Intrarea în vigoare la 25 mai 2018 a Regulamentului (UE) 2016/679. privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date a determinat nu numai un efort susţinut al operatorilor de conformare cu noile reguli, dar şi reglementarea modalităţii în care organismul naţional de control, respectiv Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), trebuie să acţioneze pentru investigarea unor posibile încălcări ale legislaţiei.
Această procedură de efectuare a investigaţiilor de către ANSPDCP a fost publicată, recent, în Monitorul Oficial al României nr. 892 din 23 octombrie 2018.
EFECTUAREA INVESTIGAŢIILOR
ANSPDCP este autorizată să lanseze investigaţii de monitorizare şi control al legalităţii din oficiu sau ca urmare a unei plângeri prealabile formulate de către persoanele interesate împotriva unui operator de date.
Investigaţiile din oficiu se pot efectua ca urmare a transmiterii notificărilor de încălcare a securităţii datelor cu caracter personal sau pentru verificarea unor date şi informaţii cu privire la prelucrarea datelor cu caracter personal obţinute de către ANSPDCP din alte surse decât cele ce fac obiectul unor plângeri. Investigaţiile din oficiu se pot efectua inclusiv pe baza sesizărilor sau a informaţiilor primite de la o altă autoritate de supraveghere sau autoritate publică. De asemenea, investigaţiile din oficiu se pot efectua şi sub formă de audituri privind protecţia datelor.
Investigaţiile la plângere sunt demarate ca urmare a sesizărilor primite de autoritate cu privire o posibilă încălcare a legislaţiei de către un operator de date cu caracter personal.
În ambele situaţii, investigaţiile se pot desfăşura: pe teren, la sediul instituţiei, în scris sau la autorităţile/organismele publice.
Fiecare tip de investigaţie conţine proceduri detaliate cu privire la modul de desfăşurare a acestora, drepturile şi obligaţiile entităţilor supuse controlului şi modul de aplicare a sancţiunilor pentru încălcarea prevederilor ce reglementează protecţia datelor cu caracter personal.
Astfel, în cadrul investigaţiilor pe teren (la sediul, domiciliul, punctul de lucru sau alte locaţii unde îşi desfăşoară activitatea entitatea controlată), controlorii pot propune:
-efectuarea de expertize
-audierea persoanele ale căror declaraţii sunt considerate relevante şi necesare desfăşurării investigaţiei
-aplicarea uneia din sancţiunile contravenţionale prevăzute în legislaţie. Procesul-verbal încheiat cu ocazia investigaţiilor reprezintă titlu de creanţă şi înştiinţare de plată.
În situaţia în care personalul de control este împiedicat în efectuarea controlului, ANSPDCP poate solicita autorizarea judiciară. O copie a autorizaţiei judiciare se comunică obligatoriu entităţii controlate, înainte de începerea investigaţiei şi, deşi poate fi atacată cu contestaţie la Înalta Curte de Casaţie şi Justiţie, contestaţia nu este suspensivă de executare.
Investigaţiile efectuate la sediul Autorităţii supraveghere se efectuează pe baza unei adrese de convocare transmise reprezentanţilor operatorului de date controlat . În cuprinsul respectivei adrese se va menţiona obligaţia entităţii controlate de a se prezenta la sediul ANSPDCP cu documente, înregistrări relevante, echipamente informatice, în funcţie de obiectul controlului.
Legea permite în mod excepţional ca procesul-verbal de constatare/sancţionare să poată fi încheiat la sediul autorităţii fără convocarea reprezentanţilor entităţii controlate, atunci când se decide că există dovezi suficiente pentru finalizarea investigaţiei.
Investigaţiile în scris se realizează în baza unei adrese transmise de autoritate către entitatea controlată, prin care se solicită informaţii, date şi documente necesare soluţionării cazului supus investigaţiei.
Entitatea supusă controlului are obligaţia de a răspunde în scris şi de a anexa dovezi în termenul stabilit de către Autoritatea naţională de supraveghere. În funcţie de răspunsul primit, respectiva autoritate poate decide continuarea investigaţiei în scris sau pe teren sau chiar finalizarea investigaţiei, prin încheierea unui Proces-Verbal de constatare/sancţionare, la sediul ANSPDCP.
SANCŢIUNI
Sancţiunile contravenţionale principale aplicate de către Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal sunt avertismentul şi amenda.
De asemenea, Autoritatea Naţională de Supraveghere poate emite o avertizare pentru entitatea controlată, în cazul în care există posibilitatea ca, prin operaţiunile de prelucrare de date cu caracter personal pe care un operator intenţionează să le efectueze să se încalce legislaţia aplicabilă.
Aplicarea sancţiunilor se face prin procesul-verbal de constatare/sancţionare încheiat de personalul de control. În cazul în care cuantumul amenzii depăşeşte echivalentul în lei a sumei de 300.000 euro aplicarea acesteia se va realiza prin decizia preşedintelui ANSPDCP.
Pe lângă aplicarea sancţiunilor contravenţionale prevăzute de lege, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal poate dispune şi alte măsuri corective şi poate formula recomandări. www;gruiadufaut.com