Cum se desfășoară investigatia GDPR la firma ta potrivit legii române?
3 minute • Redactia • 26 iunie 2018
Legea nr. 129/2018 pentru modificarea și completarea Legii nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal este în vigoare din 24 iunie.
În continuare, prin prezentul articol, vă vom prezenta ce prevede legea cu privire la desfășurarea investigației GDPR.
Cine efectuează investigațiile GDPR la firmele din România?
Efectuarea investigațiilor se realiează de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, prin personalul împuternicit în acest scop. Potrivit legii, investigațiile pot fi inclusiv inopinate.
Cum se va desfășura investigația Autoritatății de Supraveghere?
ANSPDCP are dreptul să:
- ceară și să obțină de la operator și persoana împuternicită de operator, precum și, după caz, de la reprezentantul acestora, la fața locului și/sau în termenul stabilit, orice informații și documente, indiferent de suportul de stocare,
- ridice copii de pe acestea
- aibă acces la oricare dintre incintele operatorului și persoanei împuternicite de operator, și;
- să aibă acces și să verifice orice echipament, mijloc sau suport de stocare a datelor, necesare desfășurării investigației, în condițiile legii.
Investigația nu poate începe înainte de ora 8:00 și nu poate continua după ora 18:00 și trebuie efectuată în prezența persoanei la care se efectuează investigația sau a reprezentantului său. Cu acordul scris al persoanei la care se efectuează investigația, aceasta poate continua și după ora 18:00.
Se poate dispune de către Autoritate efectuarea expertizelor și audierea persoanelor are căror declarații sunt considerate relevante și necesare desfășurării investigației.
Ce sancțiuni se pot aplica?
Sancțiunile care pot fi aplicate sunt mustrarea și amenda. Sancțiunile pot fi aplicate în termen de 3 ani de la data săvârșirii faptei.
Amenda poate ajunge până la 4% din cifra de afaceri sau 20.000.000 euro, oricare dintre ele este mai mare și pentru fiecare faptă săvârșită.
La stabilirea dacă se va aplica un avertisment sau o amendă, iar, în cazul amenzii, cuantumul acesteia se vor lua în calcul mai multe aspecte printre care:
- gravitatea faptei;
- consecințele faptei;
- orice acțiuni întreprinse de operator sau de persoana împuternicită de operator pentru a reduce prejudiciul;
- orice alt factor agravant sau atenuant aplicabil circumstanțelor cazului.
Cum pot evita amenda?
Implementarea GDPR are două ramuri: tehnică și juridică. În cele mai multe cazuri, ANSPDCP cere documentație. Politici de securitate, acorduri de prelucrare, note de informare, proceduri și registre. Documentație care trebuie să protejeze toate cotloanele afacerii tale: relația cu persoanele fizice, cu partenerii, furnizorii și colaboratorii, relatia cu angajatii, managemetnul incidentelor de securitate, transferurile de date.
Am elaborat un KIT de implementare GDPR, unde am inclus toate procedurile pentru conformitate la GDPR astfel încât să îți protejezi afacerea.