Aplicarea GDPR. Cum se pot pregăti companiile pentru o investigaţie

0
Publicat:
Ultima actualizare:
GDPR - date personale - protectie - securizare - confidential FOTO 123 RF

După o perioadă de mai bine de un an de la intrarea în vigoare, pe 25 mai 2018, a Regulamentului privind prelucrarea datelor cu caracter personal (GDPR), asistăm la o nouă perioadă de efervescenţă declanşată de primele amenzi aplicate pentru nerespectarea prevederilor GDPR de către Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).

Dacă în 2017 şi în primele luni ale lui 2018, companiile au investit resurse impresionante de timp şi bani, în unele cazuri într-un proces contra cronometru, pentru a se asigura că se vor conforma la timp prevederilor legale, primul an de aplicabilitate a noului regulament european a fost unul mai degrabă liniştit. Companiile care au urmat un proces de analiză şi conformare s-au bucurat de un moment de pauză, iar cele care nu au realizat acest proces nu au văzut niciun efect imediat al noilor prevederi legale şi au considerat, poate, că activitatea lor nu va fi afectată. Recentele sancţiuni aplicate ne arată, însă, că autorităţile naţionale au folosit această perioadă pentru a-şi consolida aparatul de control şi pentru a realiza primele investigaţii, subliniază, într-o analiză, Nicoleta Gheorghe, Managing Associate, Radu şi Asociaţii SPRL.

Astfel, în doar câteva zile (27 iunie - 5 iulie 2019), ANSPDCP a aplicat trei amenzi, una de 130.000 euro unei instituţii bancare, una de 15.000 euro unei unităţi hoteliere şi cea de a treia de 3.000 euro unei societăţi care oferă consultanţă în domeniul protecţiei datelor. De asemenea, la nivel european, pe 8 şi 9 iulie 2019, ICO (autoritatea pentru protecţia datelor din Marea Britanie) şi-a anunţat intenţia de a amenda un mare lanţ hotelier cu peste 99 milioane de lire şi o companie aeriană cu 183,39 milioane de lire (reprezentând, potrivit The Guardian, 1,5% din cifra de afaceri obţinută la nivel global de compania aeriană anul trecut) pentru încălcarea RGDP.

În ceea ce priveşte activitatea ANSPDCP, cele trei amenzi aplicate până în acest moment sunt rezultatul unor investigaţii iniţiate ca urmare a unor plângeri sau a notificării unor breşe de securitate de către operatorul de date. Autoritatea şi-a actualizat recent pagina web pentru a facilita accesul celor interesaţi la procedura de depunere a plângerilor în baza RGPD, o procedură simplificată care permite completarea online a formularului de plângere. De asemenea, în cadrul ANSPDCP s-a creat Direcţia Plângeri.

Potrivit Nicoletei Gheorghe, este uşor de anticipat, astfel, că în perioada următoare, numărul investigaţiilor ANSPDCP va creşte la fel ca şi numărul de sancţiuni aplicate.  

Întrebarea care se pune este ce poate face o companie în cazul în care ANSPDCP iniţiază o investigaţie în privinţa activităţii sale? Cum se pregăteşte pentru o astfel de investigaţie?

În lumina reglementărilor în vigoare, Nicoleta Gheorghe a identificat măsuri care trebuie luate înainte, în timpul şi ulterior investigaţiei. Enumerăm mai jos câteva dintre acestea.

Înainte de investigaţie:

ü  analizarea periodică a conformităţii operaţiunilor de prelucrare a datelor cu caracter personal cu reglementările în vigoare (inclusiv verificarea măsurilor de securitate IT implementate);

ü  verificarea periodică a modului în care persoanele împuternicite să prelucreze date în numele companiei (companii terţe) se conformează RGPD;

ü  instruirea periodică a angajaţilor companiei atât cu privire la prevederile RGPD şi ale legislaţiei interne în materie, cât şi în ceea ce priveşte modul în care trebuie să acţioneze în cazul unui control al ANSPDCP.

Pe durata investigaţiei:

ü  identificarea personalului autorităţii care efectuează investigaţia pe baza legitimaţiei de control şi a împuternicirii emise pentru efectuarea investigaţiei;

ü  obţinerea a cât mai multor informaţii cu privire la investigaţie pentru a putea informa cât mai complet responsabilul cu protecţia datelor (DPO) şi avocatul societăţii;

ü  contactarea imediată şi informarea cât mai completă a DPO-ului şi a avocatului societăţii;

ü  colaborarea completă cu personalul de control, în limitele mandatului pe care inspectorii îl au, inclusiv prin furnizarea informaţiilor, documentelor sau înregistrărilor solicitate, precum şi prin permiterea audierii de persoane în măsura în care se solicită acest lucru şi dacă acestea au legătură cu obiectivele investigaţiei;

ü  oferirea accesului la informaţii/documente confidenţiale (cu aducerea la cunoştinţa personalului de control a caracterului confidenţial al acestora) în măsura în care acestea au legătură cu obiectivele investigaţiei;

ü  citirea cu atenţie a procesului verbal de control înainte de a fi semnat pentru a nu încorpora informaţii eronate.

După finalizarea investigaţiei:

ü  analizarea împreună cu avocatul societăţii şi cu ceilalţi consultanţi a oportunităţii formulării unei contestaţii împotriva procesului-verbal de constatare/sancţionare;

ü  implementarea măsurilor necesare de remediere şi efectuarea modificărilor care se impun pentru conformarea cu RGPD.

„Analizând cazurile investigate şi/sau sancţionate până în acest moment de ANSPDCP, dar şi pe cele în privinţa cărora ICO şi-a anunţat intenţia de a aplica amenzi, remarcăm faptul că situaţiile practice în care se poate ajunge la o încălcare a RGPD sunt dintre cele mai variate şi greu de anticipat la o analiză de bază/sumară. Este evident că procesul de aliniere la prevederile RGPD este unul continuu, care impune o permanentă instruire a personalului care gestionează date cu caracter personal în toate ariile de activitate ale companiei. Cunoaşterea fluxurilor de date cu caracter personal, a obligaţiilor impuse operatorului de date, dar şi a riscurilor la care acesta se supune în caz de încălcare a acestora sunt esenţiale pentru evitarea unor amenzi de până la 20.000.000 euro sau 4% din cifra de afaceri”, conchide Nicoleta Gheorghe.

Economie



Partenerii noștri

Ultimele știri
Cele mai citite