Ce s-a schimbat după 2 ani de GDPR: Angajaţii mai au încă multe de învăţat

La finalul lunii mai s-au împlinit doi ani de la intrarea în vigoare a regulamentului european de protecţie a datelor personal. Am stat de vorbă cu o avocată specializată în GDPR pentru a vedea ce am învăţat în tot acest timp din acest regulament, ce ar trebui modificat şi unde continuă să greşească firmele, dar şi dacă s-au făcut abuzuri din partea clienţilor care se plâng de încălcarea drepturilor.

"În România avem o amendă record de 150.000 euro, dată unei bănci pentru că a arătat mai mult decât avea voie din datele cu caracter personal al clienţilor. (…) Un numitor comun din ce am văzut noi ca avocaţi, am în cazul acestor amenzi, date unor companii este faptul că angajaţii lor nu respectau procedurile, sau nu aveau conştiinţa faptului că o simplă acţiune a lor poate să pună la risc compania şi să ducp la o amendă foarte mare”, spune Bianca Naghi, partener la Guia Naghi şi Partenerii, avocat specializat GDPR .

În interviu puteţi vedea:

• De ce nu a funţionat până acum suficient de bine programele de pregătire a angajaţilor
• Este posibil ca şi angajaţii să fie traşi la raspundere pentru greşelile de încălcare a GDPR la nivel de firmă
• Ce s-a schimbat din puct de vedere al GDPR în perioada pandemiei
• Ce modificări ar trebui aduse acestui regulament

Ce am învăţat din doi ani de GDPR?

În ultima vreme toată lumea vorbeşte de aniversarea a 2 ani de la intrarea în vigoare a regulamentului cu privire la protecţia datelor. Dacă e de verificat ce înseamnă această aniversare pentru companiile care au conştiinciozitate aplicării unei legi a însemnat foarte multe investiţii, în tehnologie şi în pregătirea personalului cu noile reguli şi totodată foarte multă corespondenţă cu persoanele vizate, persoane fizice, care pentru doi ani de GDPR se pare ca au învăţat foarte multe, sunt foarte informate, dar există şi foarte mult material pe problema drepturilor persoanelor fizice de a-şi controla datele cu caracter personal.

Pe partea de autorităţi, autorităţile au fost foarte ocupate. Am apreciat mult ghidurile şi poziţiile publice ale autorităţilor, inclusiv cele de la noi. Şi pentru autorităţi GDPR a însemnat “amendă” şi “investigaţie”.

La nivel european avem o amendă de 200 de milioane de euro pentru un operator de transport în UK (nu a fost încă finalizată), avem 50 de milioane în Franţa pentru Google, pentru că nu a respectat şi nu a informat corect persoana vizată atunci când a colectat datele.

În România, amenzile sunt şi aici semnificative, avem un record de 150.000 euro, amendă dată unei bănci pentru că a arătat mai mult decât avea voie din datele cu caracter personal, atunci când clienţii realizau operaţiuni bancare.

Cumva, ca numitor comun din ce am văzut noi ca avocaţi, am văzut foarte multe amenzi date unor companii pentru că angajaţii lor nu respectau procedurile, sau nu aveau conştiinţa faptului că o simplă acţiune a lor poate să pună la risc compania la o foarte mare amendă. Iar aici sunt foarte multe cazuri în care operatori angajaţi, la ghişeu, care trebuiau sa facă credit scoring pentru o banca sau care trebuiau să completeze nişte date, făceau în mod fraudulos aceste responsabilităţi ale jobului lor. Sancţiunile nu se aplică de către autoritate la nivel de angajaţi ci sunt amendaţi operatorii, companiile. Iar aici vedem în continuarea necesitatea de informare la nivel de operator, ei cunosc, ştiu legea, dar ce ar trebui îmbunătăţit este ca şi personalul din cadrul operatorilor să realizeze cât sunt şi ei de importanţi în respectarea GDPR-ului.

De ce nu a funcţionat suficient de bine educarea angajaţilor/personalului pentru a respecta regulile de GDPR, în cei doi ani?

Din păcate, zicala românească “merge şi aşa” continuă la nivel de angajaţi. Noi am fost implicaţi în foarte multe programe de traininguri, dezvoltări interne, informări, am avut multe cerinţe în care se spunea de la nivel de conducere: vreau să fie omul informat în legătură cu ce fac eu în legătură cu datele cu caracter personal astfel încât să înţeleagă că nu este doar o politică a companiei, este o valoarea intrinsecă şi toţi clienţii noştri vor dori să ştie că noi le protejăm datele.

