Instruirea angajaților și revizuirea procedurilor interne
Protecția datelor cu caracter personal reprezintă o preocupare continuă a autorităților, atât la nivel local, cât și european, mai ales în situaţia dezvoltărilor din economia digitală, aşa că operatorii din domeniu trebuie să țină pasul cu reglementările și cu recomandările acestora pentru a se conforma cerințelor legale în vigoare.
Instruirea angajaților și revizuirea procedurilor interne, aspecte importante în protecția datelor cu caracter personal
În ţara noastră, autoritatea competentă recomandă, pe baza aspectelor constatate în cadrul controalelor din anul 2021, intensificarea măsurilor organizatorice interne pentru asigurarea securității datelor prelucrate. Printre acestea se numără pregătirea periodică a angajaților, revizuirea soluțiilor tehnice, dar și respectarea regulilor cu privire la transferul internațional al datelor cu caracter personal.
De asemenea, Autoritatea Națională de Supraveghere privind Prelucrarea Datelor cu Caracter Personal (ANSPDCP) a înregistrat anul trecut, peste 5.000 de plângeri, sesizări și notificări în ceea ce priveşte incidentele de securitate cu privire la protecția datelor, pe baza cărora a derulat 691 de investigații. Pe parcursul anului, autoritatea a aplicat 36 de amenzi, în cuantum total de circa 75.000 de euro. Dincolo de cifre, însă, din raportul instituției se desprind și câteva aspecte importante de care operatorii ar trebui să țină cont în perioada următoare.
Neregulile constate de autoritate
Mai mult, unul dintre acestea se referă la instruirea permanentă a angajaţilor responsabili cu gestionarea datelor personale colectate de un operator. Factorul uman se dovedește a fi, în continuare, cel mai relevant în ceea ce privește asigurarea conformării privind protecția datelor cu caracter personal.
Este foarte important ca angajații societăților să cunoască și să înțeleagă foarte bine atribuțiile pe care le au în legătură cu protejarea datelor, să aplice în cadrul activității regulile și politicile care guvernează acest domeniu și să respecte măsurile de securitate adoptate la nivelul societății.
În plus, instruirea angajaților se numără printre măsurile corective impuse de ANSPDCP în urma constatării unor încălcări ale legislației, alături de revizuirea procedurilor sau de aplicarea unor politici interne pentru asigurarea respectării cadrului legal în domeniu (precum gestionarea procesului de soluționare a cererilor persoanelor vizate etc.).
De asemenea, printre neregulile constate de autoritate se numără și încălcarea măsurilor de securitate și confidențialitate a prelucrării de date cu caracter personal. Astfel, un alt aspect important desprins din raportul autorității este cel legat de necesitatea intensificării controalelor interne, aşa încât societățile să se asigure că aplică măsuri tehnice și organizaționale corespunzătoare pentru garantarea securității datelor.
Mai mult, ANSPDCP a analizat un număr impresionant de reguli corporatiste obligatorii, în calitate de autoritate principală sau autoritate de cooperare, dar și recomandările emise în legătură cu acestea. Această analiză ar putea indica faptul că autoritatea intenționează să evalueze, în perioada următoare, transferul de date către state terțe și maniera în care sunt încheiate clauzele standard obligatorii adoptate de Comisia Europeană, în vigoare de la 27 septembrie 2021, acestea reprezentând, de asemenea, cel mai des întâlnit instrument pentru fundamentarea unor astfel de transferuri.
Prevenția, armă împotriva atacurilor cibernetice
Mai mult decât atât, pentru viitor, organizațiile trebuie să își exerseze capacitatea de a anticipa și de a răspunde rapid la atacurile cibernetice sau la erorile interne care intervin în procesul de protecție a datelor cu caracter personal, astfel încât să reducă riscul de compromitere a datelor. În acest sens, este important să desfășoare exerciții de testare a proceselor de management al crizelor, având în vedere că incidentele de securitate cibernetică sunt deja percepute ca având cel mai mare risc asupra afacerii.
Pe de altă parte, analiza preventivă a nivelului de maturitate în domeniul securității datelor, inclusiv a celor cu caracter personal, și identificarea unui parcurs pentru sporirea acestuia rămân măsuri clasice, însă extrem de aplicate, menite să reducă riscul de exploatare a unor vulnerabilități tehnice, organizatorice și umane, și implicit riscul unui impact major asupra operațiunilor, asupra reputației și, în final, de natură financiară.
