Securitatea datelor cu caracter personal: Cum să eviți amenzile GDPR

Article Securitatea datelor cu caracter personal: Cum să eviți amenzile GDPR

De când au fost menționate pentru prima oară sancțiunile GDPR, toată lumea a realizat că încălcarea confidențialității datelor cu caracter personal va aduce cu sine pe lângă avertismente și amenzi usturătoare. Află din cele ce urmează care sunt sancțiunile pentru nerespectarea GDPR, tipurile de amenzi și măsurile pe care le poți aplica pentru ca afacerea ta sa nu aibă de suferit. 

De ce este importanta respectarea GDPR

Absolut toate companiile și operatorii care prelucrează date cu caracter personal trebuie să respecte prevederile GDPR, deoarece protecția datelor este un drept fundamental. Având în vedere importanța acestui drept, nu e de mirare că încălcarea GDPR aduce sancțiuni pe măsură! 

Care sunt sancțiunile aplicabile

Conform legislației, încălcarea prevederilor GDPR poate fi sancționată fie cu avertisment, fie cu amendă contravențională, așa cum este detaliat în articolul 12 din Legea nr.190/2018. Constatarea contravențiilor va fi întreprinsă de către Autoritatea Națională de Supraveghere prin respectarea dispozițiilor Legii nr.102/2005. 

 

În urma efectuării investigațiilor necesare, Autoritatea de Supraveghere va decide gravitatea faptelor și va emite un avertisment sau o amendă contravențională. 

Tipuri de amenzi 

Există două tipuri de amenzi pentru încălcarea GDPR, în funcție de gravitatea faptelor, după cum urmează: 

Amenzi de 2% 

Se sancţionează cu amenzi de 2%  din cifra de afaceri globală sau 10.000.000. Euro:

  • nerespectarea principiilor şi regulilor privind consimţământul minorilor;
  • identificarea persoanelor fizice într-una din situaţiile în care prelucrarea nu necesită  de fapt identificare;
  • nerespectarea principiilor privacy by design and privacy by default;
  • în cazul nerespectării regulilor de prelucrare de către operatori asociaţi;
  • în cazul nerespectării regulilor de către persoana împuternicită de operator;
  • încălcarea principiilor privind evidenţa activităţilor prelucrărilor;
  • încălcarea principiilor privind securitatea prelucrării;
  • încălcarea obligaţiei de notificare a autorităţii în cazul unei breşe de securitate cu impact asupra datelor personale;
  • nerespectarea obligaţiei de realizare a unei evaluări a impactului asupra datelor personale;
  • lipsa consultării prealabile a autorităţii în situaţiile impuse de lege;
  • nerespectarea obligaţiilor privind responsabilul cu protecţia datelor (D.P.O);
  • încălcarea normelor privind certificarea. 

Amenzi de 4% 

Se sancţionează cu amenzi de 4%  din cifra de afaceri globală sau 20.000.000. Euro:

  • încălcarea principiilor de baza pentru prelucrarea datelor: legalitatea, transparenţa, exactitatea, limitarea la scop;
  • încălcarea condiţiilor generale privind consimţământul atunci când constituie baza legală pentru prelucrare;
  • încălcarea regulilor privind prelucrarea de categorii speciale de date (date medicale, opinii politice, religioase etc);
  • încălcarea drepturilor persoanelor vizate: dreptul de acces la date, dreptul de rectificare şi ştergere, dreptul la portabilitatea datelor;
  • nerespectarea unui ordin temporar de suspendare a prelucrării datelor;
  • nerespectarea unor prevederi din legea naţională de aplicare. 

Care sunt criteriile care determină nivelul amenzii

În ultimele recomandări emise de Grupul de lucru (WP29) sunt prezentate criterii specifice după care se va determina nivelul amenzii pentru companiile ce nu respectă prevederile G.D.P.R.

Astfel la determinarea amenzii se vor lua în considerare şi următorii factori:

Numărul persoanelor vizate implicate

Ca regulă generală, cu cât sunt mai mulţi oameni afectaţi, cu atât este mai mare amenda.

Scopul prelucrării

Autoritatea va examina îndeaproape modul în care organizaţia a respectat principiul scopului limitat, atât în ​​ceea ce priveşte specificitatea scopului, cât şi utilizarea compatibilă.

Caracterul intenţionat sau neglijent al încălcării

Din scop derivă şi un alt criteriu de evaluare legat de caracterul intenţionat sau neglijent al încălcării. Întrucât putem vorbi de o încălcare intenţionată de exemplu, când există un caz de procesarea ilegală autorizată în mod explicit de conducere sau când nu au fost luate măsuri de actualizare tehnică în timp util, sau în lipsa politicilor interne de securitate şi protecţie a datelor personale.

Tipul de date afectate 

Bineînțeles că amenda va fi mai mare în cazul datelor sensibile.

