Trebuie să acționeze tot timpul Autoritățile de Supraveghere?

Autoritatea de Supraveghere este o autoritate publică, independentă care are puterea de superviza și aplica direct Regulamentul General privind Protecția Datelor și legislația națională în statele membre. În cadrul acestui articol ne vom concentra asupra a ceea ce poate ea efectiv să facă în cazul unei breșe de securitate din cadrul unei companii. Este ea obligată să acționeze întotdeauna? Ce impact are controlul Autorității asupra afacerii dvs.? Există vreun mod prin care puteți atenua consecințele, adică să vă fie aplicate amenzi mai mici sau chiar avertismente?

1. De ce pot să acționeze Autoritățile de Supraveghere sau de ce nu?

Conform Art. 51 RGPD o autoritate de supraveghere va acționa constant în monitorizarea aplicării Regulamentului General privind Protecția Datelor. Astfel, o autoritate de supraveghere își va exercita activitatea într-un regim de completă independență. Cu alte cuvinte, ea nu va influențată în luarea deciziei de a aplica sau nu o amendă de alte autorități. De exemplu, Guvernul nu va putea impune Autorității de Supraveghere să aplice o amendă unei companii.

Autoritatea de supraveghere se va asigura că toate companiile care operează cu date cu caracter personal (în limbaj tehnic, operatorii) vor respecta legislația specifică într-un mod unitar. Tot Autoritatea de supraveghere va fi cea care vă va putea da anumite instrucțiuni cu caracter obligatoriu sau va putea lua decizii care vi se vor aplica. Din păcate, cum deja probabil ați intruit și voi, Autoritatea este și cea care va putea aplica amenzi sau avertismente. Există și vești bune, Autoritatea nu este doar un rigid „dictator” care sancționează, monitorizează și decide, ea poate avea și un rol în consilierea companiilor (a operatorilor despre care am menționat anterior) în materia respectării RGPD. 

Pentru a ne da seama în ce fel de cazuri poate acționa Autoritatea de Supraveghere trebuie să ne punem trei întrebări. Unde? În ce cazuri? Cum?

Unde? – O Autoritate de Supraveghere poate acționa în cazul în care compania ta are sediul în țara în care aceasta se află. De exemplu, ANSPDCP va putea acționa în cazul în care compania ta are sediu în România. La fel, ANSPDCP va putea acționa chiar dacă sediul companiei tale nu este în România, dar clienții cărora le procesezi datele sunt români. Astfel, dacă sediul companiei tale este în România, iar clienții sunt români, nimeni din această ecuație nu se va putea adresa Autorității de Supraveghere Belgiene.  

În ce cazuri? – pentru ca Autoritatea de Supraveghere să poată acționa (să supravegheze, monitorizeze, aplice eventuale amenzi), este necesar ca datele sau procesul să fie efectiv acoperite de Regulament. Autoritatea de Supraveghere nu va putea veni în control dacă procesarea din cadrul companiei tale are loc adupra unor date complet anonime, asupra datelor unor persoane decedate sau  a datelor din jurnalul sau agenda ta personală în calitate de manager la acea companie. 

Cum? – Autoritatea de Supraveghere  acționează doar într-un regim de completă independență. Ce înseamnă asta? Că nu pot exista conflicte de interese. Concret, un angajat al Autorității de Supraveghere nu poate fi însărcinat cu controlul companiei tale dacă acesta a fost angajat chiar la ea în trecut. 

2. În ce condiții ar trebui să acționeze?

Așadar, Autoritatea de Supraveghere va acționa doar dacă este competentă, adică se răspundă corespunzător întrebărilor anterioare: Unde? În ce cazuri? Cum? Autoritatea trebuie să fie imparțială și corectă la momentul luării unei decizii (Art. 83 RGPD). În eventualitatea în care se ajunge la aplicarea unei sancțiuni (și nu vorbim doar despre un control al Autorității asupra afacerii dvs.), sancțiunea trebuie să fie proporțională cu gravitatea încălcării Regulamentului. Astfel, nu veți primi o amendă de 2 milioane de euro în cazul în care un angajat a lăsat la vedere un bilețel tip post-it cu numele și adresa de email a unui client. 

Pentru a respecta principiile care îi definesc activitatea: respectarea drepturilor fundamentale, transparență și responsabilitate, Autoritatea întocmește rapoarte de activitate anuale, iar resursele financiare și umane de care aceasta se bucură trebuie să fie adecvate. 

