Reclamatii si amenzi GDPR

Autoritatea română de protecție a datelor (ANSPDCP) a aplicat, recent, amenzi de mii de euro pentru unele fapte contrare Regulamentului general privind protecția datelor (GDPR).

GDPR prevede următoarele amenzi:

Până la 10 milioane EURO sau 2% din cifra de afaceri globală din anul precedent în cazul încălcării obligațiilor  operatorului printre care:

  • Consimtamant copii si tutori;
  • Nerespectare obligatii fata de operatori asociati;
  • neîntocmirea evidenței activităților de prelucrare (registrul activităților de prelucrare);
  • Incalcare securitate ;
  • Omisiunea de a notifica ANSPDCP în cazul unui incident de securitate ;
  • omisiunea de a informa persoanele vizate în cazul unui incident de securitate ;
  • neefectuarea evaluării impactului asupra protecției datelor atunci când aceasta este obligatorie ;
  • omisiunea de a consulta prealabil ANSPDCP atunci când această consultare este obligatorie ;
  • omisiunea de a desemna un responsabil cu protectia datelor , atunci când desemnarea lui este obligatorie;
  • Conflict de interese , detalii Conflictul de interese

Până la 20 milioane EUR sau 4% din cifra de afaceri globală a anului precedent în cazul încălcării obligațiilor referitoare la :

  • încălcarea principiilor GDPR  : legalitate , transparenta ,limitare scop , prelucrare minim necesar , stocare , informare drepturi ,confidentialitate;
  • Încălcarea condițiilor privind consintamant inclusiv date sensibile , drepturile prevazute in Regulament ( informare ,acces ,rectificare ,stergere ,restrictionare , portare ,decizii automate ,profilare ,etc )

Cum se calculează amenzile?

GDPR prevede că amenzile se impun unei “întreprinderi”, iar Grupul de lucru Articolul 29, în instrucțiunile sale, a clarificat că noțiunea de întreprindere este prevăzută de CJUE (Curtea de Justiție a Uniunii Europene Curtea de Justiție a Uniunii Europene) în scopul aplicării articolelor 101 și 102 din TFUE(Tratatului privind funcționarea Uniunii Europene) și trebuie interpretată în în conformitate cu legislația și jurisprudența UE.

“O întreprindere trebuie înțeleasă ca fiind unitatea economică, care se angajează în activități comerciale/economice, indiferent de persoana juridică implicată”.

Din cele de mai sus rezultă că:

  • Amenzile ar putea să nu fie calculate doar pe baza cifrei de afaceri a entității juridice care a încălcat legea sau a operatorului/împuternicitului, dar ar putea fi determinate luând în considerare toate entitățile implicate în activitatea investigate.

Care sunt criteriile de calcul al amenzilor?

GDPR prevede că amenzile aplicabile sunt:

  • Efective – conform normelor inculcate din GDPR
  • Proporționale –cu gravitatea
  • Diferentiate – dacă o întreprindere este mare se va confrunta cu amenzi mai mari decât o firma noua pentru aceasi incalcare de Regulament .

Aceste amenzi se stabilesc în funcție de natura, gravitatea și durata încălcării, ținând seama, printre altele, de:

  • Numărul persoanelor afectate și prejudiciile suferite de acestea;
  • Scopul prelucrării contestate;
  • Nivelul prejudiciilor suferite de persoanele fizice;
  • Caracterul intenționat sau neglijent al încălcării;
  • Orice acțiune întreprinsă pentru diminuarea prejudiciilor suferite de persoanele fizice;
  • Implementare masuri care, în consecință, devin instrumente eficiente, de asemenea, menite să diminueze cuantumul amenzilor în cazul sancțiunilor emise sau să dispună emiterea doar a unui avertisment;
  • Orice încălcări anterioare relevante ale operatorului sau împuternicitului, adică istoricul întreprinderii reclamate, vor avea importanță;
  • Gradul de cooperare cu autoritatea de supraveghere, pentru a remedia încălcarea și pentru a atenua posibilele efecte negative ale încălcării;

Există și alte motive de îngrijorare?

