în dreptul UE și dreptul concurenței, respectiv a practicii specializate în protecția datelor cu caracter personal a Schoenherr și Asociații SCA.
Printre situațiile de incidente de securitate generate intern, cel mai frecvent întâlnite de avocații Schoenherr și Asociații SCA se numără: dezvăluirea datelor către destinatari neîndreptățiți să obțină acces la acestea; încălcarea procedurilor de lucru/ regulilor interne; distrugerea/ pierderea documentației interne; tentativele de phishing.
„Conform legii, răspunderea pentru încălcări de securitate a datelor generate de către angajați îi revine companiei. Pentru a se proteja, companiile trebuie să adopte măsuri concrete precum derularea de programe personalizate de training, testarea periodică a angajaților, precum și definirea de proceduri și instrucțiuni de lucru clare. Aici, 'personalizat' este cuvântul cheie – măsurile generale, neadaptate specificului activității companiei și diferitelor categorii de angajați, se pot dovedi insuficiente‟ – a completat Marta Tudor (attorney at law).
În cazul apariției unui astfel de incident de securitate generat de un angajat, gestionarea și eventuala notificare a incidentului la ANSPDCP vine cu o serie de particularități. „Este recomandabil ca notificarea către autoritate a unui astfel de incident să includă detalii complete despre toate măsurile luate de către companie pentru a preveni încălcări de această natură în rândul echipei, anticipând astfel potențiale solicitări ulterioare din partea autorității. În lipsa acestor detalii la momentul notificării, este foarte probabil ca autoritatea să revină cu solicitări de informații suplimentare‟ – a declarat Carla Filip (attorney at law).
Schoenherr este o firmă regională de avocatură, activă în Europa Centrală și de Est și Europa de Sud-Est, unde operează 15 birouri. Firma este prezentă în România din anul 1996, oferind servicii de asistență juridică în principalele arii de practică relevante pentru activitatea companiilor locale și multinaționale.
