Într-o retrospectivă publicată recent, avocații de la Filip&Company arată care au fost sancțiunile și pe ce s-a concentrat activitatea de control a Autorității de Protecția Datelor (ANSPDCP) de când a intrat în vigoare GDPR și până acum, adică în ultimii trei ani.
Regulamentul european, direct aplicabil în România și celelalte state membre europene, produce efecte juridice din 25 mai 2018. În cele puțin peste șase luni de aplicare din 2018, ANSPDCP a primit peste 3.000 de plângeri și de sesizări, aproape 6.000 în 2019, iar anul trecut peste 5.200. Anul acesta, arată avocații, s-au înregistrat până la final de aprilie aproape 1.700 de plângeri (util: cum te asiguri că plângerea ta privind încălcarea GDPR va duce la investigarea problemei).
Investigațiile, pe care ANSPDCP le poate demara nu doar în urma unor sesizări, ci și din oficiu, au fost numeroase: 630 în 2018, 912 în 2019, 694 anul trecut și 288 anul acesta, până la final de aprilie. Ca sancțiuni, arată avocații de la Filip&Company, autoritatea a aplicat 56 în 2018, în doar jumătate de an de aplicare a regulamentului, dar numărul acestora s-a înjumătățit în următorii doi ani, iar anul acesta, în primele patru luni, ANSPDCP a dat deja 15 amenzi (nu avem însă informații că acestea au fost sau nu contestate și că vor ajunge să fie și plătite într-un final). Cât despre entitățile sancționate, amintim că printre ele s-au numărat și două persoane fizice, patru asociații de proprietari, două entități politice și un ONG - și persoanele fizice pot fi amendate pentru încălcarea GDPR în unele cazuri.
Cum se pot pregăti de verificări companiile care prelucrează date personale? Înainte de investigație, de pildă, spuneau avocații de la Radu și Asociații, firmele trebuie să-și analizeze periodic conformitatea operațiunilor de prelucrare cu reglementările în vigoare (inclusiv verificarea măsurilor de securitate IT implementate), să verifice periodic modul în care persoanele împuternicite să prelucreze date în numele companiei (companii terțe) se conformează GDPR, dar și că e deosebit de importantă instruirea periodică a angajațilorcompaniei atât cu privire la prevederile GDPR și ale legislației interne în materie, cât și în ceea ce privește modul în care trebuie să acționeze în cazul unui control al ANSPDCP.În fine, cea mai mare amendă dată în ultimii trei ani, potrivit celor de la Filip&Company, este de 150.000 de euro, dar majoritatea au fost cuprinse între 1.000 și 20.000 de euro.
Avocații au analizat și care au fost principalele neconformități sancționate:
1. lipsa măsurilor tehnice și organizatorice adecvate:
Aici intră adesea situațiile în care se ajunge la divulgarea neautorizată a unor date personale. De pildă, datele au ajuns pe Facebook după ce o firmă din România nu a luat astfel de măsuri (a organizat un concurs pentru atragerea clienților, postând pe Facebook un document unde apărea, printre altele, și o parolă de acces la formularele completate de participanții la acel concurs).
2. prelucrarea datelor fără un temei legal;
3. nerespectarea drepturilor persoanelor vizate (opoziție comunicări de marketing, acces, ștergere):
Refuzul nejustificat de a șterge date, ulterior unei solicitări, poate atrage amenzi de mii de euro - o vedem într-o amendă dată de ANSPDCP unui IFN, în vara anului trecut, de pildă. GDPR prevede dreptul persoanelor de a obține ștergerea datelor lor, atunci când acestea sunt deținute de către o companie. În asemenea situații, entitățile cărora li se fac asemenea solicitări trebuie să verifice dacă au un temei pentru păstrarea datelor și dacă, ulterior solicitării, acesta subzistă. În orice caz, firmele sunt obligate să răspundă solicitărilor trimise de la cei cărora le prelucrează datele. Dacă le ignoră, pot fi sancționate de Autoritate.
Reținem aici că comunicările comerciale trimise când destinatarul a optat expres să nu le primească încalcă GDPR.
4. firmele nu s-au asigurat că angajații acționează doar conform instrucțiunilor:
Ne amintim, de pildă, cazul extrem de mediatizat (după ce postarea devenise virală) al declarației unui client al Băncii Transilvania, făcută publică de un angajat al băncii - declarație prin care clientul spunea ce urma să facă cu sumele de bani depuse și pe care trebuia să le justifice. ANSPDCP i-a aplicat băncii o amendă de 100.000 de euro.
Obligația de a instrui angajații este oricum o cerință prevăzută de GDPR, iar dacă ne uităm pe statistici, o uriașă parte din încălcările GDPR au loc din vina - sau neglijența - angajaților (nu doar în România) - conform GDPR:REPORT, majoritatea breșelor de securitate sunt cauzate de erorile angajaților.. De aceea, instruirea salariaților ar avea și un impact cuantificabil considerabil. Având în vedere faptul că o bună parte din prelucrarea datelor personale se face de către angajați, unul din elementele de bază în scopul demonstrării implementării unor măsuri efective este instruirea angajaților.
5. nerespectarea principiilor GDPR;
6. neregularități legate de informarea persoanelor vizate (de regulă, spun avocații, lipsa informării);
7. firmele nu au furnizat Autorității informațiile cerute:
Cei care refuză să coopereze cu Autoritatea riscă sancțiuni suplimentare față de ceea ce face obiectul investigației demarate. Ce li se cere, de fapt, firmelor e furnizarea de documente și informații pentru a se putea desfășura cu succes investigația. Orice neconformare cu astfel de obligații poate atrage o amendă de 3.000 de lei, pe zi de întârziere (care este executorie de drept).
8. nerespectarea măsurilor corective impuse de Autoritate:
ANSPDCP poate dispune măsuri corective, de exemplu, să îi impună firmei să facă anumite schimbări la nivel intern pentru ca procesele acesteia să fie în acord cu GDPR. Firmelor poate să li se ceară să instruiască angajații, să le răspundă persoanelor care li s-au adresat cu cereri și pe care le-au ignorat inițial ș.a.m.d.
9. lipsa notificării Autorității în cazul unui incident de securitate:
Firmele au la dispoziție un formular online ca să notifice ANSPDCP privind breșele de securitate. Notificarea ANSPDCP privind incidentele de securitate, cele ce presupun încălcarea securității datelor personale, este obligatorie pentru toți operatorii de date personale. Este prevăzută în GDPR și trebuie făcută în maximum 72 de ore de la data la care firma că a fost victima unui astfel de incident. Bine de știut și că notificarea de încălcare a securității datelor personale poate fi temei pentru ca ANSPDCP să pornească o investigație din oficiu la compania respectivă.
10. lipsa măsurilor de securitate conform Legii 506/2004;
11. nerespectarea dispozițiilor privind comunicările nesolicitate din Legea. 506/2004.
Pe lângă GDPR, în legislație există și reguli speciale pentru comunicările comerciale telefonice, care sunt incluse în Legea nr. 506/2004. Cei care vor să transmită oferte prin telefon, de pildă, trebuie să obțină consimțământul acestora într-un fel în care să poată fi demonstrat în cazul unui control al autorităților.