GDPR: cum se va aplica concret în România?
14 minute • Ana-Maria Udriste • 02 iulie 2018
Cum se va aplica în concret GDPR în România
Prin Legea nr. 129 din 15 iunie 2018 a fost modificată Legea nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal și a fost de asemenea abrogată Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date. Vezi tot ce am scris despre GDPR aici.
Cum se vor desfășura controalele?
Cine face controlul?
Controlul în domeniul GDPR, efectuat de autoritate, se numește inspecție. În cadrul ANSPDCP, vor exista persoane cu funcții de control, denumit personal de control.
Personalul de control va fi numit de către președintele ANSPDCP.
Ce pot controla inspectorii?
Inspecțiile pot fi de două feluri: (a) anunțate – când persoana va primi o înștiințare prealabilă despre o asemenea activitate și (b) inopinate – când persoana se va trezi cu personalul de control la sediu/locul unde-și desfășoară activitatea.
Indiferent de maniera în care vor fi desfășurate inspecțiile, personalul de control are dreptul să:
- să ceară şi să obţină de la operator şi persoana împuternicită de operator, precum şi, după caz, de la reprezentantul acestora, la faţa locului şi/sau în termenul stabilit, orice informaţii şi documente, indiferent de suportul de stocare,
- să ridice copii de pe cele amintite anterior,
- să aibă acces la oricare dintre incintele operatorului şi persoanei împuternicite de operator,
- şi să aibă acces şi să verifice orice echipament, mijloc sau suport de stocare a datelor, necesare desfăşurării investigaţiei
Putem împiedica în vreun fel controlul?
În cazul în care controlul este împiedicat în vreun fel, ANSPDCP poate solicita de la preşedintele Curţii de Apel Bucureşti sau de către un judecător delegat de acesta o autorizație judiciară, un fel de mandat.
Atenție! O copie a autorizaţiei judiciare se comunică obligatoriu entităţii controlate înainte de începerea investigaţiei.
Care este procedura în cazul autorizației judiciare?
Cererea făcută de ANSPDCP se judecă:
- în maxim 48 ore de la data înregistrării cererii pe rolul Curții de Apel București
- de urgență
- în cameră de consiliu
- fără citarea părților
Judecătorul se pronunță prin încheiere, care se comunică atât ANSPDCP, cât și entității controlate în termen de maxim 48 ore de la pronunțare.
Întrebare: Ce trebui să conțină cererea făcută de ANSPDCP pentru obținerea autorizației?
Răspuns: toate informaţiile de natură să justifice investigaţia (precum compania vizată, indiciile existente, natura încălcării, articolele incidente din regulament și lege etc.)
Judecătorul va verifica dacă cererea este sau nu întemeiată (în măsura în care judecătorul consideră că cererea nu este întemeiată, ANSPDCP nu va putea proceda la efectuarea inspecției până la ivirea unei situații noi care să justifice declanșarea unei noi investigații).
Încheierea poate fi contestată la Înalta Curte de Casaţie şi Justiţie, în termen de 72 de ore de la comunicarea acesteia. Contestaţia nu este suspensivă de executare (dacă prin încheiere judecătorul a admis cererea ANSPDCP, asta înseamnă că personalul de control poate proceda la efectuarea inspecției, chiar dacă ulterior urmează o contestație la ÎCCJ. Dacă la ÎCCJ se va considera că cererea nu a fost întemeiată, entitatea controlată poate cere despăgubiri, pe cale separată, de la ANSPDCP).
Cum se desfășoară propriu-zis inspecția?
Personalul de control vine la sediul/punctul de lucru/locul unde-și desfășoară activitatea entitatea controlată (care poate fi operator sau persoana împuternicită).
Inspecția se desfășoară în intervalul orar 08:00-18:00 în prezența reprezentantului legal al entității controlate sau a unei persoane desemnate de acesta. Inspecția poate continua și după acest termen, dar numai cu acordul scris al persoanelor anterior menționate.
