Regulamentul General privind Protecția Datelor (GDPR), aplicabil din 25 mai 2018, a adus schimbări majore pentru operatorii de date, inclusiv angajatori și administratori de firme. Datele cu caracter personal ale angajaților, clienților sau colaboratorilor sunt considerate informații sensibile și protejate prin lege.
În România, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) este instituția responsabilă cu aplicarea și controlul conformității. Legea nr. 190/2018 a detaliat aplicarea GDPR la nivel național și a introdus măsuri specifice pentru sectoarele economice din România. Orice entitate care colectează, stochează sau procesează date personale trebuie să demonstreze că respectă principiile GDPR.
Nerespectarea acestora atrage răspunderi legale directe, care variază de la avertismente până la amenzi administrative semnificative, precum și riscuri de ordin civil și penal.
Ce obligații ai ca angajator privind protecția datelor personale
Angajatorii, în calitate de operatori de date, sunt obligați să respecte o serie de principii privind colectarea, utilizarea și păstrarea datelor angajaților. Conform articolului 5 din GDPR, datele trebuie să fie prelucrate în mod legal, echitabil și transparent. Acestea trebuie colectate pentru scopuri determinate, explicite și legitime și nu trebuie prelucrate ulterior într-un mod incompatibil cu aceste scopuri. De exemplu, datele colectate în scopul încheierii unui contract de muncă nu pot fi ulterior utilizate în scopuri comerciale fără consimțământul explicit al persoanei vizate.
Potrivit specialiștilor de la Avocat-Online.eu, o mare parte dintre companiile investigate de autoritatea de supraveghere ajung în această situație nu din rea-voință, ci din necunoașterea obligațiilor legale detaliate impuse de GDPR. Din acest motiv, este esențial ca angajatorii să solicite periodic consiliere juridică online pentru a verifica dacă politicile interne sunt conforme cu reglementările europene și naționale. Un avocat online specializat în protecția datelor poate analiza documentația existentă, procedurile de prelucrare a datelor și contractele în care sunt implicate date personale ale angajaților. Accesează site-ul avocat-Online.eu, unde poți obține consultanță juridică online de la un avocat specializat în legislația muncii și protecția datelor, asigurându-te astfel că respecți toate obligațiile legale și eviți eventuale sancțiuni.
Un angajator trebuie să limiteze accesul la date doar persoanelor autorizate, să implementeze măsuri tehnice și organizatorice adecvate pentru protecția acestora și să țină evidențe clare ale prelucrărilor efectuate. Articolul 30 din GDPR impune obligația întocmirii unui registru al activităților de prelucrare, care trebuie pus la dispoziția autorității de supraveghere la cerere. Angajatorul trebuie să se asigure că personalul său este instruit periodic privind confidențialitatea și protecția datelor.
De asemenea, conform articolului 13 din GDPR, angajatul trebuie să fie informat în mod clar despre ce date sunt colectate, în ce scop și cât timp vor fi păstrate. Orice prelucrare care implică date biometrice, monitorizarea prin camere video sau analiza comportamentului online la locul de muncă trebuie justificată printr-un interes legitim și evaluată din perspectiva proporționalității. Lipsa acestor măsuri poate conduce la constatarea unei încălcări.
Ce tipuri de încălcări ale GDPR sunt cele mai frecvente în mediul de afaceri
În mediul economic românesc, cele mai frecvente abateri de la normele GDPR apar în relațiile de muncă și în procesele de marketing sau vânzări. Multe firme nu obțin consimțământul explicit al persoanelor vizate atunci când trimit comunicări comerciale. Aceasta contravine cerinței de legalitate prevăzute de articolul 6 din GDPR, care stipulează că prelucrarea este legală doar dacă există un temei juridic clar.
Un alt tip comun de abatere este stocarea excesivă a datelor fără stabilirea unei perioade de retenție. Companiile păstrează adesea copii ale documentelor angajaților sau candidaților mult timp după ce relația contractuală a încetat, fără un motiv justificat. Această practică încalcă principiul limitării păstrării, ceea ce a dus la numeroase investigații ale ANSPDCP.
Monitorizarea nejustificată a angajaților, fie prin camere de supraveghere instalate în birouri, fie prin programe informatice de urmărire a activității, a generat mai multe sancțiuni în România. Dacă nu este făcută cu o evaluare a impactului asupra vieții private și fără informarea prealabilă a angajatului, o astfel de supraveghere este considerată abuzivă.
