Datele cu caracter personal

-aspecte practice-

După cum bine știm, toate instituțiile statului român dețin și prelucrează date cu caracter personal.

Aceste date aparțin, atât personalului propriu, cât și unor terți cu care instituția, în desfășurarea activităților sale, interacționează. Nici sistemul penitenciar nu face excepție de la această situație.

Începută, cu precădere, în urmă cu aproximativ 3 ani, din nevoia de acordare la noile cerințele europene în materia protecției datelor cu caracter personal, activitatea de protecția a datelor cu caracter personal în sistemul penitenciar reprezintă un proces continuu și dinamic, dar care necesită îmbunătățiri majore.

Astfel, în ciuda unor progrese înregistrate în acest domeniu și care la momentul respectiv au fost tratate de către unele sindicate, mai ”berbecoase” de fel, ca acte de netransparență decizională (n.a. de altfel, instanțele de judecată a respins definitiv asemenea acuzații), problematica gestionării datelor cu caracter personal rămâne una extrem de sensibilă și care necesită maximă responsabilitate.

Să nu uităm că sancțiunile (amenzile) pe care ANP-ul și unitățile subordonate le pot primi în cazul apariției unor incidente cu privire la datele cu caracter personal sunt extrem de usturătoare și, în ultimă instanță, vor afecta serios buzunarul directorului respectivei instituții.

De altfel, știm cu toții că Whatsapp-ul, în special, dar și alte aplicații așa-zise de ”socializare” sunt canalele predilecte și deloc perfecte prin care funcționarii publici share-uiesc o mulțime de date care ușor pot fi încadrate în categoria celor cu caracter personal!

Poate nu ar strica să începem să dezvoltăm o cultură instituțională în sensul protejării datelor și informațiilor gestionate pentru că, așa după cum spuneam mai sus, riscurile sunt extrem de mari pentru factorii de conducere din instituțiile ce compun sistemul penitenciar!

Ce se întâmplă cu aceste date cu caracter personal dacă sunt pierdute, furate, răspândite pe Whatsapp sau obținute în mod accidental ori deliberat? Ce putem face dacă ne confruntăm cu o încălcare a datelor personale? Când și către cine trebuie comunicată această încălcare?

Sunt întrebări la care voi încerca, spre folosul celor interesați și fără a avea pretenția de a acoperi întreaga problematică, să răspund în cele ce urmează.

Ce înseamnă o încălcare a datelor cu caracter personal?

  • o încălcare a datelor cu caracter personal trebuie tratat un veritabil incident de securitate care poate conduce, accidental sau nu, la distrugerea ilegală, pierderea, modificarea/alterarea, divulgarea neautorizată ori accesul la datele cu caracter personal preluate, stocate sau prelucrate în cadrul activității desfășurate de către diferitele entități publice;
  • nu orice asemenea incident de securitate a informațiilor reprezintă și o încălcare a datelor cu caracter personal, însă orice încălcare a datelor cu caracter personal constituie un incident de securitate a informațiilor.

Cum pot apărea aceste încălcări ale datelor cu caracter personal?

  • în urma unor erori umane (ex. atunci când informațiile sunt trimise prin e-mail unui alt destinatar decât cel vizat);
  • pierderea sau furtul de dispozitive care conțin date personale necriptate;
  • fotografierea unor documente care conțin date personale și transmiterea acestora pe diferitele grupuri de utilizator ai aplicațiilor sociale (ex. pe Whatsapp);
  • încălcarea procedurilor de autentificare care permit accesul neautorizat la baze de date;
  • utilizarea unor ”parole slabe” etc.

Cum procedăm în cazul constatării unei posibile situații de încălcare a datelor cu caracter personal?

  • identificați incidentul privind încălcarea datelor cu caracter personal;
  • notificați încălcarea către responsabilul cu protecția datelor (DPO), aceasta este o obligație de serviciu în temeiul legislației UE privind protecția datelor;
  • acționați imediat pentru a reduce orice riscuri imediate pentru datele personale afectate de incident;
  • documentați încălcarea în baza principiului responsabilității;
  • evaluați impactul produs de încălcarea datelor cu caracter personal, inclusiv, din perspectiva drepturilor și libertăților cetățenești;
  • dacă aveți calitatea de persoană care prelucrează acele date personale, trebuie să notificați imediat pe șeful instituției;
  • instituția în cauză are obligația să notifice autoritatea națională în domeniul protecției datelor cu caracter personal într-un termen de maximum 72 ore de la data constatării încălcarii;
  • instituția trebuie să informeze cu privire la încălcarea datelor cu caracter personal pe cei afectați de acest incident(căror le aparțin acel date);
  • revizuiți procedurile interne de lucru și actualizați măsurile de protecție și control.

Ce trebuie să facă responsabilul cu protecția datelor cu caracter personal?

  • să ofere, la cerere, sfaturi/recomandări/opinii cu privire la evaluarea impactului asupra persoanelor vizate și asupra necesității de a notifica despre incident autoritatea națională și persoanele ale căror date cu caracter personal au fost încălcate;
  • să recomande măsuri de diminuare a impactului încălcării; •
  • este persoana de contact pentru persoane fizice;
  • este persoana de contact pentru autoritatea națională în domeniul datelor cu caracter personal;
  • să facă schimb de informații cu responsabilii cu securitatea bazelor de date cu privire la politica privind gestionarea riscurilor de securitate și încălcarea datelor personale;
  • să pregătească și să ofere programe de conștientizare pentru angajați.

Cine trebuie să gestioneze situația de încălcare a datelor?

  • șeful instituției(directorul);
  • ofițerul responsabil cu protecția datelor cu caracter personal(DPO);
  • șeful structurii în cadrul căreia s-a produs incidentul( după caz);
  • compartimentul/structura IT;
  • echipa de comunicare/purtătorul de cuvânt (dacă este necesar).

Ce trebuie să facem pentru a diminua riscurile legate de protecția datelor cu caracter personal?

  • să dezvoltați o cultură a protecției datelor în cadrul instituției dvs;
  • să reconfigurați operațiunile de prelucrare a datelor, astfel încât, considerentele de securitate să fie puse, în mod implicit, în centrul activității desfășurate;
  • considerentele de securitate trebui să includă:o politică de e-mail și instruirea personalului pentru utilizarea atentă a email-urilor;utilizarea parolelor securizate și a autentificării în ”doi pași”;existența copiilor de rezervă pentru sistemele IT; –actualizări periodice și obligatorii ale sistemului IT; –evitarea expunerii serviciilor pe internet; –utilizarea criptării pe toate dispozitivele IT.

S-auzim de bine!

Lasă un răspuns

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare /  Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare /  Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare /  Schimbă )

Conectare la %s

%d blogeri au apreciat: