EUROPOL a declarat recent faptul că numărul de atacuri cibernetice împotriva organizațiilor și a persoanelor fizice a crescut semnificativ în contextul COVID-19. Informațiile de mai jos sunt furnizate în lumina opiniilor recent exprimate la nivelul autorităților de reglementare europene și al Agenției Uniunii Europene pentru Securitate Cibernetică (ENISA).

1. Ce măsuri de control pot lua angajatorii pentru protejarea informațiilor acestora în contextul lucrului de la distanță?

În vederea protejării informației în contextul în care salariații lucrează de la distanță, angajatorii pot adopta o serie de măsuri la nivel organizațional, precum și măsuri de ordin tehnic, după cum urmează:

a) Măsuri organizaționale:

• Să furnizeze angajaților în mod regulat informații despre cum ar trebui să acționeze în cazul în care întâmpină dificultăți în utilizarea instrumentelor de lucru la distanță (e.g. personal autorizat pe care îl pot apela, orele de lucru, proceduri în caz de urgență).
• Să asigure asistență în caz de probleme întâmpinate de angajați în utilizarea instrumentelor de lucru la distanță. Acest lucru poate necesita stabilirea unui program special pentru personal.
• Să interzică accesul la internet de pe protocoalele de acces la distanță (sau alte protocoale potențial vulnerabile) atunci când nu este necesar.
• Să se asigure că angajații cunosc pe deplin procedurile de acces la distanță (de ex. VPN, autentificare multi-factor etc.).
• Să se asigure că toți angajații pot fi contactați în orice moment și că aceștia sunt familiarizați cu mijloacele de contactare.
• Să restricționeze accesul la sisteme care necesită o protecție specială. De exemplu, sistemul de management al conectivității angajaților va putea fi accesat doar de personal IT dedicat, intranetul și sistemele de pontaj vor putea fi accesate doar de manageri etc.
• Să instituie o procedură de autorizare prealabilă a utilizării dispozitivelor personale ale angajatului (BYOD).

b) Măsuri tehnice

• Să ofere angajaților accesul de la distanță doar printr-o soluție de tip VPN sau altă soluție cu caracteristici similare.
• Să implementeze soluții virtuale sigure de certificare digitală, cum ar fi semnătura electronică extinsă, fluxuri de aprobare virtuală etc.
• Să asigure efectuarea periodică a copiilor de rezervă a tuturor fișierelor importante.
• Să implementeze soluții IT adecvate pentru a contracara acțiunile frauduloase ale hackerilor care ar încerca să exploateze situația generată de lucrul la distanță, inclusiv prin propagarea ransomware și utilizarea unor tehnici de phishing având ca pretext știri despre Covid-19.
• Să se asigure că infrastructura IT pentru accesul la distanță are suficientă capacitate și licențe pentru a acoperi numărul crescut de utilizatori care necesită acces simultan, inclusiv prin testarea capacității rețelei.
• Să se asigure că actualizarea automată a stațiilor de lucru ale angajaților se realizează și atunci când angajații lucrează de acasă.
• Să reamintească angajaților să efectueze în mod regulat actualizarea stațiilor de lucru, a software-ului de securitate și a altor instrumente de securitate (cum ar fi add-on-uri pentru browsere).

2. Ce recomandări pot face angajatorii personalului care lucrează de acasă?

• Să folosească doar instrumentele și canalele de comunicare pe care organizația le pune la dispoziție și să amintească periodic angajaților faptul că politicile de securitate se aplică și atunci când aceștia lucrează de acasă (e.g. regulile de utilizare a conturilor de e-mail private și a serviciilor de schimb de fișiere).
• Să folosească, pe cât posibil, rețele de date mobile 4G sau 5G, întrucât acestea asigură o protecție adecvată a informațiilor din și către dispozitivul folosit.
• Să folosească doar o conexiune Wi-Fi sigură, pentru a împiedica interceptarea și accesarea datelor de către persoane neautorizate.
• Să asigure securitatea accesului fizic la computerul lucru, cum ar fi să blocheze ecranul atunci când nu lucrează.
• Să fie precauți cu privire la orice mesaj electronic prin care li se solicită să verifice sau, după caz, să-și reînnoiască credențialele, să acceseze diverse link-uri sau să transmită diverse informații/ documente, chiar dacă mesajul pare să provină dintr-o sursă de încredere.
• Să încurajeze angajații să verifice autenticitatea cererii prin orice alte mijloace.

Ca întotdeauna însă, în spatele problemelor aparent simple stau o multitudine de nuanțe. În special, organizațiile vor trebui să aibă în vedere următoarele aspecte:

Care este sursa obligației legale?

