GDPR. Cum se calculează amenzile pentru încălcarea protecției datelor personale?

Întrebarea importantă în ceea ce privește GDPR, domeniul de aplicare a amenzilor, modul de calculare a acestora este: Care sunt noile amenzi pentru încălcarea protecției datelor personale?

GDPR prevede următoarele amenzi:

Până la 10 milioane EURO sau 2% din cifra de afaceri globală din anul precedent în cazul încălcării obligațiilor  operatorului și ale persoanei împuternicite, printre care:

• consimțământul copiilor
• asigurarea protecției datelor începând cu momentul conceperii și în mod implicit
• nerespectarea obligațiilor cu privire la operatorii asociați
• nerepectarea obligațiilor cu privire la persoana împuternicită
• neîntocmirea evidenței activităților de prelucrare (registrul activităților de prelucrare). Află mai multe despre registrul activităților de prelucrare aici 
• neasigurarea securității datelor și neimplementarea măsurilor tehnice și organizatorice adecvate 
• omisiunea de a notifica ANSPDCP în cazul unui incident de securitate
• omisiunea de a informa persoanele vizate în cazul unui incident de securitate
• neefectuarea evaluării impactului asupra protecției datelor atunci când aceasta este obligatorie
• omisiunea de a consulta prealabil ANSPDCP atunci când această consultare este obligatorie
• omisiunea de a desemna un responsabil cu protecția datelor, atunci când desemnarea lui este obligatorie

și

Până la 20 milioane EUR sau 4% din cifra de afaceri globală a anului precedent în cazul încălcării obligațiilor referitoare, printre altele, la

• încălcarea principiilor GDPR (principiul legalității, echității și transparenței, principiul limitării scopului, principiul reducerii la minimum a datelor, principiul exactității, principiul limitării stocării, principiul integrității și confidențialității și principiul responsabilității);
• Încălcarea condițiilor privind consimțământul.
• Nerespectarea drepturilor persoanelor vizate, printre care dreptul la informare , dreptul de acces, dreptul la rectificare, dreptul la ștergerea datelor, dreptul la restricționarea prelucrării, dreptul la portabilitate , dreptul la opoziție, dreptul de a nu fi supus unui proces decizional automat.
• Încălcarea obligațiilor privind transferurile internaționale
• Încălcarea obligațiilor impuse de legislația națională

Având în vedere că nu există o sumă minimă, acest lucru acordă o mare flexibilitate Autorității de Supaveghere în stabilirea cuantumului unei amenzi.

⇒ Implementează GDPR rapid, simplu și eficient!

Cum se calculează amenzile? Conceptul de întreprindere

GDPR prevede că amenzile se impun unei “întreprinderi”, iar Grupul de lucru Articolul 29, în instrucțiunile sale, a clarificat că noțiunea de întreprindere este prevăzută de CJUE în scopul aplicării articolelor 101 și 102 din TFUE și trebuie interpretată în în conformitate cu legislația și jurisprudența UE.

“O întreprindere trebuie înțeleasă ca fiind unitatea economică, care se angajează în activități comerciale/economice, indiferent de persoana juridică implicată”.

Problema nu este analizată în detaliu de Grupul de lucru Articolul 29, însă definiția întreprinderii este un concept al dreptului concurenței. Utilizăm cazuri din domeniul concurenței pentru a da indicații clienților cu privire la nivelul real al expunerii la riscuri, care poate fi declanșat de amenzile prevăzute de GDPR. Din cele de mai sus rezultă că:

• Amenzile ar putea să nu fie calculate doar pe baza cifrei de afaceri a entității juridice care a încălcat legea sau a operatorului/împuternicitului, dar ar putea fi determinate luând în considerare toate entitățile implicate în activitatea investigată;
• Consecința concluziei de mai sus este faptul că o integrare puternică a infragrupurilor în chestiuni expuse amenzilor pentru încălcarea confidențialității, cum ar fi crearea unui departament centralizat de marketing sau de resurse umane care deservește întregul grup, ar putea crește riscul de calculare a amenzilor pe cifra de afaceri a întregul grup sau extins la mai multe entități ce aparțin grupului;
• Reorganizarea grupului, în special în cadrul întreprinderilor care se bazează în mod considerabil pe exploatarea unor cantități mari de date cu caracter personal, ar trebui evaluată, pentru a limita expunerea întregului grup; și
• Ar trebui să se verifice dacă un singur DPO care asigură respectarea GDPR în cadrul grupului poate să asigure un control deplin asupra strategiei de confidențialitate a tuturor filialelor sau dacă poate crește riscul unui efect domino în cadrul grupului în cazul unei încălcări a protecției datelor.

