Protecția Datelor cu Caracter Personal- Lecții și Direcții

protectia datelor cu caracter personal

Protectia Datelor 

Lecții și Direcții pentru Viitor

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) publică anual rapoarte de activitate care oferă o prezentare detaliată a activităților desfășurate în domeniul protecția datelor cu caracter personal. Aceste rapoarte sunt disponibile pe site-ul oficial al ANSPDCP, în secțiunea „Rapoarte anuale”. Le gasiti aici.

Am analizat raportul ANSPDCP pe anul 2023 și am rezumat punctele principale care v-ar putea interesa:

Ce am învățat din 2023: Control și Sancțiuni

În 2023, ANSPDCP a desfășurat o activitate intensă de monitorizare și control, investigând mii de plângeri și incidente de securitate raportate.

  • ANSPDCP a efectuat investigații extinse asupra operatorilor de date din sectoarele public și privat. În cursul anului 2023, Autoritatea națională de supraveghere a primit un număr de 4772 de plângeri, sesizări și notificări privind incidente de securitate, pe baza cărora au fost deschise 548 investigații.
  • Investigațiile au vizat respectarea prevederilor legale privind protecția datelor, cu accent pe notificările de încălcare a securității datelor și sesizările primite.
  • Ca urmare a investigațiilor efectuate, în anul 2023 au fost aplicate amenzi în cuantum total de 2.348.265 lei. De asemenea, au mai fost aplicate 186 de avertismente și au fost dispuse 138 de măsuri corective

Principalele probleme de protecția datelor identificate includ:

  • Prelucrarea neautorizată a datelor: De la supravegherea video până la divulgarea datelor în mediul online, multe incidente au fost cauzate de utilizarea inadecvată a datelor personale.
  • Primirea de mesaje comerciale nesolicitate
  • Nerespectarea drepturilor persoanelor vizate și încălcarea principiilor de prelucrare a datelor cu caracter personal
  • Confidențialitatea și securitatea: Configurările deficitare ale site-urilor și lipsa măsurilor tehnice au dus la încălcări grave.

Exemple care atrag atenția

Unele cazuri specifice din 2023 evidențiază complexitatea protecției datelor:

  • O entitate privată a încălcat confidențialitatea datelor cu caracter personal ale clienților prin transmiterea neautorizată a informațiilor, inclusiv copii ale actelor de identitate și adeverințe de salariat, pentru obținerea de credite în numele acestora. Incidentul a fost cauzat de un angajat al operatorului, iar Autoritatea Națională de Supraveghere a aplicat o amendă de 546.073 RON (110.000 EURO).
  • Un furnizor de energie a expus datele personale ale clienților, inclusiv nume, adrese, numere de telefon și detalii contractuale, pe pagina sa web, din cauza unei breșe de securitate. Incidentul a fost raportat către Autoritatea Națională de Supraveghere, care a sancționat operatorul cu o amendă de 124.150 lei (25.000 EURO).
  • O societate a utilizat datele personale ale angajaților în alte scopuri și anume,  pentru a-i influența să doneze 3,5% din impozitul anual pe venit către o fundație proprie, distribuindu-le formulare ANAF 230 precompletate. Incidentul a fost sancționat de Autoritatea Națională de Supraveghere cu o amendă de 24.719,50 RON (5.000 EURO).
  • O societate comercială a raportat o breșă de securitate care a expus datele personale ale multor utilizatori ai unei platforme (nume, e-mail, detalii profesionale și nivel de cunoștințe) pe un site terț, afectând persoane din UE și state terțe. Incidentul, cauzat de setări tehnice necorespunzătoare, a fost sancționat de Autoritatea Națională de Supraveghere cu o amendă de 346.598 lei (70.000 EURO).
  • Un hipermarket a raportat o breșă de securitate în care angajații au accesat înregistrările sistemului CCTV, le-au filmat cu telefoanele personale și le-au transmis unor persoane neautorizate. Incidentul a fost sancționat de Autoritatea Națională de Supraveghere cu o amendă de 39.712 lei (8.000 EURO).
  • O clinică medicală a divulgat neautorizat datele unor pacienți prin trimiterea accidentală a rezultatelor investigațiilor lor către alt pacient, alături de propriul buletin de investigație. Incidentul a fost notificat Autorității Naționale de Supraveghere, care a aplicat o amendă de 14.755,50 lei (3.000 EURO).
  • O companie de telefonie mobilă a fost sancționată cu o amendă de 4.961 lei (1.000 EURO) pentru refuzul de a furniza unui client înregistrările convorbirilor din call-center, invocând protejarea datelor altor persoane implicate. Incidentul a fost considerat o încălcare a dreptului de acces al persoanei vizate.
  • O autoritate publică a utilizat necorespunzător imaginea unui angajat, capturată cu un telefon personal, pentru a demonstra absența nemotivată de la serviciu în cadrul unei proceduri disciplinare. Autoritatea Națională de Supraveghere a considerat că această practică încalcă principiile GDPR, deoarece imaginea nu era un mijloc adecvat și necesar pentru scopul declarat.

