Protecția datelor: Când poți să te aștepți la un control, în 2021, și ce trebuie să știi

Controalele la firme, din partea ANSPDCP, nu mai reprezintă, demult, ceva nou. De fapt, discutăm de o practică atât de răspândită, încât Autoritatea, de o perioadă bună de timp, publică rapoarte anuale de activitate, unde descrie cel mai des-întâlnite încălcări ale legislației protecției datelor și ce sancțiuni/măsuri corective a dispus, în asemenea situații. De pildă, cei interesați pot să consulte rapoartele pe 2018, respectiv pe 2019. În acest context, la ce se pot aștepta firmele în 2021, în ceea ce privește un control al Autorității?


1. Când poate ANSPDCP să îți investigheze firma? Bineînțeles că primul lucru la care se gândește cineva din conducerea unei firme e: când pot să mă aștept la un control din partea Autorității?. Ideal, primul lucru la care ar trebui să se gândească cineva, în această situație, e ce obligații are în temeiul regulilor din domeniul protecției datelor.

Dar, să fim serioși! Domeniul e așa de vast și așa de complex și e într-o continuă schimbare, încât nimeni nu îi garantează, chiar și cuiva de bună-credință, că va scăpa de controale. Poate că nici nu își dă seama că face ceva ce ar putea duce la un eventual control.

De aceea, și regulile relevante sunt concepute să îi permită o marjă largă de apreciere Autorității: aceasta poate controla orice firmă ce prelucrează date și trebuie să respecte GDPR. În teorie, orice firmă, indiferent de domeniu. De fapt, cred că e mai simplu de găsit un exemplu în care o firmă ar putea fi evitată de ANSPDCP - dacă există.

Bineînțeles, o firmă mai mică nu va intra așa ușor în atenția Autorității, pentru că resursele acesteia sunt limitate. De aceea, ANSPDCP nu poate să monitorizeze, constant, întreaga piață. Dar acest lucru nu reprezintă vreo garanție că o firmă mică nu va fi vizată. Poate că e cercetată pentru vreun comportament fără precedent, cu privire la care Autoritatea nu a mai avut prilejul să-și exprime o părere - iar acest lucru ar putea determina o investigație. 

Ca idee, există două surse principale ce ar putea determina o investigație:

• când cineva se plânge că o companie nu i-a respectat drepturile din domeniul protecției datelor;
• când o companie însăși notifică o breșă de securitate (mai multe detalii despre tipurile de breșe de securitate pentru care sunt responsabili, de exemplu, salariații - ceva foarte întâlnit - pot fi găsite aici). 

Nu în ultimul rând (și aici ajung, din nou, la marja largă de apreciere pe care o autoritate precum ANSPDCP o are), Autoritatea poate acționa din oficiu.


2. Poți anticipa dacă vei fi controlat? Spuneam, mai sus, că domeniul e într-o continuă schimbare. Și că, inevitabil, ajungi să prelucrezi date. Am anticipat, într-un fel, răspunsul la această întrebare. Că nu prea ai cum să prezici dacă vei fi controlat de ANSPDCP. 

Bine, există două aspecte de punctat, aici. Primul e că, deși vorbim de o activitate destul de vastă în domeniul protecției datelor, poți identifica anumite tipare. Și, dacă îți dai seama că te încadrezi pe tiparul respectiv, sunt șanse mai mari ca firma să-ți fie investigată.

Al doilea lucru se referă la faptul că, dacă știi că multă lume se plânge cu privire la felul cum le gestionezi datele și le respecți drepturile, dacă știi că ai comis fapte pentru care s-au dat amenzi, în trecut, cresc șansele să te cerceteze Autoritatea. Dar asta pare, deja, un truism. La fel e peste tot - dacă autoritățile sunt eficiente.


3. Ești investigat. Ce poți să faci? Ce ar fi bine să nu faci? Să presupunem că ai trecut deja de etapa în care te întrebi dacă ANSPDCP poate veni în control și chiar începe o investigație a firmei tale. 

