Aici descoperim
dreptul tehnologiei

Copy-of-Câteva-sute-de-companii-din-România-au-ales-să-implementeze-GDPR-inteligent-7-1200x675.png

Investigații GDPR. 10 Lucruri pe care trebuie să le știi despre controalele GDPR.

Nota Ruxandrei Sava, CIPP/E

Dragă cititorule, 

Eu știu că timpul este important pentru tine, așadar, prin acest articol mi-am propus să îți prezint, într-un limbaj simplu și ușor de înțeles, lucrurile care te interesează cu adevărat despre modalitatea în care se vor desfășura investigațiile GDPR.

Îți mulțumesc pentru aprecierile tale,

Ruxandra Sava,

CIPP/E

 

Descarcă procedura desfășurării investigației GDPR de aici

 

1.Investigații GDPR. Cine le desfășoară?

Investigațiile GDPR sunt desfășurate de către ANSPDCP (Autoritatea Națională de Supraveghere a Prelucării Datelor cu Caracter Personal), prin personalul său de control.

2. Cum pot ajunge să fiu investigat de ANSPDCP?

Există două căi prin care ANSPDCP poate decide să efectueze un control cu privire la conformitatea activităților tale de prelucrare a datelor cu caracter personal, și anume:

  • a fost depusă o plângere;

Cu alte cuvinte, atunci când o persoană fizică, nemulțumită de felul în care i se prelucrează datele, depune o plângere împotriva ta, ANSPDCP, în situația în care constată că respectiva plângere este întemeiată, va decide efectuarea unei investigații. De aceea este foarte important să ne asigurăm că respectăm drepturile tuturor persoanelor vizate.

Mai multe despre drepturile persoanei vizate poți citi aici:

Informarea persoanei vizate. Cum facem să corespundă cerințelor GDPR?

Dreptul la opoziție al persoanei vizate

Dreptul la restricționarea prelucrării

Dreptul la portabilitatea datelor 

Dreptul la rectificare al persoanei vizate

De asemenea, proceduri pentru asigurarea respectării drepturilor persoanelor vizate găsești aici.

  • ANSPDCP s-a sesizat din oficiu

Mai exact, chiar în absența unei plângeri, ANSPDCP poate desfășura o investigație în firma ta atunci când a obținut date și informații (art. 5 din Decizie) din surse cum ar fi:

– corespondenţa primită de ANSPDCP;

– mass-media;

– accesarea reţelei de internet;

De exemplu, ANSPDCP poate intra pe site-ul tău și descoperi faptul că nu ai implementat cerințele obligatorii, precum informarea utilizatorilor privind modulele cookie, acordul pentru marketing sau informarea vizitatorilor privind prelucrarea datelor cu caracter personal. Acest lucru poate da naștere unei investigații GDPR.

De exemplu, în anii trecuți, ANSPDCP a amendat diverse companii care dețineau site-uri și acestea nu aveau implementate procedurile GDPR. Potrivit statisticilor, cele mai multe amenzi s-au luat pentru nerespectarea obligației de informare, aceasta fiind și cel mai ușor de verificat. Află aici  cum trebuie să faci ca informarea să corespundă standardelor GDPR.

-documentele de constatare întocmite în urma efectuării altor investigaţii GDPR sau alte documente de la nivelul ANSPDCP;

De exemplu, dacă ANSPDCP desfășoară un control la un partener comercial este posibil să ajungă, pe acestă cale, și la tine.

-activităţile de cooperare cu entităţi de drept public sau privat ori cu autorităţi de supraveghere din străinătate

-alte surse.

Decizia nu menționează celelalte surse, lăsând a se înțelege că ANSPDCP are libertatea de a culegere informațiile de oriunde 🙂

3. Voi înștiințat cu privire la investigație?

Da și nu. Depinde. Potrivit Deciziei, investigaţiile pot fi efectuate cu înştiinţarea ta sau se pot desfăşura inopinat, fără anunţarea în prealabil.