În mediul de afaceri, datele clienților sunt de asemenea vulnerabile. Lipsa criptării, parole slabe sau accesul neautorizat la baze de date au dus la incidente de securitate. Conform articolului 33 din GDPR, orice încălcare a securității datelor care poate duce la pierderea, distrugerea sau divulgarea neautorizată trebuie notificată către autoritate în termen de 72 de ore. Multe companii omit acest pas, ceea ce agravează sancțiunea.
Ce sancțiuni poți primi pentru nerespectarea GDPR
GDPR prevede sancțiuni administrative progresive, în funcție de gravitatea și durata încălcării, numărul persoanelor afectate și cooperarea operatorului cu autoritățile. Articolul 83 al Regulamentului menționează că amenzile pot ajunge până la 10 milioane de euro sau până la 2% din cifra de afaceri anuală globală, pentru încălcări ale obligațiilor operatorului sau ale împuternicitului. În cazul unor încălcări grave, amenzile pot crește până la 20 de milioane de euro sau 4% din cifra de afaceri.
În România, ANSPDCP a aplicat mai multe amenzi semnificative în ultimii ani. În 2022, un cunoscut lanț de retail a fost sancționat cu 20.000 euro pentru că a instalat camere de supraveghere în vestiarele angajaților, fără un temei legal justificat. Într-un alt caz, o instituție financiară a primit o amendă de 100.000 lei pentru transmiterea automată de emailuri către clienți fără consimțământ.
Pe lângă amenzile administrative, pot exista și consecințe în plan civil. Persoanele ale căror date au fost afectate pot solicita daune morale în instanță. Curțile din România au început să acorde tot mai frecvent astfel de despăgubiri, chiar și pentru prejudicii nepatrimoniale. În cazuri extreme, în care se demonstrează intenția de a obține foloase necuvenite sau folosirea datelor în scopuri frauduloase, administratorul companiei poate răspunde penal.
Cum îți poți reduce riscul de răspundere ca administrator sau firmă
Pentru a minimiza riscurile legate de protecția datelor, administratorii trebuie să se concentreze pe prevenție și control intern. Prima măsură esențială este numirea unui responsabil cu protecția datelor (DPO), mai ales în cazul companiilor care procesează volume mari de date sau care efectuează monitorizări sistematice. DPO-ul are rolul de a consilia conducerea, de a monitoriza conformitatea și de a interacționa cu autoritatea de supraveghere.
O evaluare periodică a riscurilor este obligatorie pentru activitățile cu impact ridicat asupra confidențialității. Aceasta include testarea sistemelor informatice, actualizarea parolelor, criptarea comunicațiilor și implementarea unui plan de răspuns la incidente. Este esențial ca toate politicile interne să fie revizuite periodic, pentru a reflecta modificările legislative și tehnice.
Instruirea angajaților reprezintă un alt pilon esențial al conformității. Orice membru al personalului care are acces la date personale trebuie să cunoască obligațiile legale și procedurile de urmat în caz de breșă. Multe incidente se produc din neglijență sau lipsă de informare, nu din rea-intenție. Prin urmare, formarea continuă este o investiție care reduce semnificativ riscul.
Nu trebuie neglijat nici controlul asupra partenerilor contractuali. Dacă un furnizor de servicii IT, contabilitate sau resurse umane are acces la date, trebuie încheiat un acord de prelucrare, conform articolului 28 din GDPR. Administratorul este responsabil pentru alegerea acestor parteneri și trebuie să se asigure că aceștia oferă suficiente garanții privind protecția datelor.
Respectarea GDPR nu este doar o obligație legală, ci și o dovadă de responsabilitate față de angajați, clienți și parteneri. Administratorii care tratează cu seriozitate protecția datelor beneficiază de un avantaj competitiv și evită sancțiuni costisitoare. Lipsa unor măsuri concrete de securitate și transparență poate afecta reputația unei firme și încrederea publicului. Legislația este clară, iar autoritățile demonstrează din ce în ce mai mult că neglijența nu este tolerată. Protejarea datelor personale trebuie să devină o prioritate strategică în orice afacere. Ai întrebări despre aplicarea GDPR în industria ta?