Daunele suferite de persoanele vizate

Chiar dacă autoritatea de supraveghere nu are competenţă să acorde compensaţii persoanelor în cauză, compania poate stabili intern un plan de despăgubire ţinând cont de drepturile încălcate.

Istoricul încălcărilor anterioare

Acest criteriu este folosit deoarece ar putea fi un indiciu despre nivelul general de educaţie al companiei în materia protecţiei datelor personale cât şi situaţia în care compania pur şi simplu ignorată normele privind protecţia datelor.

 

Un alt factor cu impact negativ îl reprezintă ignorarea recomandărilor făcute de responsabilul cu protecţia datelor, care pot fi considerate ”acţiuni intenţionate” şi, prin urmare, pot genera amenzi mai mari.

 

Cum poţi reduce nivelul amenzilor?

Singurul factor care poate contribui la reducerea amenzii este atitudinea operatorului economic, cu privire la incident.

 

Dacă acesta a încercat să ia măsuri care să reducă riscul pentru drepturile persoanelor vizate, cât mai rapid, precum şi faptul că a anunţat autoritatea într-un timp cât mai scurt, sunt aspecte de care autoritatea va ţine cont la momentul sancţionării.

De asemenea un alt aspect ce va fi luat în considerare este existenţa unui plan de compensare pentru persoanele vizate.

 

Ce măsuri se pot lua pentru evitarea amenzii GDPR

Chiar dacă timpul rămas până la aplicarea GDPR nu este suficient, este important să acoperi cel puţin punctele unde compania ta este cea mai expusă.

Actualizarea politicilor interne şi a proceselor de business astfel încât ele să respecte noile standardele sunt primele acţiuni pe care le poţi face pentru a deveni conform. Un alt aspect cheie este educarea personalului prin traininguri în domeniul protecţiei datelor, astfel încât aceştia să înţeleagă importantă acestui domeniu.

 

Iată ce măsuri poți lua în mod concret pentru evitarea amenzilor GDPR: 

Măsuri în relația cu salariatii 

În primul rând va fi nevoie să adaptezi sau să modifici procedurile astfel încât toți angajații să aibă acces restrâns la datele cu caracter personal și să respecte politici specifice atunci când le prelucrează. Stabilește și sancțiuni în Regulamentul Intern și refă fișele de post pentru a include și atribuțiile detaliate în materie de prelucrare a datelor cu caracter personal. Nu în ultimul rând, va fi nevoie să închei acorduri de confidențialitate cu angajații și să poți justifica din punct de vedere legal toate operațiunile de prelucrare a datelor speciale. 

Măsuri în relația cu alți parteneri

Prin parteneri înțelegem în cazul de față persoane împuternicite de către operator care prelucrează date cu caracter personal în numele acestuia. Aceste societăți pot fi persoane fizice sau juridice precum societăți de contabilitate/HR, societăți care asigură servicii IT, firme de curățenie și așa mai departe. 

 

În relația cu aceștia va fi necesar să revizuiți contractele pentru a include clauze specifice pentru protecția datelor cu caracter personal. 

Măsuri privind securizarea datelor

  • Pentru a securiza datele conform prevederilor în vigoare va fi necesar să: 
  • Securizezi datele personale și din punct de vedere informatic;
  • Implementezi proceduri care să garanteze un standard de protecție ridicat;
  • Să notifici ANSPDCP în cazul unei încălcări de securitate în cel mult 72 de ore de la momentul în care ai luat la cunoștință evenimentul;
  • Să notifici persoanele vizate în cazul în care încălcarea securității datelor este un risc ridicat pentru ele.

În funcție de specificul societății vor fi necesare și altfel de acțiuni. 

 

Ce trebuie să faci pentru a fi conform cu GDPR

Compania ta vrea să se conformeze cu prevederile GDPR? Există mai mulți pași pe care îi poți parcurge:

Respectarea principiilor GDPR nu trebuie să te coste mai mult decât este cazul!

Share:
Decalex
Autor: DECALEX
Ultimele articole
Transparența în inteligența artificială: De ce este ea inevitabilă

Transparența în inteligența artificială: De ce este ea inevitabilă

AEPD amendează Curenergía cu 500.000 de euro

AEPD amendează Curenergía cu 500.000 de euro

”2026 is the new 2016” sau cum platformele online redescoperă GDPR-ul

”2026 is the new 2016” sau cum platformele online redescoperă GDPR-ul

Digital Omnibus – cum se rearanjează puterea în Europa digitală

Digital Omnibus – cum se rearanjează puterea în Europa digitală

Cele mai citite articole
Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Date cu caracter personal: Tot ce trebuie să știi

Date cu caracter personal: Tot ce trebuie să știi

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

PUNE O INTREBARE

Contactează-ne

CLIENTI