Desigur, persoanele fizice afectate se pot adresa instanțelor de judecată pentru desăgubiri.Un  caz interesant în România, este unde o singură persoană a primit 10.000 lei daune morale pentru dezvaluire CNP . De asemenea, angajații implicați în prelucrarea datelor, în situația în care compania la care lucrează este amendată, pot fi trași la răspundere pentru neprotejarea datelor cu caracter personal.

Prin urmare, este necesar să se efectueze un audit periodic  pentru a se asigura, printre altele, că datele au fost colectate în conformitate cu GDPR, că au fost păstrate pe perioada prevăzută de lege și că nu au fost utilizate în alte scopuri decât cele pentru care a fost obținut consimțământul.

GDPR este în vigoare și se va aplica datelor colectate de companie în prezent și în trecut.

Plângeri, controale și în cele din urmă și amenzi GDPR

Conform site-ului Autorității Naționale de Supraveghere, în România,  statistica la un an de GDPR , din 25 mai 2018 până la 24 mai 2019:

  • s-au înregistrat 398 de notificări de încălcări de securitate a datelor cu caracter personal;
  • s-au primit 5260 plângeri și sesizări; cu cca 50% mai mult decât în 2017 – semn că lumea conștientizează tot mai bine drepturile pe care le are în acest sens.
  • s-au efectuat 485 investigații din oficiu;
  • s-au efectuat 496 investigații la plângerile persoanelor vizate;
  • s-au emis 57 de măsuri corective, adică recomandări făcute de către Autoritate organizațiilor în cauză pentru a se conforma.;
  • au fost acordate 23 avertismente.

În cele din urmă, până acum au fost amendate 19 companii. Si mai sunt alte  23 de avertismente pe rol si  este foarte posibil ca să auzim și de alte amenzi pentru încălcarea regulamentul GDPR în curând.

Plângerile și sesizările primite de ANSPDCP din România au avut, în principal, ca obiect:

  • nerespectarea condițiilor legale ce privesc exercitarea drepturilor persoanelor vizate (de exemplu: drepturile de informare, acces, opoziție, dreptul de a fi uitat);
  • primirea de mesaje comerciale nesolicitate;
  • dezvăluirea de date personale pe Internet;
  • încălcarea principiilor de prelucrare a datelor cu caracter personal în legătură cu prelucrarea datelor în sistemul bancar;
  • condițiile de legalitate cu privire instalarea sistemelor de supraveghere video;
  • încălcarea regulilor de confidențialitate și securitate a prelucrărilor de date cu caracter personal.

Cele mai frecvente încălcări ale securității datelor din România au vizat:

  • accesul neautorizat la datele cu caracter personal prelucrate de operator;
  • erori angajati , descarca FIȘA POSTULUI DPO
  • transmiterea eronată a facturilor către clienții operatorului ( corespondenta gresita );
  • dezvăluirea datelor cu caracter personal/date pacienți;
  • pierderea trimiterilor poștale.
  • procesarea datelor cu caracter personal fără consimțământul persoanelor vizate
  • neinformarea privind folosirea sistemului de supraveghere CCTV , detalii Camere video si GDPR
  • lipsa măsurilor de securizare a datelor cu caracter personal .

Vrei să te aliniezi la GPPR? Iata cum te putem ajuta:

  • Consultanță și implementare GDPR- beneficiezi de un consultant dedicat tot procesul de implementare  Solicita oferta
  • Achizitioneaza Ghidul SELFGDPR –  ai toate informatiile si formularele necesare sa implementezi singur ,asistat de un consultant in vederea personalizarii , Detalii aici
  • Manual complet GDPR , Detalii manual
  • Solicita un audit Audit GDPR

Mult spor !

Amalia Salcie