După cum unii dintre dumneavoastră ați aflat deja, Primăria Cluj-Napoca a fost sancționată luna trecută pentru încălcarea noului Regulament privind protecția datelor.

Mai concret, totul a pornit în urma unei reclamații făcute de clujeanul L.T. Acesta sesiza faptul că o serie de funcționari publici foloseau adrese de email găzduite de către Yahoo pentru a răspunde cererilor petenților, în loc să folosească adresele de email ale instituției.

[/fusion_gallery]

Ne-am propus ca în acest articol să analizăm la modul cel mai serios pe de-o parte de ce anume este o încălcare a noului Regulament privind protecția datelor personale să trimiți emailuri de pe adrese de yahoo (sau gmail, hotmail etc) în cazul funcționarilor publici. În al doilea rând vrem să tragem o serie de învățăminte utile instituțiilor publice.

Ce NU ne-am propus în acest articol este să arătăm cu degetul înspre Primăria Cluj-Napoca. Deși încălcarea a fost reală, același lucru sau poate altele mult mai grave din punct de vedere al GDPR se pot întâmpla și în alte instituții publice.

Dacă în Primăria Cluj – premiată pentru nivelul avansat de digitalizare – au ieșit la iveală nereguli, vă dați seama ce ar ieși la iveală dacă un activist ca L.T. și-ar îndrepta atenția asupra unei primării de oraș mic sau o primărie de comună.

De ce este o încălcare a noului Regulament privind protecția datelor să trimiți emailuri ca instituție publică de pe adrese de yahoo?

La prima vedere, o companie de talia Yahoo are un nivel solid de securitate și clar angajată în conformarea la GDPR.

Problema stă în special în gradul foarte redus de control pe care o instituție (sau orice alt operator de date. ex o firmă) îl are asupra comunicării prin serverele de Yahoo, cu care nu poți încheia un acord special de protecție a datelor ca și cum ai putea cu un furnizor de servicii de găzduire.

Spre exemplu, dacă sunt folosite adrese de yahoo este dificil de urmărit dacă ulterior comunicării răspunsului către petent (persoana vizată), angajatul mai trimite vreunei alte persoane acest răspuns. De asemenea, adresa sa personală de yahoo este de asemenea inviolabilă iar procedurile pentru o eventuală investigare a comunicărilor efectuate prin intermediul acesteia devin mult prea complicate în raport cu diferitele situații care pot apărea.

La polul opus, utilizarea propriului domeniu prezintă previzibilitate inclusiv pentru persoanele vizate și un grad de control mult mai ridicat prin existența unui acord direct în acest sens între operator și furnizorul de servicii de găzduire. Tocmai de aceea este necesară folosirea de adrese de email de pe propriul domeniu.

Recent, tot mai multe companii și instituții publice folosesc WhatsApp-ul în desfășurarea activităților profesionale. Având în vedere că sunt ridicate probleme pe diverse capitole cum ar fi: securitatea, confidențialitatea, transparența datelor și transferul acestora, ne întrebăm dacă este în regulă să folosim acest canal de comunicare în relațiile de muncă. Este important de știut în ce fel ne putem folosi de WhatsApp într-un mod care respectă cât mai mult prevederile GDPR.

  1. Așadar lecția numărul 1 și cea mai importantă din această întâmplare este să folosiți întotdeauna adresele de email aferente propriului domeniu în orice comunicare cu scop profesional.
  2. Da, chiar se emit sancțiuni pentru nerespectarea GDPR. Dacă mulți operatori (instituții publice și companii deopotrivă) se bazează pe faptul că oricum nu se vor da amenzi pentru neconformare, iată că apar deja primele cazuri. Pe lângă cazul Primăriei Cluj-Napoca, mai amintim sancțiunea primită de Vodafone.    
  3. Conformarea cu prevederile GDPR înseamnă mult mai mult decât numirea unui DPO și trimiterea lui la un curs. În panica de dinainte de 25 mai foarte mulți operatori au depus aceste prime eforturi. Și-au numit un DPO, l-au trimis la un curs și poate chiar și-au comandat de pe Internet un set de proceduri și documente specifice. Cu toate aceestea, aceste eforturi nu sunt suficiente.

Pasul următor acum este implementarea tuturor celor învățate la cursurile respective în setul de proceduri GDPR pe care și l-au întocmit. Iar aici este cel mai greu pentru că nu mai vorbim neapărat de lucruri care se rezolvă doar prin plata unui curs sau cumpărarea unei proceduri.

Este nevoie de efort zilnic, continuu de a înțelege felul în care nuanțele temelor învățate la cursurile de DPO se aplică la specificul propriei organizații și de a se asigura că fiecare membru vizat al organizației ajunge să conștientizeze ce presupune GDPR în activitatea sa zilnică.

Un demers deloc ușor a cărui responsabilitate le revine în principal responsabililor cu protecția datelor. Având deja experiența implementării GDPR atât în instituții publice, cât și în companii multinaționale și IMM-uri, vedem în fiecare zi cât de puțin pregătiți sunt aceștia de a face față la cerințele care vizează nuanțele implementării GDPR.  

Și asta pentru că de multe ori, cei care au fost numiți DPO au fost trimiși la un curs de către angajatorii lor care au considerat că investiția în numirea DPO-ului și cursul respectiv vor rezolva toate problemele de conformare.

Ceea ce – forțând o comparație – este ca și cum ai cere unui om care tocmai și-a luat permisul de conducere să concureze la raliu. Cu rezultate bune, evident.  

Tocmai de aceea, pentru susținerea zilnică responsabililor cu protecția datelor în procesul de conformare și învățare continuă, am creat un serviciu special de consultanță pentru DPO și vom lansa în curând și o comunitate online pentru responsabilii de protecția datelor.