Sancțiuni și Amenzi pentru încălcarea Regulamentului General pentru Protecția Datelor – GDPR

Companiile private, instiuțiile publice sau persoanele fizice care sunt Operatorii de date cu caracter personal sau persoanele împuternicite de aceştia sunt pasibili de sancțiuni sau amenzi administrative pentru nonconformitate la Regulamentul European 679/2016 – Regulamentul General pentru Protecția Datelor Personale – GDPR, din partea autorității de supraveghere naționale, europene sau din țara din care sunt persoanele vizate.

Sancțiunile si amenzile administrative impuse de autoritate pot fi aplicate împreună cu măsuri corective. Autoritatea poate dispune stoparea procesării datelor sau a activității operatorului până la remediere.

Persoanele împuternicite de către operatorii de date sunt răspunzători doar în situaţia în care aceștia nu sunt conformi cu obligaţiile GDPR specifice acestora, sau când au încălcat instrucţiunile de procesare trasate de căatre operatorului de date.

Operatorii de date, pe de altă parte, sunt răspunzători în urma daunelor cauzate prin nonconformitatea cu Regulamentul European 679/2016. Revendicările faţă de o persoană împuternicită de către operator sub incidenţa GDPR trebuie să ofere mai mult decât informaţii generale de nonconformitate şi dovezi ale daunelor produse, cât şi dovada violării de către aceasta a unei anume obligaţii legale sau contractuale.

Atunci când Autoritatea de supraveghere stabilește faptul ca nu este asigurat gradul de conformitate necesar, operatorului şi persoana împuternicită de acesta va trebui să facă dovada întreprinderii măsurilor tehnice și organizatorice prin care au încercat să asigure conformitatea la GDPR, pentru a diminua sancțiunile ce urmează a fi instituite.

În situaţia în care sunt incluşi în aceeaşi acţiune juridică, datoria poate fi împărţită între ei în funcţie de participarea la dăuna produsă. Această împărţire se poate face atât timp cât persoană vizată este compensată pe deplin. Dacă una din părţi (operator sau împuternicit al acestuia) plăteşte întreaga compensaţie, acesta este îndreptăţit să primească înapoi partea pentru care nu este responsabil. Nu este obligatoriu ca amenzile să fie aplicate, ci discreţionar.

Abordarea aleasă cu privire la amenzi este una pe două niveluri, în funcţie de gravitatea, durata şi natura încălcării.

Sacțiuni majore ce pot fi aplicate de către Autoritatea de supraveghere

2% DIN CIFRA DE AFACERI GLOBALĂ SAU 10 MILIOANE DE EURO, ALEGÂNDU-SE VALOAREA CEA MAI MARE

Acest tip de sancțiuni se va impune în una din situațiile de mai jos, dar fără a se limita la acestea, cazuri în care Operatorul:

nu poate dovedi existent unui grad de securitate adecvat
nu a desemnat un responsabil cu protecţia datelor
nu a stabilit un acord de prelucrare a datelor

4% DIN CIFRA DE AFACERI GLOBALĂ SAU 20 MILIOANE DE EURO, ALEGÂNDU-SE VALOAREA CEA MAI MARE

Acest tip de sancțiuni se va impune în una din situațiile de mai jos, dar fără a se limita la acestea, cazuri în care Operatorul:

când drepturile persoanelor vizate au fost încălcate
pentru transferuri internaționale neconforme
pentru încălcarea principalelor principii de prelucrare

Pentru a evita astfel de sancțiuni vă recomandăm să vă conformați activitatea companiei/instituției la prevederile impuse de GDPR și să implementați cât mai urgent un set adecvat de măsuri tehnice și organizatorice pentru a vă asigura un grad de conformitate acceptabil.

Cum întâmpinăm astfel de situații si investigațiile Autorității

Pentru a vă pregăti să tratați corespunzător și sa răspundeți în cazul unei investigații din partea Autorității de Supraveghere vă recomandăm parcurgerea Cursului Incidente de securitate GDPR & CyberSecurity – Abordare, Evaluare, Prevenție, Acțiune, Căi de atac – curs ce vă pregătește pentru astfel de situații sau aplelați la serviciile practicanților din domeniul protecției datelor personale – Consultanță de urgență SOS GDPR.

Citiți acum și despre