Noile reglementari europene in domeniul protectiei datelor cu caracter personal ridica inca numeroase dificultati companiilor din Romania. Printre cele mai importante se numara procedurile de gestionare a solicitarilor persoanelor vizate, care, in caz ca nu respecta normele in vigoare, pot genera reclamatii si, implicit, controale de la Autoritatea in domeniu. Cum se deruleaza un astfel de control si ce risca o firma care nu respecta normele GDPR?

Regulamentul european privind Protectia Datelor cu Caracter Personal (GDPR) a intrat in vigoare in mai 2018, iar companiile obligate sa il implementeze au intampinat numeroase probleme.

„Putini operatori de date au fost pregatiti efectiv pentru ceea ce a urmat dupa intrarea in vigoare a Regulamentului din perspectiva relatiei cu persoanele vizate. E vorba de proceduri de gestionare a solicitarilor persoanelor vizate, in principal, precum si de activitati de instruire a angajatilor, cu implicarea tuturor departamentelor care au relatie directa cu clientii. Lucrurile s-au mai schimbat acum, insa in primele luni am vazut raspunsuri la solicitari de exercitare de drepturi care nu respectau cerintele Regulamentului. Or, un raspuns neclar la asemenea solicitari va putea duce foarte usor la plangeri ale persoanelor vizate, ceea ce este principalul motiv pentru care Autoritatea de supraveghere decide sa inceapa un control”, a explicat, pentru wall-street.ro, avocatul Costin Sandu, coordonatorul practicii de protectia datelor cu caracter personal in cadrul Schoenherr si Asociatii SCA.

Dificultati majore au intampinat firmele si in legatura cu implementarea cerintelor Regulamentului in relatia cu angajatii companiilor. Problemele au fost variate, de la identificarea temeiului corect de prelucrare a datelor, pana la monitorizarea electronica a angajatilor (prin localizarea acestora prin sisteme GPS sau sisteme de pontaj conectate la cardurile de acces, sau monitorizarea integrala a comunicatiilor angajatilor, eventual fara informarea acestora), mai spune avocatul citat.

Corelarea aspectelor tehnice cu cele juridice a fost, la randul sau, o problema pentru companii. “Este posibil ca unele solutii juridice sa nu poata fi reflectate tehnic – prin masuri de securitate – la costuri convenabile, sau solutii tehnice care sa aiba implicatii juridice mai complicate decat problemele pe care ar trebui sa le rezolve”, a subliniat Sandu.

Imitatii veridice, notificari...
Citeste si: Alerta de imitatii veridice si phishing in numele Facebook

Cum se poate declansa un control al Autoritatii?

Controalele in domeniu pot fi initiate de Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP) pe baza unei plangeri sau din oficiu. Din acest considerent, companiile trebuie sa fie foarte atente la gestionarea solicitarilor persoanelor vizate, pentru ca orice nemultumire a acestora poate duce la o plangere, care poate fi urmata de declansarea unei investigatii din partea Autoritatii.

“Este, deci, recomandabil ca la nivelul companiei sa existe o procedura privind gestionarea solicitarilor facute de persoanele vizate in legatura cu drepturile lor. Mai mult, personalul implicat in relatia cu persoanele vizate (inclusiv in ce priveste exercitarea drepturilor acestora potrivit legislatiei de protectia datelor) trebuie instruit periodic pentru a putea gestiona corect, rapid si eficient solicitarile primite‟, subliniaza avocatul Schoenherr.

Inspectiile ANSPDCP se desfasoara pe teren sau la sediul autoritatii sau in scris si/sau sub forma de audituri privind protectia datelor. In practica, Autoritatea foloseste toate aceste posibilitati. Insa dupa intrarea in vigoare a Regulamentului, inspectiile au fost efectuate mai degraba in scris/sub forma de audituri, si mai putin pe teren.

Controlul este anuntat sau nu?

Este foarte important de retinut ca investigatiile desfasurate in scris se termina numai odata cu emiterea unei note de incheiere a investigatiei aprobata de Presedintele Autoritatii. Inspectia nu poate fi considerata incheiata inainte ca Autoritatea sa trimita aceasta nota.

Cristian Rosu, ASF:...
Citeste si: Rosu, ASF: Prioritatile anului 2019, modificarea legilor RCA si PAID

In plus, trebuie stiut ca un control poate fi si inopinat, insa compania care este controlata poate fi si anuntata ca urmeaza o investigatie pe teren.