„Legea” care instituie obligația de prelucrare a datelor cu caracter personal trebuie să fie un act normativ intern sau european.

Actele normative interne pot fi atât legi emise de Parlament, dar și acte normative de forță juridică inferioară, cum ar fi hotărârile și ordonanțele Guvernului. De asemenea, vor putea fi surse ale obligației legale de prelucrare și actele secundare, de tipul regulamentelor, ordinelor, instrucțiunilor, normelor, avizelor sau alte asemenea, dacă acestea instituie în sarcina organizațiilor obligații (conduite obligatorii) privind prelucrarea datelor cu caracter personal.

De notat, actele secundare sus-menționate:

• Pot fi emise de autoritățile publice centrale (cum ar fi ANSPDCP, ANPC, BNR, ANCOM, CNA etc.) sau locale (hotărâri ale Consiliilor Locale).
• Sunt în mod tipic acte normative, instituind obligații general aplicabile organizațiilor cărora li se adresează. Prin excepție, sursa obligației legale ar putea fi și un act individual, dacă acesta este emis în aplicarea unui act normativ. De exemplu, avem în vedere ipoteza în care, printr-un act individual (decizie), ANSPDCP dispune unei organizații ștergerea anumitor date; ca tip de prelucrare, ștergerea datelor ar putea fi fundamentată pe obligația legală (în acest caz, sursa obligației fiind însă mixtă, anume: legea-cadru care acordă ANSPDCP prerogativa legală de a dispune măsuri de remediere, împreună cu decizia individuală care instituie obligația propriu-zisă de ștergere a datelor).

Nu vor putea fi calificate drept „surse” ale obligației legale:

• Actele normative emise în state terțe (din afara UE).
• Actele oficiale care nu au caracter obligatoriu pentru operator (așa-numiții „falși prieteni”). Nu de puține ori, organizațiile solicită puncte de vedere diverselor autorități (inclusiv ANSPDCP) sau, în anumite situații, chiar primesc diverse recomandări – mai ales în cadrul industriilor reglementate (financiar-bancar, medical, asigurări etc.). Aceste puncte de vedere sau, după caz, recomandări nu trasează „obligații” în sarcina organizațiilor. Prin urmare, în măsura în care respectivele puncte de vedere/ recomandări se referă la prelucrări de date cu caracter personal, organizațiile vor trebui să fie atente pe ce temei fundamentează prelucrarea (în mod tipic, temeiul pentru prelucrare nu va fi obligația legală, ci cel mai probabil interesul legitim sau un alt temei prevăzut la art. 6 din GDPR).
• Obligațiile contractuale. Organizațiile nu vor putea invoca o obligație contractuală pentru a fundamenta prelucrarea datelor cu caracter personal pentru scopul conformării cu obligaţia legală generală de a executa un contract (conform principiului forței obligatorii a contractului reglementat de Codul Civil).
• Actele normative de autorizare a deciziilor automatizate (art. 22 din GDPR). Au existat o serie de opinii potrivit cu care unul dintre temeiurile ce justifică utilizarea deciziilor automate este „obligația legală”. Respectivele opinii au la bază o confuzie între „obligațiile legale” și „actele normative de autorizare”. Legea nu poate obliga la utilizarea deciziilor automate, ci cel mult poate autoriza (permite) utilizarea unor asemenea decizii. Problema nu este doar una pur teoretică, întrucât, printre altele, GDPR impune organizațiilor ca informarea adresată persoanelor vizate să indice și temeiul legal al prelucrării. Prin urmare, pentru aceste situații, temeiul de prelucrare adecvat va fi autorizația legală de a utiliza decizia automatizată (art. 22 din GDPR), iar nu obligația legală (art. 6 alin. (1) lit. c) din GDPR).

Obligația legală vs interesul legitim: un „tango” permanent

Pentru a putea constitui temei al prelucrării datelor cu caracter personal conform art. 6 alin. (1) lit. c) din GDPR, obligația legală trebuie să fie suficient de caracterizată (concretă). O normă generică (care impune o conduită abstractă) nu poate constitui temei pentru prelucrarea datelor; eventual, în aceste cazuri temeiul pentru prelucrarea datelor ar putea fi interesul legitim al organizațiilor de a se conforma obligației legale respective – art. 6 alin. (1) lit. f) din GDPR.

Prin urmare, pentru a identifica temeiul de prelucrare adecvat, organizațiile trebuie să „penduleze” permanent între obligația legală (art. 6 alin. (1) lit. c) din GDPR) și interesul legitim de a se conforma respectivelor obligații legale (art. 6 alin. (1) lit. f) din GDPR).