Nu-mi dau seama care ar putea fi motivaţia pentru care o persoană să primească nişte date de la un client şi acea persoană să le dea pe WhatsApp unei alte companii, aşa cum ştim că am avut cazuri. Cu siguranţă persoana respectivă a ştiut că face un lucru pe care companie îl interzice, dar nu s-a gândit că o singură acţiune a lui pune în pericol compania. Cred că lipsesc în aceste traininguri pe care le fac operatorii şi conştientizarea riscului. Probabil mergând pe o atitudine constructivă: “ce trebuie să facem”, “ce trebuie să îmbrăţişăm”, poate s-a omis puţin partea “de speriat” - adică orice acţiune are o consecinţă, iar consecinţele par să fie din ce în ce mai dramatice.

Plătesc şi angajaţii atunci când greşesc?

Juridic ar exista pârghii, dar nu ştim ca vreun angajator să le fi folosit. Din ce am avut noi ca experienţă, ulterior greşelii angajaţilor, programele de training şi programele de comunicare în interiorul operatorului să zicem că s-au înteţit, iar situaţia care a afectat compania la momentul respectiv a fost dată ca exemplu şi cel puţin pe această parte, pe această tematică angajaţii ştiu că nu trebuie să facă asta pentru că imediat cineva poate să afle de încălcare şi pot exista repercursiuni.

Dar, juridic, eu ca angajat, dacă nu respect o procedură chiar dacă nerespectarea respectivă se referă la un regulament european, de fapt eu nu respect obligaţiile de angajat şi atunci putem merge pe abatere disciplinară şi aşa mai departe.

Greu de crezut însă că se pot recupera amenzile.

Avem şi un alt aspect al GDPR, protejarea datelor angajaţilor. Şi ştim cazuri în care companiile au fost sancţionate pentru încălcarea drepturilor angajaţilor.

Legenda spune că :) regulamentul a fost construit şi din perspectiva unei decizii la nivel european, în care un domn, chiar român, a dat în judecată angajatorul pe motiv că l-a evaluat în baza unor corespondenţe personale din adresa lui de email. Şi da, aici avem foarte multe întrebări din partea clienţilor: “I-am dat o adresă de email angajatului meu pentru a o folosi în scop profesional. Nu-şi realizează obiectivele? Ce pot să fac? Pot să vad ce face cu adresa respectivă? Pot să văd ce face pe reţelele de socializare? Pot să văd ce face cu timpul lui? Îl văd că stă 8 ore la birou dar nu pot să vad ce face în tot acest timp.”

Este clar că nu există o libertate discreţionară a unui angajat a resurselor pe care le are la birou. Într-adevăr sunt şi nişte drepturi, dar operatorii ar putea să construiască un cadru foarte clar şi delimitat – în sensu, “eu pe baza a ce te verific?” şi “tu în ce scopuri poţi să foloseşti resursele pe care eu, operator, ţi le-am dat”. O interdicţie totală având în că totul se întâmplă la birou, online, ba mai mult acasă, poate chiar pe laptopul personal în cazul în care nu există un laptop de serviciu şi asta în sine este o problemă, limitarea totală din partea angajatorului nu se poate.

Ce s-a schimbat din punct de vedere al GDPR în perioada pandemiei şi de muncă de acasă?

Am avut foarte multe cazuri de situaţii care puteau părea breşe de securitate. Am văzut şi din informaţiile publice că au fost şi foarte multe atacuri. Din perspectiva telemuncă, am văzut multe informaţii care arătau că acasă fiind şi utilizând o reţea care probabil nu are acelaşi nivel de securitatea ca cel de la birou prezinţi o situaţie de pradă mai uşoară. Caz în care, da trebuie să fii foarte atent la felul în care te loghezi. Momentan, tehnologia permite logări securizate, conexiuni criptate, dar pe care nu le-am văzut la toţi operatorii.

Cât despre telemuncă, nu cred că orice nerespectare trebuie să ducă la sancţiuni, iar acestă atitudine am văzut-o şi din partea autorităţilor. Cred că sunt foarte importante şi eforturile pe care le fac operatorii din perspectiva posibilităţilor lor. Drept urmare şi în ceea ce priveşte telemunca, informarea este cheia succesului. Atât informarea celor care operează la nivel de angajaţi, cât şi informarea persoanelor vizate. Ar trebui să primească informaţiile de la persoana care îi ţine datele, operatorul să fie cel care îi câştigă încrederea. Eu, în calitate de client de produse şi servicii online sau care presupun prelucrarea datelor, apreciez foarte mult situaţia în care cineva ma informează, nu-mi ia zece scroll-uri pentru informare, dar să înţeleg că omul şi-a făcut temele, dar reuşeşte să-mi transmită elementele cheie: de ce mi se iau datele? Care sunt scopurile? Faptul că el se angajează la scopurile respective şi către cine le dă.

