Radu și Asociații este o entitate membră a Ernst & Young Global Ltd.
Bucharest Tower Center, etaj 22 B-dul Ion Mihalache
nr. 15-17 011171 Bucuresti, sector 1, Romania
+40 21 402 4000
RO || EN

După o perioadă de mai bine de un an de la intrarea în vigoare, pe 25 mai 2018, a Regulamentului privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (RGPD), asistăm la o nouă perioadă de efervescență declanșată de primele amenzi aplicate pentru nerespectarea prevederilor RGPD de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal - ANSPDCP. Dacă în 2017 și în primele luni ale lui 2018, companiile au investit resurse impresionante de timp și bani, în unele cazuri într-un proces contra cronometru, pentru a se asigura că se vor conforma la timp prevederilor legale, primul an de aplicabilitate a noului regulament european a fost unul mai degrabă liniștit. Companiile care au urmat un proces de analiză și conformare s-au bucurat de un moment de pauză, iar cele care nu au realizat acest proces nu au văzut niciun efect imediat al noilor prevederi legale și au considerat, poate, că activitatea lor nu va fi afectată. Recentele sancțiuni aplicate ne arată, însă, că autoritățile naționale au folosit această perioadă pentru a-și consolida aparatul de control și pentru a realiza primele investigații.

Astfel, în doar câteva zile (27 iunie - 5 iulie 2019), ANSPDCP a aplicat trei amenzi, una de 130.000 euro unei instituții bancare, una de 15.000 euro unei unități hoteliere și cea de a treia de 3.000 euro unei societăți care oferă consultanță în domeniul protecției datelor. De asemenea, la nivel european, pe 8 și 9 iulie 2019, ICO (autoritatea pentru protecția datelor din Marea Britanie) și-a anunțat intenția de a amenda un mare lanț hotelier cu peste 99 milioane de lire și o companie aeriană cu 183,39 milioane de lire (reprezentând, potrivit The Guardian, 1,5% din cifra de afaceri obținută la nivel global de compania aeriană anul trecut) pentru încălcarea RGDP.

În ceea ce privește activitatea ANSPDCP, observăm că cele trei amenzi aplicate până în acest moment sunt rezultatul unor investigații inițiate ca urmare a unor plângeri sau a notificării unor breșe de securitate de către operatorul de date. Autoritatea și-a actualizat recent pagina web pentru a facilita accesul celor interesați la procedura de depunerea a plângerilor în baza RGPD, o procedură simplificată care permite completarea online a formularului de plângere. De asemenea, în cadrul ANSPDCP s-a creat Direcția Plângeri. Este ușor de anticipat, astfel, că în perioada următoare, numărul investigațiilor ANSPDCP va crește la fel ca și numărul de sancțiuni aplicate.  

Întrebarea care se pune este ce poate face o companie în cazul în care ANSPDCP inițiază o investigație în privința activității sale? Cum se pregătește pentru o astfel de investigație?

În lumina reglementărilor în vigoare, putem identifica măsuri care trebuie luate înainte, în timpul și ulterior investigației. Enumerăm mai jos câteva dintre acestea.

Înainte de investigație:

Pe durata investigației:

După finalizarea investigației:

Analizând cazurile investigate și/sau sancționate până în acest moment de ANSPDCP, dar și pe cele în privința cărora ICO și-a anunțat intenția de a aplica amenzi, remarcăm faptul că situațiile practice în care se poate ajunge la o încălcare a RGPD sunt dintre cele mai variate și greu de anticipat la o analiză de bază/sumară.

Este evident că procesul de aliniere la prevederile RGPD este unul continuu, care impune o permanentă instruire a personalului care gestionează date cu caracter personal în toate ariile de activitate ale companiei. Cunoașterea fluxurilor de date cu caracter personal, a obligațiilor impuse operatorului de date, dar și a riscurilor la care acesta se supune în caz de încălcare a acestora sunt esențiale pentru evitarea unor amenzi de până la 20.000.000 euro sau 4% din cifra de afaceri.  

Articol preluat, printre alții, de:

www.juridice.ro www.bizlawyer.ro www.legalmarketing.ro www.financialintelligence.ro