Criteriul de distincție va fi întotdeauna gradul de caracterizare a obligației legale în cauză. Cu cât obligația va fi mai puțin caracterizată, lăsând libertatea organizației de a stabili elementele esențiale ale prelucrării (scop, date, mijloace, persoane vizate, destinatari etc.), cu atât mai probabil va fi ca temeiul de prelucrare să fie interesul legitim, iar nu necesitatea conformării cu obligația legală respectivă.

Desigur, nu va fi neapărat nevoie ca obligaţia legală să descrie în mod detaliat și exhaustiv toate elementele necesare pentru conformarea cu obligația legală în cauză (cumulativ: tipuri de date, operațiuni de prelucrare, categorii de destinatari, persoane vizate etc.). O indicare succintă a anumitor elemente de natură să „contureze” prelucrarea impusă de respectiva normă legală ar fi suficientă (cum ar fi indicarea tipurilor și obiectului prelucrării).

Cu titlu exemplificativ, vor putea constitui temei al prelucrării datelor următoarele obligații legale:

• Obligațiile standard de cunoaștere a clientelei (KYC) ce trebuie luate de către instituțiile de credit, instituțiile de plată, instituțiile emitente de monedă electronică și IFN-uri (art. 8 și 9 din Regulamentul BNR nr. 9/2008).
• Obligaţia furnizorilor de servicii de comunicații electronice de a colecta și divulga anumite date despre abonați către administratorul Serviciul Național Unic pentru Apeluri de Urgență (SNUAU) (art. 33 din Decizia ANCOM nr. 1023/2008).
• Obligația emitenților de valori mobiliare de a publica raportări periodice, cu indicarea datelor pe care acestea trebuie să le conțină, precum și a frecvenței raportărilor (art. 223 B1 din Regulamentul ASF nr. 5/2018).
• Obligația de includere a unor informații obligatorii pe biletele de valoare sau suporturile electronice echivalente emise de către emitenții unor astfel de tichete în beneficiul angajaților (art. 23 și 24 din H.G. nr. 1045/2018).
• Obligația organizațiilor care derulează campanii sau concursuri promoționale prin tragere la sorți (loterii publicitare) de a publica anumite date – numele câștigătorilor și câștigurile acordate acestora (art. 42 din O.G. nr. 99/2000).
• Obligația autorităților competente din domeniul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracțiunilor sau al executării pedepselor, măsurilor educative şi de siguranță de a înregistra în cadrul sistemelor de prelucrare automată anumite loguri (art. 30 din Legea nr. 363/2018).

La polul opus, nu vor putea constitui temei al prelucrării în baza unei obligații legale (nefiind suficient de caracterizate):

• Obligațiile instituțiilor de credit de a avea procese eficace de identificare, administrare, monitorizare și raportare a riscurilor, precum și mecanisme adecvate de control intern (art. 24 alin. 1 din O.U.G. nr. 99/2006).
• Obligația furnizorilor de servicii de comunicații electronice de a lua toate măsurile tehnice şi organizatorice adecvate pentru a administra riscurile care pot afecta securitatea rețelelor şi serviciilor (art. 46 din O.G. nr. 111/2011).
• Obligația organizațiilor de a asigura paza bunurilor ori valorilor deținute de respectivele organizații cu orice titlu (art. 2 din Legea nr. 333/2003).
• Obligația și dreptul angajatorului de a exercita controlul asupra modului de îndeplinire a sarcinilor de serviciu ori de a stabili obiectivele de performanță individuală, precum şi criteriile de evaluare a realizării acestor.

Cui revine obligația legală?

Obligaţia legală trebuie să se aplice în mod direct organizației în cauză (operatorului). Dacă obligaţia legală este stabilită în sarcina altei entităţi (de exemplu, în sarcina unei alte societăți din grup), organizația nu va putea fundamenta prelucrarea datelor pe acest temei, ci eventual pe interesul său legitim.

***

În loc de concluzii…

Organizațiile trebuie să analizeze atent posibilitatea de a se întemeia pe obligația legală pentru a justifica prelucrarea datelor cu caracter personal. În particular, organizațiile vor trebui să se întrebe: 1. Care este sursa obligației legale pe care o am în vedere? 2. Este respectiva obligație legală suficient de caracterizată? 3. Respectiva obligație legală stabilește prelucrări direct în sarcina organizației sau, dimpotrivă, în sarcina unei alte entități cu care organizația are o anumită legătură?

