În Monitorul Oficial al României nr. 892 din 23 octombrie 2018 a fost publicată Decizia nr. 161 a Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal privind aprobarea Procedurii de efectuare a investigațiilor, scrie avocatul Ana-Maria Udriște, fondatorul Avocatoo. Pe Ana-Maria o regăsiți și pe BizTool.ro, marketplace-ul de servicii pe care l-am realizat pentru a satisface nevoile unei afaceri la început de drum. Pe BizTool.ro regăsiți avocați, contabili, oameni de marketing, de programare, sau design, consultanți de business și pentru atragerea finanțărilor.
Regulamentul GDPR - de unde pornește o investigație?
Investigațiile în cazul abaterilor de la Regulamentul General de Protecție a Datelor, privind protecția datelor cu caracter personal, se pot declanșa din oficiu sau la plângere. Asta înseamnă că ANSPDCP se poate autosesiza privind anumite încălcări ale legislației protecției datelor personale.
Investigaţiile din oficiu se pot efectua:
- a) la propunerea compartimentelor cu atribuţii de control ale ANSPDCP;
- b) la propunerea preşedintelui sau vicepreşedintelui ANSPDCP, printr-o rezoluţie scrisă;
- c) la propunerea celorlalte compartimente din cadrul ANSPDCP;
- d) ca urmare a transmiterii notificărilor de încălcare a securităţii datelor cu caracter personal;
- e) pentru verificarea unor date şi informaţii cu privire la prelucrarea datelor cu caracter personal, obţinute de către ANSPDCP din alte surse decât cele care fac obiectul unor plângeri, inclusiv pe baza sesizărilor sau a informaţiilor primite de la o altă autoritate de supraveghere sau de la o altă autoritate publică;
- f) în vederea cooperării internaţionale, precum şi cu celelalte autorităţi de supraveghere din statele membre, în domeniul protecţiei datelor cu caracter personal, inclusiv în cadrul operaţiunilor comune şi al acordării de asistenţă reciprocă.
Puteți descărca de aici procedura de efectuare a investigațiilor GDPR
GDPR – de unde își poate lua ANSPDCP informații
Informațiile privind abaterile de la regulament pot fi adunate de Autoritătea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal din diverse surse:
- corespondenţa primită de ANSPDCP,
- mass-media,
- accesarea reţelei de internet,
- documentele de constatare întocmite în urma efectuării altor investigaţii sau alte documente de la nivelul ANSPDCP,
- activităţile de cooperare cu entităţi de drept public sau privat ori cu autorităţi de supraveghere din străinătate
Regulamentul GDPR – obligațiile organizației supuse controlului
În cadrul investigaţiei, organizația controlată are, în principal, următoarele obligaţii:
- a) să permită personalului de control, fără întârziere, începerea şi derularea investigaţiei şi să asigure suportul necesar personalului de control;
- b) să asigure accesul personalului de control în incintele în care îşi desfăşoară activitatea, la orice echipament, mijloc sau suport de prelucrare/stocare a datelor, în vederea efectuării verificărilor necesare desfăşurării investigaţiei, inclusiv la cele care pot fi accesate la distanţă;
- c) să pună la dispoziţia personalului de control orice informaţii şi documente indiferent de suportul de stocare, necesare desfăşurării investigaţiei, inclusiv copii de pe acestea;
- d) să pună la dispoziţia ANSPDCP documentele solicitate, certificate pentru conformitate cu originalul;
- e) să furnizeze într-o formă completă documentele, informaţiile, înregistrările şi evidenţele solicitate, precum şi orice lămuriri necesare, fără a putea opune caracterul confidenţial al acestora, în condiţiile legii;
- f) să permită personalului de control utilizarea echipamentelor de înregistrare şi stocare audiovideo/foto ori de câte ori echipa de control consideră că este necesar în cadrul derulării activităţii de control.