In cazul in care o companie impiedica investigatia, autoritatea va putea solicita sprijinul politiei pentru derularea investigatiei si va putea solicita o autorizare judiciara. Personalul ANSPCP poate verifica orice documente, echipamente, mijloace sau suporturi de informatii. Pot identifica si pastra obiecte si aplica sigilii in conformitate cu prevederile Codului de procedura penala, pentru a evita distrugerea de documente relevante pentru investigatii, ridicarea fara drept a acestor sigilii fiind fapta de natura penala.

Tododata, trebuie stiut faptul ca personalul autoritatii poate ridica orice documente (in original sau copie certificata) sau inregistrari relevante care au legatura cu obiectul controlului. Totodata, pot fi audiate persoanele ale caror declaratii sunt considerate relevante pentru investigatie.

“La finalul controlului, se intocmeste un proces verbal de constatare/sanctionare. Personalul autoritatii poate aplica amenzi de pana la 300.000 de euro direct, prin procesul-verbal; amenzile care depasesc acest prag trebuie sa fie aprobate de catre Presedintele ANSPDCP‟, a mai explicat Costin Sandu.

Implicatiile GDPR in...
Citeste si: Implicatiile GDPR in tranzactiile de M&A

Pregateste-te de inspectie, afla care iti sunt drepturile

Ce trebuie sa faca reprezentantii companiei in cazul unui control? In primul rand, acestia trebuie sa stie ca inspectia pe teren se poate desfasura doar intre orele 08:00 – 18:00, afara de cazul in care compania permite in mod expres personalului ANSPDCP sa actioneze si in afara acestui program.

In plus, reprezentantii companiei au dreptul sa fie prezenti la toate actele de investigatie desfasurate de personalul autoritatii si este recomandat sa o faca.

“Autoritatea va putea avea acces oriunde se desfasoara activitatea de afaceri a companiei, iar compania are obligatia de a permite desfasurarea inspectiei si a asigura sprijinul necesar. Tot ce face personalul autoritatii in derularea investigatiei va trebui sa fie reflectat in procesul verbal care se incheie la finalizarea investigatiei‟, a adaugat avocatul.

Referitor la amenzile in cazul incalcarii Regulamentului, contastate de cei vizati din cauza dimensiunii (de pana la 4% din cifra de afaceri), Costin Sandu spune ca amenda maxima ar trebui aplicata doar in cazuri de incalcari grave ale normelor in domeniu.

„Cultural, nu eram pregatiti pentru nivelul ridicat al amenzilor prevazute de Regulament. Pare insa ca acesta este noul curent, in linia deschisa cu dreptul concurentei, urmata recent in domeniul securitatii informatice si anuntata si in domeniul protectiei consumatorului. Aplicarea amenzilor catre maximul lor ar trebui insa sa fie limitata la situatii cu adevarat grave de incalcare a cerintelor Regulamentului. Amenzile aplicate trebuie sa fie, in acelasi timp, eficace, proportionale, si disuasive”, a adaugat Costin Sandu.

El precizeaza, insa, ca regulamentul ofera Autoritatilor unele criterii de apreciere a situatiilor specifice: se vor uita, intre altele, la natura, gravitatea si durata incalcarii, la forma de vinovatie asociata cu incalcarea (intentia se va pedepsi mai grav decat neglijenta), la tipurile de date afectate, numarul de persoane vizate afectate; vor fi relevante cooperarea operatorului cu autoritatea, daca au existat abateri anterioare, daca au fost luate masuri de remediere a incalcarii etc.

Cum poate fi contestata o decizie a ANSPDCP?

Singura posibilitate se a contesta decizia Autoritatii este instanta! Pentru asta, compania trebuie sa conteste procesul verbal de constatare/sanctionare si/sau decizia de aplicare de sanctiuni sau masuri corective in termen de 15 zile de la inmanare sau comunicare, dupa caz, la sectia de contencios administrativ de la tribunalul competent de la sediul companiei.

“Atentie, procesul verbal de constatare si decizia de impunere de masuri corective pot fi acte separate, care trebuie contestate separat. Hotararea prin care se solutioneaza contestatia se ataca numai cu apel la curtea de apel competenta. Competenta tribunalelor din teritoriu este noua, introdusa in 2018, si deci ar putea fi dificil pentru anumite instante din teritoriu sa inteleaga toate aspectele de protectie a datelor pe care doriti sa le invocati‟, a incheiat avocatul Schoenherr.

Sursa foto: Ovidiu Udrescu

Te-ar putea interesa si:


Mai multe articole din sectiunea Legal Business »



Citeste si
Stii ca politica de confidentialitate a firmei iti poate aduce amenzi?