Nerespectarea GDPR poate pune lacătul pe afaceri

Au trecut opt luni de la data la care a intrat în vigoare Regulamentul European de Protecţie a Datelor Personale, cunoscut ca GDPR. Se poate spune, practic, că perioada de copilărie, de acomodare la cerințele acestui regulament s-a cam terminat, și că intrăm încet-încet în faza de sancționare a organizațiilor sau companiilor care nu s-au conformat cerințelor GDPR. Trebuie spus, din nou, că acesta se aplică tuturor țărilor din Uniunea Europeană, precum și oricăror firme, organizații sau companii din afara UE, care oferă bunuri și servicii persoanelor din UE, monitorizează comportamentul persoanelor sau procesează și dețin datele cu caracter personal ale cetățenilor din spațiul comunitar.

Legiuitorul, Comisia Europeană, a lăsat în seama statelor membre stabilirea amenzilor pentru încălcarea regulilor privitoare la protecția datelor cu caracter personal, însă a fixat anumite limite în acest sens. Articolul 83 din GDPR este cel care ne oferă detalii privind amenzile administrative ce pot fi aplicate. Există două niveluri de amenzi ce pot fi aplicate pentru abateri de la normele regulamentului. Primul prevede 10 milioane EUR amendă, sau 2% din cifra de afaceri anuală globală a anului precedent, în timp ce al doilea este practic dublu: până la 20 milioane EUR, sau 4% din cifra de afaceri anuală a anului precedent.

Sigur, vorbim despre sume uriașe, dar trebuie spus că principiul de bază în aplicarea sancțiunilor este eficiența acestora, proporționalitatea în funcție de abaterile constatate și, nu în ultimul rând, dorința de a crea un efect de descurajare a tentativelor de încălcare, fraudare, nerespectare sau de ignorare a confidențialității datelor cu caracter personal.

La modul concret, cuantumul amenzilor depinde de mai multe criterii:

– Intenție: A fost încălcarea intenționată sau cauzată de neglijență?

– Măsuri de atenuare: Ce acțiuni au fost luate pentru a diminua pagubele cauzate persoanelor vizate?

– Măsuri preventive: Ce măsuri de ordin organizatoric și tehnic au fost luate anterior pentru a asigura conformitatea cu GDPR?

– Natura încălcării: Câte persoane au fost afectate? Ce prejudicii au fost provocate și pentru ce perioadă de timp?

– Istoric: Există antecedente care ar putea fi considerate relevante pentru a provoca încălcarea actuală a normelor GDPR?

– Cooperare: Cât de deschisă cooperării este compania pentru remedierea deficiențelor?

– Tipul de date: Ce fel de date personale au fost afectate?

– Notificarea încălcării: a fost încălcarea raportată la timp și la autoritățile competente în domeniu?

– Certificare: Compania a aprobat în prealabil certificările și respectarea reglementărilor GDPR?

– Altele : Există alți factori, cum ar fi impactul financiar asupra companiei, care ar trebui luați în considerare?

Este important de spus că se anticipează că un rol determinant în stabilirea cuantumului unei amenzi să țină cont în mare măsură de modul în care organizația vizată va reacționa după constatarea unei breșe de securitate în privința protecției datelor personale. Factorii de care se va ține cont nu sunt puțini, și se referă în principal la buna intenție de a acționa în sensul conformării pe deplin la regulamentul GDPR. Acest lucru înseamnă, printre altele, promovarea unei culturi a protecției datelor și posibilitatea de a demonstra măsurile de remediere luate ulterior. De asemenea, mergând pe aceeași idee conform căreia este mai importantă prevenția și respectarea GDPR decât o amendă uriașă, sunt șanse ca organizațiile care vor raporta în mod proactiv neregulile în privința protejării datelor personale, să beneficieze de sancțiuni mai reduse.

Au apărut primele amenzi

În unele țări, autoritățile de control în domeniu au început să aplice deja sancțiuni severe pentru încălcări flagrante ale GDPR.

Astfel, în luna iulie a anului trecut, autoritatea portugheză de supraveghere (CNPD) a aplicat o amendă de 400.000 de euro unui spital pentru încălcarea Regulamentului UE privind protecția generală a datelor. Concret, în acest caz a fost vorba despre persoane neautorizate care au avut acces la fișele și dosarele pacienților prin intermediul unor profiluri de medici falsificate.

De asemenea, în luna septembrie, Comisia irlandeză pentru protecția datelor a deschis o investigație împotriva gigantului Facebook. În acest caz se vorbește despre o posibilă amendă de 1,63 miliarde de dolari. Aici, a fost vorba despre hackeri care au reușit să preia conturile utilizatorilor prin furtul așa numitelor ”jetoane de acces”, o cheie digitală de securitate care permite utilizatorilor să rămână conectați pe Facebook pe mai multe sesiuni de navigare, fără a trebui să introducă de fiecare dată parola de acces.