În funcție de răspunsul la aceste întrebări, organizația va putea stabili dacă poate fundamenta prelucrarea datelor pe necesitatea conformării cu obligația legală (art. 6 alin. (1) lit. c) din GDPR) sau, dimpotrivă, pe un alt temei de prelucrare prevăzut de GDPR (eventual pe interesul legitim al organizației sau al unui alt operator).

În orice caz, prelucrările de date cu caracter personal care vor depăși limitele stabilite de obligația legală (exemplu, păstrarea ulterioară a datelor pentru a dovedi conformarea cu obligația legală) vor fi cel mai probabil întemeiate pe interesul legitim al organizației sau al unui terț, iar nu pe respectiva obligație legală.

1. Numărul de identificare național

Legea nr. 190/2018 definește “numărul de identificare național” ca fiind acel număr prin care prin care se identifică o persoană fizică într-un anumit sistem de evidență și care are aplicabilitate generală, cum ar fi (i) codul numeric personal, (ii) seria și numărul actului de identitate, (iii) numărul pașaportului, (iv) numărul permisului de conducere, (v) numărul de asigurare socială de sănătate.

Legea nr. 190/2018 stabilirea o serie garanții adecvate cumulative pentru prelucrarea numărului de identificare național pentru a realiza interesele legitime ale operatorului, respectiv:

• punerea în aplicare de măsuri tehnice și organizatorice în conformitate cu art. 32 din GDPR pentru respectarea principiilor de prelucrare a datelor;
• numirea unui responsabil pentru protecția datelor în condițiile legii;
• stabilirea unor termene de stocare, revizuire și ștergere în funcție de natura datelor și scopul prelucrării.
• instruirea periodică a personalului cu atribuții privind prelucrarea acestor date cu caracter personal, atât de către operator, cât și de persoanele împuternicite de acesta pentru astfel de prelucrări.

Este de remarcat faptul că Legea nr. 190/2018 instituie un caz expres pe lângă prevederile art. 37 din GDPR pentru desemnarea obligatorie a responsabilului pentru protecția datelor, în contextul prelucrării unui număr de identificare național, atunci când această prelucrare este bazată pe interesul legitim al operatorului.

2. Condiții speciale privind prelucrarea unor categorii de date cu caracter personal

Prelucrarea datelor genetice, biometrice sau a datelor privind sănătatea

Prelucrarea datelor genetice, biometrice sau a datelor privind sănătatea, în scopul realizării unui proces decizional automatizat sau pentru crearea de profiluri, este permisă cu consimțământul explicit al persoanei vizate sau dacă prelucrarea este efectuată în temeiul unor dispoziții legale exprese, cu instituirea unor măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate.

Legiuitorul limitează astfel temeiurile pentru prelucrarea datelor sensibile în contextul unor decizii automatizate la acordul persoanei vizate și prevederea legală expresă.

Prelucrarea datelor cu caracter personal în contextul relațiilor de muncă

Monitorizarea angajaților la locul de muncă prin mijloace audio-video respectiv mijloace de comunicații electronice, în interesul legitim al angajatorului se va realiza numai dacă acesta din urmă respectă următoarele condiții:

• justifică un interes legitim care prevalează drepturilor și intereselor angajatului;
• asigură în prealabil o informare completă și explicită a angajatului asupra acestui tip de prelucrare;
• a consultat anterior introducerii sistemelor de monitorizare sindicatul sau reprezentanții angajaților;
• a implementat alte forme și metode mai puțin intruzive, dar acestea nu au fost eficiente pentru scopul urmărit;
• a stabilit o perioadă de stocare proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor temeinic justificate sau dacă legea îi permite stabilirea unei perioade mai îndelungate.

Prin urmare, legiuitorul național a instituit două reguli suplimentare (a se vedea punctele c) și e) menționate anterior) în contextul monitorizării efectuate de către angajator la locul de muncă prin intermediul mijloacelor audio-vizuale respectiv mijloacelor de comunicații electronice, celelalte fiind în realitate expresii ale principiilor de prelucrare a datelor cu caracter personal prevăzute de GDPR.

Prelucrarea datelor cu caracter personal și de categorii speciale de date cu caracter personal în contextul îndeplinirii unei sarcini care servește interesul public

Legea nr. 190/2018 definește sarcina care servește unui interes public ca incluzând acele activități ale partidelor politice sau ale organizațiilor cetățenilor aparținând minorităților naționale, ale organizațiilor neguvernamentale, care servesc realizării obiectivelor prevăzute de dreptul constituțional sau de dreptul internațional public, ori funcționării sistemului democratic, incluzând încurajarea participării cetățenilor în procesul de luare a deciziilor și a pregătirii politicilor publice, respectiv promovarea principiilor şi valorilor democrației.

