A trecut un an de la aplicarea Regulamentului UE 2016/679 și se pare că apele s-au mai liniștit, am trecut de temerea privind noile reguli aplicabile în domeniul protecției datelor cu caracter personal, precum și de cifrele înspăimântătoare care se aplică cu titlu de sancțiuni.

Cei mai mulți Operatori au luat măsuri de moment, considerând că sunt la adăpost de orice sancțiune din moment ce ei pot justifica luarea unor măsuri, indiferent dacă sunt sau nu conforme în totalitate cu noile obligații impuse prin Regulamentul UE.

De cele mai multe ori sancțiunile au venit tocmai pentru nerespectarea fidelă a obligațiilor impuse Operatorilor prin Regulamentul UE.

Dorim să trecem prin revistă o serie de obligații care aparțin Operatorilor, tocmai pentru a putea urmări dacă d-voastră respectați regulile GDPR.

Astfel, printre principalele obligații care revin Operatorilor se numără:

– respectarea principiilor de prelucrare a datelor (art. 5 din Regulament);

– respectarea drepturilor persoanelor fizice (art. 12-23 din Regulament);

– asigurarea securității datelor (art. 25 și art. 32 din Regulament);

– desemnarea unui responsabil cu protecția datelor (art. 37-39 din Regulament), după caz;

– notificarea încalcărilor de securitate (art. 33 din Regulament), după caz;

– evaluarea impactului asupra protecției datelor și respectarea drepturilor persoanelor fizice (art. 35 din Regulament), după caz;

– cartografierea prelucrărilor de date cu caracter personal (art. 30 din Regulament).

Trebuie să nu uităm că Operatorul poate împuternici o altă persoană în vederea prelucrării datelor cu caracter personal. Totuși, în această situație, Operatorul, trebuie să recurgă doar la persoane împuternicite care oferă garanţii suficiente pentru punerea în aplicare a unor măsuri tehnice şi organizatorice adecvate, astfel încât prelucrarea să respecte cerinţele prevăzute în Regulament şi să asigure protecţia drepturilor persoanei vizate.

Cum este reglementată relația dintre Operator și Persoana Împuternicită? Printr-un contract prin care se stabilește obiectul şi durata prelucrării, natura şi scopul prelucrării, tipul de date cu caracter personal şi categoriile de persoane vizate şi obligaţiile şi drepturile operatorului.

Dacă Operatorul nu este stabilit în UE, însă prelucrarea de date intră sub incidența Regulamentului, acesta are obligația de a-și desemna un reprezentant în Uniune atunci când prelucrează date caracter personal ale unor persoane vizate care se află în Uniune.

Operatorii trebuie să asigure un nivel de securitate corespunzător, astfel încât aceștia trebuie să implementeze măsuri tehnice și organizatorice adecvate, cum ar fi:

– capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare;

– capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;

– un proces pentru testarea, evaluarea și aprecierea periodice a eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.

– pseudonimizarea și criptarea datelor cu caracter personal, după caz (aplicarea pseudonimizării datelor cu caracter personal poate reduce riscurile pentru persoanele vizate si poate ajuta operatorii și persoanele imputernicite de aceştia să își îndeplinească obligațiile de protecție a datelor).

– asigurarea faptului că orice persoană fizică care acţionează sub autoritatea operatorului sau a persoanei împuternicite de operator şi care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului, cu excepţia cazului în care această obligaţie îi revine în temeiul dreptului Uniunii sau al dreptului intern.:

Dacă urmărim datele statistice publicate de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal pe site-ul acesteia, putem observa că acest an care a trecut de la intrarea în vigoare a Regulamentului UE 2016/679 nu a fost atât de liniștit și relaxat.

Astfel, începând cu data de 25 mai 2018 și până la data de 24 mai 2019, ANSPDCP a arătat că:

  • s-au înregistrat 9439 de responsabili cu protecția datelor;
  • s-au înregistrat 398 de notificări de încălcări de securitate a datelor cu caracter personal;
  • s-au primit 5260 plângeri și sesizări;
  • s-au efectuat 485 investigații din oficiu;
  • s-au efectuat 496 investigații la plângerile persoanelor vizate.

