Aleksandr Sergheevici Pușkin nr. 8, sector 1, București, C.P. 011996
(+4) 0745 007 311
 
Nomenius
ArticoleJune 28, 20240

Amenzile GDPR și implicațiile acestora

Regulamentul (UE) 2016/679, cunoscut sub numele de Regulamentul General privind Protecția Datelor (GDPR), stabilește norme stricte pentru prelucrarea datelor cu caracter personal, aplicabile fiecarei companii, în calitatea acesteia de operator de date cu caracter personal. Acesta introduce sancțiuni severe pentru nerespectarea prevederilor privind protecția datelor, astfel ca în cele ce urmează vor fi prezentate tipurile de sancțiuni ce pot fi aplicate de autoritățile pentru protecția datelor din statele membre ale Uniunii Europene, inclusiv din România, precum și exemple concrete de sancțiuni aplicate de acestea în sarcina operatorilor de date:

  • Amenzi financiare:

Operatorii din sectorul privat pot fi sancționați cu amenzi drastice de până la 20 milioane de euro sau cuprinse între 2% și 4% din cifra de afaceri a acestora, cifră de afaceri mondială totală anuală corespunzătoare exerciţiului financiar anterior, în funcție de gravitatea încălcării.

Aceste amenzi pot fi aplicate în cazul nerespectării principiilor și normelor GDPR, cum ar fi (exemplificativ, nelimitativ) conduite ce pot viza:

    • Omisiunea implementării de măsuri tehnice și organizatorice care să asigure protecția și confidențialitatea datelor cu caracter personal;
    • Neinstruirea periodică a salariaților operatorului de date în domeniul GDPR, care conduce la producerea de incidente de securitate cauzate de personalul operatorului;
    • Nerespectarea drepturilor persoanelor vizate (cum ar fi dreptul la acces, rectificare, ștergere „dreptul de a fi uitat” sau portabilitate);
    • Prelucrarea ilegală a datelor personale;
    • Nerespectarea obligațiilor de securitate și confidențialitate a datelor;
    • Omisiunea de notificare a autorității de supraveghere sau a persoanei vizate în cazul producerii incidentelor de securitate;
    • Prelucrarea datelor cu nesocotirea principiilor limitării legate de scop sau de stocare;
    • Prelucrarea de date pentru perioade de timp excesive;
    • Ș.a.m.d.

 

  • Condiţii generale pentru impunerea amenzilor administrative

Fiecare autoritate de supraveghere asigură că impunerea amenzilor administrative pentru încălcările GDPR trebuie să fie eficace, proporţională şi disuasivă.

Pentru a se asigura că se impune necesitatea aplicării unei amenzi administrative și, de asemenea, în decizia cu privire la valoarea amenzii administrative, autoritățile de supraveghere acordă atenţie următoarelor aspecte prevăzute la art. 83 din GDPR:

    • Natura, gravitatea și durata încălcării, ținând cont de domeniul de aplicare sau scopul prelucrării, numărul persoanelor afectate și nivelul prejudiciilor suferite;
    • Intenția sau neglijența în comiterea încălcării;
    • Acțiunile întreprinse pentru a reduce prejudiciul suferit de persoanele vizate;
    • Responsabilitatea operatorului și măsurile tehnice implementate;
    • Istoricul încălcărilor relevante;
    • Cooperarea cu autoritatea de supraveghere pentru remedierea încălcării;
    • Categoriile de date cu caracter personal afectate;
    • Notificarea încălcării către autoritatea de supraveghere;
    • Aderarea la coduri de conduită sau mecanisme de certificare;
    • Alți factori agravanți sau atenuanți, cum ar fi beneficiile financiare sau pierderile evitate.

Conform art. 83, alin. 3 din GDPR, în cazul în care un operator sau o persoană împuternicită încalcă mai multe dispoziții din Regulament, cuantumul total al amenzii nu poate depăși suma prevăzută pentru cea mai gravă încălcare.

În Romania, ANSPDCP joacă un rol central în domeniul protecției datelor cu caracter personal și al investigării situațiilor de încalcare a dispozițiilor GDPR deoarece are responsabilitatea de a monitoriza respectarea GDPR și de a aplica sancțiuni în cazul semnalării de încălcări pe linie de protecție a datelor personale.

De menționat este și faptul că sancțiunile aplicate de autoritățile de supraveghere pentru încălcarea Regulamentului (UE) 2016/679 sunt publice, disponibile pentru consultare și pot fi accesate pe site-ul ANSPDCP, într-o secțiune dedicată sancțiunilor, care conține detalii despre încălcările specifice, operatorii responsabili și cuantumul amenzilor.

Publicarea amenzilor are un rol important în sensibilizarea operatorilor cu privire la importanța protecției datelor personale. Totodată, aceasta permite publicului să monitorizeze conformitatea și să înțeleagă consecințele încălcărilor, dar reprezintă și un punct central în privința imaginii fiecarui operator de date atât față de clienții acestuia, cât și vis-a-vis de partenerii săi comerciali.