3. În ce tipuri de scenarii nu ar trebui să acționeze

Pentru a putea să înțelegem mai bine impactul pe care activitatea Autorității de Supraveghere îl poate avea asupra companiei dvs., propunem spre analiză trei cauze de la CJUE, prin care Curtea a oferit niște indicii asupra modului în care Autoritatea de Supraveghere poate acționa:

1. Cauza 785/2024 Land Hessen

În cadrul acesteia Tribunalul Administrativ din Wiesbaden a adresat o întrebare preliminară Curții, anume dacă în cazul în care autoritatea de supraveghere constată că există o prelucrare a datelor care aduce atingere drepturilor persoanei vizate, Autoritatea de Supraveghere este obligată întotdeauna să adopte măsuri în temeiul articolului 58 alineatul (2) din Regulament? Cu alte cuvinte, este Autoritatea de Supraveghere obligată întotdeauna să aplice o sancțiune în cazul încălcării regulamentului de către un operator? (care poate fi o autoritate precum Casa de Economii din acest caz sau chiar compania dvs.)

În cauză, TR era nemulțumit că nu a fost anunțat în mod corespunzător de încălcarea securității datelor sale cu caracter personal de către Casa de Economii. HBDI (autoritatea de supraveghere germană) a considerat că, datorită modului în care Casa de Economii a gestionat situația luând măsuri adecvate și necesare pentru ca încălcarea din cauză să înceteze și să nu se repete, adică a fost proactivă și a minimizat consecințele pe care TR le-ar fi putut suferi. Astfel, în baza acestui criteriu de oportunitate, care prioritizează echilibrul dintre respectarea drepturilor și libertăților individuale și a independenței în luarea deciziei a Autorității de Supraveghere, Curtea constată că aceasta nu este obligată să aplice sancțiunea amenzii, ci are o marjă de apreciere în a decide dacă aplică sau nu o sancțiune, precum și gravitatea ei. Obligația pe care o are autoritatea în acest sens este de a efectua controlul și a răspunde la sesizarea persoanei vizate, dar nu una propriu-zisă de a aplica o anumită sancțiune.

2. C:2023:949 Lithuanian Referral

În acest caz, Curtea a decis că o amendă nu poate fi aplicată dacă nu există o răspundere directă, adică dacă nu există o intenție sau o neglijență gravă din partea operatorului. Astfel, din acest moment se pune accentul pe proactivitate din partea autorității sau companiei care se confruntă cu un incident de securitate. Din acest moment, anterior cauzei Land Hessen, Autoritatea nu mai este prezentată ca un torționar absolut care va pedepsi orice derogare de la Regulament, ci ca un judecător care are o marjă de apreciere asupra gravității încălcării Regulamentului. Puterea ei de decizie este restrânsă. 

3. C:2023:950 German Referral

Similar cu concluziile din Lithuanian Referral, și în acest caz este pus accentul pe lipsa proactivității din partea operatorului. Autoritatea are oportunitatea de a aplica o sancțiune mai gravă doar în cazul în care există lipsa vreunei manifestări de a rezolva incidentul de securitate și de a minimiza consecințele asupra persoanelor vizate. 

4. Cum ajută asta operatorii?

Datorită recomandărilor Curții, putem deduce cu ușurință că accentul este pus pe proactivitate și minimizarea riscurilor. Dacă breșa de securitate cu care v-ați putea eventual confrunta nu este una majoră, spre exemplu, se divulgă adrese de email profesionale, nume, prenume a unui număr limitat de persoane, iar compania dumneavoastră ia măsuri rapide, precum îmbunătățirea standardelor de securitate, notifică rapid persoanele vizate, punând accent pe transparență și minimizarea consecințelor, atunci există posibilitatea ca Autoritatea de Supraveghere să nu vă aplice automat o amendă. 

Indiciile date de Curte considerăm că sunt unele binevenite pentru afacerea dvs. Astfel, se pune accent pe această proactivitate menționată activ în cadrul acestui articol. Vă încurajăm să aderați la acest nou curent și să evitați o oarecare pasivitate în a gestiona o breșă de securitate, acum că este clar că proactivitatea vs. pasivitatea nu este guvernată doar de cuantamul amenzii, ci chiar aveți oportunitatea de a evita o amendă.  

Oana Sîrbu

Junior Privacy and Data Protection Consultant