Tag: GDPR compliant

ANSPDCP

Derularea investigatiior de catre ANSPDCP si aplicarea sanctiunilor

Posted by Avocat on

Derularea investigațiilor de către ANSPDCP și aplicarea sancțiunilor

ANSPDCP poate efectua investigaţii, în cazurile şi condiţiile prevăzute în competenţa sa, prin personalul împuternicit propriu, investigații care pot fi declanșate atât din oficiu cât și la plângere. Acest lucru se traduce în faptul că ANSPDCP se poate și autosesiza în legătură cu încălcări ale legislației ce vizează protecția datelor personale.

  1. Investigațiile desfășurate la primirea unei plângeri-aspecte cheie

Orice persoană poate formula și depune plângere la ANSPDCP în cazul în care consideră că prelucrarea datelor sale cu caracter personal încalcă prevederile Regulamentului 679/2018.

În timpul derulării investigaţiilor, pot fi verificate de către personalul ANSPDCP orice aspecte privind respectarea principiilor și regulilor de prelucrare a datelor cu caracter personal. Personalul de control al ANSPDCP se legitimează pe baza legitimației pentru investigațiile efectuate pe teren și neanunțate operatorului în prealabil în scris, este obligatorie și emiterea unei împuterniciri în care să fie indicat numele/denumirea entității controlate.

Rezultă că investigațiile pot fi desfășurate de către personalul ANSPDCP cu înștiințarea operatorului controlat sau se pot desfășura inopinat, fără anunțarea în prealabil în scris a entității controlate.

Un alt aspect demn de reținut este faptul că ANSPDCP are posibilitatea de a demara o investigație pe baza unor indicii ori în urma primirii unei plângeri, însă dispune de prerogativa de a controla orice alt aspect privind respectarea regulilor de protecție a datelor cu caracter personal. Cu alte cuvinte, chiar dacă plângerea ar fi neîntemeiată în fapt, personalul ANSPDCP poate găsi și alte încălcări ale regulilor de protecție a datelor cu caracter personal pentru care pot sancționa operatorul. Pe lângă prerogative, ANSPDCP are și obligații, una din acestea fiind faptul că trebuie să anunțe petentul care a formulat plângerea în legătură cu evoluția sau cu rezultatul investigației întreprinse în termen de 3 luni de la data la care s-a comunicat acesteia că plângerea este admisibilă.

Companiile controlate au și o facilitate în sensul că, potrivit prevederilor art. 15  din Procedura de efectuare a investigațiilor, aprobată prin Decizia nr. 161/2018 a ANSPDCP din 9 octombrie 2018, ANSPDCP poate amâna sau suspenda efectuarea investigației, inclusiv la solicitarea entității controlate, pentru motive justificate. În cuprinsul procedurii nu sunt numite exemple de motive justificate. Ca atare, interpretarea va depinde de la caz la caz iar argumentarea motivelor va depinde de priceperea juriștilor.

  1. Investigațiile desfășurate din oficiu-aspecte cheie

Art. 3 din Procedura de desfășurare a investigațiilor prevede modalitățile în care investigațiile din oficiu pot demara:

’’a) la propunerea compartimentelor cu atributii de control ale ANSPDCP;

  1. b) la propunerea preşedintelui sau vicepreşedintelui ANSPDCP, printr-o rezoluţie scrisă;
  2. c) la propunerea celorlalte compartimente din cadrul ANSPDCP;
  3. d) ca urmare a transmiterii notificărilor de încălcare a securității datelor cu caracter personal;
  4. e) pentru verificarea unor date şi informaţii cu privire la prelucrarea datelor cu caracter personal, obţinute de către ANSPDCP din alte surse decât cele care fac obiectul unor plângeri, inclusiv pe baza sesizărilor sau a informațiilor primite de la o altă autoritate de supraveghere sau de la o altă autoritate publică;
  5. f) în vederea cooperării internaționale precum și cu celelalte autorități de supraveghere din statele membre, în domeniul protecției datelor cu caracter personal, inclusiv în cadrul operațiunilor comune și acordării de asistență reciprocă;’’

Mediile din care ANSPDCP poate culege informații care să conducă la demararea unor potențiale investigații sunt: corespondența primită de ANSPDCP, mass-media, Internet, din documentele de constatare întocmite în urma efectuării altor investigaţii sau alte documente de la nivelul ANSPDCP, din activităţile de cooperare cu entităţi de drept public sau privat ori cu autorităţi de supraveghere din străinătate, precum şi din alte surse.

