Cum se va aplica concret regulamentul GDPR în România (I)

Regulamentul GDPR a intrat în vigoare și în România, dar multă lume se întreabă cum va fi aplicat concret regulamentul în țara noastră. Acesta este primul articol dintr-o serie de două care explică modalitățile de aplicare.

Prin Legea nr. 129 din 15 iunie 2018 a fost modificată Legea nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal și a fost de asemenea abrogată Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date.

Cum se vor desfășura controalele?

Controlul în domeniul GDPR, care se numește inspecție, va fi efectuat de personalul de control din cadrul ANSPDCP, care va fi numit de către președintele ANSPDCP.

Ce pot controla inspectorii?

Inspecțiile pot fi de două feluri: (a) anunțate - când persoana va primi o înștiințare prealabilă despre o asemenea activitate și (b) inopinate - când persoana se va trezi cu personalul de control la sediu/locul unde-și desfășoară activitatea.

Indiferent de maniera în care vor fi desfășurate inspecțiile, personalul de control are dreptul să:

  • să ceară şi să obţină de la operator şi persoana împuternicită de operator, precum şi, după caz, de la reprezentantul acestora, la faţa locului şi/sau în termenul stabilit, orice informaţii şi documente, indiferent de suportul de stocare,
  • să ridice copii de pe cele amintite anterior,
  • să aibă acces la oricare dintre incintele operatorului şi persoanei împuternicite de operator,
  • şi să aibă acces şi să verifice orice echipament, mijloc sau suport de stocare a datelor, necesare desfăşurării investigaţiei
Putem împiedica în vreun fel controlul?

În cazul în care controlul este împiedicat în vreun fel, ANSPDCP poate solicita de la preşedintele Curţii de Apel Bucureşti sau de către un judecător delegat de acesta o autorizație judiciară, un fel de mandat, care se va comunica în copie entității controlate înainte de începerea inspecției.

Judecătorul se va pronunța asupra cererii în maxim 48 ore, ulterior soluționării o va comunica către ambele părți, acestea având posibilitatea să o conteste la Înalta Curte de Casație și Justiție. Cu toate acestea, chiar dacă partea contestă încheierea, aceasta nu este suspensivă de executare, ceea ce înseamnă că inspectorii pot merge mai departe cu inspecția.

Cum se desfășoară propriu-zis inspecția?

Personalul de control vine la sediul/punctul de lucru/locul unde-și desfășoară activitatea entitatea controlată (care poate fi operator sau persoana împuternicită).

Inspecția se desfășoară în intervalul orar 08:00-18:00 în prezența reprezentantului legal al entității controlate sau a unei persoane desemnate de acesta. Inspecția poate continua și după această perioadă, dar numai cu acordul scris al persoanelor anterior menționate.

Inspectorii pot:

  • cere orice fel de documente/informații au legătură cu inspecția (rămâne de văzut dacă se va aplica privilegiul avocat-client și în ce măsură și de asemenea ce se întâmplă cu informații considerate confidențiale/secrete de afaceri);
  • inventaria, identifica și pune sigiliu pe obiecte conform dispozițiilor codului de procedură penală;
Ce poate dispune ANSPDCP?

ANSPDCP poate dispune aplicarea umătoarelor măsuri coercitive:

