ZRP
Tuca Zbarcea & Asociatii

Cum se pot pregăti companiile pentru investigația ANSPDCP

22 Iulie 2019   |   Nicoleta Gheorghe, Managing Associate, Radu și Asociații SPRL

În ceea ce privește activitatea ANSPDCP, observăm că cele trei amenzi aplicate până în acest moment sunt rezultatul unor investigații inițiate ca urmare a unor plângeri sau a notificării unor breșe de securitate de către operatorul de date.

Nicoleta Gheorghe, Managing Associate, Radu si Asociatii SPRL

 
 
După o perioadă de mai bine de un an de la intrarea în vigoare, pe 25 mai 2018, a Regulamentului privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (RGPD), asistăm la o nouă perioadă de efervescență declanșată de primele amenzi aplicate pentru nerespectarea prevederilor RGPD de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal - ANSPDCP.

Dacă în 2017 și în primele luni ale lui 2018, companiile au investit resurse impresionante de timp și bani, în unele cazuri într-un proces contra cronometru, pentru a se asigura că se vor conforma la timp prevederilor legale, primul an de aplicabilitate a noului regulament european a fost unul mai degrabă liniștit. Companiile care au urmat un proces de analiză și conformare s-au bucurat de un moment de pauză, iar cele care nu au realizat acest proces nu au văzut niciun efect imediat al noilor prevederi legale și au considerat, poate, că activitatea lor nu va fi afectată. Recentele sancțiuni aplicate ne arată, însă, că autoritățile naționale au folosit această perioadă pentru a-și consolida aparatul de control și pentru a realiza primele investigații.


Astfel, în doar câteva zile (27 iunie - 5 iulie 2019), ANSPDCP a aplicat trei amenzi, una de 130.000 euro unei instituții bancare, una de 15.000 euro unei unități hoteliere și cea de a treia de 3.000 euro unei societăți care oferă consultanță în domeniul protecției datelor. De asemenea, la nivel european, pe 8 și 9 iulie 2019, ICO (autoritatea pentru protecția datelor din Marea Britanie) și-a anunțat intenția de a amenda un mare lanț hotelier cu peste 99 milioane de lire și o companie aeriană cu 183,39 milioane de lire (reprezentând, potrivit The Guardian, 1,5% din cifra de afaceri obținută la nivel global de compania aeriană anul trecut) pentru încălcarea RGDP.

În ceea ce privește activitatea ANSPDCP, observăm că cele trei amenzi aplicate până în acest moment sunt rezultatul unor investigații inițiate ca urmare a unor plângeri sau a notificării unor breșe de securitate de către operatorul de date. Autoritatea și-a actualizat recent pagina web pentru a facilita accesul celor interesați la procedura de depunerea a plângerilor în baza RGPD, o procedură simplificată care permite completarea online a formularului de plângere. De asemenea, în cadrul ANSPDCP s-a creat Direcția Plângeri. Este ușor de anticipat, astfel, că în perioada următoare, numărul investigațiilor ANSPDCP va crește la fel ca și numărul de sancțiuni aplicate.  

Întrebarea care se pune este ce poate face o companie în cazul în care ANSPDCP inițiază o investigație în privința activității sale? Cum se pregătește pentru o astfel de investigație?

În lumina reglementărilor în vigoare, putem identifica măsuri care trebuie luate înainte, în timpul și ulterior investigației. Enumerăm mai jos câteva dintre acestea.

Înainte de investigație:

→    analizarea periodică a conformității operațiunilor de prelucrare a datelor cu caracter personal cu reglementările în vigoare (inclusiv verificarea măsurilor de securitate IT implementate);
→    verificarea periodică a modului în care persoanele împuternicite să prelucreze date în numele companiei (companii terțe) se conformează RGPD;
→    instruirea periodică a angajaților companiei atât cu privire la prevederile RGPD și ale legislației interne în materie, cât și în ceea ce privește modul în care trebuie să acționeze în cazul unui control al ANSPDCP.

Pe durata investigației:

→    identificarea personalului autorității care efectuează investigația pe baza legitimației de control și a împuternicirii emise pentru efectuarea investigației;
→    obținerea a cât mai multor informații cu privire la investigație pentru a putea informa cât mai complet responsabilul cu protecția datelor (DPO) și avocatul societății;
→    contactarea imediată și informarea cât mai completă a DPO-ului și a avocatului societății;
→    colaborarea completă cu personalul de control, în limitele mandatului pe care inspectorii îl au, inclusiv prin furnizarea informațiilor, documentelor sau înregistrărilor solicitate, precum și prin permiterea audierii de persoane în măsura în care se solicită acest lucru și dacă acestea au legătură cu obiectivele investigației;
→    oferirea accesului la informații/documente confidențiale (cu aducerea la cunoștința personalului de control a caracterului confidențial al acestora) în măsura în care acestea au legătură cu obiectivele investigației;
→    citirea cu atenție a procesului verbal de control înainte de a fi semnat pentru a nu încorpora informații eronate.

