Legea de care toți au auzit, dar puțini o cunosc. Topul firmelor sancționate oficial în România

Toată lumea a auzit despre legislația privind protecția datelor cu caracter personal (GDPR). Dar prea puțini știu ce cuprinde aceasta și, de aceea, ajung să o încalce. Iar sancțiunile sunt, cu adevărat, uriașe.

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) poate aplica amenzi pentru încălcarea GDPR de până la 10-20 de milioane de euro, respectiv de până la 2-4% din cifra de afaceri globală totală, anuală, corespunzătoare exercițiului financiar anterior, cu luarea în calcul a celei mai mari valori.

De asemenea, Autoritatea poate dispune și alte măsuri corective și poate formula recomandări.

ANSPDCP își desfășoară activitatea din anul 2005, iar actualul Regulament, 2016/679, intrat în vigoare în 2016, se aplică din 2018. În baza acestuia, au fost aplicate sancțiuni, după constatarea unor nereguli, la operatorii de date cu caracter personal.

17:34, 08.01.2025 • Internațional

Decizie istorică: Comisia Europeană, amendată de Curtea de Justiție a UE

Operatorul poate fi o persoană juridică, o persoană fizică, o autoritate publică, o agenție sau alt organism ce gestionează date cu caracter personal. Această entitate poate realiza independent activitatea de prelucrare sau prin intermediul unui împuternicit. Regulamentul nu se aplică prelucrării datelor cu caracter personal efectuate de o persoană fizică în cadrul unei activități exclusiv personale sau domestice.

„Datele cu caracter personal” se referă la orice informații referitoare la o persoană fizică, identificată sau identificabilă, prin elemente precum: nume, CNP, domiciliu, adresă de e-mail și altele.

Termenul de „prelucrare” se referă la orice operațiune ce presupune colectarea, înregistrarea, organizarea, structurarea, stocarea modificarea și altele, cu privire la datele cu caracter personal.

În România, cele mai frecvent constatate nereguli de ANSPDCP, în urma controalelor efectuate fie spontan, fie în urma unor sesizări, sunt: încălcarea drepturilor persoanelor vizate, în special a dreptului de acces și a dreptului la ștergerea datelor; pierderea confidențialității datelor cu caracter personal în mediul online; accesul neautorizat la sistemele de supraveghere video cu circuit închis; încălcarea măsurilor de securitate și confidențialitate a prelucrărilor de date personale prin neadoptarea de către operatori a măsurilor tehnice și organizatorice adecvate privind asigurarea securității prelucrărilor; confidențialitatea datelor cu caracter personal în mediul online, ca urmare a configurării deficitare a site-urilor sau aplicațiilor informatice utilizate de operatori.

Autoritatea de Supraveghere a transmis și lista cu cele mai severe amenzi aplicate în ultimii ani, operatorilor. Primele două afaceri sancționate sunt o bancă austriacă și alta italiană: Raiffeisen Bank, cu 150.000 de euro, și Unicredit Bank, cu 130.000 de eur. Pe listă se află și Rompetrol Downstream SRL (110.000 de euro), Banca Transilvania (100.000 de euro), UiPath SRL (70.000 de euro), Dante International SA (40.000 de euro) și Altex România (20.000 de euro).

Din 2018, odată cu intrarea în vigoare a Regulamentului European, instituțiile publice și companiile ce prelucrează date cu caracter personal sunt obligate să desemneze un responsabil (DPO – Data Protection Officer) de GDPR (General Data Protection Regulation). DPO-ul poate fi intern, deci un angajat din cadrul entității, sau extern.

În Clasificarea Ocupațiilor din România (COR), DPO-ul este încadrat sub codul 242231. Acest cod a fost introdus oficial în COR prin Ordinul nr. 1477/1056/2020, al Ministerului Muncii și al Institutului Național de Statistică (INS), publicat în Monitorul Oficial, ca parte a actualizărilor nomenclatorului pentru a reflecta cerințele GDPR și nevoile pieței muncii.Cei care oferă servicii de consultanță în domeniu se recomandă și drept, „specialist/expert/consilier/consultant GDPR/DPO”.