avocatnet.ro 
Ca să vedem de ce prerogative dispune Autoritatea, ne uităm atât la Legea nr. 102/2005 privind înființarea, organizarea și funcționarea ANSPDCP, cât și la Regulamentul general privind protecția datelor (GDPR).
Întâi de toate, vorbim de avertisment - sancțiune principală pe care o poate dispune ANSPDCP unui operator de date personale sau unui împuternicit al acestuia. E cam cea mai ușoară formă de a sancționare, pe care Autoritatea o poate aplica atunci când există posibilitatea să se încalce în viitor legislația de protecția datelor prin operațiunile de prelucrare pe care le face entitatea controlată. În fapt, ANSPDCP găsește, să zicem, o serie de potențiale nereguli și dă firmei controlate un avertisment ca să o înduplece să ia măsuri astfel încât să nu se ajungă la încălcarea legislației într-un final.
"În cazul în care există posibilitatea ca, prin operațiunile de prelucrare pe care un operator sau o persoană împuternicită de operator intenționează să le efectueze, să se încalce legislația aplicabilă, Autoritatea națională de supraveghere emite o avertizare", scrie în Legea nr. 102/2005.
Apoi, cea de-a doua sancțiune principală pe care o poate da ANSPDCP este și cea care a speriat cel mai mult companiile la intrarea în vigoare a GDPR: amenda de până la 4% din cifra de afaceri mondială totală anuală aferentă exercițiului financiar anterior. În lege se face trimitere la prevederile GDPR-ului pentru a vedea condițiile în care se poate aplica o amendă unei firme. În acest material anterior au fost prezentate criteriile de luat în calcul la aplicarea unei amenzi pentru nereguli de prelucrare a datelor, așa că nu vor fi reluate în discuție aici.
Un aspect foarte important apropo de amendă și avertisment este legat de prescripție: potrivit Legii nr. 102/2005, ele pot fi aplicate în termen de trei ani de la data comiterii faptei. Cu toate întreruperile de prescripție care ar avea loc (prin efectuarea oricărui act de procedură în cazul investigat), nu se poate depăși patru ani de la data săvârșirii faptei.
"În cazul încălcărilor care durează în timp sau al celor constând în săvârșirea, în baza aceleiași rezoluții, la intervale diferite de timp, a mai multor acțiuni sau inacțiuni, care prezintă, fiecare în parte, conținutul aceleiași contravenții, prescripția începe să curgă de la data constatării sau de la data încetării ultimului act ori fapt săvârșit, dacă acest moment intervine anterior constatării", se precizează în lege.
Ca atare, nu se aplică termenul general de prescripție din ordonanța privind regimul contravențiilor, iar explicația este punctată aici de Curtea de Apel Craiova: „dispozițiile OG nr. 2/2001 sunt, in materie contravențională, norme cu caracter general, găsindu-și aplicabilitatea ori de câte ori, o normă specială nu este incidență. În cauza dedusă judecății, cum corect a reținut instanța de fond, sub aspectul prescripției aplicării amenzii contravenționale incidente sunt prevederile art. 15 alin.4 din Legea nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, normă cu caracter special și care se aplică cu prioritate față de principiul specialia generalibus derogant (specialul derogă de la general). Așadar, ori de câte ori există prevederi derogatorii prevăzute in legi special, incidente in cauză, acestea din urmă au întâietate.
Or, in speța dedusă judecății tocmai o astfel de normă special, Legea nr. 102/2005 derogatorie de la norma de drept comun, OG nr. 2/2001, este incidentă.
Ca atare, aplicabile, sub aspectul prescripției aplicării amenzii contravenționale sunt prevederile art. 15 alin. 4 din Legea nr. 102/2005, potrivit cărora, sancțiunile prevăzute la alin. 1 pot fi aplicate în termen de 3 ani de la data săvârșirii faptei. ”.
