DELOITTE: Ţara noastră, în topul amenzilor pentru încălcarea GDPR

T.T.
Companii / 15 iulie 2019

Ţara noastră, în topul amenzilor pentru încălcarea GDPR

Cel mai important moment pentru companiile din ţara noastră, după intrarea în vigoare a GDPR, a fost în 27 iunie, când Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a impus prima amendă, în cuantum de aproximativ 130.000 de euro, pentru încălcarea regulamentului 2016/679 de către o instituţie bancară, potrivit unui comunicat Deloitte.

La efectuarea unei plăţi, indiferent dacă aceasta era iniţiată de un titular de cont la banca sancţionată sau de către un terţ utilizator al sistemului de plăţi interbancar, CNP-ul şi adresa plătitorului erau accesibile beneficiarului plăţii prin extrasul de cont sau prin detaliile plăţii oferite de bancă. În urma investigaţiei, ANSPDCP a concluzionat că prelucrarea acestor date încalcă principiul data privacy by design, conform căruia operatorii au obligaţia ca, de la momentul creionării procesului de prelucrare şi până la finalizarea acestuia, să implementeze măsuri tehnice şi organizatorice adecvate în raport cu natura şi riscurile prelucrării, precum şi cu posibilităţile tehnologice şi financiare, pentru a asigura respectarea GDPR, arată comunicatul.

Principiul data privacy by design - implicaţii juridice şi asupra sistemelor IT

Principiul data privacy by design activează ca o umbrelă şi presupune încorporarea celorlalte principii din GDPR sub o singură prevedere - spre exemplu, principiul minimizării datelor. Conformarea cu data privacy by design implică o etapă preliminară de evaluare a riscului prelucrării, prin intermediul căreia operatorii identifică eventuale măsuri de implementat. Mai mult decât atât, pe lângă evaluarea de natură juridică (de exemplu, identificarea datelor prelucrate ca fiind necesare în raport cu scopurile, perioada de retenţie, temeiul utilizat etc.), acest principiu presupune verificarea temeinică a infrastructurii IT (sisteme, aplicaţii etc.), urmată de remodelarea acesteia, în cazul în care se identifică neconformităţi. Astfel, respectarea data privacy by design nu se va putea realiza prin simpla adoptare a unor proceduri şi politici, ci numai prin implementarea şi testarea periodică a bunei funcţionări a modificărilor sistemice ce asigură respectarea procedurilor şi politicilor în materie de protecţie a datelor. Implementarea unui nou proces de business sau a unui nou software în cadrul companiei ar trebui făcută cu sprijinul responsabililor de protecţia datelor, arată sursa precizată.

Cea mai bună metodă de a verifica dacă atât controalele tehnice, cât şi cele non-tehnice funcţionează este de a simula periodic un incident cibernetic ce are ca rezultat accesul neautorizat la date cu caracter personal.

Pentru a efectua acest exerciţiu, echipa trebuie să identifice datele care au fost accesate, sistemele ce stocau aceste informaţii şi procesele de business afectate. Acest tip de test va obliga echipele interne să verifice dacă informaţiile existente sunt de actualitate, se mai arată în comunicat.

În mod similar, în urma acestor exerciţii, companiile pot identifica procese sau aplicaţii ce permit unor furnizori externi accesul la date, acces care poate nu a fost documentat în prealabil sau care nu este justificat. Totodată, pentru procesele ce au fost documentate corespunzător la momentul implementării, o companie poate realiza că informaţiile existente necesită un nivel mai ridicat de detalii.

În ceea ce priveşte proporţionalitatea amenzii, este interesant de menţionat faptul că încălcarea principiului data privacy by design este încadrată de GDPR la o amendă de maximum 10 milioane de euro sau 2% din cifra de afaceri globală anuală, şi nu la pragul superior de 20 de milioane de euro sau 4%. În plus, în individualizarea cuantumului amenzii, ANSDPCP a trebuit să aibă în vedere numărul mare de persoane vizate - 337.042 - şi alte aspecte, precum categoriile de date implicate, intenţia sau caracterul neglijent al faptei operatorului, potenţiale acţiuni de diminuare a prejudiciului suferit de persoanele vizate etc.

