Amenzi și măsuri corective aplicate de ANSPDCP pentru nerespectarea și neconformitatea la GDPR

În prima parte a anului 2018, în baza legii 677/2001 și ulterior a Regulamentului General Pentru Protecția Datelor Personale – GDPR și a Legii 190/2018 de aplicare a GDPR în România, Autoritatea Națională de Supraveghere a Protecției Datelor cu Caracter Personal a primit peste 10 mii de solicitări de încălcare a drepturilor persoanelor fizice.

Începând cu luna octombrie, a fost elaborată, aprobată și publicată în Monitorul Oficial, Procedura de efectuare a investigațiilor.

Până la acest moment, autoritatea de supraveghere, a aplicat sancțiuni pentru încălcarea drepturilor persoanelor fizice, unui centru medical, la 3 mari operatori de servicii de telefonie mobila, un mare furnizor de servicii de internet si CATV.

ANSPDC anunță că nu aplică amenzi pentru încălcarea GDPR

Autoritatea Națională de Supraveghere a Protecției Datelor cu Caracter Personal, afirmă în comunicatul de presă din data de 08 Februarie 2018 faptul că:

Măsurile corective pe care Autoritatea de Supraveghere le va putea dispune în temeiul Noului Regulament General privind Protecția Datelor Personale se referă la: dispunerea unei avertizări în atenția unui operator, acordarea unei mustrări, obligarea operatorului să informeze persoana vizată cu privire la o încălcare a protecției datelor, impunerea unei limitări temporare sau definitive, inclusiv o interdicție asupra prelucrării, rectificarea sau ștergerea datelor sau restricționarea prelucrării, etc.

În privința stabilirii sancțiunilor cu amendă, aceasta va avea la bază o analiză temeinică, în funcție de circumstanțele fiecărui caz în parte.

Iar, conform Deciziei nr. 161 din 9 octombrie 2018 privind aprobare a Procedurii de efectuare a investigaţiilor ANSPDCP, la articolul 24 regăsim:

(1)Sancţiunile contravenţionale principale aplicate de ANSPDCP sunt avertismentul şiamenda.

(2)În urma investigaţiilor efectuate, prin procesul-verbal de constatare/sancţionare sau prindecizie a preşedintelui ANSPDCP, se poate emite o avertizare pentru entitatea controlată, încazul în care există posibilitatea ca, prin operaţiunile de prelucrare pe care un operator sau opersoană împuternicită de operator intenţionează să le efectueze, să se încalce legislaţiaaplicabilă. Decizia preşedintelui are la bază procesul-verbal de constatare/sancţionareîncheiat de personalul de control şi documentele aferente.

(3)Aplicarea sancţiunilor se face prin procesul-verbal de constatare/sancţionare încheiat depersonalul de control sau prin decizie a preşedintelui ANSPDCP, în condiţiile legii.

(4)În situaţia în care cuantumul amenzii depăşeşte echivalentul în lei al sumei de 300.000euro, aplicarea amenzii se efectuează prin decizie a preşedintelui ANSPDCP, care are la bazăprocesul-verbal de constatare/sancţionare şi raportul personalului de control.

Orientările de aplicare a GDPR emise de Grupul de lucru Articolul 29

Conform Orientarilor privind aplicarea și stabilirea unor amenzi administrative în sensul Regulamentului nr. 679/2016, emis de Grupul de Lucru ”Articolul 29”, se specifică următoarele:

2.2. La fel ca toate măsurile corective alese de autoritățile de supraveghere, amenzile administrative ar trebui să fie „eficace, proporționale și disuasive”.

La fel ca toate măsurile corective în general, amenzile administrative ar trebui să țină seama în mod corespunzător de natura, gravitatea și consecințele încălcării, iar autoritățile de supraveghere trebuie să evalueze toate circumstanțele speței într-un mod coerent și justificat în mod obiectiv. Evaluarea a ceea ce este eficace, proporțional și disuasiv în fiecare caz va trebui să reflecte, de asemenea, obiectivul urmărit de măsura corectivă aleasă, și anume fie să restabilească conformitatea cu normele, fie să sancționeze un comportament ilegal (sau ambele).

