Concluziile raportului de activitate și ale măsurilor corective aferente anului 2018 publicate de ANSPDCP

Raportul de activitate al ANSPDCP aferent anului 2018 a devenit disponibil spre consultare publică pe site-ul Autorității Naționale.

Conform studiului publicat de Deloitte Legal, România ocupa locul al doilea, după Polonia, în topul amenzilor acordate în Europa Centrală şi de Est pentru anul 2018, acesta fiind și primul an de aplicare a Regulamentului General privind Protecţia Datelor (GDPR) 679/2016. Locul II a fost adjudecat de România după ce Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a sancţionat cu o amendă în cuantum de 130.000 de euro o instituţie bancară.

Ulterior aplicării Regulamentului 679/2016, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a adoptat și publicat în Monitorul Oficial al României un număr de cinci decizii cu caracter normativ, respectiv:

1. Decizia nr. 99/2018 privind încetarea aplicabilităţii unor acte normative cu caracter administrativ emise în aplicarea Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date;

2. Decizia nr. 128/2018 privind aprobarea formularului tipizat al notificării de încălcare a securităţii datelor cu caracter personal în conformitate cu Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE;

3. Decizia nr. 133/2018 privind aprobarea Procedurii de primire și soluționare a plângerilor;

4. Decizia nr. 161/2018 privind aprobarea Procedurii de efectuare a investigațiilor;

5. Decizia nr. 174/2018 privind lista operaţiunilor pentru care este obligatorie realizarea evaluării impactului asupra protecţiei datelor cu caracter personal.

Mai mult decât atât, a fost adoptată Legea nr. 190/2018 privind măsurile de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date, această lege vizând inclusiv abrogarea Directivei 95/46/.

Conform raportului de activitate publicat, în anul 2018 a fost emis un număr de 778 de puncte de vedere, ca urmare a solicitărilor primite atât de la persoane fizice, persoane juridice de drept privat cât și de la persoane juridice de drept public, referitoare la aplicarea dispozițiilor reglementărilor naționale incidente, ceea ce reprezintă aproape o dublare a numărului acestora față de anul 2017. Este îmbucurător faptul că atât mediul privat cât și public au înțeles să apeleze la suportul pe care Autoritatea îl poate oferi în interpretarea dispozițiilor Regulamentului 2016/679, acesta fiind un prim pas în direcția prevenirii suportării sancțiunilor.

Solicitări numeroase au venit din partea diverselor entități din mediul privat, în special, beneficiari sau prestatori de diverse servicii, cu privire la stabilirea concretă, de către Autoritatea Națională de Supraveghere, a calității de operator, împuternicit sau operatori asociați. În continuare există dificultăți de interpretare a calității și, în consecință, de redactare și aplicare eronată a procedurilor/politicilor sau emiterii garanțiilor. Solicitări în număr mare au venit și cu privire la definirea condițiilor în care se poate realiza transferul datelor cu caracter personal către un stat terț care nu oferă un nivel adecvat de protecție și aupra interpretării a ceea ce înseamnă noțiunea de ”suficiente garanții”.

În plus, numeroase asociații de proprietari au solicitat Autorității Naționale de Supraveghere exprimarea unui punct de vedere cu privire la condițiile de prelucrare a datelor cu caracter personal ale proprietarilor/locatarilor unui imobil prin mijloace de supraveghere video.

În cuprinsul raportului se constată că numărul total de investigații demarate de Autoritatea Națională de Supraveghere în anul 2018 a fost de 1021, dintre care până la data de 25 mai 2018 au fost demarate 391 de investigații, iar începând cu 25 mai 2018 au fost 630 de investigații. În urma investigațiilor efectuate au fost aplicate sancțiuni contravenționale constând în 56 amenzi și 124 avertismente, precum și o serie de măsuri corective în baza dispozițiilor art. 58 alin. (2) lit c) și d) din Regulamentul General privind Protecția Datelor, cuantumul total al amenzilor aplicate doar în anul 2018 fiind de 631.500 lei.

Ulterior intrării în vigoare a Regulamentului General privind Protecția Datelor, au fost efectuate 64 de investigații din oficiu, ca urmare a notificării incidentelor de securitate a prelucrării datelor cu caracter personal, respectiv ca urmare a primirii de sesizări.

O altă chestiune pe care dorim să o subliniem sunt investigațiile demarate din oficiu. Începând cu data de 25 mai 2018, au fost demarate 336 de investigații din oficiu, în aplicarea Regulamentului General privind Protecția Datelor, un număr pe care îl catalogăm ca fiind destul de ridicat. Dintre acestea, 64 de investigații au fost finalizate prin transmiterea de recomandări operatorilor de date cu caracter personal privind respectarea prevederilor Regulamentului General privind Protecția Datelor.

