Instruirea angajatilor si revizuirea procedurilor interne, aspecte importante in GDPR

Protectia datelor cu caracter personal reprezinta o preocupare continua a autoritatilor, atat la nivel local, cat si european, in special in contextul dezvoltarilor din economia digitala, astfel ca operatorii din domeniu trebuie sa tina pasul cu reglementarile si cu recomandarile acestora pentru a se conforma cerintelor legale in vigoare. In Romania, autoritatea competenta recomanda, pe baza aspectelor constatate in cadrul controalelor din 2021, intensificarea masurilor organizatorice interne pentru asigurarea securitatii datelor prelucrate. Printre acestea se numara pregatirea periodica a angajatilor, revizuirea solutiilor tehnice, dar si respectarea regulilor privind transferul international al datelor cu caracter personal.

Autoritatea Nationala de Supraveghere privind Prelucrarea Datelor cu Caracter Personal (ANSPDCP) a inregistrat, in 2021, peste 5.000 de plangeri, sesizari si notificari privind incidentele de securitate cu privire la protectia datelor, pe baza carora a derulat 691 de investigatii. Pe parcursul anului, autoritatea a aplicat 36 de amenzi, in cuantum total de aproximativ 75.000 de euro. Dincolo de cifre, insa, din raportul institutiei se desprind si cateva aspecte importante de care operatorii ar trebui sa tina cont in perioada urmatoare.

 

Unul dintre acestea se refera la instruirea permanenta a angajatilor responsabili cu gestionarea datelor personale colectate de un operator. Factorul uman se dovedeste a fi, in continuare, cel mai relevant in ceea ce priveste asigurarea conformarii privind protectia datelor cu caracter personal. Este extrem de important ca angajatii societatilor sa cunoasca si sa inteleaga foarte bine atributiile pe care le au in legatura cu protejarea datelor, sa aplice in cadrul activitatii regulile si politicile care guverneaza acest domeniu si sa respecte masurile de securitate adoptate la nivelul societatii. De altfel, instruirea angajatilor se numara printre masurile corective impuse de ANSPDCP in urma constatarii unor incalcari ale legislatiei, alaturi de revizuirea procedurilor sau de aplicarea unor politici interne pentru asigurarea respectarii cadrului legal in domeniu (precum gestionarea procesului de solutionare a cererilor persoanelor vizate etc.).

Printre neregulile constate de autoritate se numara si incalcarea masurilor de securitate si confidentialitate a prelucrarii de date cu caracter personal. Asadar, un alt aspect important desprins din raportul autoritatii este cel legat de necesitatea intensificarii controalelor interne, astfel incat societatile sa se asigure ca aplica masuri tehnice si organizationale corespunzatoare pentru garantarea securitatii datelor.

In plus, ANSPDCP a analizat un numar impresionant de reguli corporatiste obligatorii, in calitate de autoritate principala sau autoritate de cooperare, precum si recomandarile emise in legatura cu acestea. Aceasta analiza ar putea indica faptul ca autoritatea intentioneaza sa evalueze, in perioada urmatoare, transferul de date catre state terte si maniera in care sunt incheiate clauzele standard obligatorii adoptate de Comisia Europeana, in vigoare de la 27 septembrie 2021, acestea reprezentand, de altfel, cel mai des intalnit instrument pentru fundamentarea unor astfel de transferuri.

 

In plus, pentru viitor, organizatiile trebuie sa isi exerseze capacitatea de a anticipa si de a raspunde rapid la atacurile cibernetice sau la erorile interne care intervin in procesul de protectie a datelor cu caracter personal, astfel incat sa reduca riscul de compromitere a datelor. In acest sens, este important sa desfasoare exercitii de testare a proceselor de management al crizelor, avand in vedere ca incidentele de securitate cibernetica sunt deja percepute ca avand cel mai mare risc asupra afacerii.

Nu in ultimul rand, analiza preventiva a nivelului de maturitate in domeniul securitatii datelor, inclusiv a celor cu caracter personal, si identificarea unui parcurs pentru sporirea acestuia raman masuri clasice, dar extrem de aplicate, menite sa reduca riscul de exploatare a unor vulnerabilitati tehnice, organizatorice si umane, si implicit riscul unui impact major asupra operatiunilor, asupra reputatiei si, in final, de natura financiara.