DPO intr-o institutie publica

Raspuns: Din intrebarea dumneavoastra retinem urmatoarele:

1. a avut loc un incident: in ziarul local a fost publicata fisa de pontaj a unui angajat;

2. angajatul/functionarul public in cauza (persoana vizata) a formulat o solicitare de informatii cu privire la incident.

3. intrebarea dumneavoastra priveste doar cum ar trebui solutionata de catre DPO .


Pentru inceput se impune sa aratam ca Fisa de pontaj contine date cu caracter personal (nume prenume, cateodata si CNP, prezenta la serviciu, absente, daca se afla in concediu medical, etc.). Publicarea unui astfel de inscris intr-un ziar, fara consimtamantul persoanei vizate, reprezinta un incident de securitate a datelor.

DPO-ul dvs. trebuie sa analizeze urmatoarele:

1. INSTRUMENTAREA INCIDENTULUI: sa stabileasca daca fisa de pontaj a ajuns la redactia ziarului ca urmare a unui incident de scurgere de informatii din institutia dvs. (un angajat in mod neautorizat a trimis aceast inscris catre ziar, institutia a trimis acest act catre ziar, bazele de date ale institutiei au fost compromise de catre un hacker)? Sau daca acest act ajuns la ziar din alte surse independente de institutia dvs. si pentru care institutia dvs. nu poarta nicio raspundere (angajatul a trimis fisa de pontaj catre ziar sau angajatul a incredintat-o cuiva care la randul sau a trimis fisa de pontaj catre ziar).


In masura in care s-ar dovedi ca sursa de scurgere este din institutia dvs., indiferent daca a fost divulagata voit (a trimis-o institutia, caz Darius Valcov Consilierul primului ministru, mediatizat) sau fara voia institutiei (fie ca un salariat a sustras aceste informatii si le-a impartasit ziarului fara consultarea institutiei, fie ca un hacker a compromis bazele de date ale institutei si a facut informatiile publice) in oricare din aceste situatii se considera ca la nivelul institutiei dvs. a avut loc un incident de securitate care trebuie notificat ANSPDCP in maximum 72 de ore de la momentul la care ati luat la cunostinta. Omisiunea in sine reprezinta inca o incalcare distincta a Regulamentului si duce la agravarea raspunderii principale. Cu alte cuvinte pe langa o amenda sau avertisment pentru incidentul propriu-zis, pentru omisiunea de a notifica incidentul riscati o amenda distincta si cercetarea disciplinara a serviciului de contabilitate/resurse umane si a DPO-ului care nu a consiliat institutia sa parcurga procedura de investigare a incidentului si a notificarii ANSPDCP.

De asemenea, trebuie sa indepliniti procedurile speciale si sa luati masurile cu privire la managementul incidentului. Rezultatele acestor proceduri trebuie comunicate odata cu notificarea. La cerere va putem consilia si asista punctual, fiindu-ne necesare informatii si date concrete.


2. Raspunsul la sesizarea/solicitarea de informatii formulata de catre angajat/functionarul public (persoana vizata).
Cererile de informatii sau acces la date (Subject Access Request) necesita a fi solutionate intr-un termen maxim de 30 de zile.


Prin raspunsul formulat aveti obligatia sa:
- Informati corect persoana vizata asupra investigatiilor efectuate si a situatiei reale, rezultate ca urmare a investigatiilor efectuate;
- Sa ii aduceti la cunostinta ce masuri ati luat pentru reducerea prejudiciilor pe care ar putea sa le sufere;

Precizam faptul ca raspunsul la aceasta cerere nu se formuleaza de catre DPO, ci de catre persoana special desemnata in cadrul institutiilor cu solutionarea cererilor SAR (Articolul 12- 15 GDPR).

Obligatiile DPO fata de situatia indicata:

• Investigarea incidentului;
• Defasurarea procedurii de management a incidentului, consilierea si pregatirea notificarii ASPDCP (in functie de imprejurarile concrete si volumul datelor scurse);
• In functie de situatia concreta DPO va analiza natura datelor si va stabili daca datele compromise sunt date speciale sau nu, va evalua riscurile;
• DPO este cel care va consilia institutia si va indica institutiei masurile pe care trebuie sa le ia, va ajuta la redactarea raspunului si va informa corespunzator institutia cu privire la drepturile persoanei vizate si ce trebuie sa contina raspunsul, dar DPO nu semneaza raspunsul la aceasta cerere.
• DPO va evalua incidentul, va identifica cauza scurgerii, va verifica daca personalul responsabil avea sau nu efectuat trainigul GDPR si va recomanda masurile ce trebuie luate pentru sanctionarea personalului implicat, va identifica si va recomanda masurile operationale si tehnice ce trebuie implementate pentru a bloca exportul neautorizat al actelor din departamentul RU, continand date cu caracter personal. DPO va intocmi un Raport in care va detalia toate aceste operatiuni, concluzii si recomandari.

In caz de incident DPO va lua in considerare incluisv formularea unor solicitari de clarificari de la redactia ziarului. Va putea recomanda inclusiv eliminarea publicatiei (daca este online).

Precizam faptul ca datele furnizate de catre dvs. sunt generale si in consecinta raspunsul sintetizeaza masurile de baza. Cercetarea informatiilor detaliate si analizarea situatiei concrete poate determina necesitatea aplicarii si altor masuri concrete, raportate la imprejurari.