Camelia Lung: „Nerespectarea GDPR poate pune lacătul pe afaceri”

Camelia Lung: „Nerespectarea GDPR poate pune lacătul pe afaceri”

Au trecut opt luni de la data la care a intrat in vigoare Regulamentul European de Protectie a Datelor Personale, cunoscut ca GDPR. Se poate spune, practic, ca perioada de copilarie, de acomodare la cerintele acestui regulament s-a cam terminat, si ca intram incet-incet in faza de sanctionare a organizatiilor sau companiilor care nu s-au conformat cerintelor GDPR. Trebuie spus, din nou, ca acesta se aplica tuturor tarilor din Uniunea Europeana, precum si oricaror firme, organizatii sau companii din afara UE, care ofera bunuri si servicii persoanelor din UE, monitorizeaza comportamentul persoanelor sau proceseaza si detin datele cu caracter personal ale cetatenilor din spatiul comunitar. Legiuitorul, Comisia Europeana, a lasat in seama statelor membre stabilirea amenzilor pentru incalcarea regulilor privitoare la protectia datelor cu caracter personal, insa a fixat anumite limite in acest sens. Articolul 83 din GDPR este cel care ne ofera detalii privind amenzile administrative ce pot fi aplicate. Exista doua niveluri de amenzi ce pot fi aplicate pentru abateri de la normele regulamentului. Primul prevede 10 milioane EUR amenda, sau 2% din cifra de afaceri anuala globala a anului precedent, in timp ce al doilea este practic dublu: pana la 20 milioane EUR, sau 4% din cifra de afaceri anuala a anului precedent.

Sigur, vorbim despre sume uriase, dar trebuie spus ca principiul de baza in aplicarea sanctiunilor este eficienta acestora, proportionalitatea in functie de abaterile constatate si, nu in ultimul rand, dorinta de a crea un efect de descurajare a tentativelor de incalcare, fraudare, nerespectare sau de ignorare a confidentialitatii datelor cu caracter personal.

La modul concret, cuantumul amenzilor depinde de mai multe criterii:

– Intentie: A fost incalcarea intentionata sau cauzata de neglijenta?
– Masuri de atenuare: Ce actiuni au fost luate pentru a diminua pagubele cauzate persoanelor vizate?
– Masuri preventive: Ce masuri de ordin organizatoric si tehnic au fost luate anterior pentru a asigura conformitatea cu GDPR?
– Natura incalcarii: Cate persoane au fost afectate? Ce prejudicii au fost provocate si pentru ce perioada de timp?
– Istoric: Exista antecedente care ar putea fi considerate relevante pentru a provoca incalcarea actuala a normelor GDPR?
– Cooperare: Cat de deschisa cooperarii este compania pentru remedierea deficientelor?
– Tipul de date: Ce fel de date personale au fost afectate?
– Notificarea incalcarii: a fost incalcarea raportata la timp si la autoritatile competente in domeniu?
– Certificare: Compania a aprobat in prealabil certificarile si respectarea reglementarilor GDPR?
– Altele : Exista alti factori, cum ar fi impactul financiar asupra companiei, care ar trebui luati in considerare?

Este important de spus ca se anticipeaza ca un rol determinant in stabilirea cuantumului unei amenzi sa tina cont in mare masura de modul in care organizatia vizata va reactiona dupa constatarea unei brese de securitate in privinta protectiei datelor personale. Factorii de care se va tine cont nu sunt putini, si se refera in principal la buna intentie de a actiona in sensul conformarii pe deplin la regulamentul GDPR. Acest lucru inseamna, printre altele, promovarea unei culturi a protectiei datelor si posibilitatea de a demonstra masurile de remediere luate ulterior. De asemenea, mergand pe aceeasi idee conform careia este mai importanta preventia si respectarea GDPR decat o amenda uriasa, sunt sanse ca organizatiile care vor raporta in mod proactiv neregulile in privinta protejarii datelor personale, sa beneficieze de sanctiuni mai reduse.

Au aparut primele amenzi

In unele tari, autoritatile de control in domeniu au inceput sa aplice deja sanctiuni severe pentru incalcari flagrante ale GDPR.

Astfel, in luna iulie a anului trecut, autoritatea portugheza de supraveghere (CNPD) a aplicat o amenda de 400.000 de euro unui spital pentru incalcarea Regulamentului UE privind protectia generala a datelor. Concret, in acest caz a fost vorba despre persoane neautorizate care au avut acces la fisele si dosarele pacientilor prin intermediul unor profiluri de medici falsificate.

De asemenea, in luna septembrie, Comisia irlandeza pentru protectia datelor a deschis o investigatie impotriva gigantului Facebook. In acest caz se vorbeste despre o posibila amenda de 1,63 miliarde de dolari. Aici, a fost vorba despre hackeri care au reusit sa preia conturile utilizatorilor prin furtul asa numitelor ”jetoane de acces”, o cheie digitala de securitate care permite utilizatorilor sa ramana conectati pe Facebook pe mai multe sesiuni de navigare, fara a trebui sa introduca de fiecare data parola de acces.