Ţara noastră, a doua cea mai mare amendă din Europa Centrală şi de Est

Raportată la amenzile acordate în Europa Centrală şi de Est, sancţiunea impusă de ANSPDCP este a doua cea mai mare după amendă emisă, după cea de 220.000 de euro din Polonia cu privire la cazul Bisnode, care utiliza date cu caracter personal din surse publice fără respectarea obligaţiilor de informarea persoanelor vizate. Astfel, în baza unui studiu efectuat de Deloitte Legal în Europa Centrală şi de Est, cuantumul acestei prime amenzi situează România în topul amenzilor acordate în acest prim an de aplicare a GDPR. Studiul mai relevă că, în Bulgaria, cea mai mare amendă nu a depăşit 27.000 de euro, în Ungaria, 40.000 de euro, iar în Lituania, 61.500 euro.

Industria financiar-bancară a fost printre cele mai vizate de investigaţiile ANSPDCP, atât înainte, cât şi după intrarea în vigoare a GDPR. Mai mult decât atât, ANSPDCP a comunicat că plângerile şi sesizările primite au avut în vedere încălcarea principiilor de prelucrare a datelor personale în sistemul bancar şi a regulilor de confidenţialitate şi securitate a prelucrărilor de date personale, conform comunicatului.

Consecinţe în plan procedural şi judiciar

Din datele oficiale comunicate de ANSPDCP, la finalul lunii mai 2019 se aflau în desfăşurare aproximativ 1.000 de investigaţii şi este de aşteptat ca entităţile ce vor fi supuse unor sancţiuni şi măsuri corective să conteste în instanţă aceste decizii.

Contestaţiile înregistrate pe rolul secţiilor de contencios administrativ şi fiscal ale tribunalelor suspendă doar plata amenzii, nu şi obligaţia de a aplica măsuri corective, aşadar cel mai probabil acestea vor fi dublate de cereri de suspendare a măsurilor corective, în temeiul prevederilor din Legea contenciosului administrativ, arată reprezentanţii Deloitte.

În lipsa unei jurisprudenţe cristalizate pe diferitele tipologii de încălcări aduse legislaţiei în materie, generată şi de faptul că legislaţia anterioară prevedea praguri semnificativ mai mici pentru amenzi (aprox. 10.000 de euro), va trebui ca instanţele de judecată să stabilească o optică proprie în soluţionare acestor cauze. Vom avea, deci, o potenţială practică neunitară la nivel naţional.

La scurt timp de la prima amendă, ANSPDCP a anunţat încă două sancţiuni, în valoare de 15.000 şi respectiv de 3.000 de euro. Rămâne de văzut dacă valoarea şi frecvenţa acestora va creşte, având în vedere apetitul persoanelor vătămate de a formula şi acţiuni directe în instanţă (acţiuni scutite de plata taxei de timbru), cât timp introducerea unor astfel de acţiuni nu împiedică sesizarea, în paralel, a ANSPDCP şi nici nu obligă ANSPDCP la suspendarea sau clasarea plângerilor, precizează sursa citată.

Comanda carte
fngcimm.ro
danescu.ro
raobooks.com
boromir.ro
Mozart
Schlumberger
chocoland.ro
arsc.ro
domeniileostrov.ro
leonidas-universitate.ro
Stiri Locale

Curs valutar BNR

20 Dec. 2024
Euro (EUR)Euro4.9764
Dolar SUA (USD)Dolar SUA4.7908
Franc elveţian (CHF)Franc elveţian5.3538
Liră sterlină (GBP)Liră sterlină5.9910
Gram de aur (XAU)Gram de aur401.4137

convertor valutar

»=
?

mai multe cotaţii valutare

erfi.ro
Cotaţii Emitenţi BVB
Cotaţii fonduri mutuale
petreceriperfecte.ro
novaplus.ro
Studiul 'Imperiul Roman subjugă Împărăţia lui Dumnezeu'
The study 'The Roman Empire subjugates the Kingdom of God'
BURSA
BURSA
Împărăţia lui Dumnezeu pe Pământ
The Kingdom of God on Earth
Carte - Golden calf - the meaning of interest rate
Carte - The crisis solution terminus a quo
www.agerpres.ro
www.dreptonline.ro
www.hipo.ro

adb