Condamnarea penala a unui angajat pentru incalcarea normelor GDPR
Daca pana acum au fost multe cazuri de sanctiuni aplicate operatorilor de date, pentru faptul ca nu respectau anumite prevederi ale regulamentului GDPR. Iata ca se intampla, pentru prima data, sa fie cercetat penal un angajat pentru faptul ca a incalcat Regulamentul GDPR.
Stirea vine din Anglia, acolo unde protectia datelor reprezinta un principiu de baza al functionarii societatii, unde toate institutiile de stat pun foarte mare accent pe respectarea normelor GDPR, avand reguli foarte stricte si sisteme de operare ce asigura un grad de siguranta foarte ridicat. Acolo exista o cultura a protectiei datelor foarte bine ancorata in activitatile cotidiene, iar incalcarea legislatiei constituie o fapta foarte grava. Cu toate acestea, nu ne-am fi asteptat sa se ajunga la o condamnare penala pentru o astfel de incalcare.
Din relatarile ICO- Information Commissioner’s Office( Autoritatea de supraveghere a prelucrarilor de date din Anglia ), aflam ca o angajata a Departamentului de asistenţă şi servicii sociale din Dorset a fost urmărita penal pentru accesarea dosarelor de asistenţă socială fără autorizaţie.
In urma anchetei realizate, s-a constatat faptul ca respectiva angajata a accesat dosarele a patru persoane pe care le cunostea, fara a avea o imputernicirea pentru a face acest lucru.
Angajata a fost chemata in judecata pentru faptele mentionate mai sus si s-a constat ca, desi fusese instruita referitor la obligatiile pe care aceasta le avea pentru a asigura protectia datelor si a modului in care trebuie sa isi exercite sarcinile conform fisei postului, avand clar stabilite atributiile sale, aceasta a ales sa incalce aceste limite impuse si sa obtina datele cu caracter personal intr-un mod abuziv si contrar legislatiei.
Incalcand in mod constient legislatia de protectie a datelor, aceasta a fost cercetata penal, fiind condamnata la 6 luni de inchisoare cu suspendare.
Seful comisiei de investigare a declarat urmatoarele: „Deşi nouă în această funcţie, inculpata a fost instruită atât in domeniul protecţiei datelor cât şi în domeniul securităţii cibernetice şi, prin urmare, era perfect conştientă de responsabilităţile pe care le avea faţă de păstrarea confidenţialităţii persoanelor. Acestă condamnare trimite un mesaj clar, că vom lua măsuri ferme împotriva persoanelor care abuzeaza poziţia de încredere.”
Asadar, daca angajatii aleg sa ignore politicile si procedurile comunicate de angajator si incalca prevederile legale in materie de protectia datelor, acestia sunt pasibili de a raspunde penal.
Operatorul are obligatia de a isi instrui/informa angajatii si de a ii consilia, insa, daca acestia aleg sa nu respecte obligatiile legale, o fac pe propria raspundere.
Faptul ca un angajator nu isi responsabilizeaza angajatii constituie un factor de mare risc pentru acesta, acest lucru ducand la aparitia multor riscuri pentru compania in sine. Dar, din momentul in care angajatorul alege sa instruiasca personalul cu privire la importanţa protecţiei datelor în concordanţă cu practicile generale şi politicile specifice activităţii companiei, atunci riscurile sunt diminuate substantial iar raspunderea pica, dupa cum observam in cazul de fata, in sarcina angajatului.
Este important de inteles faptul ca fiecare parte are responsabilitati, angajatorul-de a isi instrui angajatii, de a ii responsabiliza, de a ii face constienti, vigilenti, iar angajatul-de a respecta sarcinile trasate de angajator, de a urma indicatiile oferite in sesiunile de instruire, de a fi cat mai responsabil si mai vigilent cu putinta.