Dupa o perioada de mai bine de un an de la intrarea in vigoare, pe 25 mai 2018, a Regulamentului privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date (RGPD), asistam la o noua perioada de efervescenta declansata de primele amenzi aplicate pentru nerespectarea prevederilor RGPD de catre Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal - ANSPDCP. Daca in 2017 si in primele luni ale lui 2018, companiile au investit resurse impresionante de timp si bani, in unele cazuri intr-un proces contra cronometru, pentru a se asigura ca se vor conforma la timp prevederilor legale, primul an de aplicabilitate a noului regulament european a fost unul mai degraba linistit. Companiile care au urmat un proces de analiza si conformare s-au bucurat de un moment de pauza, iar cele care nu au realizat acest proces nu au vazut niciun efect imediat al noilor prevederi legale si au considerat, poate, ca activitatea lor nu va fi afectata. Recentele sanctiuni aplicate ne arata, insa, ca autoritatile nationale au folosit aceasta perioada pentru a-si consolida aparatul de control si pentru a realiza primele investigatii.

Astfel, in doar cateva zile (27 iunie - 5 iulie 2019), ANSPDCP a aplicat trei amenzi, una de 130.000 euro unei institutii bancare, una de 15.000 euro unei unitati hoteliere si cea de a treia de 3.000 euro unei societati care ofera consultanta in domeniul protectiei datelor. De asemenea, la nivel european, pe 8 si 9 iulie 2019, ICO (autoritatea pentru protectia datelor din Marea Britanie) si-a anuntat intentia de a amenda un mare lant hotelier cu peste 99 milioane de lire si o companie aeriana cu 183,39 milioane de lire (reprezentand, potrivit The Guardian, 1,5% din cifra de afaceri obtinuta la nivel global de compania aeriana anul trecut) pentru incalcarea RGDP.

In ceea ce priveste activitatea ANSPDCP, observam ca cele trei amenzi aplicate pana in acest moment sunt rezultatul unor investigatii initiate ca urmare a unor plangeri sau a notificarii unor brese de securitate de catre operatorul de date. Autoritatea si-a actualizat recent pagina web pentru a facilita accesul celor interesati la procedura de depunere a plangerilor in baza RGPD, o procedura simplificata care permite completarea online a formularului de plangere. De asemenea, in cadrul ANSPDCP s-a creat Directia Plangeri. Este usor de anticipat, astfel, ca in perioada urmatoare, numarul investigatiilor ANSPDCP va creste la fel ca si numarul de sanctiuni aplicate.   

Intrebarea care se pune este ce poate face o companie in cazul in care ANSPDCP initiaza o investigatie in privinta activitatii sale? Cum se pregateste pentru o astfel de investigatie?

In lumina reglementarilor in vigoare, putem identifica masuri care trebuie luate inainte, in timpul si ulterior investigatiei. Enumeram mai jos cateva dintre acestea.

Inainte de investigatie:
- analizarea periodica a conformitatii operatiunilor de prelucrare a datelor cu caracter personal cu reglementarile in vigoare (inclusiv verificarea masurilor de securitate IT implementate);
- verificarea periodica a modului in care persoanele imputernicite sa prelucreze date in numele companiei (companii terte) se conformeaza RGPD;
- instruirea periodica a angajatilor companiei atat cu privire la prevederile RGPD si ale legislatiei interne in materie, cat si in ceea ce priveste modul in care trebuie sa actioneze in cazul unui control al ANSPDCP.

Pe durata investigatiei:
- identificarea personalului autoritatii care efectueaza investigatia pe baza legitimatiei de control si a imputernicirii emise pentru efectuarea investigatiei;
- obtinerea a cat mai multor informatii cu privire la investigatie pentru a putea informa cat mai complet responsabilul cu protectia datelor (DPO) si avocatul societatii;
- contactarea imediata si informarea cat mai completa a DPO-ului si a avocatului societatii;
- colaborarea completa cu personalul de control, in limitele mandatului pe care inspectorii il au, inclusiv prin furnizarea informatiilor, documentelor sau inregistrarilor solicitate, precum si prin permiterea audierii de persoane in masura in care se solicita acest lucru si daca acestea au legatura cu obiectivele investigatiei;
- oferirea accesului la informatii/documente confidentiale (cu aducerea la cunostinta personalului de control a caracterului confidential al acestora) in masura in care acestea au legatura cu obiectivele investigatiei;
- citirea cu atentie a procesului verbal de control inainte de a fi semnat pentru a nu incorpora informatii eronate.

Dupa finalizarea investigatiei:
- analizarea impreuna cu avocatul societatii si cu ceilalti consultanti a oportunitatii formularii unei contestatii impotriva procesului-verbal de constatare/sanctionare;
- implementarea masurilor necesare de remediere si efectuarea modificarilor care se impun pentru conformarea cu RGPD.

Analizand cazurile investigate si/sau sanctionate pana in acest moment de ANSPDCP, dar si pe cele in privinta carora ICO si-a anuntat intentia de a aplica amenzi, remarcam faptul ca situatiile practice in care se poate ajunge la o incalcare a RGPD sunt dintre cele mai variate si greu de anticipat la o analiza de baza/sumara.

Este evident ca procesul de aliniere la prevederile RGPD este unul continuu, care impune o permanenta instruire a personalului care gestioneaza date cu caracter personal in toate ariile de activitate ale companiei. Cunoasterea fluxurilor de date cu caracter personal, a obligatiilor impuse operatorului de date, dar si a riscurilor la care acesta se supune in caz de incalcare a acestora sunt esentiale pentru evitarea unor amenzi de pana la 20.000.000 euro sau 4% din cifra de afaceri.

Autor: Nicoleta Gheorghe (foto), Managing Associate, Radu si Asociatii SPRL