Prima amenda, de 4.800 de euro, emisa de autoritatea austriaca de protectie a datelor, s-a dat in luna octombrie 2018 impotriva unei unitati de comert cu amanuntul, care folosea o camera de supraveghere ce avea in raza de actiune o portiune importanta a unui… trotuar. Motivul: monitorizarea unui spatiu public fara o transparenta si o notificare corespunzatoare.

In Marea Britanie, autoritatea de supraveghere a datelor personale, ICO, a notificat o companie canadiana de analiza a datelor, AggregateIQ Data Services Ltd, privind utilizarea datelor cu caracter personal pentru analiza si publicitate, in special in contextul unor alegeri. ICO a cerut companiei sa nu mai foloseasca datele personale ale cetatenilor UE pentru analiza si publicitate, iar ancheta in acest caz s-ar putea finaliza cu o amenda de pana la 4% din cifra de afaceri anuala a companiei.

Un alt exemplu il constituie Germania, acolo unde datele personale ale aproximativ 330.000 de utilizatori ai unei platforme de chat au fost compromise si puse ulterior la dispozitia publicului de catre hackeri in septembrie 2018. Motivul: stocarea parolelor de acces intr-o forma necriptata. Autoritatea pentru protectia datelor (DPA) a statului german Baden-Wurttemberg a considerat ca aceasta este o incalcare a obligatiei de punere in aplicare a masurilor de securitate adecvate (articolul 32 din GDPR) si a impus o amenda de 20 000 EUR.

In ce priveste Romania, Parlamentul a votat amenzi de 100 de ori mai mici pentru institutiile statului care incalca protectia datelor personale, fata de cele pentru firmele private. Astfel ca Senatul a decis ca pentru firme private, sanctiunile pot urca la 20 de milioane de lei, in timp ce pentru primarii, prefecturi, scoli de stat, spitale, Posta, CFR etc, amenzile sunt de 100 de ori mai mici.

Cazul din Portugalia, mai ales, arata ca prelucrarea datelor sensibile, in special cantitatile mari de date privind sanatatea, este asociata cu un risc ridicat de aplicare. Avand in vedere ca manipularea ilegala a acestor date este una sensibila pentru o mare parte a populatiei, autoritatile de protectie a datelor vor acorda cu siguranta o prioritate deosebita unor astfel de cazuri.

De asemenea, primele amenzi raportate la GDPR arata o abordare ponderata in privinta aplicarii acestuia. Astfel, in loc sa impuna un numar mare de amenzi pentru nerespectarea noilor cerinte in domeniu, autoritatile de protectie a datelor s-au concentrat asupra unui numar redus de cazuri in care nu au fost indeplinite cerintele de baza. Acest lucru subliniaza, cum spuneam, importanta stabilirii unor prioritati clare in implementarea regulamentului in fiecare organizatie.

Sanctiunile pot fi contestate in instanta

Trebuie stiut ca impotriva sanctiunilor dispuse de Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP) se poate face contestatie la tribunal, in cel mult 15 zile de la inmanarea/comunicarea documentului de sanctionare. Acest lucru este important, pentru ca duce, pana la o hotarare definitiva, la suspendarea platii amenzii. De asemenea, legislatia le pune la dispozitie celor controlati posibilitatea de a face obiectiuni la procesul-verbal de constatare/sanctionare, dar beneficiul nu este unul real si, potrivit specialistilor in protectia datelor, este preferabil sa nu se recurga la acest lucru.

Pe langa un avertisment/amenda, ANSPDCP mai poate aplica oricand celui controlat si alte masuri coercitive: sa anunte o persoana despre o incalcare a legislatiei care o vizeaza (ori despre eventualele scurgeri de date personale), stergerea datele unei persoane sau rectificarea lor. Apoi, exista posibilitatea de a solicita firmei sa se conformeze cu legislatia de protectia datelor intr-un anume mod si intr-un termen impus. Nu in ultimul rand, GDPR da autoritatii de control dreptul sa impuna firmei, daca e cazul, o limitare temporara sau chiar definitiva, ori o interdictie la prelucrarile de date – pentru unele firme asta insemnand chiar falimentul.

IC Consulting Cluj-Napoca este furnizor de formare profesionala autorizat de Ministerul Muncii si Justitiei Sociale, Ministerul Educatiei si Autoritatea Nationala pentru Calificari, societate manageriata de Camelia LUNG de aproape 20 de ani.

Incepand cu data de 21 august 2018, IC Consulting Cluj a devenit prima firma din Transilvania care a obtinut de la ANC autorizarea cursului Data Protection Officer (DPO) – ”Responsabil cu protectia datelor cu caracter personal”.

Camelia Lung este consilier juridic de doua decenii, iar profesionalismul a dus-o in structura aparatului guvernamental, unde a ocupat, pe rand, functiile de sef de cabinet in MMFPSPV, consilier al ministrului de Interne, consilier in Cancelaria Primului-ministru. Experienta sa dobandita in sectorul de stat, dar si in cel privat, vine in sprijinul agentilor economici care doresc consultanta de specialitate in domeniul Human Resources, legislatia muncii, respectiv in obtinerea Formularului A1.

Folosim cookie-uri pentru a ne asigura că iți oferim cea mai bună experiență de utilizarea a portalului și pentru a facilita navigarea.