Inspectorii pot:
- cere orice fel de documente/informații au legătură cu inspecția (rămâne de văzut dacă se va aplica privilegiul avocat-client și în ce măsură și de asemenea ce se întâmplă cu informații considerate confidențiale/secrete de afaceri);
- inventaria, identifica și pune sigiliu pe obiecte conform dispozițiilor codului de procedură penală;
ANSPDCP poate dispune aplicarea umătoarelor măsuri coercitive:
- să emită avertizări în atenția unui operator sau a unei persoane împuternicite de operator cu privire la posibilitatea ca operațiunile de prelucrare prevăzute să încalce dispozițiile GDPR;
- să emită mustrări adresate unui operator sau unei persoane împuternicite de operator în cazul în care operațiunile de prelucrare au încălcat dispozițiile GDPR;
- să dea dispoziții operatorului sau persoanei împuternicite de operator să respecte cererile persoanei vizate de a-și exercita drepturile în temeiul GDPR;
- să dea dispoziții operatorului sau persoanei împuternicite de operator să asigure conformitatea operațiunilor de prelucrare cu dispozițiile GDPR, specificând, după caz, modalitatea și termenul-limită pentru aceasta;
- să oblige operatorul să informeze persoana vizată cu privire la o încălcare a protecției datelor cu caracter personal;
- Să impună o limitare temporară sau definitivă, inclusiv o interdicție asupra prelucrării;
- să dispună rectificarea sau ștergerea datelor cu caracter personal sau restricționarea prelucrării, în temeiul articolelor 16, 17 și 18 GDPR, precum și notificarea acestor acțiuni destinatarilor cărora le-au fost divulgate datele cu caracter personal, în conformitate cu articolul 17 alineatul (2) și cu articolul 19 GDPR;
- să retragă o certificare sau de a obliga organismul de certificare să retragă o certificare eliberată în temeiul articolul 42 și 43 GDPR sau să oblige organismul de certificare să nu elibereze o certificare în cazul în care cerințele de certificare nu sunt sau nu mai sunt îndeplinite;
- să impună amenzi administrative în conformitate cu articolul 83 GDPR, în completarea sau în locul măsurilor menționate la prezentul alineat, în funcție de circumstanțele fiecărui caz în parte;
- să dispună suspendarea fluxurilor de date către un destinatar dintr-o țară terță sau către o organizație internațională.
De asemenea, ANSPDC poate să:
- dispună efectuarea expertizelor necesare inspecției;
- audieze persoanele ale căror declarații sunt necesare inspecției;
- sesizeze alte autorități;
- formuleze recomandări.
Ce sancțiuni pot primi?
Potrivit GDPR, amenzile sunt: mustrarea și amenda.
De asemenea, în anumite cazuri, ANSPDCP poate emite avertizări.
În cât timp se pot aplica sancțiunile?
Sancțiunile pot fi aplicate în termenul de prescripție de 3 ani de la data săvârşirii faptei. În cazul încălcărilor care durează în timp sau al celor constând în săvârşirea, în baza aceleiaşi rezoluţii, la intervale diferite de timp, a mai multor acţiuni sau inacţiuni, care prezintă, fiecare în parte, conţinutul aceleiaşi contravenţii, prescripţia începe să curgă de la data constatării sau de la data încetării ultimului act ori fapt săvârşit, dacă acest moment intervine anterior constatării.
Atenție! Termenul de prescripţie se întrerupe prin efectuarea oricărui act de procedură în cazul investigat, fără să poată depăşi 4 ani de la data săvârşirii faptei. Întreruperea produce efecte faţă de toţi participanţii la săvârşirea respectivei încălcări.
Amenzile pe Regulament sunt în EURO. Cum le plătesc?
Amenzile prevăzute de Regulamentul general privind protecţia datelor, se aplică şi se achită în lei, la cursul oficial al Băncii Naţionale a României de la data aplicării.
Cine aplică sancțiunile?
Dacă avem o amendă mai mică de 300.000 EURO, aplicarea sancțiunii se face prin proces-verbal de constatare/sancţionare încheiat de personalul de control.
Dacă avem o amendă mai mare de 300.000 EURO, aplicarea sancțiunii se face prin decizie a preşedintelui Autorităţii naţionale de supraveghere, care are la bază procesul-verbal de constatare şi raportul personalului de control.
Se poate face prin (a) proces-verbal de constatare/sancţionare încheiat de personalul de control sau prin (b) decizie a preşedintelui Autorităţii naţionale de supraveghere aplicarea măsurilor corective care constau în obligarea operatorului sau a persoanei împuternicite de operator:
- să respecte cererile persoanei vizate de exercitare a drepturilor,
- să asigure conformitatea operaţiunilor de prelucrare cu dispoziţiile legale aplicabile,
- obligarea operatorului să informeze persoana vizată cu privire la o încălcare a protecţiei datelor cu caracter personal.