După finalizarea investigației:

→    analizarea împreună cu avocatul societății și cu ceilalți consultanți a oportunității formulării unei contestații împotriva procesului-verbal de constatare/sancționare;
→    implementarea măsurilor necesare de remediere și efectuarea modificărilor care se impun pentru conformarea cu RGPD.
 
Analizând cazurile investigate și/sau sancționate până în acest moment de ANSPDCP, dar și pe cele în privința cărora ICO și-a anunțat intenția de a aplica amenzi, remarcăm faptul că situațiile practice în care se poate ajunge la o încălcare a RGPD sunt dintre cele mai variate și greu de anticipat la o analiză de bază/sumară.

Este evident că procesul de aliniere la prevederile RGPD este unul continuu, care impune o permanentă instruire a personalului care gestionează date cu caracter personal în toate ariile de activitate ale companiei. Cunoașterea fluxurilor de date cu caracter personal, a obligațiilor impuse operatorului de date, dar și a riscurilor la care acesta se supune în caz de încălcare a acestora sunt esențiale pentru evitarea unor amenzi de până la 20.000.000 euro sau 4% din cifra de afaceri.  

 
 

PNSA

 
 

ARTICOLE PE ACEEASI TEMA

ARTICOLE DE ACELASI AUTOR


     

    Ascunde Reclama
     
     

    POSTEAZA UN COMENTARIU


    Nume *
    Email (nu va fi publicat) *
    Comentariu *
    Cod de securitate*







    * campuri obligatorii


    Articol 6498 / 18434
     

    Ascunde Reclama
     
    BREAKING NEWS
    ESENTIAL
    Studiu Refinitiv | Cum s-au împărțit fuziunile mid-market, în primele 10 luni din 2022, pe firmele de avocatură active și la București. CMS sprintează în regiunea EMEA, tranzacții mai mici și mai puține
    Banking & Finance | Avocații NNDKP au asistat clienții în finanțări de cca. 2,8 miliarde de euro, în ultimul an. Cele mai relevante au continuat să fie finanțările sindicalizate în care bănci din România au pus la dispoziția împrumutaților fonduri semnificative pentru capital de lucru. De vorbă cu Alina Radu, Partener și Coordonator al practicii, despre particularitățile proiectelor, apetitul pentru finanțare, echipă și tendințele care se prefigurează
    Biroul CMS din București a asistat grupul german All4Labels în achiziția Romprix Exim. O echipă de avocați cu senioritate ridicată a lucrat în tranzacția prin care se configurează liderul pieței locale de imprimare digitală industrială
    Schoenherr a asistat CA Immo, iar KPMG Legal a stat alături de Pavăl Holding în cea mai mare tranzacție imobiliară de pe piața locală. CBRE, consultant financiar și imobiliar exclusiv al vânzătorului | Ce avocați au lucrat în achiziția de 377 mil. € și ce spune Karina Pavăl, Vicepreședinte Pavăl Holding, despre echipa de consultanți
    Avocații firmei Stratulat Albulescu spun că apar tot mai multe tranzacţii de conţinut social media care, pe lângă valoarea impresionantă, vin la pachet cu implicaţii din perspectivă IP pe mai multe niveluri. De vorbă cu Elena Stan, Managing Associate, despre schimbările semnificative din legislația mărcilor, aspectele provocatoare ale proiectelor din practica de IP și diversitatea portofoliului de clienţi
    BONDOC și Asociații, alături de organizatorii Concertului Extraordinar de Anul Nou de la Ateneul Român ǀ Mihaela Bondoc (Partener): Talentul, emoția, dedicarea, merită toată susținerea noastră
    Bondoc și Asociații obține câștig de cauză într-un litigiu privind validitatea contractelor încheiate de lanțurile de supermagazine
    NNDKP a asistat cu succes Enel într-un litigiu fiscal complex privind deductibilitatea amortizării fiscale aferente unor active corporale dobândite prin transfer de la clienți
    Arbitrajul ICSID cerut de Plaza Centers NV, dezvoltator imobiliar care cere statului român să compenseze pierderi de cca. 383 mil. € în proiectul Dâmbovița Center, intră în line dreaptă după numirea arbitrilor. România a mers pe mâna unui profesor emerit al Universității Sorbona, reclamanții au ales un canadian, iar președintele Tribunalului este un lord englez
    Statul a bugetat aproape o jumătate de milion de euro, anul acesta, pentru arbitrajul în care 15 firme și 28 de persoane fizice din 7 țări au chemat România la ICSID. Ce onorarii primesc firmele care asigură apărarea României în acest dosar în care investitorii susțin că au avut pierderi considerabile și au pretenții de 213 mil. €
    Activitate intensă pentru avocații de concurență de la PNSA, firmă evidențiată de directoarele internaționale în această arie de practică. Despre lista priorităților Consiliului Concurenței, proiectele în care sunt implicați avocații și cele mai sensibile reglementări de care firmele trebuie să țină seama, într-o discuție cu partenerul Mihaela Ion
    Stratulat Albulescu a asistat Reorg în legătură cu achiziția furnizorului de tehnologie modernă - FinDox
     
    Citeste pe SeeNews Digital Network
    • BizBanker

    • BizLeader

        in curand...
    • SeeNews

      in curand...