4. Cum se desfășoara investigația? Se deplasează la mine, mă duc la ei la sediu sau în scris?

Potrivit Deciziei, investigațiile se pot desfășura:

-pe teren;

Decizia prevede, printre altele, că inspectorii ANSPDCP:

  • se deplasează la sediul  sediul/domiciliul/punctul de lucru sau alte locaţii;
  • prezintă legitimația de control;
  • prezintă obiectivele investigației;
  • verifică aspectele ce au legătură cu obiectivul investigației;
  • verifică orice document, echipament, mijloc sau suport de stocare a datelor;
  • ridică documentelor, în copie certificată de către entitatea controlată, sau a înregistrărilor relevante care au legătură cu obiectul controlului şi anexarea acestora
    la procesul-verbal de constatare/sancţionare;
  • întocmirea procesului-verbal de constatare/sancţionare;
  • aplicarea sancţiunii amenzii în situaţia în care cuantumul acesteia nu depăşeşte echivalentul în lei al sumei de 300.000 euro. Amenzile mai mari de 300.000 euro se dau de președintele ANSPDCP;
  •  înmânează o copie procesului-verbal de constatare/sancţionare.

Sfat: Asigură-te că ai dosarul cu proceduri GDPR, semnat de conducere și de personal și pus în ordine. Cum ar putea organizație care nu e în stare să își țină în ordine politicile și procedurile GDPR, să protejeze datele cu caracter personal? Dacă nu ai procedurile, le găsești aici.

Ce se întâmplă dacă împiedic accesul personalului de control?

În situaţia în care personalul de control este împiedicat în orice mod în exercitarea atribuţiilor, ANSPDCP poate solicita autorizarea judiciară, dată prin încheiere de către preşedintele Curţii de Apel Bucureşti sau de către un judecător delegat de acesta, în condiţiile legii.

Ar mai trebui să știi că, în toate situaţiile investigaţia nu poate începe înainte de ora 8,00 şi nu poate continua după ora 18,00 şi trebuie efectuată în prezenţa persoanei la care se efectuează investigaţia sau a reprezentantului său. Investigaţia poate continua şi după ora 18,00 numai cu acordul persoanei la care se efectuează aceasta sau a reprezentantului său.

De asemenea,  personalul de control poate audia persoanele ale căror declaraţii sunt considerate relevante şi necesare desfăşurării investigaţiei. Audierea se consemnează într-o notă de audiere.

În cadrul efectuării investigaţiilor, personalul de control poate propune printr-o notă, avizată/semnată de şeful ierarhic şi aprobată de preşedintele ANSPDCP/înlocuitorul acestuia, efectuarea de expertize, în condiţiile legii. De exemplu, în situația în care este nevoie de o expertiză informatică.

-la sediul ANSPDCP;

Investigațiile GDPR mai pot fi desfășurate și la sediul ANSPDCP. În acest sens, primești o adresă de convocare cu precizarea datei şi orei de începere a investigaţiei GDPR la sediul ANSPDCP. În adresă se menţionează obligaţia de a te prezenta la sediul ANSPDCP, după caz, cu documente, înregistrări relevante, echipamente informatice (dacă e cazul), actele de identitate ale reprezentantului legal/persoanei împuternicite şi ale entităţii controlate, inclusiv cu ştampila în cazul autorităţilor publice şi registrul de control, dacă este cazul.

-în scris

Întrucât este modalitatea cea mai puțin costisitoare, va fi probabil cea preferată de ANSPDCP. În acest sens, primești o adresă prin care ți se solicită ca într-un anumit termen să comunici informațiile și documentele necesare. În funcție de informațiile și documentele primite, se poate decide continuarea investigației în scris sau pe teren, sau se poate decide finalizarea investigaţiei prin încheierea procesului-verbal de constatare/sancţionare la sediul ANSPDCP.

5. Ce obligații am în eventualitatea unei investigații GDPR?

În cadrul investigaţiei, ai, în principal, următoarele obligaţii:

a)să permiți inespectorilor să înceapă și să deruleze investigația, fără a-i stânjeni în vreun fel;
b)să asiguri accesul personalului de control orice echipament, mijloc sau suport de prelucrare/stocare a datelor;
c)să pui la dispoziţia personalului de control orice informaţii şi documente indiferent de suportul de stocare, necesare desfăşurării investigaţiei, inclusiv copii de pe acestea;
d)să pui la dispoziţia ANSPDCP documentele solicitate, certificate pentru conformitate cu originalul;
e)să furnizezi într-o formă completă documentele, informaţiile, înregistrările şi evidenţele solicitate, precum şi orice lămuriri necesare, fără a putea opune caracterul
confidenţial al acestora, în condiţiile legii;
f)să permiți personalului de control utilizarea echipamentelor de înregistrare şi stocare audiovideo/foto ori de câte ori echipa de control consideră că este necesar în cadrul derulării activităţii de control.

6. Ce sancțiuni pot primi? 

Sancțiunile principale sunt avertismentul sau amenda.