În urma investigațiilor efectuate, au fost dispuse 57 de măsuri corective și au fost acordate 23 avertismente.

Plângerile și sesizările primite au avut, în principal, ca obiect:

  • nerespectarea condițiilor legale ce privesc exercitarea drepturilor persoanelor vizate (de exemplu: drepturile de informare, acces, opoziție, dreptul de a fi uitat);
  • primirea de mesaje comerciale nesolicitate;
  • dezvăluirea de date personale pe Internet;
  • încălcarea principiilor de prelucrare a datelor cu caracter personal în legătură cu prelucrarea datelor în sistemul bancar;
  • condițiile de legalitate cu privire instalarea sistemelor de supraveghere video;
  • încălcarea regulilor de confidențialitate și securitate a prelucrărilor de date cu caracter personal.

Cele mai frecvente încălcări ale securității datelor au vizat:

  • accesul neautorizat la datele cu caracter personal prelucrate de operator;
  • transmiterea eronată a facturilor către clienții operatorului;
  • dezvăluirea datelor cu caracter personal/date pacienți;
  • pierderea trimiterilor poștale.

Reamintim că sancţiunile contravenţionale principale pe care le poate aplica Autoritatea de supraveghere în sectorul privat sunt avertismentul şi amenda. În funcţie de circumstanţele fiecărui caz în parte, Autoritatea de supraveghere aplică amenzi administrative de până la 10 000 000 – 20 000 000 EUR sau, în cazul unei întreprinderi, de până la 2 % – 4 % din cifra de afaceri mondială totală anuală corespunzătoare exerciţiului financiar anterior, luându- se în calcul cea mai mare valoare.

Pe lângă aplicarea sancţiunilor contravenţionale prevăzute de lege, Autoritatea de supraveghere poate dispune şi alte măsuri corective şi poate formula recomandări. Măsurile corective ce pot fi dispuse de către autoritatea de supraveghere, pot consta în:

– obligarea operatorului sau a persoanei împuternicite de operator să respecte cererile persoanei vizate de exercitare a drepturilor, să asigure conformitatea operaţiunilor de prelucrare cu dispoziţiile legale aplicabile;

– obligarea operatorului să informeze persoana vizată cu privire la o încălcare a protecţiei datelor cu caracter personal;

– limitarea temporară sau definitivă, interdicţia asupra prelucrării, rectificarea sau ştergerea datelor cu caracter personal, restricţionarea prelucrării;

– retragerea unei certificări sau obligarea organismului de certificare să retragă o certificare eliberată sau să nu elibereze o certificare în cazul în care cerinţele de certificare nu sunt sau nu mai sunt îndeplinite;

– suspendarea fluxurilor de date către un destinatar dintr-o ţară terţă sau către o organizaţie internaţională

Sancțiunile nu se aplică numai în sectorul privat, ci și în cel public, astfel sancțiunile contravenționale principale aplicate autorităților și organismelor publice sunt avertismentul și amenda contravențională.

Autoritatea de supraveghere poate aplica sancţiunea avertismentului, la care anexează un plan de remediere și stabilește un termen de aducere la îndeplinire a măsurilor dispuse. În situația în care autorităţile/organismele publice nu au adus la îndeplinire în totalitate măsurile prevăzute în planul de remediere, în termenul stabilit de autoritate, aceasta poate aplica sancţiunea contravenţională a amenzii de la 10.000 lei până la 200.000 lei.

Astfel, luarea numai a unor măsuri de moment, nedocumentate și neverificate de un specialist în domeniul protecției datelor cu caracter personal, nu vă ține la adăpost de aplicarea sancțiunilor contravenționale. Colaborarea cu un specialist în acest domeniu este esențială și benefică pentru societatea d-voastră.

Pentru orice informații suplimentare ne puteți contacta la adresa de e-mail [email protected], iar specialiștii noștri vă vor îndruma către cele mai optime soluții.

Sursă: www.dataprotection.ro

Leave a Reply

Your email address will not be published.

*