Cel mai important lucru, aici, e că trebuie să cooperezi cu Autoritatea. Nu uita de ce am spus mai sus: ANSPDCP are puteri și o marjă de apreciere largă. Și instrumente pentru a putea face investigații efective. De aceea, pe lângă faptul că poți fi amendat pentru încălcarea drepturilor substanțiale din domeniu, ANSPDCP poate să te sancționeze și dacă nu cooperezi cu ea (cu până la 3.000 lei pe zi).

În plus, mai există un instrument ce poate fi folosit de Autoritate, pentru a demara o investigație - autorizarea judiciară, pentru a face controale la cei care se opun.

Dar, dacă intenția ta nu e să te opui, ci să te asiguri că respecți legea? Ce ar fi bine să faci, atunci, pentru a te asigura că faci tot ce se așteaptă Autoritatea de la tine? Să pui întrebări, la rândul tău, pentru a obține informații și clarificări. E foarte important să înțelegi ce vrea ANSPDCP de la tine - ce documente, de exemplu.


4. Cum se desfășoară controlul? Mai sus, am arătat ce riști dacă te opui unui control. Dar e important să știi și ce implică acesta. Asta depinde de unde se desfășoară investigația:
(i) la sediul firmei tale;
(ii) la sediul Autorității;
(iii) în scris (mai ales aici devine relevantă obținerea de informații, pentru a te asigura că furnizezi ce ți se cere).

În ceea ce privește controlul la sediul firmei, e foarte important să ai proceduri interne bine puse la punct, prin care să te asiguri că poți răspunde unui control în acord cu legea.

Oricum, indiferent de tipul de control desfășurat, finalitatea e aceeași - obținerea de informații. Bineînțeles că felul cum acest lucru are loc diferă de la o situație la alta. 

La finalul controlului, ANSPDCP întocmește un proces-verbal. Acesta poate să implice o sancționare, însă, în egală măsură, firmele ar putea să primească doar recomandări. Spuneam, la început, că domeniul e într-o continuă schimbare. Pentru ceva nemaiîntâlnit, șansele să se dea o sancțiune, mai ales dacă firma e de bună-credință, scad (bineînțeles, mai mulți factori sunt luați în considerare). Dacă discutăm, în schimb, de abateri care au mai avut loc, iar firmele active în domeniu știau sau ar fi trebuit să știe că asemenea fapte sunt interzise și sancționabile, șansele de amendare cresc.


5. Puteri vaste? Ce înseamnă, mai exact, acest lucru? Până unde poate să meargă ANSPDCP și ce documente poate să verifice? În esență, orice i se pare relevant. Adică inclusiv să acceseze calculatoarele firmei, unde apar cele mai importante documente ale unei companii, de cele mai multe ori. De fapt, orice consideră relevant: calculator, document, suport de stocare a datelor etc.


6. Cum poate să se termine o investigație? Arătam, mai sus, la punctul al treilea, că o investigație poate să se termine cu o amendă. Însă nu neapărat, putându-se termina, de exemplu, și doar cu o recomandare. 

Dar să presupunem că ANSPDCP concluzionează că firma ta a comis o încălcare a legislației din domeniul protecției datelor. Primești, neapărat, amendă? Nu. Poți primi și doar un avertisment. Revin la criteriile de sancționare și la situația concretă - cât de des a mai avut loc o asemenea abatere în trecut; a fost sancționată etc.

Doar că, dacă primești amendă, să nu crezi că acest lucru se oprește aici. Pentru că, pe lângă sancțiune, Autoritatea poate să dispună și măsuri corective. Adică să îți spună că trebuie să faci ceva specific - să îți instruiești salariații, să iei măsuri prin care să le permiți persoanelor ale căror date le deții să le acceseze etc.


7. Ai primit amendă. Mai poți face ceva? Da, dacă firma ta a fost amendată pentru încălcarea legislației din domeniul protecției datelor, poți să contești sancțiunea. În maximum 15 zile de la momentul înmânării/comunicării documentului de sancționare. De asemenea, dacă faci contestație, firma ta va obține și o suspendare a plății amenzii.