 

  • Exemple de sancțiuni GDPR aplicate de autoritățile competente de supraveghere ale statelor membre

Fiecare stat membru al Uniunii Europene are dreptul de stabili propriile criterii pentru stabilirea unei amenzi și a cuantumului acesteia, în cazul în care un operator de date încalcă prevederile legale. Din acest motiv, cuantumul amenzilor aplicate de către autoritațile competente ale UE diferă foarte mult de la un stat la altul.

Cu titlu de exemplu, Comisia Națională pentru Informatică și Libertăți (CNIL) este o autoritate administrativă independentă din Franța, responsabilă de asigurarea protecției datelor cu caracter personal conținute în fișiere informatice sau pe hârtie și a operațiunilor de prelucrare, atât în sectorul public, cât și în cel privat.

CNIL se asigură că tehnologia informației este în slujba cetățeanului și că nu afectează identitatea umană, drepturile omului, confidențialitatea sau libertățile individuale și publice. De asemenea, și în cazul CNIL măsurile corective sunt publicate.

Cu titlu de exemplu, conform raportului anual de activitate din 2022, CNIL a aplicat amenzi în valoare aproximativă de 101 milioane de euro,  în timp ce în Romania, în decursul aceluiași an, limita maximă de amenzi aplicate a fost de aproximativ 215.000 de euro.

Deși ambele autorități au rolul de a asigura respectarea regulilor privind protecția datelor cu caracter personal, se poate observa că limitele și procedurile specifice pot varia în funcție de legislația națională și de contextul fiecărei țări.

În cele ce urmează, vom enumera câteva exemplificări elocvente ale sancțiunilor aplicate de autorități de supraveghere ale Uniunii Europene, în cazurile de nerespectare a dispozițiilor GDPR. Aceste sancțiuni reprezintă și veritabile linii directoare pentru conformarea activității operatorilor de date, întrucât cuprind interpretări valoroase ale autorităților în privinta obligațiilor rezultate din GDPR:

    • În 2023, în Irlanda au fost înregistrate amenzi foarte mari în cuantum de 1,3 miliarde de euro. O amendă record de 1,2 miliarde a fost primita de Meta pentru încălcarea art. 25 alin. 1 și alin. 2 din GDPR, pentru asigurarea protecției datelor începând cu momentul conceperii (privacy by design) și în mod implicit (privacy by default).
    • În România, în 2023, printre cele mai mari amenzi aplicate de ANSPDCP a fost primită de Rompetrol Downstream SRL, respectiv 110.000 euro. Aceasta a fost impusă pentru accesarea neautorizată, în mod repetat, a datelor unor clienți din programul informatic al companiei și pentru divulgarea ilegală a datelor personale ale unor clienți. Scopul acestor acțiuni a fost obținerea de credite de la societăți financiare nebancare în numele acestor clienți. De asemenea, în luna iulie a aceluiași an, UiPath SRL a primit o amendă de 70.000 de euro din partea Autorității Naționale de Supraveghere din România. Încălcarea confidențialității datelor a constat în publicarea ilegală a datelor cu caracter personal ale aproximativ 600.000 de utilizatori ai platformei Academy pe un website accesibil printr-o adresă URL.
    • Nu în ultimul rând, tot cu titlu de exemplu, Autoritatea Franceză pentru protecția datelor a aplicat pe 23 ianuarie 2024, după o investigație amănunțită, companiei Amazon France Logistique o amendă de 32 de milioane de euro pentru nerespectarea măsurilor de supraveghere a angajaților, respectiv crearea unui sistem intruziv de monitorizare a activităților și performanțelor angajaților la locul de muncă.

În concluzie, respectarea GDPR este esențială pentru protejarea datelor personale și evitarea amenzilor ce pot fi aplicate de autoritățile de supraveghere. Operatorii de date nu trebuie să ignore faptul că orice persoană vizată ale cărei date fac obiectul unei prelucrări de către aceștia poate ajunge în postura de a depune o plânegere la ANSPDCP.

Pentru mai multe informații sau orice întrebări suplimentare, vă rugăm să nu ezitați să ne contactați:

➡ Telefon: (+4) 031 426 0745
📧 Email: office@grecupartners.ro

Suntem aici pentru a vă ajuta și pentru a oferi suportul nostru legal la toate situațiile dumneavoastră.
Așteptăm cu nerăbdare să discutăm cu dumneavoastră.

Avocat Mihaela Bălău

Versiunea în engleză și spaniolă a acestui articol.

Share

Leave a Reply

Your email address will not be published. Required fields are marked *

previous
Modificarea legii nr. 241/2005: măsuri pentru combaterea evaziunii fiscale
next
Succintă prezentare a contractului de transport de bunuri

Înscrie-te la Newsletter

https://greculawyers.ro/wp-content/uploads/2022/08/Abonare-Newsletter-G-QR-code-160x160.png

Abonare Newsletter

Error: Contact form not found.

https://greculawyers.ro/wp-content/uploads/2022/10/Logo_c.png
(+4) 031 426 0745
office@greculawyers.ro
Strada Aleksandr Sergheevici Pușkin nr. 8, Sectorul 1, Bucuresti

Expertiză

Puteți să ne urmăriți și pe:

Peste 16 ani de activitate în domeniul avocaturii de business. Clienții noștri ne recomandă.

error: Conținut protejat!!