Ce trebuie să faci să eviţi amenzi impuse de G.D.P.R?

By noiembrie 24, 2017Protectia Datelor Personale
evitarea amenzilor impuse de gdpr

Ce trebuie să faci să eviţi amenzi impuse de GDPR (Regulamentul 679/2016)?

Toate companiile care prelucrează date personale se pregătesc pentru aplicarea Regulamentului 679/2016 şi încearcă să se conformeze noilor standarde impuse.

Majoritatea companiile au auzit de faptul că G.D.P.R. impune amenzi usturătoare pentru cei ce nu respectă regulile, însă foarte puţini ştiu pentru ce se dau aceste amenzi extrem de mari de la 2% la 4% din cifra de afaceri.

 

Se sancţionează cu amenzi de 2%  din cifra de afaceri globală sau 10.000.000. Euro:

  • nerespectarea principiilor şi regulilor privind consimţământul minorilor
  • identificarea persoanelor fizice într-una din situaţiile în care prelucrarea nu necesită  de fapt identificare
  • nerespectarea principiilor privacy by design and privacy by default
  • în cazul nerespectării regululilor de prelucrare de către operatori asociaţi
  • în cazul nerespectării regullilor de către persoana împuternicită de operator
  • încălcarea principiilor privind evidenţa activităţilor prelucrărilor
  • încălcarea principiilor privind securitatea prelucrării
  • încălcarea obligaţiei de notificare a autorităţii în cazul unei breşe de securitate cu impact asupra datelor personale
  • nerespectarea obligaţiei de realizare a unei evaluări a impactului asupra datelor personale
  • lipsa consultării prealabile a autorităţii în situaţiile impuse de lege
  • nerespectarea obligaţiilor privind responsabilul cu protecţia datelor (D.P.O)
  • încălcarea normelor privind certificarea

 

Se sancţionează cu amenzi de 4%  din cifra de afaceri globală sau 20.000.000. Euro:

  • Încălcarea principiilor de baza pentru prelucrarea datelor: legalitatea, transparenţa, exactitatea, limitarea la scop
  • încălcarea condiţiilor generale privind consimţământul atunci când constituie baza legală pentru prelucrare
  • încălcarea regulilor privind prelucrarea de categorii speciale de date ( date medicale, opinii politice, religioase etc)
  • încălcarea drepturilor persoanelor vizate: dreptul de acces la date, dreptul de rectificare şi ştergere, dreptul la portabilitatea datelor
  • nerspectarea unui ordin temporar de suspendare a prelucrării datelor
  • nerespectarea unor prevederi din legea naţională de aplicare

 

Care sunt criteriile care determina nivelul amenzii?

În ultimele recomandări emise de Grupul de lucru (WP29) sunt prezentate criterii specifice după care se va determina nivelul amenzii pentru companiile ce nu respectă prevederile G.D.P.R.

Astfel la determinarea amenzii se vor lua în considerare şi următorii factori:

Numărul persoanelor vizate implicate – ca regulă generală, cu cât sunt mai mulţi oameni afectaţi, cu atât este mai mare amendă.

Scopul prelucrării – autoritatea va examina îndeaproape modul în care organizaţia a respectat principiul scopului limitat, atât în ​​ceea ce priveşte specificitatea scopului, cât şi utilizarea compatibilă.

Din scop derivă şi un alt criteriu de evaluare legat de caracterul intenţionat sau neglijent al încălcării. Întrucât putem vorbi de o încălcare intenţionată de exemplu, când există un caz de procesarea ilegală autorizată în mod explicit de conducere sau când nu au fost luate măsuri de actualizare tehnică în timp util,  sau în lipsa politicilor interne de securitate şi protecţie a datelor personale.

Tipul de date afectate – binenţeles că amenda va fi mai mare în cazul datelor sensibile. 

Daunele suferite de persoanele vizate – deşi autoritatea de supraveghere nu are competenţă  să acorde compensaţii persoanelor în cauza, compania poate stabili intern un plan de despăgubire ţinând cont de drepturile încălcate.

Istoricul încălcărilor anterioare. Acest criteriu este folosit deoarece ar putea fi un indiciu despre nivelul general de educaţie al companiei în materia protecţiei datelor personale cât şi situaţia în care compania pur şi simplu ignorară normele privind protecţia datelor.

Un alt factor cu impact negativ îl reprezintă igonorarea recomandărilor făcute de responsabilul cu protecţia datelor, care pot fi considerate ” acţiuni intenţionate” şi, prin urmare, pot genera amenzi mai mari.

 

Cum poţi reduce nivelul amenzilor?

Sigurul factor care poate contribui la reducerea amenzii este atitudinea operatorului economic, cu privire la incident.

Dacă acesta a încercat să ia măsuri care să reducă riscul pentru drepturile persoanelor vizate, cât mai rapid, precum şi faptul că a anunţat autoritatea într-un timp cât mai scurt, sunt aspecte de care autoritatea va ţine cont la momentul sancţionării.

De asemenea un alt aspect ce va fi luat în considerare este existenţa unui plan de compensare pentru persoanele vizate.

 

Cum poţi evita aceste amenzi?

Chiar dacă timpul rămas până la aplicarea GDPR nu este suficient, este important să acoperi cel puţin punctele unde compania ta este cea mai expusă.

Actualizarea politicilor interne şi a proceselor de business astfel încât ele să respecte noile standardele sunt primele acţiuni pe care le poţi face pentru a deveni conform. Un alt aspect cheie este educarea personalului prin traininguri în domeniul protecţiei datelor, astfel încât aceştia să înţeleagă importantă acestui domeniu.

Compania ta vrea să se conformeze cu prevederile G.D.P.R? Contactează unul din specialistii nostri in protectia datelor personale la [email protected]

 

Cristiana Deca

Consultant G.D.P.R

Leave a Reply