Aplicabil atât pentru investigațiile desfășurate la primirea unei plângeri cât și pentru cele desfășurate din oficiu este faptul că investigațiile pot avea loc pe teren, la sediul ANSPDCP ori în scris.

  • Sancțiunile care pot fi aplicate de ANSPDCP

Sancțiunile contravenționale principale care pot fi aplicate de ANSPDCP sunt avertismentul și amenda dar este demn de reținut faptul că amenda administrativă, avertismentul și avertizarea pot fi aplicate în mod distinct sau alături de alte măsuri corective.

Aplicarea sancțiunilor se face prin procesul verbal de constatare/sancționare încheiat de personalul de control sau prin decizie a președintelui ANSPDCP, în condițiile legii, și urmează să defalcăm:

  • în cazul amenzilor în cuantum mai mic de 300.000 EURO, aplicarea sancțiunii se face prin proces-verbal de constatare/sancţionare încheiat de personalul de control din cadrul ANSPDCP.
  • În cazul amenzilor în cuantum mai mare de 300.000 EURO, aplicarea sancțiunii se face prin decizie a preşedintelui ANSPDCP, având ca fundament procesul-verbal de constatare şi raportul personalului de control.

De asemenea, ANSPDCP poate dispune, prin decizie a preşedintelui, inclusiv aplicarea unei amenzi cominatorii de până la 3.000 de lei pentru fiecare zi de întârziere, calculată de la data stabilită prin decizie, în cazul nerespectării măsurilor corective aplicate sau în cazul refuzului tacit sau expres de furnizare a tuturor informaţiilor şi documentelor solicitate în cadrul procedurii de investigaţie ori în cazul refuzului de supunere la investigaţie, potrivit legii. Decizia preşedintelui ANSPDCP constituie titlu executoriu.

Ulterior efectuării investigaţiilor, pe lângă aplicarea sancţiunilor contravenţionale prevăzute de lege, ANSPDCP poate dispune măsuri corective și poate formula recomandări, astfel: măsurile corective pot fi dispuse prin procesul-verbal de constatare/sancţionare de către personalul de control sau se pot dispune prin decizie a președintelui ANSPDCP, după caz, putând consta în: limitarea temporară sau definitivă, interdicția asupra prelucrării, rectificarea sau ștergerea datelor cu caracter personal, restricționarea prelucrării, notificarea acestor acțiuni destinatarilor cărora le-au fost divulgate datele cu caracter personal, retragerea unei certificări sau obligarea organismului de certificare să retragă o certificare eliberată sau să nu elibereze o certificare în cazul în care cerințele de certificare nu sunt sau nu mai sunt îndeplinite, suspendarea fluxurilor de date către un destinatar dintr-o țară terță sau către o organizație internațională, etc.

Dacă ne aflăm în situația în care entitatea controlată nu demonstrează că a implementat măsurile corective dispuse, în termenul şi în condiţiile acordate, ANSPDCP poate dispune efectuarea unei investigații noi.

În funcție de natura încălcărilor legislației de protecție a datelor cu caracter personal și cuantumul maxim al amenzilor administrative poate să difere în mod substanțial. De exemplu, pentru încălcarea unui ordin emis de autoritatea de supraveghere în conformitate cu articolul 58 alineatul (2) din Regulamentul GDPR se aplică amenzi administrative de până la 20 000 000 EUR sau, în cazul unei întreprinderi, de până la 4 % din cifra de afaceri mondială totală anuală corespunzătoare exerciţiului financiar anterior, luându-se în calcul cea mai mare valoare.

Companiile trebuie să fie informate asupra faptului că împotriva procesului-verbal de constatare/sancționare sau a deciziei de aplicare a măsurilor corective se poate introduce contestație la secția de contencios administrativ a tribunalului competent, termenul fiind de 15 de zile de la data înmânării, respectiv de la data comunicării procesului-verbal de constatare/sancționare sau a deciziei Președintelui ANSPDCP, dar introducerea introducerea contestației suspendă numai plata amenzii, până la pronunțarea unei hotărâri judecătorești definitive.

