„Instruirea efectivă” – un nou concept după recenta soluție a instanțelor clujene în cauza Banca Transilvania vs ANSPDCP
S-a discutat mult despre amenda de 100.000 euro aplicată de Autoritatea Națională de Supraveghere a Datelor cu Caracter Personal (ANSPDCP) în urmă cu aproape doi ani pentru a sancționa diseminarea unor date personale aparținând unui client și unor angajați ai Băncii Transilvania în spațiul public. Nu ne propunem să reluăm istoria acelor fapte și nici nu ne propunem să o analizăm, neavând la dispoziție detaliile concrete ale cazului.
Este însă relevant că s-au parcurs între timp toate etapele procedurale și că sancțiunea aplicată de ANSPDCP, a fost considerată de către două instanțe de judecată (Tribunalul Cluj și Curtea de Apel Cluj) ca fiind justă. Ceea ce ne propunem este să sintetizăm argumentele pe care autoritatea sancționatoare, apoi instanțele de judecată s-au întemeiat atunci când au decis astfel și să extragem câteva idei importante pentru abordări viitoare.
Urmărind considerentele instanței de apel, astfel cum au fost publicate de ANSPDCP în Comunicatul de Presă din 14.04.2022 – Hotărâre definitivă privind amenda de 100.000 euro – https://www.dataprotection.ro/?page=Comunicat_Presa_14_04_2022&lang=ro), înțelegem că argumentul esențial și hotărâtor care a condus la decizia de menținere a sancțiunii, reluat sub forme diferite în mai multe paragrafe ale considerentelor, a fost că lipsa instruirii efective a personalului a condus la “inabilitatea acestora (nn – a angajaților) de a identifica și califica datele la care au acces ca fiind date cu caracter personal”, ceea ce a făcut astfel posibilă diseminarea necontrolată a datelor personale în spațiul public.
Din sinteza redată în citat în comunicatul de presă al ANSPDCP înțelegem că soluția și deznodământul final al acestei cauze ar fi fost altele dacă operatorul (în cazul de față banca) ar fi putut proba că a instruit efectiv personalul, în special personalul implicat în incident. Tot instanța este cea care oferă elementele pentru o definire corectă conceptului de “instruire efectivă” – redăm în citat: “deși reclamanta a depus la dosar, în copie, extrase din diverse proceduri interne aceasta nu a dovedit, pe de o parte, instruirea efectivă a celor trei angajați care au produs incidentul de securitate, iar pe de altă parte, că a aplicat mecanismele de control și evaluare elaborate pentru a se asigura că angajații săi și-au însușit menționatele reglementări interne (…) însă apare important de subliniat ca nu s-a dovedit participarea efectivă a personalului la aceste cursuri și nici aplicarea efectivă a vreunei modalități de verificare a însușirii acestor cunostințe și informații.”
Este din nou relevant faptul că sancțiunea aplicată a fost individualizată și, deși semnificativă, a fost stabilită mult sub cuantumul maxim prevăzut de lege. Ce ne spune instanța, menținând decizia autorității: că, deși încălcarea este calificată ca fiind “gravă”, cuantumul mic al amenzii raportat la maximul prevăzut de lege este calificat la rândul său ca fiind corect pentru că operatorul îndeplinea condițiile pentru a fi aplicate criteriile de individualizare a pedepsei din art. 83 alin 2 lit c-k din Regulamentul 679/2016 (GDPR). Le redăm mai jos pe cele pe care le considerăm relevante pentru concluziile noastre:
- acțiunile întreprinse de operator (bancă) pentru a reduce prejudiciul suferit de persoana vizată;
- gradul de responsabilitate al operatorului ţinându-se seama de măsurile tehnice şi organizatorice implementate de aceştia în temeiul articolelor 25şi 32
- eventualele încălcări anterioare relevante comise de operator sau de persoana împuternicită de operator;
- gradul de cooperare cu autoritatea de supraveghere pentru a remedia încălcarea şi a atenua posibilele efecte negative ale încălcării;
- categoriile de date cu caracter personal afectate de încălcare;
- modul în care încălcarea a fost adusă la cunoştinţa autorităţii de supraveghere, în special dacă şi în ce măsură operatorul sau persoana împuternicită de operator a notificat încălcarea;
- orice alt factor agravant sau atenuant aplicabil circumstanţelor cazului, cum ar fi beneficiile financiare dobândite sau pierderile evitate în mod direct sau indirect de pe urma încălcării.
Pornind de la cele de mai sus, concluzia noastră este că:
- Este bine să existe proceduri interne, dar nu este suficient – întocmirea unui “dosar GDPR” cu proceduri, politici și formulare nu este de ajuns, chiar dacă din perspectiva conținutului sunt impecabile;
- Este bine ca procedurile interne și politicile GDPR să fie aduse la cunoștința angajaților, dar nu este suficient – transmiterea lor pe e-mail, afișarea într-un loc public, chiar și luarea la cunoștință de către angajați atestată printr-un proces-verbal colectiv sau individual cu semnăturile acestora, nu este o măsură organizatorică efectivă pentru că nu oferă nicio garanție că acei angajați au și citit ce au primit. Or, să nu uităm, scopul procedurilor comunicate angajaților este creșterea nivelului de conștientizare a problematicii GDPR;
- Este bine să se organizeze cursuri pentru angajați, dar nu este suficient – participarea la cursuri fără un mecanism de verificare reală a gradului de înțelegere și însușire de către participanți a conținutului predat a fost deja calificat de instanță ca nefiind o măsură efectivă;
- Este necesar ca toți angajații care au acces și utilizează date personale în activitatea lor să fie instruiți la angajare și periodic cu privire la problematica protecției datelor cu caracter personal specifică postului lor
- Este necesar ca după fiecare sesiune de instruire să existe un test obligatoriu și un punctaj minim de promovare. Dacă recitim argumentele instanțelor clujene în speța de la care am pornit, credem că existența unui sistem de verificare periodică a cunoștințelor în materie de protecția datelor cu caracter personal este elementul care ar putea face diferența între o instruire și o instruire efectivă, între o decizie de sancționare și lipsa ei.
În loc de concluzie: niciun remediu nu e mai sănătos decât prevenția. Și în lumina celor de mai sus, credem că instruirea efectivă a angajaților este, dintre toate măsurile organizatorice pe care ar putea să le adopte un operator de bună-credință și bine intenționat, acea măsură care poate face diferența între a avea sau a nu avea o breșă, între a primi o amendă sau măsuri de remediere fără impact financiar.
Vreti sa va asigurati ca personalul din companiile dumneavoastra este instruit, dar întelege, adoptă și aplică informațiile comunicate? Contactați-ne acum