Va urma o creştere a sancţiunilor după perioada de lockdown?

Pe partea de GDPR marea majoritatea a investigaţiilor pe care le-am văzut atât în România cât şi la nivel european au fost investigaţii la plângere sau investigaţii ca urmare a notificării autorităţilor cu privire la breşe de securitate. Nu am văzut, nu am avut personal experienţa, în aceşti doi ani, a unei investigaţii nici la nivel de ţară nici la nivel european a unei investigaţii tematice, respectiv, noi Autoritatea mergem să căutăm într-un anumit sector – cum face de exemplu Consiliul Concurenţei în România, dar şi în alte state, numărul de plângeri este în continuare semnificativ. În 2019 au fost peste

5.000 de plângeri, în condiţiile în care au fost declanşate doar 527 de investigaţii, mă gândesc ca au mai rămas din plângerile respective. Totodată, pe partea de breşe, statistică la nivel european spune că la nivelul unei ţări precum Germania sau Olanda incidentele notificate la autoritatea depăşesc 30.000. Nu avem un număr clar al incidentelor din ultimii doi ani, dar cu siguranţă ele au fost semnificative şi în România.

Cred că acest trend va rămâne unul continuat, nu cred că ultimele două luni a dus la schimbări care să determine un număr mai mare de investigaţii sau care să schimbe cauzele care în acest moment duc la investigaţii în România.

Având în vedere numărul mare de reclamaţii, au loc şi abuzuri din acest punct de vedere?

Pot să vă spun ca am personal 3 nume de persoane care le regăsesc în orice fel de industrie şi cred că abuzează de drepturile lor şi îmi pare rău că nu îşi dau seama ce înseamnă pentru un operator, fie mic sau mare, ca timp, cost şi efort să răspunzi la o întrebare cu privire la exercitarea drepturilor potrivit regulamentului. Da, dreptul tău să o faci, dacă este nevoie fă-o. Dar sunt şi abuzuri din partea persoanelor vizate, dar puţine per total. De regulă, operatorii încurajează să te adresezi operatorului cu întrebări. Aici regulamentul nu este foarte clar, dacă similar cu protecţia consumatorilor eşti oblicat să te adresezi operatorului şi doar apoi să mergi la autoritate. Am văzut şi cazuri în care autoritatea nu a ţinut cont că persoana care avea o plângere nu s-a dus întâi la operator, ci s-a dus direct la autoritate. De exemplu, în cazul Protecţiei Consumatorului o astfel de plângere ar fi fost respinsă, persoana respectivă ar fi trebuit să se adreseze întâi operatorului şi apoi vino la autoritate.

V-aţi ocupat de crearea cardului instituţional pentru noua funcţie apărută odată cu GDPR şi anume poziţia de Data Protection Officer. Câţi astfel de ofiţeri de date avem în România? Şi ce fac firmele mici care nu îşi permit să înfiinţeze astfel de posturi noi?

În baza informaţiilor de la Autoritate, în primul an de GDPR, din mai 2018 până în mai 2019, erau peste 9.000 de persoane responsabile cu protecţia datelor şi care au fost notificaţi la Autoritate. Apoi, avem încă 5.000 la nivel de ţară în 2019.

Cred ca este un număr foarte mic, pentru că responsabilul cu protecţia datelor la firmele mici pare să nu fie o necesitate şi nici o condiţie a legii, mulţi spun: “pe mine nu mă va căuta niciodată, eu sunt mic, autoritate este în Bucureşti etc”. Nu este chiar aşa, în măsura în care activitatea ta principală implică o monitorizare periodică şi sistematică a datelor sau nu poţi să îţi faci activitatea principala decât prelucrând date cu caracter personal atunci mărimea poate să fie o excepţie. Exemplul cabinetului stomatologic (vezi video)

Pe partea de statistică, la nivel european există o asociaţie, IAPP (International Association of Privacy Professionals) şi care are autorizări, certificări şi cursuri dedicate, care estima înainte de intrarea în vigoare a GDPR undeva la 75.000 de persone responsabile ca urmare a cerinţei din regulament. În 2019, refăcându-şi studiul au realizat că sunt 500.000 de companii la nivel european care au angajat astfel de ofiţeri. Drept urmare companiile au realizat că nu trebuie să fie foarte mari ca să aibă nevoie de un DPO şi aveau un DPO angajat intern sau colaborator extern poate să fie o soluţie bună pe termen lung.