⇒ Implementează GDPR rapid, simplu și eficient!

Care sunt criteriile de calcul al amenzilor?

GDPR prevede că amenzile aplicabile sunt:

• Efective
• Proporționale și
• Disuasive (de exemplu, dacă o întreprindere este mare se va confrunta cu amenzi mai mari decât un start-up, pentru aceeași încălcare).

Aceste amenzi se stabilesc în funcție de natura, gravitatea și durata încălcării, ținând seama, printre altele, de:

• Numărul persoanelor afectate și prejudiciile suferite de acestea;
• Scopul prelucrării contestate;
• Nivelul prejudiciilor suferite de persoanele fizice;
• Caracterul intenționat sau neglijent al încălcării;
• Orice acțiune întreprinsă pentru diminuarea prejudiciilor suferite de persoanele fizice;
• Implementarea măsurilor organizatorice care, în consecință, devin instrumente eficiente, de asemenea, menite să diminueze cuantumul amenzilor în cazul sancțiunilor emise sau să dispună emiterea doar a unui avertisment;
• Orice încălcări anterioare relevante ale operatorului sau împuternicitului, adică istoricul întreprinderii reclamate, vor avea importanță;
• Gradul de cooperare cu autoritatea de supraveghere, pentru a remedia încălcarea și pentru a atenua posibilele efecte negative ale încălcării;

Despre ce sume este vorba?

În România, până în prezent au fost aplicate următoarele amenzi:

• UniCredit Bank a fost amendat cu 130.000 euro. 
• World Trade Center a fost amendat cu 15.000 euro
• Legal Company and Tax HUB SRL, o companie mică din România a fost amendată cu aproximativ 14.000 lei
• UTTIS INDUSTRIES SRL a fost amendată cu 11.834,25 lei
• Raiffeinsen Bank a fost amendată cu 150.000 euro
• Vreau Credit SRL a fost amendată cu 20.000 euro
• BNP Paribas Personal Finance SA a fost amendată cu aproximativ 9000 lei
• Fan Courier a fost amendată cu 11.000 euro

Există și alte motive de îngrijorare?

Desigur, persoanele fizice afectate se pot adresa instanțelor de judecată pentru desăgubiri. Avem un caz interesant în România, unde o singură persoană a primit 10.000 lei daune morale pentru dezvăluirea CNP-ului. De asemenea, angajații implicați în prelucrarea datelor, în situația în care compania la care lucrează este amendată, pot fi trași la răspundere pentru neprotejarea datelor cu caracter personal.

Principiul responsabilității este o “armă” suplimentară

GDPR prevede principiul responsabilității, care pune obligația de a demonstra respectarea GDPR în sarcina companiei investigate, ceea ce face ca poziția acesteia din urmă să fie și mai delicată. Punerea în aplicare a politicilor și a procedurilor în vederea respectării cerințelor GDPR de către angajați și partenerii lor este crucială.

Este timpul pentru o revoluție culturală?

Asemenea amenzi vor obliga companiile să considere respectarea vieții private. Până în prezent, în unele cazuri datele sunt stocate mulți ani sau pe o perioadă nedeterminată de timp, însă acestea ar putea pune în pericol întreaga companie, deoarece prelucrarea ilegală poate declanșa amenzi imense.

Prin urmare, este necesar să se efectueze un audit al datelor prelucrate în prezent pentru a se asigura, printre altele, că datele au fost colectate în conformitate cu GDPR, că au fost păstrate pe perioada prevăzută de lege și că nu au fost utilizate în alte scopuri decât cele pentru care a fost obținut consimțământul.

GDPR este în vigoare și se va aplica datelor colectate de companie în prezent și în trecut.

Vrei să te aliniezi la GPPR? Cum te putem ajuta, află aici. 

⇒ Implementează GDPR rapid, simplu și eficient!

Sursa