Prima amendă, de 4.800 de euro, emisă de autoritatea austriacă de protecție a datelor, s-a dat în luna octombrie 2018 împotriva unei unități de comerț cu amănuntul, care folosea o cameră de supraveghere ce avea în raza de acțiune o porțiune importantă a unui… trotuar. Motivul: monitorizarea unui spațiu public fără o transparență și o notificare corespunzătoare.

În Marea Britanie, autoritatea de supraveghere a datelor personale, ICO, a notificat o companie canadiană de analiză a datelor, AggregateIQ Data Services Ltd, privind utilizarea datelor cu caracter personal pentru analiză și publicitate, în special în contextul unor alegeri. ICO a cerut companiei să nu mai folosească datele personale ale cetățenilor UE pentru analiză și publicitate, iar ancheta în acest caz s-ar putea finaliza cu o amendă de până la 4% din cifra de afaceri anuală a companiei.

Un alt exemplu îl constituie Germania, acolo unde datele personale ale aproximativ 330.000 de utilizatori ai unei platforme de chat au fost compromise și puse ulterior la dispoziția publicului de către hackeri în septembrie 2018. Motivul: stocarea parolelor de acces într-o formă necriptată. Autoritatea pentru protecția datelor (DPA) a statului german Baden-Württemberg a considerat că aceasta este o încălcare a obligației de punere în aplicare a măsurilor de securitate adecvate (articolul 32 din GDPR) și a impus o amendă de 20 000 EUR.

În ce privește România, Parlamentul a votat amenzi de 100 de ori mai mici pentru instituţiile statului care încalcă protecţia datelor personale, faţă de cele pentru firmele private. Astfel că Senatul a decis că pentru firme private, sancțiunile pot urca la 20 de milioane de lei, în timp ce pentru primării, prefecturi, şcoli de stat, spitale, Poştă, CFR etc, amenzile sunt de 100 de ori mai mici.

Cazul din Portugalia, mai ales, arată că prelucrarea datelor sensibile, în special cantitățile mari de date privind sănătatea, este asociată cu un risc ridicat de aplicare. Având în vedere că manipularea ilegală a acestor date este una sensibilă pentru o mare parte a populației, autoritățile de protecție a datelor vor acorda cu siguranță o prioritate deosebită unor astfel de cazuri.

De asemenea, primele amenzi raportate la GDPR arată o abordare ponderată în privința aplicării acestuia. Astfel, în loc să impună un număr mare de amenzi pentru nerespectarea noilor cerințe în domeniu, autoritățile de protecție a datelor s-au concentrat asupra unui număr redus de cazuri în care nu au fost îndeplinite cerințele de bază. Acest lucru subliniază, cum spuneam, importanța stabilirii unor priorități clare în implementarea regulamentului în fiecare organizație.

Sancțiunile pot fi contestate în instanță

Trebuie știut că împotriva sancțiunilor dispuse de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) se poate face contestație la tribunal, în cel mult 15 zile de la înmânarea/comunicarea documentului de sancționare. Acest lucru este important, pentru că duce, până la o hotărâre definitivă, la suspendarea plății amenzii. De asemenea, legislația le pune la dispoziție celor controlați posibilitatea de a face obiecțiuni la procesul-verbal de constatare/sancționare, dar beneficiul nu este unul real și, potrivit specialiștilor în protecția datelor, este preferabil să nu se recurgă la acest lucru.

Pe lângă un avertisment/amendă, ANSPDCP mai poate aplica oricând celui controlat și alte măsuri coercitive: să anunțe o persoană despre o încălcare a legislației care o vizează (ori despre eventualele scurgeri de date personale), ștergerea datele unei persoane sau rectificarea lor. Apoi, există posibilitatea de a solicita firmei să se conformeze cu legislația de protecția datelor într-un anume mod și într-un termen impus. Nu în ultimul rând, GDPR dă autorității de control dreptul să impună firmei, dacă e cazul, o limitare temporară sau chiar definitivă, ori o interdicție la prelucrările de date – pentru unele firme asta însemnând chiar falimentul.

IC Consulting Cluj-Napoca este furnizor de formare profesională autorizat de Ministerul Muncii și Justiției Sociale, Ministerul Educației și Autoritatea Națională pentru Calificări, societate manageriată de Camelia LUNG de aproape 20 de ani. 

Camelia Lung este consilier juridic de două decenii, iar profesionalismul a dus-o în structura aparatului guvernamental, unde a ocupat, pe rând, funcțiile de șef de cabinet în MMFPSPV, consilier al ministrului de Interne, consilier în Cancelaria Primului-ministru.  Experiența sa dobândită în sectorul de stat, dar și în cel privat, vine în sprijinul agenților economici care doresc consultanță de specialitate în domeniul Human Resources, legislația muncii, respectiv în obținerea Formularului A1.

Formularul A1 reprezintă documentul care stă la baza detașării lucrătorilor europeni și se obține în vederea evitării dublei impuneri.

Nici un comentariu

Actual de Cluj