Cum trebuie să coopereze firmele cu Autoritatea de protecție a datelor, pentru a nu risca sancțiuni și mai severe

ANSPDCP are dreptul să facă solicitări și să impună amenzi pentru nerespectarea lor, în baza Legii nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal. În concret, discutăm de două tipuri generale de obligații de cooperare ale firmelor, a căror nerespectare poate atrage amenzi de până la 3.000 de lei, pe zi de întârziere:

• supunerea la o investigație a ANSPDCP și facilitarea investigației respective, prin furnizarea de documente și informații relevante pentru Autoritate (de exemplu, o abatere ar fi refuzul de a furniza un anumit document);
• publicarea, de către firma sancționată, a oricărei măsuri corective aplicate, dacă ANSPDCP dispune în acest sens.

Puteți găsi, aici, o prezentare detaliată a acestor tipuri de obligații pentru firme.

Ce trebuie să facă firmele, în concret, pentru a se conforma

Cel mai des, firmele se vor lovi de investigații ale ANSPDCP, unde le este cerută furnizarea de documente și informații, pentru a se putea desfășura cu succes investigația. Astfel, firmele vor fi obligate să pună la dispoziția Autorității documentele cerute sau informațiile furnizate. În plus, firmele vor fi obligate să se supună investigației (un exemplu de obstrucționare a investigației ar fi refuzul permiterii accesului ANSPDCP în sediu). Orice neconformare cu astfel de obligații poate atrage o amendă de 3.000 de lei, pe zi de întârziere (care este executorie de drept).

Atenție! Nu confundați amenda menționată mai sus, care vizează determinarea firmei de a se conforma unor investigații, cu o eventuală amendă dată pentru nerespectarea Regulamentului general privind protecția datelor (GDPR). Cele două vizează aspecte diferite și nu este exclus ca o firmă să fie sancționată atât pentru nefacilitarea desfășurării investigațiilor, cât și pentru încălcarea GDPR.

După aceea, ANSPDCP poate dispune măsuri corective (de exemplu, să îi impună firmei să facă anumite schimbări, pentru ca procesele acesteia să fie în acord cu GDPR). Uneori, Autoritatea poate considera că este de interes publicarea unor astfel de măsuri corective, de către firma care trebuie să le implementeze (logica ar putea fi preventivă, în sensul că și alte firme care ar afla despre alte măsuri corective și-ar adapta activitatea, pentru a nu ajunge și ele în aceeași situație ca firma obligată să implemeneteze și să publice acele măsuri). Într-o astfel de situație, trebuie să luați măsurile pentru a publica măsurile corective, pe cheltuiala firmei.

Și amenda pentru încălcarea GDPR poate reflecta lipsa de cooperare

Mai sus, discutam de obligații specifice ale firmei, în vederea desfășurării cu eficiență a unor investigații sau în scopul publicării măsurilor corective, dacă ANSPDCP consideră acest lucru necesar. Sancțiunile pentru nerespectarea acestor obligații sunt sancțiuni specifice. Însă, firmele trebuie să coopereze cu Autoritatea și ca o regulă generală, în baza GDPR. Altcumva, amenzile date pentru o încălcare a Regulamentului ar putea fi mai mari decât ar fi fost dacă o firmă ar fi cooperat.

Pentru a înțelege, cu adevărat, distincția între tipul de cooperare menționat mai sus și cel de aici, trebuie înțelese criteriile de stabilire a sancțiunilor pe care GDPR le impune Autorităților de protecție a datelor, atunci când cele din urmă stabilesc amenzi. Unul din acestea se referă fix la cooperarea cu autoritatea de supraveghere.

În acest caz, însă, discutăm de o obligație generală de cooperare, care poate viza chiar mai mult decât ce am menționat mai sus (de exemplu, furnizarea de informații relevante Autorității, care să o ajută să înțeleagă mai bine un anumit proces - deși nu au fost cerute expres de ANSPDCP, pentru că nu ar fi știut ce să ceară, exact). 

Mai mult, cele două tipuri de amenzi au naturi diferite: cele prezentate în prima parte sunt sancțiuni cominatorii, care reprezintă un tip special de amendă, pentru a preveni întârzierea executării obligațiilor. În schimb, creșterea cuantumului amenzii date pentru încălcarea GDPR ar trebui să reflecte faptul că refuzul de cooperare a creat riscuri și mai mari pentru drepturile și interesele protejate de GDPR, astfel că discutăm de o agravare a unor fapte. 

Un exemplu recent din ultima categorie este o sancțiune de 500.000 de euro, aplicată recent de Autoritatea franceză de protecție a datelor. Printre altele, aceasta a cerut entității investigate să adopte, pe viitor, măsuri prin care cea din urmă să asigure conformarea cu GDPR. Aceasta, însă, nu a adoptat măsurile în cauză, lucru care a determinat Autoritatea franceză să ia în considerare și acest lucru la stabilirea sancțiunii, menționând expres faptul că lipsa de cooperare a fost unul din factorii determinanți pentru stabilirea amenzii.