În articolul de astăzi ne vom imagina cum se desfășoară un control GDPR la firma la care lucrați sau pe care o administrați. De la început vom menționa faptul că expresia ”control GDPR” se referă la ansamblul activităților de control pe care instituțiile abilitate de lege le desfășoară în vederea verificării conformității implementării GDPR (Regulamentul European privind Protecția Datelor) în cadrul companiei dvs.

Sunteți pregătiți de control? Să-i dăm drumul!

Ce instituție publică este abilitată să efectueze un control GDPR în România?

Singura instituție publică abilitată să efectueze un control GDPR în România este ANSPDCP – Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.  Facem această precizare întrucât, în special după intrarea în vigoare a GDPR în întreaga Uniunea Europeană, am văzut pe forumurile și grupurile de profil discutându-se situații în care angajați ai altor instituții publice întrebau reprezentanții firmelor controlate dacă au implementat la societatea lor prevederile GDPR.

Așadar, singurii în măsură să efectueze un control pe linia respectării Regulamentului European privind Protecția Datelor sunt angajații ANSPDCP.

Cum se poate desfășura un control GDPR de către reprezentanții ANSPDCP?

Controlul, conform prevederilor legii, se poate desfășura anunțat, dar și inopinat! Nu este așadar necesară anunțarea în prealabil a reprezentanților legali ai firmei controlate și nici prezentarea vreunei sesizări – singura modalitate prin care angajații ANSPCP își vor putea legitima controlul este prin prezentarea calității de angajați ai respectivei instituții.

Controlul GDPR al Autorității se poate desfășura în următoarele condiții:

  • doar între orele 8.00 și 18.00, cu precizarea că pentru a prelungi controlul după ora 18.00 este necesar acordul scris al reprezentantului societății controlate
  • reprezentanții ANSPDCP pot intra în orice incintă a firmei controlate, în prezența reprezentantului legal al acesteia
  • reprezentanții ANSPDCP pot avea acces la orice documente și medii de stocare și pot face copii după documente pentru a le ridica
  • reprezentanții ANSPDCP pot dispune audierea anumitor persoane, dacă este în interesul cauzei, și pot dispune efectuarea de expertize (exemplu expertiză IT, etc.)

Care sunt sancțiunile care pot fi aplicate de către ANSPDCP în urma unui control GDPR?

Regulamentul GDPR are aplicabilitate directă la nivelul statelor membre ale Uniunii Europene iar prevederile sale se aplică ad-literam. Menționăm acest lucru pentru a lămuri pe cei care sunt încă surprinși de cuantumul mare al amenzilor care pot ajunge la 4% din cifra de afaceri sau 20 milioane Euro, depinde care sumă este mai mare.

E drept, acest sancțiuni sunt gândite ca având un efect preventiv, cu adresabilitate către marile companii din domeniu. Recentul scandal în care a fost implicat gigantul Facebook, cu datele ”pierdute către” sau ”sustrase de către” Cambridge Analytica, ne-a demonstrat că uneori sancțiunea amenzii de 20 milioane Euro este prea mică în comparație cu modalitatea în care unii înțeleg să utilizeze aceste date și cu câștigul obținut în urma utilizării ilicite a acestor date.

În acest context este destul de greu de imaginat că o firmă medie sau mijlocie ar putea vreodată primi o astfel de amendă maximală. Totuși, Regulamentul European nu prevede amenzi minimale și nici un anumit cuantum diferențiat. Tot ce se recomandă este o anumită gradualitate a aplicării sancțiunilor, în funcție de o serie de factori, așa cum sunt:

  • gravitatea faptei în sine și consecințele ei
  • atitudinea operatorului față de fapta comisă și modalitatea în care se străduiește să reducă consecințele sau prejudiciul
  • eventualele ”antecedente” ale operatorului (încălcări în trecut ale dispozițiilor privind datelor cu caracter personal)

Cum puteți să fiți siguri că nu veți avea probleme în urma unui control GDPR?

Cea mai simplă modalitate este să respectați și să implementați Regulamentul European pentru Protecția Datelor – GDPR în cadrul firmei dumneavoastră. Ușor de spus, complicat de pus în practică, întrucât sunt atât de multe aspecte de luat în calcul și atât de multe date cu caracter personal care trebuie a fi luate în calcul și protejate încât cel mai simplu ar fi să apelați la specialiști în GDPR, așa cum suntem noi, cei de la Data Protection Group.

 

Tu ești pregătit pentru un control al ANSPDCP privind modalitatea implementarii GDPR in cadrul companiei tale?