Atunci când se decide dacă se va impune o amendă și dacă da, cuantumul acesteia, se iau în calcul următoarele aspecte:

  • gravitatea încălcării;
  • dacă încălcarea a fost comisă intenționat sau din culpă;
  • acțiunile întreprinse de tine pentru pentru a reduce prejuciul;
  • gradul de responsabilitate, ținându-se seama de măsurile tehnice și organizatorice implementate, precum politici de securitate, proceduri pentru respectarea drepturilor, transferuri de date, managementul incidentelor de securitate etc. Măsurile care ar trebui să existe se găsesc aici.
  • încălcările anterioare;
  • gradul de cooperare cu ANSPDCP;
  • categoriile de date afectate, dacă este vorba de date obișnuite sau date sensibile;
  • orice alt factor agravant sau atenuat.

Sfat: Așa cum orice suspect în cazul unui investigații penale (vinovat sau nevinovat) ar trebui să își ia un avocat ca să îl apere, poate nu ar fi o idee rea să apelezi la un avocat cu experiență care să te apere pe parcursul investigației. Pe noi ne găsești aici 

7. Ce trebuie să conțină procesul-verbal?

Sub sancțiunea nulității absolute, procesul-verbal emis în urma unei investigații GDPR trebuie să conțină:

a) data şi locul încheierii procesului-verbal de constatare/sancţionare;
b) datele de identificare şi funcţiile membrilor echipei de control, inclusiv numărul legitimaţiei de control;
c) numărul şi data deciziei de împuternicire emise de preşedintele ANSPDCP şi, după caz, numărul şi data împuternicirii pentru investigaţiile efectuate pe teren şi neanunţate în prealabil în scris;
d) obiectul controlului;
e) datele de identificare ale entităţii controlate;
f) datele de identificare şi funcţiile reprezentanţilor entităţii controlate;
g) constatările rezultate în urma verificărilor efectuate;
h) descrierea faptei contravenţionale, cu indicarea datei şi locului în care a fost săvârşită fapta, a împrejurărilor ce pot servi la aprecierea gravităţii faptei şi, eventual, a pagubelor, a actului normativ prin care se stabileşte şi se sancţionează contravenţia, precum şi a măsurilor corective şi/sau a sancţiunii aplicate, dacă este cazul;
i) termenul de exercitare a căii de atac şi instanţa la care se depune plângerea, în cazul aplicării unei sancţiuni contravenţionale;
j) dacă s-au ridicat documente sau alte materiale, felul şi natura acestora;
k) dacă reprezentanţii entităţii controlate, care au participat la activitatea de control, au refuzat să consemneze obiecţiunile cu privire la conţinutul procesului-verbal de constatare/sancţionare, după ce le-a fost adus la cunoştinţă acest drept;
l) menţiuni privind înmânarea/comunicarea procesului-verbal de constatare/sancţionare, în copie, reprezentanţilor entităţii controlate;
m) motivele pentru care reprezentanţii entităţii controlate nu au semnat procesul-verbal de constatare/sancţionare, cu indicarea datelor de identificare a martorului care atestă motivele nesemnării procesului-verbal, în cazul în care acesta există, sau a motivelor care au condus la întocmirea procesului-verbal în lipsa unui martor.

8. Cum pot ataca în justiție procesul – verbal?

În termen de 15 zile de la data înmânării sau comunicării procesului-verbal emis în urma unei investigații GDPR, poți introduce contestație la Secția de contencios administrativ a tribunalului competent.

9. Ce se întâmplă dacă nu achit amenda în 15 zile?

Dacă nu faci dovada achitării amenzii în termen de 15 zile de la data înmânării sau comunicării procesului-verbal, vei fi executat silit de către organele de executare silită potrivit legii.

10. Pot fi amendat doar prin proces-verbal?

Nu. Dacă amenda este mai mică de 300.000 EURO, atunci aplicarea amenzii în urma unei investigații GDPR se va face prin procesul verbal încheiat de către inspectori.

Dacă amenda este mai mare de 300.ooo EURO, aplicarea amenzii în urma unei investigații GDPR se va face de către președintele ANSPDPC, prin Decizie, pe baza procesului-vernal încheiat de către inspectori.

De asemenea se poate dispune aplicarea unei amenzi cominatorii de până la 3.000 lei pentru fiecare zi de întârziere, în cazul în care nu te conformezi respectării măsurilor corective aplicate în urma unei investigații GDPR sau refuzi să pui la dispoziție documentele și informațiile solicitate.