  • să emită avertizări în atenția unui operator sau a unei persoane împuternicite de operator cu privire la posibilitatea ca operațiunile de prelucrare prevăzute să încalce dispozițiile GDPR;
  • să emită mustrări adresate unui operator sau unei persoane împuternicite de operator în cazul în care operațiunile de prelucrare au încălcat dispozițiile GDPR;
  • să dea dispoziții operatorului sau persoanei împuternicite de operator să respecte cererile persoanei vizate de a-și exercita drepturile în temeiul GDPR;
  • să dea dispoziții operatorului sau persoanei împuternicite de operator să asigure conformitatea operațiunilor de prelucrare cu dispozițiile GDPR, specificând, după caz, modalitatea și termenul-limită pentru aceasta;
  • să oblige operatorul să informeze persoana vizată cu privire la o încălcare a protecției datelor cu caracter personal;
  • Să impună o limitare temporară sau definitivă, inclusiv o interdicție asupra prelucrării;
  • să dispună rectificarea sau ștergerea datelor cu caracter personal sau restricționarea prelucrării, în temeiul articolelor 16, 17 și 18 GDPR, precum și notificarea acestor acțiuni destinatarilor cărora le-au fost divulgate datele cu caracter personal, în conformitate cu articolul 17 alineatul (2) și cu articolul 19 GDPR;
  • să retragă o certificare sau de a obliga organismul de certificare să retragă o certificare eliberată în temeiul articolul 42 și 43 GDPR sau să oblige organismul de certificare să nu elibereze o certificare în cazul în care cerințele de certificare nu sunt sau nu mai sunt îndeplinite;
  • să impună amenzi administrative în conformitate cu articolul 83 GDPR, în completarea sau în locul măsurilor menționate la prezentul alineat, în funcție de circumstanțele fiecărui caz în parte;
  • să dispună suspendarea fluxurilor de date către un destinatar dintr-o țară terță sau către o organizație internațională.

De asemenea, ANSPDC poate să:

  • dispună efectuarea expertizelor necesare inspecției;
  • audieze persoanele ale căror declarații sunt necesare inspecției;
  • sesizeze alte autorități;
  • formuleze recomandări.
Ce sancțiuni pot primi?

Potrivit GDPR, amenzile sunt: mustrarea și amenda.

De asemenea, în anumite cazuri, ANSPDCP poate emite avertizări.

În cât timp se pot aplica sancțiunile?

Sancțiunile pot fi aplicate în termenul de prescripție de 3 ani de la data săvârşirii faptei. Dacă avem fapte continue sau repetate dar care pot fi privite ca o singură faptă, prescripţia începe să curgă de la data constatării sau de la data încetării ultimului act ori fapt săvârşit, dacă acest moment intervine anterior constatării.

Atenție! Orice act făcut de autoritate echivalează cu întreruperea termenului de prescripție (adică se poate prelungi inspecția) însă nu poate fi mai mare de 4 ani de la data săvârşirii faptei,

Cum plătesc amenda?

Amenzile prevăzute de GDPR, deși sunt prevăzute în EURO, se aplică şi se achită în lei, la cursul oficial al Băncii Naţionale a României de la data aplicării.

Cine aplică sancțiunile?

Dacă amenda e mai mică de 300.000 EURO, sancțiunea se aplică prin proces-verbal de constatare/sancţionare încheiat de personalul de control.

Dacă amenda e mai mare de 300.000 EURO, sancțiunea se aplică prin decizie a preşedintelui ANSPDCP, pe baza procesului-verbal de constatare şi raportul personalului de control.

Ce trebuie să conțină decizia președintelui ANSPDCP?

Decizia trebuie să conţină în mod obligatoriu următoarele elemente:

  • datele de identificare ale Autorităţii naţionale de supraveghere şi numele reprezentantului legal al acesteia,
  • datele de identificare ale operatorului/persoanei împuternicite de operator, codul numeric personal, după caz,
  • descrierea faptelor şi a împrejurărilor care pot fi avute în vedere la individualizarea măsurii,
  • indicarea temeiului legal potrivit căruia se stabileşte şi se sancţionează fapta,
  • măsurile corective aplicate,
  • termenul şi modalitatea de plată a amenzii, după caz,
  • termenul de exercitare a căii de atac şi
  • instanţa de judecată competentă.
Cum se poate ataca o sancțiune o ANSPDCP?

Operatorul sau persoana împuternicită de operator poate introduce o contestaţie la secţia de contencios administrativ a tribunalului competent, în termen de 15 zile de la înmânare, respectiv de la comunicare. Hotărârea acestei instanțe poate și mai departe atacată cu apel la instanța superioară.

În cât timp trebuie să plătesc amenda?

Termenul de plată a amenzii este de 15 zile de la data înmânării, respectiv de la data comunicării procesului-verbal de constatare/sancţionare sau a deciziei preşedintelui Autorităţii naţionale de supraveghere.

Image from Crypto Head



Citeste si