Plângeri ale persoanelor vizate

Orice persoană care consideră că prelucrarea datelor sale s-a realizat cu încălcarea prevederilor legale are posibilitatea de a depune o plângere la Autoritatea națională.

Astfel, pe parcursul anului 2023, au fost înregistrate un număr total de 4380 plângeri care au vizat, în principal,următoarele aspecte:

  • prelucrarea imaginilor prin intermediul sistemelor de supraveghere video de către persoane fizice și persoane juridice;
  • primirea de mesaje comerciale nesolicitate;
  • nerespectarea drepturilor persoanelor vizate;
  • dezvăluirea datelor cu caracter personal către terți, inclusiv în mediul on-line și în cadrul rețelelor de socializare;
  • încălcarea principiilor de prelucrare a datelor;
  • raportarea de date la Biroul de Credit.

 

Recomandări pentru Viitor

Operatorii trebuie să se concentreze pe prevenirea incidentelor și pe consolidarea măsurilor de protecție. ANSPDCP recomandă:

  1. Revizuirea periodică a măsurilor tehnice și organizatorice prin implementarea unui mecanism procedurat și aplicat la intervale regulate de timp, privind testarea, evaluarea și aprecierea periodică a eficacității măsurilor adoptate, având în vedere riscul prezentat de prelucrare, în vederea asigurării unui nivel de securitate corespunzător și evitării unor incidente de securitate;
  2. Adoptarea măsurilor tehnice și organizatorice adecvate, astfel încăt operatorul să faciliteze exercitarea drepturilor persoanelor vizate reglementate de Regulamentul general privind protecția datelor, în special, a dreptului de acces la o copie a datelor personale ce fac obiectul prelucrării
  3. Educația personalului: formarea angajaților în utilizarea corectă a datelor, sesiuni de conștientizare cu privire la riscurile și consecințele pe care le implică dezvăluirea datelor personale, pentru evitarea unor incidente de securitate;
  4. Evaluarea impactului prelucrărilor (DPIA) pentru activitățile cu risc ridicat.
  5. Informarea completă a persoanelor vizate într-un limbaj clar și accesibil.

Direcții pentru 2024

În viitor, ANSPDCP își propune:

  • Intensificarea controalelor pentru a crește conformitatea.
  • Educație și conștientizare: Sprijinirea cetățenilor și organizațiilor prin campanii și materiale educative.
  • Reglementarea tehnologiilor noi: Asigurarea unui echilibru între inovație și confidențialitate.

Protecția datelor cu caracter personal este mai mult decât o cerință legală – este o obligație morală față de clienți, angajați și parteneri. Într-o eră a transformării digitale, respectarea drepturilor persoanelor vizate este cheia succesului pe termen lung.

Distribuie:

Ultimele Articole

Protecția Datelor cu Caracter Personal- Lecții și Direcții

Inteligența Artificială si GDPR

Supravegherea angajatilor cu ajutorul camerelor video

Externalizare DPO

Categorii

Abonează-te la newsletter

Fii la curent cu ultimele noutăți

Call Now Button