Măsuri coercitive și amenda pentru necooperare
Pe lângă un avertisment/amendă, ANSPDCP mai poate aplica celui controlat (oricând) o serie de măsuri coercitive, conform GDPR. De pildă, ANSPDCP îi mai poate pretinde celui controlat să-i respecte unei persoane vizate de prelucrări cererile formulate în baza drepturilor recunoscute de legislația de protecția datelor sau să anunțe o persoană despre o încălcare a legislației care o vizează (ori despre eventualele scurgeri de date personale). Îi mai poate impune să șteargă datele unei persoane sau să le rectifice.
Poate să-i mai ceară firmei să se conformeze cu legislația de protecția datelor într-un anume mod și într-un termen impus (de nerespectarea căruia se va lega, evident, o sancțiune mai serioasă).
Tot GDPR-ul dă ANSPDCP-ului dreptul să impună firmei, dacă e cazul, o limitare temporară sau chiar definitivă ori o interdicție la prelucrările de date - pentru unele firme, asta poate însemna indirect falimentul.
Potrivit Legii nr. 102/2005, Autoritatea poate și să oblige operatorul sau împuternicitul său să facă publice măsurile coercitive pe care i le-a aplicat.
Consecința nerespectării măsurilor dispuse de ANSPDCP sau a refuzului de a coopera cu cei care fac verificările este riscul de a fi amendat cu cât 3.000 de lei pentru fiecare zi de întârziere.
"În cazul nerespectării măsurilor dispuse sau în cazul refuzului tacit sau expres de furnizare a tuturor informațiilor și documentelor solicitate în cadrul procedurii de investigație ori în cazul refuzului de supunere la investigație, Autoritatea națională de supraveghere poate dispune, prin decizie, aplicarea unei amenzi cominatorii de până la 3.000 lei pentru fiecare zi de întârziere, calculată de la data stabilită prin decizie (decizia de sancționare, care e chiar titlu executoriu - n.red.)", scrie, mai exact, în Legea nr. 102/2005.
Contestarea amenzilor și măsurilor aplicate de ANSPDCP
„(1) Împotriva procesului-verbal de constatare/sancţionare şi/sau a deciziei de aplicare a măsurilor corective, după caz, operatorul sau persoana împuternicită de operator poate introduce contestaţie la secţia de contencios administrativ a tribunalului competent, în termen de 15 zile de la înmânare, respectiv de la comunicare. Hotărârea prin care s-a soluţionat contestaţia poate fi atacată numai cu apel. Apelul se judecă de curtea de apel competentă. În toate cazurile, instanţele competente sunt cele din România.
(2) Procesul-verbal de constatare/sancţionare sau decizia preşedintelui Autorităţii naţionale de supraveghere necontestată în termen de 15 zile de la data înmânării, respectiv comunicării, constituie titlu executoriu fără vreo altă formalitate. Introducerea contestaţiei prevăzute la alin. (1) suspendă numai plata amenzii, până la pronunţarea unei hotărâri judecătoreşti definitive.
(3) Termenul de plată a amenzii este de 15 zile de la data înmânării, respectiv de la data comunicării procesului-verbal de constatare/sancţionare sau a deciziei preşedintelui Autorităţii naţionale de supraveghere”, prevede art. 17 din Legea ANSPDCP. Contestarea actelor emise de Autoritatea naţională de supraveghere în activitatea de control se efectuează potrivit acestui articol.
Dintr-un recent comunicat de presă publicat de ANSPDCP aflăm că „în perioada 2019-2022, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a primit un număr total de 127 cereri de chemare în judecată, iar dintre acestea prin 49 de cereri s-au contestat sancțiunile aplicate în controalele efectuate.” Dintre litigiile prin care s-au contestat sancțiunile/măsurile aplicate, până la data de 31 martie 2023, au fost definitivate 23 dosare, iar în 18 dintre aceste cauze au fost pronunțate soluții definitive în favoarea ANSPDCP.
ttnkmn