Autoritățile de supraveghere ar trebui să identifice o măsură corectivă care să fie „eficace, proporțională și disuasivă” [articolul 83 alineatul (1)], atât în cazurile naționale (articolul 55), cât și în cazurile care implică prelucrarea datelor cu caracter personal la nivel transfrontalier [în sensul articolului 4 alineatul (23)].

Prezentele orientări recunosc faptul că legislația națională poate stabili cerințe suplimentare privind procedura de executare care trebuie urmată de către autoritățile de supraveghere. Aceasta poate include, de exemplu, adresarea de notificări, formulare, termene-limită pentru prezentarea de observații, cale de atac, executare, plată.

Aceste cerințe nu ar trebui însă să împiedice realizarea în practică a eficacității, proporționalității sau caracterului disuasiv. O determinare mai precisă a eficacității, proporționalității sau caracterului disuasiv va fi generată de practicile emergente în cadrul autorităților de supraveghere (în materie de protecție a datelor, precum și lecțiile învățate din alte sectoare de reglementare), și de jurisprudența rezultată în momentul interpretării acestor principii.

Și totuși ANSPDCP aplică sancțiunea de amendă pentru încălcarea GDPR

Totuși, dacă urmărim informațiile din spațiul public care relevă o parte din activitatea ANSPDCP, de exemplu, articolele prezentate de Profit.ro,  putem observa că autoritatea a aplicat și sancțiuni constând în amenzi financiare aplicate dupa data de 8 Februarie 2018, când anunța oficial ca principalele măsuri vor fi sancțiunea și mustrarea.

Unde e lege, nu e tocmeală

În final, legea rămâne lege și aplicarea ei trebuie să fie conform prevederilor acesteia.

Ideea din spatele acestui articol este de a prezenta modul de acțiune al autorității de supraveghere celor care consideră GDPR-ul ca fiind consultativ și nu ii acordă atenția cuvenită, pentru a se conforma din timp Regulamentului European 679/2016 și Legii 190/2018, pentru a evita o rezoluție negativă în cazul unei investigații inopinante sau în urma unei plăngeri depuse la ANSPDCP, sau, pur și simplu în urma unei solicitări venite din partea unei persoane fizice, pe care din motive tehnice și organizatorice nu o poate soluționa.

Tu ce părere ai?

Urmareste noutatile GDPR
Acest articol a fost publicat în Informații utile și etichetat cu , , , , , , , , , , , . Salvează legătura permanentă.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Vă rugăm să transmiteți acest formular doar dacă sunteți de acord cu Termenii si conditiile, Politica de utilizare a cookie-uri si Politica de prelucrare a datelor transmise. Ne rezervăm dreptul de a nu a aproba cometariile sau a răspunde solicitărilo primite pe care le considerăm inadecvate sau a căror răspuns a fost deja publicat.




Pentru a evita sancțiuni uriașe financiare și de imagine vă recomandăm să verificați GRATUIT online dacă compania / instituția dvs. trebuie să fie conformă cu GDPR – Regulamentul European 679/2016 și dacă trebuie să externalizați un DPO sau să aveți desemnat o persoana pe pozitia de DPO Responsabil cu protectia datelor cu caracter personal, specializat ulterior prin urmarea unui  Curs DPO Autorizat Certificat.


Dacă întâmpinați greutăți în implementarea GDPR, puteți aplea la echipa de specialiști GDPR sau puteți cotracta serviciile profesionale de consultanță GDPR de specialitate cu un simplu click.


Pentru a să sprijini, echipa de specialiști GDPR vă pune la dipoziție setul de instrumente necesare pentru realizare evaluării de impact DPIA (politica, procedura, formular, raportul privind analiza impactului, soft de realizare evaluare de impact, etc) împreună cu instrucțiuni și sfaturi practice, șabloanele si alte evaluari DPIA completate ca exemplu, pentru a vă ajuta să înțelegeti ce trebuie realizat pentru a desfășura o evaluare de imact conform prevederilor GDPR și prevederilor Deciziei 174/2018 emise de ANSPDCP.