AUTORITATILE PUBLICE VIZATE DE AMENZILE GDPR. AVETI CATEVA EXEMPLE MAI JOS CU AMENZILE APLICATE IN DOUA CAZURI, CE S-A INTAMPLAT ACOLO? CE AVEM DE INVATAT DIN ACESTE EXEMPLE?
Regulamentul GDPR se aplica in orice context, atunci cand vorbim de prelucrare de date, chiar si cand este vorba de o prelucrare de date efectuata de o institutie publica, autoritate publica, etc.
Avem doua astfel de cazuri in cele ce urmeaza, cazuri care desi nu s-au petrecut in Romania, totusi, stim ca am avut si noi cazul Primariei Cluj-Napoca si probabil ca vor mai exista daca ne gandim cate probleme si nereguli constatam atunci cand instram in contact cu o institutie de stat.
Primul caz este acela al Agenției Naționale a Veniturilor din Bulgaria(echivalentul ANAF-ului nostru) care a cazut victima celui mai mare furt de date din Balcani. Autoritatea de supraveghere din Bulgaria a decis sa aplice cea mai mare amenda primita de o autoritate publica din Uniunea Europeana, este vorba de suma de 2.6 milioane de Euro.
Cum s-a ajuns in aceasta situatie? Agenția Naționala a Veniturilor din Bulgaria a fost victima unui atac cibernetic care a dus la sustragerea datelor cu caracter personal apartinand unui numar de aproximativ 4,1 milioane de persoane (contribuabili), printre care se numara si cetateni straini, nu numai cei bulgari.
De ce s-a ajuns in aceasta situatie? Oficialii bulgari au anuntat ca in urma verificarilor facute s-a constatat faptul ca institutia respectiva nu a acordat prea mare atentie si importanta aplicarii unor masuri adecvate de siguranta pentru a proteja datele respective iar sustragerea lor a fost posibila fara prea mari eforturi din partea atacatorilor, acestia au utilizat tehnici de baza, nimic prea complex, atunci cand au spart baza de date. Practic, s-a constatat faptul ca baza de date era prea putin, am putea spune chiar spre deloc protejata iar accesarea ei a fost un lucru simplu de facut, nimic nu a impiedicat aceasta spargere, nimic nu a pus probleme atacatorilor.
Oare la noi este posibil? Sa ne facem probleme din acest punct de vedere? DA, raspunsul la ambele intrebari este DA. Baza de date a ANAF nu este una cu prea mari standarde de siguranta, din pacate. Sistemul electronic al ANAF a cedat de multe ori in trecut si nu avem inca informatii cum ca aceste vulnerabilitatii ar fi fost remediate intre timp. Practic, putem doar sa ne rugam ca acest lucru sa nu se intample si la noi. Daca ne gandim la aceasta institutie putem spune ca aproape toata populatia Romaniei si nu numai ar fi afectata in cazul in care s-ar intampla ceva. Daca ne gandim si la ce date detine ANAF-ul despre fiecare constribuabil in parte, realizam ca este o problema destul de spinoasa si de delicata. Consideram vital sa existe un plan de masuri cat mai eficiente de siguranta aplicate unor astfel de baze de date. Diverse alte institutii ale statului au atras atentia oficialilor asupra faptului ca aceste baze de date sunt foarte vulnerabile in continuare si ca trebuie actionat cat mai repede pentru a remedia problema.
Intr-o declaratie data in trecut de Gelu Diaconu- fost presedinte al ANAF, acesta afirma urmatoarele: ’’Nu avem sediu, nu avem mentenanță, nu avem upgradările făcute, avem litigiu cu IBM-ul, am blocat proiectul cu Banca Mondială”, situatia fiind aceeasi in continuare.
De ce nu se iau masuri cu privire la institutiile statului? Este probabil sa fie vorba de ignoranta sau poate de faptul ca amenzile nu sunt atat de mari la noi. Practic, in cuprinsul legii 190/2018 constatam faptul ca institutiile publice beneficiaza de un tratament mai special iar sanctiunile prevazute pentru acestea nu pot depasi suma de 200.000 lei, echivalentul a 40.000 Euro, pe cand in cazul unei sanctiuni pentru o societate privata sanctiunile urca pana la maximul de 4% din cifra globala de afaceri sau 20.000.000 euro, oricare din cele doua este mai mare.
Autoritatea de supraveghere bulgara a impus si aplicarea unor masuri, mai exact:
– îmbunătățirea protecției procesării datelor cu caracter personal în serviciile electronice;
– efectuarea analizei de risc a sistemelor și operațiunilor de procesare, inclusiv a normelor și obligațiilor funcționale stabilite pentru prelucrarea fiecărui sistem informațional;
– efectuarea evaluărilor de impact în cazul identificării „riscului ridicat” pentru fiecare sistem și a măsurilor corespunzătoare care trebuie luate;
– efectuarea unei evaluări de impact la lansarea inițială a noilor sisteme de informații și aplicații.
Autoritatea a impus crearea unui mediu mai sigur de prelucrare a datelor, a cerut sa fie imbunatatite sistemele de operare, sa fie aplicate masuri de siguranta la standard inalte, sa fie efectuate analize privind impactul unei noi prelucrari de date asupra drepturilor si libertatilor indivizilor, daca ii afecteaza? In ce maniera ii afecteaza? Ce se poate face pentru a proteja aceste date cat mai bine si pentru a garanta siguranta lor? De toate aceste lucruri trebuie sa tina cont si autoritatile de la noi.
Al doilea caz este acela al unei scoli din Suedia care a instalat un sistem de recunoastere faciala prin care dorea sa monitorizeze prezenta elevilor la ore.
De ce este atat de grav? Pentru recunoasterea faciala sunt utilizate si prelucrate date biometrice, care fac parte din grupa datelor sensibile si pentru care regulamentul de protectie a datelor stipuleaza sa nu fie prelucrate decat in conditii de maxima necesitate, cu anumite exceptii prevazute clar in art. 9 GDPR.
In acest caz liceu respectiv sustine ca a realizat prelucrarea respectiva pe baza consimtamantului elevilor, insa, in acest caz, aceste consimtaminte nu intrunesc conditiile de valabilitate.
Mai exact, conform opiniilor cuprinse in ghidul publicat de Grupul de lucru „Articolul 29” intitulat „Orientări asupra Consimțământului în temeiul Regulamentului 2016/679” , in acest caz este vorba de un dezechilibru de putere. Raportandu-ne la cazul angajatorului, care nu poate spune ca un consimtamant din partea angajatilor este unul liber exprimat, luand in calcul raportul de subordonarea al acestora, la fel se pune problema si in aceasta situatie. Elevii se pot simti constransi sa accepte conditiile respective.
Concluziile autorității suedeze au fost urmatoarele:
– utilizarea unei camere cu recunoașterea facială a elevilor presupune monitorizarea continuă a acestora în mediul lor zilnic
– monitorizarea facială a reprezentat o încălcare a intimității lor
– controlul prezenței la clasă se poate face într-un mod mai puțin intruziv
Consimtamantul este foarte important sa fie exprimat in mod liber , fara vreo constrangere iar faptul ca intre persoana vizata si operatorul de date exista un raport de subordonare anuleaza din start aceasta conditie foarte importanta, ceea ce face ca acesta sa nu fie valabil.