Pentru cei care nu îşi permit un astfel de angajat, regulamentul prevede atât posibilitatea unei persoane angajate, care poate să fie şi part time, dar există şi o colaborare, un contract cu un specialist pe protecţia datelor. Din acest punct de vedere, România a dezvoltat mult partea de consultanţă.

Sunt consultanţi care oferă consultanţă online, au ghiduri, chestionare care se fac online, astfel încât să îşi poată permite şi un mic magazin online.

Dar, nivelul de calitate şi experiență trebuie verificat. Am avut clienţi cu consultanţi care ulterior au fost chemaţi în judecată pe motiv că nu au primit ceea ce au crezut că vor achiziţiona ca servicii. Verificaţi pe cât posibil credenţialele persoanei pe care o angajaţi sau cu care veţi colabora, cereţi recomandări, ca în cazul oricărui consultant, experienţa şi expertiza este măsurată.

Şi este important de ştiut că până la urmă tot antreprenorii sunt cei traşi la răspundere în cazul încălcării regulamentului.

Mai e loc la noi în România de startup-uri în domeniul GDPR?

Da, este loc şi de mai mulţi consultanţi, dar şi mai buni consultanţi şi mai ales de persoane care vor avea şi aplecarea să investească în tehnologie. Cred că în acest moment sunt multe soluţii din perspectivă IT, dar care sunt destul de scumpe pentru un mic magazin online, spre exemplu. Cred că în România, mai ales ca avem buni specialişti în acest domeniu, ar trebui ca un consultant şi un IT-ist să facă echipă şi să vină cu soluţii care să ajute şi să nu fie costisitoare şi să fie dedicate şi firmelor mici care trebuie să aplice GDPR. Dar, există totuşi astfel de exemple.

Ce am învăţat din aceşti doi ani şi ce modificări ar trebui făcute după ce am tras câteva concluzii în aceşti ani?

Cred în continuarea că regulamentul poate să fie îmbunătăţit cu implicarea autorităţii. Avem foarte multe întrebări din partea operatorilor, la care nu vedem răspunsuri clare în regulament. Totodată se pregăteşte de multă vreme un regulament pe e-Privacy, care ar trebui să rezolva problema acelor soluţii tehnice care sunt des întâlnite la noi – adică ce se întâmplă cu monitorizarea semnalului de telefon, ce se întâmplă cu monitorizarea în spate a modalităţilor în care noi ne folosim echipamentele, toate acestea sunt reglementate şi de GDPR, dar probabil ar fi nevoie de o mai mare transparenţa asupra limitelor în care operatorul poate să facă asta. O altă recomandare este informarea, atât a personalor vizate cât şi a angajaţilor, şi aici este mai bine să înveţi din greşeliele altora – găsim multe articole despre sancţiunile date până acum pentru încălcarea GDPR şi site-uri care centralizează aceste cazuri.

GDPR în cifre:

• Responsabili cu Protecţia Datelor (notificaţi în România între mai 2018-mai 2019 – 9.439 şi în 2019 -4.318)

• IAPP – estima înainte de GDPR 75.000 de posturi de DPO

• În primul an de GDPR, UE a inregistrat 500.000 companii care au inclus DPO ca poziţie nouă în organigrama lor

• 2019 – 28 amenzi, total 500 .000 de euro

• 527 investigaţii: 134 avertismente, 128 măsuri corective

• Cea mai mare amendă în România 150.000 de euro – banca, octombrie 2019, divulgare neautorizată de date excesive pentru situatii de transfer bancar

• Cea mai mare (posibilă) amendă în UE (Marea Britanie): 204 milioane euro British Airways (iulie 2019)

• Cea mai mare amenda impusa: Google - Franta, 50 milioane EUR

• Cea mai mică amendă în România 500 euro – asociaţie de proprietari, noiembrie 2019, acces neautorizat CCTV

• Una din cele mai mici amenzi la nivel UE: Germania (200 EUR, august 2019) pentru o persoană fizică care a făcut o înregistrare a unui spaţiu public şi a postat-o pe YouTube