1. Când poate o firmă să fie investigată de ANSPDCP? În teorie, ANSPDCP are puterea să investigheze orice firmă ce prelucrează date și este vizată de GDPR. În practică, însă, Autoritatea acționează, de cele mai multe ori, atunci când apare o plângere făcută cu privire la o anumită companie, din partea unor particulari, sau când o companie însăși notifică o breșă de securitate. Bineînțeles, aceste situații nu exclud posibilitatea ca ANSPDCP să acționeze din oficiu.
Important mai este de menționat că un control poate fi atât anunțat, cât și inopinat. Poate, de asemenea, să se desfășoare:
- la sediul firmei;
- la sediul autorității;
- în scris.
Important, în acest context, este să vă asigurați că personalul ANSPDCP care face investigația și-a demonstrat calitatea, prin arătarea unei legitimații și a clarificat obiectivele investigației.
2. Ce poate să facă o companie, dacă este investigată? Ce riscă dacă nu se supune investigației? Cel mai important element, aici, este cooperarea cu Autoritatea. Și cooperare înseamnă că firma investigată va furniza informațiile și documentele solicitate de către Autoritate, altcumva riscând amenzi de 3.000 de lei pe zi de întârziere.
Atenție! ANSPDCP chiar a început să se folosească de astfel de atribuții.
În plus, dacă persoanele vizate nu se supun investigației, ANSPDCP poate obține autorizare judiciară, în acest scop.
Însă există și o serie de sfaturi practice pe care o companie le poate urma, când este investigată: de exemplu, să încerce să obțină cât mai multe informații cu privire la investigație, pentru a și putea, atunci când va fi nevoită, să furnizeze, la rândul ei, informații relevante. Sau să ofere accesul la orice documente relevante solicitate de către reprezentantul Autorității.
3. Cum se desfășoară un control al ANSPDCP?
În primul rând, cum spuneam și mai sus, investigațiile depind de locul unde sunt efectuate - la sediul firmei investigate, la sediul autorității sau în scris. Este important, dacă vorbim de un control la sediul firmei și care e și inopinat, să existe anumite proceduri implementate, care să faciliteze un eventual control: e vorba de proceduri interne, care să permită reacția rapidă în cazul unui eventual control.
Însă ce au toate formele de control în comun este că se urmărește obținerea de informații cu privire la activitatea unei firme. Așa se și explică de ce ANSPDCP are atribuții atât de vaste - pentru a putea obține informațiile relevante. De aceea, Autoritatea are dreptul să obțină orice document și să inspecteze orice terminal.
Controlul se va încheia prin întocmirea unui proces-verbal de constatare/sancționare contravențională, dar prin care se pot dispune și recomandări - nu doar sancțiuni.
4. Poate ANSPDCP să acceseze calculatoarele firmei? Dar alte documente? ANSPDCP poate, în esență, să verifice orice document consideră relevant pentru investigație. Și orice echipament și mijloc sau suport de stocare a datelor.
5. Ce caută ANSPDCP, când face o investigație? ANSPDCP va urmări să obțină informații în privința tuturor aspectelor care au legătură cu investigația. În acest scop, poate solicita orice document relevant și verifica orice mijloc de stocare. De asemenea, puteți găsi, aici, o sinteză cu principalele probleme găsite de Autoritate la entitățile investigate în 2018.
6. Cu ce se poate finaliza o investigație? Dacă descoperă o încălcare a GDPR la firma investigată, ANSPDCP poate, în cel mai bun caz, da un avertisment firmei respective. Într-o astfel de situație, entitatea vizată știe că nu s-a conformat GDPR și trebuie să adopte măsuri pentru a se conforma. Pe de altă parte, firma poate să fie amendată și/sau să i se impună măsuri coercitive/corective, prin care să implementeze anumite chestiuni specifice, în scopul de a se conforma GDPR-ului.
Însă orice amendă trebuie aplicată într-o anumită perioadă de timp, respectiv trei ani de la momentul comiterii faptei, ca regulă, și niciodată mai târziu de patru ani de la momentul comiterii faptei.
7. Poate o firmă să anticipeze dacă va fi controlată în viitor sau nu? Ca regulă, nu. Activitatea ANSPDCP este foarte eterogenă - și asta și din cauza complexității GDPR-ului și numărului vast de activități ce au legătură cu datele personale. Și chiar dacă, uneori, poate fi observat un anumit tipar în privința entităților controlate, acest lucru nu înseamnă că un sector, chiar dacă a fost vizat în trecut, nu va mai fi vizat. Până la urmă, contează foarte mult și ce plângeri se fac, de exemplu.
8. Ce amenzi au fost aplicate de ANSPDCP în 2019? Anul precedent a fost și primul an în care au fost aplicate amenzi în baza GDPR. Pentru anumite fapte, amenzile au ajuns chiar și la zeci de mii de euro. Pentru a vă face o idee și mai concretă despre cum a fost situația în 2018, puteți găsi aici o serie de informații relevante cu privire la măsurile cel mai des aplicate de către Autoritate.
9. Este amenda punctul final? Nu, o astfel de sancțiune poate fi contestată de către firma vizată. Însă perioada în care acest lucru poate fi făcut este scurtă: maximum 15 zile de la momentul înmânării/comunicării documentului de sancționare. De asemenea, dacă face contestație, firma vizată obține și o suspendare a plății amenzii.
De 18 ani, în fiecare ianuarie, avocatnet.ro structurează și prezintă principalele repere legislative și de reglementare între care ne vom desfășura viețile și afacerile în anul care tocmai începe.
În seria Bine de știut la început de an, cartografiem zilnic cele mai importante coordonate ale anului 2020 pentru toate domeniile relevante (de la taxare, muncă și afaceri până la pensii, legislație auto, moșteniri, divorțuri și multe altele). Găsiți aici, pe măsură ce le publicăm, toate informațiile care să vă ajute să vă orientați mai ușor atât pe plan profesional, cât și personal în privința regulilor aplicabile anul acesta în toate zonele de interes direct pentru voi.