Regimul sancționator mai permisiv pentru autoritățile centrale și locale este prevăzut de Legea nr. 190/2018. Documentul a apărut joi în Monitorul Oficial și se aplică efectiv începând de azi.
Entitățile publice care încalcă regulile prelucrărilor de date personale scapă inițial de amenzile ce pot fi aplicate de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP). Practic, autoritățile sunt iertate de sancțiuni, însă li se dă un termen concret pentru a-și rezolva problemele, altfel vor risca să fie amendate în final.
„În cazul constatării încălcării prevederilor Regulamentului general privind protecția datelor și ale prezentei legi de către autoritățile/organismele publice, Autoritatea națională de supraveghere încheie un proces-verbal de constatare și sancționare a contravenției prin care se aplică sancțiunea avertismentului și la care anexează un plan de remediere”, este explicat în lege.
Prin acel proces-verbal, ANSPDCP stabilește un termen fix în care problemele constatate să fie remediate de autorități. "Termenul de remediere se stabilește în funcție de riscurile asociate prelucrării, precum și demersurile necesare a fi îndeplinite pentru asigurarea conformității prelucrării", se explică în document.
În zece zile de la expirarea termenului de remediere, reprezentanții ANSPDCP pot să reia controlul și pot să aplice amenzi dacă autoritățile centrale și locale n-au reușit să-și remedieze problemele în cauză. De subliniat este că reluarea controlului și amendarea sunt doar o posibilitate, nu o obligație.
Conform actului normativ, entități publice sunt considerate „Camera Deputaților și Senatul, Administrația Prezidențială, Guvernul, ministerele, celelalte organe de specialitate ale administrației publice centrale, autoritățile și instituțiile publice autonome, autoritățile administrației publice locale și de la nivel județean, alte autorități publice, precum și instituțiile din subordinea/coordonarea acestora”. De asemenea, sunt asimilate și unitățile de cult și asociațiile și fundațiile de utilitate publică.
În esență, mecanismul introdus de lege seamănă foarte mult cu prevenția la firme, ce a fost introdusă prin Legea nr. 270/2017. În cazul companiilor, acestea sunt iertate de anumite amenzi la prima abatere și li se dă un termen de remediere de maximum 90 de zile calendaristice. Totuși, prevenirea la firme nu acoperă amenzi pentru nerespectarea legislației prelucrărilor de date personale.
GDPR este un regulament european care se aplică, din 25 mai 2018, direct în toate statele membre ale Uniunii Europene, deci și în România. GDPR reprezintă cadrul legal european unic în materie de prelucrări de date personale.
Autoritățile publice riscă, pentru încălcarea prevederilor GDPR, amenzi administrative de până la 20 de milioane de euro. Însă, prin derogare, s-au introdus unele limitări la aceste sancțiuni prin legea aplicabilă de azi.
Bine de știut: Autoritățile publice, de la nivel central și până la nivel local, au nevoie de un responsabil cu protecția datelor.