Amenzi mai mici pentru funcţionarii publici decât pentru firme, dacă nu îţi protejează datele personale. Proiectul, depus de Carmen Dan şi Şerban Nicolae

Instituţiile publice care nu vor aplica în mod corect noile reglementări privind protecţia datelor cu caracter personal vor primi amenzi mai mici decât firmele care greşesc, arată un proiect depus la Senat de ministrul de Interne Carmen Dan şi senatorul PSD Şerban Nicolae.

Iniţiativa vine în contextul în care România va aplica, începând din data de 25 mai 2018, Regulamentul UE privind protecţia datelor cu caracter personal (GDPR). Acesta aduce sancţiuni uriaşe firmelor sau instituţiilor care „scurg” date personale în afara entităţii. Proiectul de lege a fost depus miercuri la Senat, urmând să fie dezbătut în regim de urgenţă, înaintea termenului de intrare în vigoare al GDPR, din 25 mai 2018.

Ce propune proiectul                                         

Iniţiatorii propun ca instituţiile publice să fie sancţionate cu mustrare sau amendă de 200.000 de lei, dacă încalcă regulamentul, în timp ce angajaţii statului pot primi o sancţiune de numai 100.000 de lei. În schimb, pentru firmele care nu respectă noile reguli, sancţiunea va fi reprezentată de amenzi de până la 4% din cifra de afaceri globală.

Potrivit proiectului, constituie contravenţie fapta de încălcare, de către autorităţile şi organismele publice, a mai multor dispoziţii din Regulamentul general privind protecţia datelor.

În cazul în care acestea sunt încălcate de către un operator sau o persoană împuternicită de acesta, din cadrul unei instituţii publice, contravenţia se poate sancţiona cu mustrare sau amendă de până la 100.000 de lei.

Totodată, dacă o autoritate sau un organism public încalcă regulile, contravenţiile merg de la mustrare la amendă de până la 200.000 de lei.

Mai mult, şi încălcarea de către autorităţi a unei decizii emise de Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal va fi sancţionată cu amendă de până la 200.000 de lei.

În schimb, pentru firmele care încalcă regulile, sancţiunile rămân cele stabilite de regulamentul european, respectiv amenzi administrative de până la 20 de milioane de euro sau de până la 4% din cifra de afaceri mondială totală anuală a exerciţiului financiar anterior, luându-se în calcul cea mai mare valoare.

Senatul este prima Cameră sesizată, iar proiectul urmează să intre în dezbaterea comisiilor de specialitate unde i se poate modifica forma prin amendamente.  Aceeaşi procedură o va parcurge şi la Camera Deputaţiilor, care este for decizional.

Ce este GDPR

Intrarea în vigoare, pe 25 mai 2018, a Regulamentului (UE) 679/2016 – Regulamentul General privind Protecţia Datelor Personale (GDPR) înseamnă că, din acea zi, dacă cineva din cadrul unei companii „scurge” informaţii cu caracter personal (CNP, act de identitate, nume şi alte informaţii personale), compania respectivă este pasibilă să primească o amendă de până la 20 milioane de euro sau 4% din cifra de afaceri înregistrată în anul fiscal anterior.

Dragoş Radu, Partener EY Law, arăta recent că Regulamentul UE privind Protecţia Datelor Personale (GDPR) poate genera un nou val de procese colective împotriva companiilor care au portofolii mari de clienţi persoane fizice. România s-a mai confruntat cu un val de procese colective în ceea ce priveşte creditele luate în franci elveţieni.

Dragoş Radu susţine astfel că, pe lângă conştientizarea importanţei respectării şi asigurării drepturilor persoanelor vizate, interesul mărit faţă de prevederile GDPR a fost creat de sancţiunile usturătoare pe care noua lege le prevede.

Potrivit lui Dragoş Radu, concret, în funcţie de obligaţiile încălcate şi de gravitatea situaţiei, companiile riscă amenzi administrative de până la 20 de milioane euro sau de până la 4% din cifra de afaceri mondială totală, anuală, corespunzătoare exerciţiului financiar anterior, luându-se în calcul cea mai mare valoare dintre acestea.

În plus, odată cu campaniile de informare a cetăţenilor şi cu conturarea unei noi arii de practică în materia litigiilor creşte proporţional şi riscul reputaţional. După cele împotriva băncilor, EY nu exclude un nou val de procese colective, de această dată industriile ţintite putând fi multiple precum: societăţile de asigurare, companiile farmaceutice, spitale şi clinici medicale, agenţii de marketing, media, agenţii de turism. Sunt vizate practic toate companiile care au portofolii mari de clienţi persoane fizice, inclusiv supermarketuri şi benzinării (prin cardurile de fidelitate / clienţi).

GDPR aduce o serie de elemente de noutate, dintre care cele mai însemnate ar fi:

• obligativitatea numirii, în anumite condiţii, a unui responsabil cu protecţia datelor la nivel de companie sau grup care, poate deloc surprinzător, va acţiona în fapt mai mult ca un reprezentant „în teritoriu” al autorităţii, având rolul de a se asigura că toate procesele şi procedurile operatorului sunt conforme cu legea şi de a notifica autoritatea competentă în termen de 72 de ore atunci când are loc o încălcare a securităţii datelor cu caracter personal;
• redefinirea unor drepturi şi definirea unor drepturi noi pentru persoanele vizate (de exemplu, dreptul de a fi uitat, dreptul la portabilitatea datelor);
• condiţii mult mai stricte pentru o procesare legală în baza consimţământului persoanei vizate;
• o mai mare răspundere în sarcina persoanelor împuternicite să proceseze date cu caracter personal în numele operatorului;  
• desfăşurarea de evaluări de impact în cazul în care operatorul: i) prelucrează automat date cu caracter personal şi care produce efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă (vorbim aici în special de profilarea clienţilor), ii) prelucrează pe scară largă anumite categorii speciale de date (cel mai des întâlnit exemplu fiind datele privind sănătatea, datele genetice şi biometrice) sau date cu caracter personal privind condamnări penale şi infracţiuni sau iii) monitorizează sistematic pe scară largă o zonă accesibilă publicului.