Se poate face numai prin decizie a preşedintelui Autorităţii naţionale de supraveghere aplicarea măsurilor corective care constau, după caz, în:
- limitarea temporară sau definitivă,
- interdicţia asupra prelucrării,
- rectificarea sau ştergerea datelor cu caracter personal,
- restricţionarea prelucrării,
- notificarea acestor acţiuni destinatarilor cărora le-au fost divulgate datele cu caracter personal,
- retragerea unei certificări sau obligarea organismului de certificare să retragă o certificare eliberată sau să nu elibereze o certificare în cazul în care cerinţele de certificare nu sunt sau nu mai sunt îndeplinite,
- suspendarea fluxurilor de date către un destinatar dintr-o ţară terţă sau către o organizaţie internaţională.
Ce trebuie să conțină decizia președintelui ANSPDCP?
Decizia trebuie să conţină în mod obligatoriu următoarele elemente:
- datele de identificare ale Autorităţii naţionale de supraveghere şi numele reprezentantului legal al acesteia,
- datele de identificare ale operatorului/persoanei împuternicite de operator, codul numeric personal, după caz,
- descrierea faptelor şi a împrejurărilor care pot fi avute în vedere la individualizarea măsurii,
- indicarea temeiului legal potrivit căruia se stabileşte şi se sancţionează fapta,
- măsurile corective aplicate,
- termenul şi modalitatea de plată a amenzii, după caz,
- termenul de exercitare a căii de atac şi
- instanţa de judecată competentă.
Cum se poate ataca o sancțiune o ANSPDCP?
Operatorul sau persoana împuternicită de operator poate introduce contestaţie la secţia de contencios administrativ a tribunalului competent, în termen de 15 zile de la înmânare, respectiv de la comunicare.
Legea 554/2004 a contenciosului administrativ: Reclamantul se poate adresa instanței de la domiciliul său (unde are sediul operator sau persoana împuternicită de operator) sau celei de la domiciliul pârâtului (unde are sediul ANSPDCP, respectiv Tribunalul București). Dacă reclamantul a optat pentru instanța de la domiciliul pârâtului, nu se poate invoca excepția necompetenței teritoriale.
Hotărârea prin care s-a soluţionat contestaţia poate fi atacată numai cu apel.
Apelul se judecă de curtea de apel competentă.
În toate cazurile, instanţele competente sunt cele din România.
Dacă procesul-verbal/decizia nu sunt contestate în termen de 15 zile de la înmânare, respectiv de la comunicare, documentul va constitui titlu executoriu, fără vreo altă formalitate. În cazul în care se contestă, suspendarea executării va opera doar asupra amenzii, nu și a altor sancțiuni de corecție suplimentare.
În cât timp trebuie să plătesc amenda?
Termenul de plată a amenzii este de 15 zile de la data înmânării, respectiv de la data comunicării procesului-verbal de constatare/sancţionare sau a deciziei preşedintelui Autorităţii naţionale de supraveghere.
Cum se vor soluționa plângerile persoanelor vizate?
Cine poate face o plângere la ANSPDCP?
Orice persoană vizată care consideră că prelucrarea datelor sale cu caracter personal încalcă prevederile legale în vigoare are dreptul de a depune plângere la Autoritatea naţională de supraveghere, în special în cazul în care reşedinţa sa obişnuită, locul său de muncă sau presupusa încălcare se află sau, după caz, are loc pe teritoriul României. Plângerea poate fi depusă inclusiv prin mijloacele electronice de comunicare (vezi aici ce drepturi ai ca persoană vizată în GDPR).
Cine depune plângerea?
Plângerea se înaintează personal sau prin reprezentant. În cazul în care plângerea este înaintată de către un reprezentant al persoanei vizate, trebuie anexată împuternicirea avocațială sau procura notarială, după caz.
De asemenea, plângerea poate fi depusă şi de către mandatarul persoanei vizate care este soţ sau rudă până la gradul al doilea inclusiv.
Plângerea mai poate fi depusă și de către un organism, organizaţie, asociație sau fundație fără scop patrimonial. În acest caz, acestea trebuie să dovedească faptul că au fost constituite legal, cu un statut ce prevede obiective de interes public, şi că sunt active în domeniul protecţiei drepturilor şi libertăţilor persoanelor vizate în ceea ce priveşte protecţia datelor lor cu caracter personal. La plângere se vor anexa inclusiv împuternicirea sau procura notarială, după caz din care să rezulte limitele mandatului acordat de persoana vizată.