  1. Recomandări

Entitățile pot preîntâmpina aplicarea de sancțiuni, printre măsurile cele mai eficiente numărându-se:

  • Training-ul constant, la intervale rezonabile, a personalului cu atribuții pe linia de protecție a datelor cu caracter personal – în esență, se recomandă pregătirea tuturor persoanelor din cadrul companiilor care au ca atribuții prelucrarea datelor cu caracter personal;
  • Verificarea la intervale rezonabile de timp a operațiunilor de prelucrare a datelor cu caracter personal din fiecare departament astfel încât să fie raliate la prevederile în vigoare. Recomandarea se aplică tuturor departamentelor entității dar și persoanelor împuternicite care prelucrează date personale în numele și în urma instrucțiunilor primite din partea operatorului și, în urma verificărilor, se pot concepe noi politici/proceduri sau actualiza cele existente deja, fiind imediat implementate;

În timpul investigației derulate de către personalul ANSPDCP sunt o serie de măsuri utile care pot fi luate de către companie, cum ar fi:

  • Informarea imediată a DPO-ului intern sau outsourced, inclusiv a avocatului care se ocupă de conformarea la prevederile GDPR astfel încât această persoană să fie punctul de contact cu Autoritatea;
  • Oferirea personalului împuternicit al ANSPDCP informații, acces la documente, mijloace și suporturi de stocare, colaborând cu acesta în limitele mandatului pe care îl au;
  • Culegerea datelor utile pentru a face obiecțiunile/mențiunile necesare înainte de a semna procesul-verbal de control.

Demersurile ulterioare finalizării investigației pot consta în: discutarea oportunității de a formula contestație împotriva procesului verbal de sancționare sau constatare, după caz și/sau implementarea în companie a măsurilor de remediere dispuse de către ANSPDCP.

Conformarea la regulile de protecție a datelor cu caracter personal trebuie să reprezinte un efort susținut și constant al companiilor în situația creșterii numărului de investigații. Astfel, se impune un training adecvat și repetat al personalului și proceduri/politici actualizate la zi de către specialiști în domeniul protecției datelor cu caracter personal.

Autor:

Gherasim Andra Mădălina / S.C.P.A. Cobuz și Asociații / Specialist GDPR.

Derularea investigatiilor de catre ANSPDCP

GDPR compliant

REGULAMENTUL GENERAL PRIVIND PROTECȚIA DATELOR

Posted by Avocat on

IMPACTUL ACESTUIA ASUPRA FIRMELOR DIN ROMÂNIA

Anul 2018 a reprezentat un moment de reformă în domeniul datelor cu caracter personal. Efectul adoptării acestei reglementări a constat în uniformizarea regulilor de prelucrare a datelor, consolidarea drepturilor persoanelor fizice și creșterea responsabilității operatorilor. Deși protecția datelor cu caracter personal nu este o noutate, GDPR-ul vine cu reguli mult mai stricte și sancțiuni mai dure.

Statistica după 25 mai 2018

În perioada 01.06.2019-30.09.2019 au fost aplicate 55 de măsuri corective de către Autoritatea de Supraveghere, printre care și amenzi de până la 130.000 euro.

Cele mai frecvente încălcări ale securității datelor au vizat:

  • accesul neautorizat la datele cu caracter personal prelucrate de operator;
  • transmiterea eronată a facturilor către clienții operatorului;
  • dezvăluirea datelor cu caracter personal/date pacienți;  pierderea trimiterilor poștale.

2018 în cifre:

  • Numărul total de investigații demarate de Autoritatea Națională de Supraveghere a fost de 1021 (din care 630 după 25 mai)
  • Cuantumul amenzilor aplicate a fost de 631.500 lei
  • numărul petițiilor soluționate de Autoritatea Națională de Supraveghere a crescut cu peste 30% față de 2017, în condițiile în care Regulamentul s-a aplicat începând cu 25 mai;

Deveniți ”GDPR compliant”

Societatea noastră vă oferă următoarele servicii pentru a vă asigura că firma dumneavoastră funcționează conform standardelor europene:

  1. Informarea preliminară a membrilor-cheie ai firmei, care au acces la date cu caracter personal, cu privire la drepturile persoanelor vizate și la obligațiile privind respectarea acestor drepturi.
  2. Evaluarea juridică a nivelului de conformitate a firmei dumneavoastră cu dispozițiile Regulamentului și cu deciziile emise de ANSPDCP.
  3. Redactarea documentelor în conformitate cu dispozițiile legale în domeniu.
  4. Mentenanța:
    – verificarea periodică dacă firma dumneavoastră respectă dispozițiile legale;
    – sprijin în colectarea datelor în conformitate cu noile reguli și ștergerea datelor care nu mai respectă principiile de prelucrare a datelor cu caracter personal;
    – ajustarea, acolo unde este cazul, a procedurilor interne pentru ca acestea să respecte rigurozitățile în materie;
    – consiliere în spețe concrete.

GDPR compliant – Cobuz & Asociatii