De asemenea, pentru ca operatorul să poată efectua o prelucrare de date pentru un asemenea scop, noua legislație instituie următoarele garanții:

• implementarea unor măsuri tehnice și organizatorice adecvate;
• numirea unui responsabil cu protecția datelor cu caracter personal, dacă această prelucrare o impune în conformitate cu prevederile GDPR;
• stabilirea termenelor de retenție și de ștergere a datelor în funcție de natura și scopul prelucrării.

Prelucrarea datelor cu caracter personal în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare

Dispozițiile capitolului II (principii), ale capitolului III (drepturile persoanei vizate), ale capitolului IV (operatorul și persoana împuternicită de operator), ale capitolului V (transferul datelor cu caracter personal către țări terțe sau organizații internaționale), ale capitolului VI (autorități de supraveghere independente), ale capitolului VII (cooperare și coerență) și ale capitolului IX (situații specifice de prelucrare a datelor), din GDPR nu se aplică pentru prelucrările de date în scopuri jurnalistice ori pentru exprimarea academică, artistică sau literară și care privesc acele date cu caracter personal care au fost făcute publice de către persoana vizată sau care sunt strâns legate de calitate de persoană publică a persoanei vizate ori de caracterul public al faptelor.

Observăm astfel că legiuitorul român, în aplicarea prevederilor art. 85 din GDPR a optat pentru o limitare a categoriilor de date în ceea ce privește reglementarea prelucrării datelor cu caracter personal în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare.

Prelucrarea datelor cu caracter personal în scopuri de cercetare științifică sau istorică, în scopuri statistice ori în scopuri de arhivare în interes public

Un element de noutate față de dispozițiile GDPR este reprezentat de reglementarea unui regim distinct în contextul prelucrării datelor cu caracter personal de către partidele politice și organizațiilor cetățenilor aparținând minorităților naționale, respectiv de organizațiilor neguvernamentale.

Astfel, entitățile anterior menționate vor putea prelucra date cu caracter personal în scopuri de cercetare științifică sau istorică, în scopuri statistice ori în scopuri de arhivare în interes public, fără consimțământul expres al persoanei vizate, numai dacă (i) vor informa persoana vizată despre prelucrarea datelor cu caracter personal, (ii) vor garanta transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate și (iii) vor garanta persoanei vizate dreptul de rectificare și ștergere.

3. Anumite facilități pentru autoritățile și organismele publice

Autoritățile și organismele publice care încalcă prevederile GDPR și cele ale Legii nr. 190/2018 vor fi sancționate într-o primă etapă cu un avertisment aplicat prin intermediul unui proces-verbal de constatare și sancționare întocmit de ANSPDCP.

În vederea remedierii încălcărilor de prelucrare, autoritatea va întocmi un plan de remediere pe care autoritatea sau organismul public sancționat trebuie să îl implementeze într-un termen de remediere stabilit în funcție de riscurile asociate prelucrării și de demersurile necesare pentru asigurarea conformității prelucrării.

În măsura în care în urma unui nou control efectuat, ANSPDCP constată că măsurile impuse prin planul de remediere nu sunt aduse la îndeplinire, autoritatea sau organismul public poate fi sancționat cu o amendă cuprinsă între 10.000 – 200.000 lei în funcție de prevederile din GDPR sau din Legea nr. 190/2018 încălcate.

4. Organismele de certificare

Competența de acreditare a organismelor de certificare în conformitate cu art. 43 din GDPR a fost acordată Asociației de Acreditare din Romania – RENAR. Acreditarea se va realiza în conformitate cu standardul EN-ISO/IEC 17065 sau orice alte cerințe suplimentare stabilite de către ANSPDCP precum și regulile stabilite prin GDPR. Organismele de certificare acreditate de RENAR vor putea evalua și acorda certificări de conformare cu cerințele GDPR operatorilor și persoanelor împuternicite, contribuind astfel la o mai facilă colaborare a acestora în contextul operațiunilor de prelucrare, precum și facilitând relația cu ANSPDCP.

Legea 190/2018 aduce, așa cum am arătat, câteva dezvoltări binevenite (precum definirea și reglementarea mai atentă a prelucrării identificatorilor unici, reglementarea de obligații suplimentare pentru monitorizarea angajaților în baza interesului legitim, acreditarea organismelor de certificare). În același timp, însă, rămân într-un con de umbră unele prevederi precum demonstrarea faptului că o anumită metodă de monitorizare nu și-a dovedit eficiența înainte de a utiliza metode mai intruzive (în special în cazul prelucrărilor în curs) ori consultarea prealabilă a sindicatului / reprezentantului salariaților (în ce măsură este necesar și avizul acestora).