Pe scurt, plângerea poate fi depusă de:
- personal de persoana vizată;
- prin împuternicitul persoanei vizate;
- de către un mandatar al persoanei vizate;
- de către un organism, organizaţie, asociație sau fundație fără scop patrimonial care activează în domeniul protecţiei drepturilor şi libertăţilor persoanelor vizate în ceea ce priveşte protecţia datelor lor cu caracter personal.
Care este procedura de soluționare?
Momentan, încă nu avem o procedură cap-coadă de soluționare, aceasta urmând să fie adoptată prin decizie a preşedintelui Autorităţii naţionale de supraveghere, publicată în Monitorul Oficial al României, Partea I.
Ce se întâmplă cu plângerea?
ANSPDCP informează persoana vizată în termen de 45 zile de la înregistrarea plângerii dacă plângerea acesteia este sau nu întemeiată.
Dacă ANSPDCP consideră că plângerea nu este completă/insuficientă, va informa, în termen de 45 zile de la înregistrarea plângerii, persoana vizată despre acest aspect și îi va solicita să completeze plângerea cu informațiile și documentele necesare. Un nou termen de 45 zile va începe să curgă de la data completării cererii.
Atenție! Nu se specifică la momentul actual dacă ANSPDCP poate solicita o singură dată completarea plângerii sau de mai multe ori, caz în care ar curge un nou termen de 45 zile pentru fiecare completare a plângerii, până ce plângerea e admisibilă.
În termen de maxim 3 luni de când ANSPDCP a considerat plângerea ca fiind admisibilă, va informa persoana vizată despre evoluţia sau rezultatul investigaţiei întreprinse (care poate fi de admitere a plângerii sau de respingere a acesteia). Informarea va cuprinde şi calea de atac împotriva Autorităţii naţionale de supraveghere.
Dacă este necesară efectuarea unei investigaţii mai amănunţite sau coordonarea cu alte autorităţi de supraveghere, ANSPDCP informează persoana vizată în legătură cu evoluţia investigaţiei, din 3 în 3 luni, până la finalizarea acesteia. Rezultatul investigaţiei se aduce la cunoştinţa persoanei vizate în termen de cel mult 45 de zile de la finalizarea acesteia.
Dacă nu sunt respectate dispozițiile anterior menționate, persoana vizată se poate adresa secţiei de contencios administrativ a tribunalului competent, după parcurgerea procedurii prealabile prevăzute de Legea contenciosului administrativ nr. 554/2004. Recursul se judecă de curtea de apel competentă, instanțele competente fiind în toate cazurile cele din România.
ANSPDCP consideră că au fost încălcate drepturile persoanei vizate. Ce se întâmplă?
Dacă ANSPDCP apreciază că au fost încălcate oricare dintre drepturile persoanelor vizate garantate de reglementările legale din domeniul protecţiei datelor personale, poate sesiza instanţa competentă, potrivit legii.
Persoana vizată dobândeşte de drept calitatea de reclamant, urmând a fi citată în această calitate. Dacă persoana vizată îşi însuşeşte acţiunea, încetează calitatea procesuală activă a ANSPDCP. Dacă persoana vizată nu îşi însuşeşte acţiunea formulată de ANSPDCP, instanţa anulează cererea.
Acțiunile formulate de ANSPDCP sunt scutite de taxă de timbru.
Cred că mi s-au încălcat drepturile. Trebuie neapărat să mă adresez ANSPDCP?
NU. Persoana vizată se poate adresa direct instanțelor competente atunci când consideră că anumite drepturi i-au fost încălcate, neavând o obligație prealabilă de a depune o plângere la ANSPDCP.
De asemenea, orice persoană (nu doar persoanele vizate) care a suferit un prejudiciu în urma unei prelucrări de date cu caracter personal, efectuată ilegal, se poate adresa instanţei competente pentru repararea acestuia.
Am pus bazele unui KIT de implementare GDPR (set complet de documente editabile) care să-ți asigure conformitatea GDPR la prețuri minime, fără a apela la un consultant de specialitate. Află mai multe despre KIT aici.
Un răspuns