Trei ponturi pentru a te pregăti de controalele pe protecția datelor

1. Să ai proceduri interne de reacție rapidă

În cazul în care este supusă unei investigații desfășurate de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), o firmă ar trebui să aibă cel puțin o procedură internă de urmat.

„În acest moment, nu mai vorbim doar despre nevoia ca operatorii de date să ia măsuri de conformare la GDPR sau să urmărească aplicarea acestor măsuri. Suntem în punctul în care companiile trebuie să se asigure, totodată, că au proceduri interne de reacție eficientă în cazul unei investigații din partea autorității de control în domeniul protecției datelor personale”, a subliniat Günther Leissler, avocat și coordonator al practicii de protecția datelor personale la Schoenherr Viena.

În afară de aceste proceduri de aplicat în caz de control, redacția noastră a mai atras atenția cu alte ocazii că firmele ar trebui să aibă, de exemplu, o politică de confidențialitate actualizată, să documenteze toate incidentele de securitate ce implică datele personale, să aibă o politică de gestionare a incidentelor de securitate, să țină o evidență a prelucrărilor de date și, uneori, să aibă evaluări de impact asupra protecției datelor.

2. Atenție la măsurile corective

Deși aplicarea unei amenzi consistente poate aduce o firmă în impas, specialiștii au atras atenția că măsurile corective ce pot fi impuse de ANSPDCP pot „lovi” un business mult mai rău. Practic, vorbim de măsuri care pot implica investiții serioase pentru conformare sau uneori chiar schimbarea modelului de afaceri.

„Indiscutabil, amenzile ce pot fi aplicate de către autoritățile de supraveghere a prelucrării datelor personale reprezintă un risc major pentru companii. Dar există și alte riscuri - în unele cazuri, măsurile corective impuse de către autorități pot avea un impact semnificativ asupra activității companiilor, fie că vorbim de angrenarea de costuri suplimentare necesare pentru a implementa aceste măsuri, de faptul că acestea pot antrena schimbări ale modelului de afaceri, sau de sancțiunile pe care le riscă o companie în cazul în care nu realizează implementarea măsurilor respective în termenul impus de autoritate”, a atras atenția Costin Sandu, coordonatorul practicii de protecția datelor personale la Schoenherr București.

Printre altele, reprezentanții ANSPDCP pot impune o limitare temporară sau definitivă, inclusiv o interdicție asupra prelucrărilor de date personale. Asta poate însemna o lovitură majoră pentru activitatea comercială sau chiar închiderea afacerii. Cu alte cuvinte, firmelor li se pot impune limitări sau interdicții la folosirea anumitor date personale de care poate au mare nevoie ca să-și desfășoare afacerile.

Referitor la sancțiunile amintite de specialist, este vorba de refuzul de a coopera cu ANSPDCP, faptă pentru care se poate da o amendă de până la 3.000 de lei pentru fiecare zi de întârziere.

În orice caz, în comunicatul celor de la Schoenherr este subliniat că „o reacție corectă și promptă a companiilor în relația cu persoanele ale căror date cu caracter personal sunt prelucrate, precum și în cadrul investigațiilor derulate de către autorități, poate influența rezultatul acestor investigații (ale ANSPDCP - n. red.) și poate ajuta companiile să evite riscuri suplimentare.”

3. Există asemănări cu controalele din domeniul concurenței

În fine, specialiștii Schoenherr au făcut și o comparație între controalele ce țin de prelucrarea datelor personale și controalele ce țin de domeniul concurenței, găsind că există unele asemănări.

„Autoritățile din domeniul datelor personale par a urma, în multe privințe, exemplul autorităților de concurență. Avantajul pentru companii îl reprezintă faptul că, mergând pe căi bătute deja în alte domenii, vor putea beneficia de soluții existente care pot fi ușor adaptate”, a declarat Georgiana Bădescu, partener la Schoenherr București.

Cu ajutorul celor de la Schoenherr, redacția noastră a publicat anul trecut mai multe articole referitoare la domeniul concurenței, în care am atras atenția asupra chestiunilor de care ar trebui să știe companiile.

GDPR este, începând din mai 2018, cadrul legal european unic în materie de prelucrări de date personale. Cei care nu respectă prevederile regulamentului riscă amenzi de până la 4% din cifra de afaceri.