Este de remarcat și faptul că în anul 2018, numărul petițiilor soluționate de Autoritatea Națională de Supraveghere a crescut cu peste 30% prin raportare la anul 2017, acest lucru având în vedere faptul că Regulamentul 2016/679 s-a aplicat abia începând cu data de 25 mai 2018. Astfel, au fost primite şi soluţionate un număr de 4822 plângeri (față de 3543 în 2017), 176 sesizări, 33 de solicitări informații și 80 de alte petiții. Din conținutul acestora, se poate constata că această creștere considerabilă a numărului plângerilor primite în cursul anului 2018 este rezultatul unei mai bune cunoașteri a atribuţiilor legale ale Autorităţii Naționale de Supraveghere de către persoanele fizice, prin comparație cu perioada anterioară.

Astfel, după data de 25 mai 2018 au fost înregistrate 2922 de plângeri și 120 de sesizări. Din numărul total al acestora, în peste 700 de cazuri, petenții au adresat solicitările lor prin utilizarea formularului electronic de plângere. Așa cum și Autoritatea a pus emfază în raport, în perioada 2006-2018, a avut loc o evoluție exponențială a numărului plângerilor care au fost adresate Autorității Naționale de Supraveghere, creșterea înregistrată fiind de peste 6 ori față de anul 2013, respectiv, de peste 90 de ori față de primul an de activitate.

De asemenea, pe site-ul Autorității au fost publicate măsurile corective (caracterizate ca fiind alte măsuri în afara amenzilor) aplicate în perioada 01.06.2019-30.09.2019. Se observă faptul că sancțiunile au vizat, fără limitare, atât societăți mari/cunoscute precum Vola, Vodafone, Orange, Dante Internațional (EMAG), precum și întreprinderi mici, de exemplu S.C. Easy Asset Management IFN S.A., A-Car Vaslui, Modern Barber S.R.L., diferite asociații de proprietari, societăți private dar și instituții/autorități publice (Direcția Regională a Finanțelor Publice Ploiești, Universitatea de Medicină și Farmacie ”Carol Davila” din București, IPJ Dambovita etc.).

Motivele aplicării măsurilor corective au fost diverse. Printre motivele recurente care au stat la baza aplicării măsurilor corective se află: lipsa instruirii personalului cu privire la respectarea procedurilor de lucru, lipsa punerii în aplicare a unor măsuri tehnice și organizatorice adecvateîn vederea asigurării unui nivel de securitate corespunzător (sau, după caz, revizuirea și actualizarea acestor măsuri), lipsa furnizăriipersoanelor vizate de informaţii privind acţiunile întreprinse sau lipsa furnizării de răspunsuri complete și adecvate la cererea persoanelor vizate. În unele cazuri, măsurile corective au fost aplicate ca urmare a netransmiterii de căre operatori a unor răspunsuri complete/la timp/adecvate la solicitările Autorității.

Concluziile care se desprind sunt următoarele:

– GDPR se aplică și companiilor mici și companiilor mari, celor de drept privat sau public în egală măsură, indiferent de obiectul de activitate, număr de angajați, solvabilitate etc. A considera că din pricina cifrei de afaceri mici sau a numărului mic de angajați nu suntem expuși riscului de a face obiectul unui control al Autorității este o eroare;

– ANSPDCP poate demara o investigație în urma primirii unei plângeri, a unei sesizări dar poate demara un control și din oficiu;

– Este imperios necesar să aveți proceduri/politici detaliate pentru toate operațiunile de prelucrare a datelor cu caracter personal. Însă în egală măsură este important să și implementați sisteme de securitate capabile să protejeze datele cu caracter personal și să instruiți corespunzător personalul care are acces la date cu caracter personal de orice natură;

– Deja reprezintă o certitudine faptul că în viitor numărul de amenzi și măsuri corective aplicate va crește exponențial cu atât mai mult cu cât resursele Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal au crescut comparativ cu acum câțiva ani, iar ghidurile publicate și, în definitiv, experiența acumulată de Autoritate, sunt suficiente pentru soluționarea oricărei problematici care poate interveni.

Cabinetul nostru are experiența necesară și este în măsură să vă ofere sprijinul, pe de o parte, pentru întocmirea, actualizarea, adaptarea și implementarea tuturor procedurilor necesare pentru respectarea cerințelor minime ale Regulamentului General privind Protecția Datelor, iar pe de altă parte, pentru oferirea soluțiilor și a răspunsurilor în raport de Autoritate la solicitarea organelor de control.

Raportul ANSPDCP se poate accesa aici raport_de_activitate_2018.pdf

iar măsurile corective aici

https://www.dataprotection.ro/?page=masuri_corective_iunie_sept_2019&lang=ro

Avocat Gherasim Andrei-Gheorghe

Titular Cabinet de Avocat ”Gherasim Andrei-Gheorghe”