Acum că ANSPDCP ne-a anunțat prima amendă aplicată pentru încălcarea Regulamentului european de protecția datelor personale (GDPR), subiectul protecției datelor e readus la viață, după ce părea că a intrat cumva într-o moarte cerebrală. A trecut, totuși, peste un an de când a intrat în vigoare regulamentul european, iar ANSPDCP nu a dat semnale că intenționează să facă controale sau că se grăbește să amendeze vreun operator de date (în comparație cu alte state, precum Franța, unde amenzile pe încălcarea GDPR-ului sunt deja frecvente).
Prima amendă dată de ANSPDCP nu e deloc neglijabilă -- aproximativ 130.000 de euro -- și a fost aplicată unei bănci pentru că n-a luat măsuri adecvate pentru protejarea datelor personale ale clienților săi. Banca a lăsat la vedere, între detaliile tranzacțiilor, câteva date personale ale unor clienți, printre care codul numeric personal (CNP) și a trecut cu vederea un principiu esențial al GDPR-ului: minimizarea prelucrărilor de date.
Notă: Între principiile ce trebuie respectate de cei ce prelucrează date personale se află și ideea de prelucrare a unui minim necesar de date, doar dacă prelucrarea e strict necesară atingerii scopului și nu există alternative.
Amenda dată de ANSPDCP pentru nereguli ce includ și încălcarea acestui principiu nu e o noutate în practica Autorității, subliniază Roxana Ionescu, avocat și conducătoare a departamentului de protecția datelor din societatea de avocatură NNDKP. În ultimii zece ani, ANSPDCP a sancționat de mai multe ori încălcarea principiului minimizării (care nu e o noutate adusă de GDPR) și s-a opus prelucrării CNP-ului în mod inutil, ca practică generalizată a firmelor. Avocata amintește o decizie a Autorității, din 2011, în privința prelucrării CNP-ului doar atunci când e cerut de lege sau când există consimțământul persoanei în cauză.
Pe lângă acestea, avocata a subliniat o chestiune care, poate, unora dintre operatorii de date încă le scapă din vedere: faptul că, deși scopul final al operatorului este să respecte GDPR-ul, ar trebui să fie capabil să și demonstreze că încearcă respectarea acestuia.
Sancțiunile și măsurile ce pot fi impuse de Autoritate
Amenda maximă atașată reglementării GDPR este, cu siguranță, una dintre informațiile pe care toată lumea, că prelucrează sau nu date personale, le-a reținut încă din 25 mai 2018: până la 4% din cifra de afaceri. În cazul României, nu avem decât o amendă deocamdată la care să ne raportăm, cea dată recent și de la care am pornit această discuție: aproape 130.000 de euro. Prin alte state, sumele impuse ca sancțiune au fost tot cu câte patru zerouri sau chiar mai mult. Nu e nevoie să se ajungă la nivelul maxim al sancțiunii însă ca firma să fie lovită în plin de o astfel de amendă.
Cea mai blândă formă de sancționare pe care ANSPDCP o poate impune e avertismentul, conform Legii nr. 102/2005 privind înființarea, organizarea și funcționarea ANSPDCP. Evident, avertismentul e pentru potențiale nereguli, chestiuni minore. Pentru toate celelalte nereguli există amenda - criteriile ce sunt luate în calcul la aplicarea unei amenzi sunt detaliate în acest material.
Cele două forme principale de sancționare pot fi însoțite de măsuri coercitive și chiar de amenzi pentru lipsa de cooperare cu ANSPDCP. De pildă, ANSPDCP îi poate impune unui operator de date să șteargă datele unei persoane sau să le rectifice.
Tot GDPR-ul dă ANSPDCP-ului dreptul să impună firmei, dacă e cazul, o limitare temporară sau chiar definitivă ori o interdicție la prelucrările de date - pentru unele firme, asta poate însemna, indirect, închiderea afacerii.
Mai departe, cei ce refuză să coopereze cu Autoritatea în cadrul unor verificări riscă amenzi de câte 3.000 de lei pentru fiecare zi de întârziere.
Important! Sancțiunile pot fi contestate (detalii, aici).
Controale din oficiu ori la sesizare, anunțate ori inopinate
Investigațiile pe care le poate face ANSPDCP sunt reglementate ca procedură în Decizia ANSPDCP nr. 161/2018. Ele pot fi pornite din oficiu sau în urma unor plângeri ale persoanelor ale căror date personale nu sunt prelucrate legal.
Nu e o regulă ca aceste controale să fie anunțate sau neanunțate. Investigațiile se pot face pe teren, la sediul Autorității ori în scris. În teren, Autoritatea poate verifica orice document, echipament, mijloc sau suport de stocare a datelor. De asemenea, organele de control pot ridica documente, în copie certificată de către entitatea controlată, înregistrări relevante pentru obiectul controlului, pe care le vor anexa la procesul-verbal de control. Până și audierea persoanelor e posibilă.
În fine, este cert că amenda de 130.000 de euro a spart gheața în cercurile în care nu se mai vorbea demult de GDPR: Autoritatea veghează și riscul unui control care să dea cu minus pe lista obligațiilor impuse prin GDPR e la fel de real ca cel al unui control de orice altă natură.
Notă: Despre GDPR veți găsi o multitudine de articole pe avocatnet.ro, în această secțiune.