Romania ocupa locul al doilea, dupa Polonia, in topul amenzilor acordate in Europa Centrala si de Est in acest prim an de aplicare a Regulamentului General privind Protectia Datelor (GDPR), dupa ce Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP) a sanctionat cu 130.000 de euro o institutie bancara, conform studiului Deloitte Legal, publicat luni.

"Cel mai important moment pentru companiile din Romania dupa intrarea in vigoare a GDPR a fost cu siguranta data de 27 iunie 2019, cand Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal a impus prima amenda, in cuantum de aproximativ 130.000 de euro, unei institutii bancare. Aceasta situeaza Romania pe locul al doilea in topul amenzilor acordate in Europa Centrala si de Est in acest prim an de aplicare a GDPR. Industria financiar-bancara a fost printre cele mai vizate de investigatiile ANSPDCP, atat inainte, cat si dupa intrarea in vigoare a GDPR. Mai mult decat atat, ANSPDCP a comunicat ca plangerile si sesizarile primite au avut in vedere incalcarea principiilor de prelucrare a datelor personale in sistemul bancar si a regulilor de confidentialitate si securitate a prelucrarilor de date personale", noteaza sursa citata.

De asemenea, studiul releva ca, in Bulgaria, cea mai mare amenda nu a depasit 27.000 de euro, in Ungaria, 40.000 de euro, iar in Lituania, 61.500 de euro.

Amenda a fost aplicata institutiei bancare din Romania pe motivul ca, la efectuarea unei plati, indiferent daca aceasta era initiata de un titular de cont la banca sanctionata sau de catre un tert utilizator al sistemului de plati interbancar, CNP-ul si adresa platitorului erau accesibile beneficiarului platii prin extrasul de cont sau prin detaliile platii oferite de banca.

"In urma investigatiei, ANSPDCP a concluzionat ca prelucrarea acestor date incalca principiul data privacy by design, conform caruia operatorii au obligatia ca, de la momentul creionarii procesului de prelucrare si pana la finalizarea acestuia, sa implementeze masuri tehnice si organizatorice adecvate in raport cu natura si riscurile prelucrarii, precum si cu posibilitatile tehnologice si financiare, pentru a asigura respectarea GDPR. Principiul data privacy by design activeaza ca o umbrela si presupune incorporarea celorlalte principii din GDPR sub o singura prevedere - spre exemplu, principiul minimizarii datelor. Conformarea cu data privacy by design implica o etapa preliminara de evaluare a riscului prelucrarii, prin intermediul careia operatorii identifica eventuale masuri de implementat", precizeaza Deloitte.

Citeste si:
(P) Vrei sa supraveghezi video? Ai grija la GDPR!
(P) Vrei sa supraveghezi...

In ceea ce priveste proportionalitatea amenzii, incalcarea principiului data privacy by design este incadrata de GDPR la o amenda de maximum 10 milioane de euro sau 2% din cifra de afaceri globala anuala, nu la pragul superior de 20 de milioane de euro sau 4%. "In plus, in individualizarea cuantumului amenzii, ANSDPCP a trebuit sa aiba in vedere numarul mare de persoane vizate - 337.042 - si alte aspecte, precum categoriile de date implicate, intentia sau caracterul neglijent al faptei operatorului, potentiale actiuni de diminuare a prejudiciului suferit de persoanele vizate etc", explica specialistii, conform Agerpres.ro.

Potrivit sursei citate, raportata la amenzile acordate in Europa Centrala si de Est, sanctiunea impusa de ANSPDCP este a doua cea mai mare dupa amenda emisa, dupa cea de 220.000 de euro din Polonia cu privire la cazul Bisnode, care utiliza date cu caracter personal din surse publice fara respectarea obligatiilor de informare a persoanelor vizate.

La scurt timp de la prima amenda, ANSPDCP a anuntat inca doua sanctiuni, in valoare de 15.000, respectiv de 3.000 de euro.

Datele oficiale ale ANSPDCP, citate de catre Deloitte, arata ca, la finalul lunii mai 2019, se aflau in desfasurare aproximativ 1.000 de investigatii si este de asteptat ca entitatile ce vor fi supuse unor sanctiuni si masuri corective sa conteste in instanta aceste decizii.

Citeste si:
NEMO Express, bresa MAJORA: AWB-urile clientilor, "la liber"
NEMO Express, bresa MAJORA de...

Contestatiile inregistrate pe rolul sectiilor de contencios administrativ si fiscal ale tribunalelor suspenda doar plata amenzii, nu si obligatia de a aplica masuri corective, asadar cel mai probabil acestea vor fi dublate de cereri de suspendare a masurilor corective, in temeiul prevederilor din Legea contenciosului administrativ.

Parlamentul European si Consiliul European au adoptat, in data de 27 aprilie 2016, Regulamentul (UE) 2016/679 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul General privind Protectia Datelor - RGPD).

Regulamentul a fost publicat in Jurnalul Oficial al Uniunii din 4 mai 2016, iar prevederile acestuia sunt direct aplicabile in toate statele membre ale Uniunii Europene (UE), incepand cu data de 25 mai 2018.

La nivel de sanctiuni, companiile care vor incalca noul GDPR vor plati amenzi de pana la 10 milioane de euro sau 2% din cifra de afaceri globala anuala pentru incalcari ale normelor privind protectia datelor, respectiv de pana la 20 de milioane de euro sau 4% din cifra de afaceri globala anuala pentru incalcari ale principiilor de baza privind prelucrarea datelor, luandu-se in calcul cea mai mare valoare.

Citeste si:
O noua banca din Romania ar putea fi sanctionata pentru GDPR
O noua banca din Romania ar...

Sursa foto: Nikola Stanisic / Shutterstock.com

Te-ar putea interesa si:


Mai multe articole din sectiunea Legal Business »



Citeste si
Daniel Moreanu: GDPR dupa 1 an! Peste 100 de sanctiuni aplicate