Prin articolul de astăzi doresc să continui o serie începută data trecută şi care va aborda, pe rând, tema protecţiei datelor personale folosite inevitabil de categorii clare de operatori de date. Vă amintesc că am abordat data trecută subiectul protecţiei datelor cu caracter personal în ONG-uri.
Prelucrarea datelor cu caracter personal de către un practician în insolvenţă este inevitabilă, iar temeiul legal al prelucrării este reprezentat de art. 6 alin. 1 lit. c din Regulamentul European nr. 679/2016 conform căruia ,,Prelucrarea este legală numai dacă şi în măsura în care se aplică cel puţin una dintre următoarele condiţii: c) prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale care îi revine operatorului;”, coroborat cu art. 6 alin. 1 lit. e „Prelucrarea este legală numai dacă şi în măsura în care se aplică cel puţin una dintre următoarele condiţii: e) prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul;”
Astfel, în vederea instrumentării unui dosar de insolvenţă, sau pentru îndeplinirea atribuţiilor stabilite prin lege, în plină procedură de insolvenţă, sau după finalizarea acesteia (cum ar fi arhivarea tuturor documentelor unei societăţi lichidate de societatea de insolvenţă, pentru o perioadă de cel puţin 50 de ani), sau delegate de către judecătorul sindic, practicienii în insolvenţă prelucrează o gamă largă de date cu caracter personal. Este vorba despre date cu caracter personal ale creditorilor şi debitorilor, ale avocaţilor, reprezentanţilor legali, convenţionali sau statutari, ale administratorilor speciali sau ale organelor de administrare în perioada de observaţie, ale participanţilor la procedurile judiciare sau extrajudiciare, ale terţilor cocontractanţi în cadrul actelor juridice preluate în gestiune, ale personalului din cadrul corpului profesional din instanţele judecătoreşti, cum ar fi: judecătorul sindic, grefierul de sedinţă, membrii completului de judecată, procurorul de sedinţă, organe de urmărire penală, experţilor, martorilor, licitatorilor, notarilor, şi nu numai.
În categoria datelor cu caracter personal prelucrate în mod curent de către practicienii în insolvenţă pot fi incluse: numele şi prenumele, domiciliul, CNP, număr de telefon, adresa de e-mail, nr. de fax, informaţii cu privire la contul bancar, informaţii legate de averea debitorului, orice informaţie care rezultă din certificatul constatator sau menţionate în actul constitutiv, hotărârea asociaţilor/ acţionarilor, prin care a fost numit organul de administrare, date care rezultă din contractele de mandat încheiate între debitor şi organele de administrare, specimenul de semnătură. Pot fi incluse şi informaţii care rezultă din actele fraudulos încheiate (conţinutul actului, sumele de bani achitate şi destinatarii acestor sume), informaţii referitoare la toţi participanţii din cadrul dosarului de instanţă, probele administrate de către instanţă, etc.
Pentru practicienii în insolvenţă care deţin un website de prezentare, prin intermediul tehnologiei Cookies, sunt colectate informaţii referitoare la IP-ul persoanei care a accesat website-ul, browser-ul folosit de persoana care a accesat website-ul, numărul de accesari ale website-ului, etc.
O mare parte de date cu caracter personal sunt culese de către practicienii în insolvenţă din surse publice, cum ar fi Oficiul Registrului Comerţului sau Monitorul Oficial al României, însă, utilizarea lor în alt scop decât acela pentru care aceste date au fost publicate presupune prelucrare nelegală, impunând aplicarea unor sancţiuni contravenţionale destul de mari.
Având în vedere cele prezentate, important pentru practicienii în insolvenţă este asumarea rolului de operatori de date cu caracter personal si, implicit, implementarea măsurilor tehnice şi organizatorice menite să protejeze aceste date. Altfel spus, practicienii trebuie să parcurgă următorii paşi:
- să întreprindă o analiză detaliată a activității lor;
- să identifice tipurile de date colectate;
- să stabilească scopul şi temeiului legal al prelucrării datelor;
- să conceapă şi să implementeze măsurile tehnice de securizare a datelor.
Prelucrarea datelor trebuie să fie limitată la scopul procedurii de insolvenţă, astfel încât să fie asigurată protecția conform legii, raportat strict la activitatea practicienilor. Pe lângă obligaţia de a respecta setul de reguli ce ţin de etica profesională a practicienilor în insolvenţă, este nevoie şi de implementarea procedurilor concrede de protecţie şi securitate a datelor.
Intrucât, o mare parte de date cu caracter personal sunt prelucrare prin intermediul mediilor electronice, iar datele trebuie să circule în siguranţă, departamentul de IT are un rol important, prin implementarea unor măsuri tehnice şi organizatorice, fie că este vorba de procedurarea unor anumite fluxuri de date, stabilirea corectă a perioadei de retenţie a datelor, de implementarea unor metode specifice, cum ar fi criptarea, pseudonimizarea, sau alte măsuri privind confidentialitatea, integritatea şi disponibilitatea, aşa cum rezultă din art. 32 din Regulamentul European nr. 679/2016.
Însă, cel mai important rol în cadrul unei societăţi de practicieni în insolvenţă îl are responsabilul de protecţie a datelor, desemnat din cadrul societăţii, sau prin externalizarea acestui serviciu, având rol de comunicator cu managerul societăţii, cel care consiliază şi monitorizează toată activitatea de prelucrare a datelor.
Câteva recomandări pentru întocmirea procedurilor interne referitoare la protecţia datelor:
- conştientizarea importanţei datelor cu caracter personal;
- efectuarea auditului fluxului de date pe care le colectează şi prelucrează societatea, stabilirea temeiului legal al prelucrării şi a perioadei de stocare a datelor;
- depistarea surselor din care provin datele şi identificarea scopului pentru care aceste date sunt prelucrate;
- elaborarea măsurilor tehnice adecvate de protecţie a datelor;
Printre masurile minime se numără măsurile organizatorice, care constau în limitarea numărului de persoane din cadrul organizaţiei care au acces la datele cu caracter personal şi măsuri tehnice, cum ar fi criptarea, de exemplu. Regulamentul nu specifică şi nu impune măsuri concrete de securitate. În schimb, acesta cere ca aceste măsuri să fie stabilite de fiecare societate de reorganizare în parte, ţinând cont de factori, cum ar fi: categoria şi natura datelor cu caracter personal pe care le colectează, cât de sensibile sunt acestea şi riscurile generate de prelucrarea lor.
Printre riscurile frecvente care ar trebui să fie luate în considerare se numără: intruziunea fizică, angajaţi rău-intenționati, pierderea accidentală sau atacurile hackerilor, imposibilitatea de a răspunde cererilor de acces la date, venite de la persoanele vizate. Dezvoltarea unui plan de gestiune a riscurilor şi luarea unor măsuri de reducere a riscurilor, cum ar fi protejarea prin parolă, jurnale de audit şi implementarea sistemelor de criptare, pot facilita conformitatea. În cazul unei breşe de securitate, este obligatorie notificarea Autorităţii Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal în termen de 72 de ore de la luarea la cunoştinţă. Totodată, dacă breşa de securitate a generat un risc semnificativ de vătămare a persoanelor vizate, devine obligatorie notificarea lor.