Iată-ne ajunși la finalul serialului de articole GDPR Explicitat. A fost o încercare de analiză și parcurgere pe orizontală a celor mai importante articole din GDPR care au egală importanță pentru toți operatorii și procesatorii de date personale. Desigur se mai pot povesti și comenta multe despre toate subiectele abordate. Vom mai avea ocazia să le reluăm când vom face analizele pe verticale, pe grupe de companii sau pe anumite industrii.

Când se dau amenzile administrative?

Orice încălcare a noului regulament este supusă unui regim de sancțiuni financiare cu amenzi de până la 4% din cifra de afaceri globală anuală sau de 20 milioane EUR, oricare dintre acestea este mai mare. La stabilirea nivelului amenzii, autoritatea de supraveghere trebuie să ia în considerare o serie de factori, inclusiv gravitatea încălcării, dacă încălcarea a fost intenționată sau rezultatul neglijenței și orice măsuri luate pentru a atenua încălcarea. În plus, persoanele pot da în judecată organizațiile pentru compensare pentru a acoperi atât pagubele materiale, cât și cele nemateriale (de exemplu, suferință).

Având în vedere magnitudinea eventualelor amenzi, drepturile persoanelor fizice de a introduce cazuri și cererea de despăgubiri, precum și prevalența și eficacitatea criminalității cibernetice, riscul unei încălcări a datelor ar trebui să treacă direct în registrul de risc al consiliului, cu respectarea înaltă a ordinii de zi a conducerii superioare.

Conform Articolului 83 – ”Condiții generale de impunere a amenzilor administrative”, aplicarea penalităților va fi, în fiecare caz, eficace, proporțională și disuasivă (descurajantă). Amenzile administrative se acordă în funcție de:

• Natura, gravitatea și durata încălcării;
• Caracterul intenționat sau neglijent al încălcării;
• Orice acțiune întreprinsă de operator sau de procesator pentru a diminua daunele suferite de persoanele vizate;
• Gradul de responsabilitate al operatorului sau al procesatorului, ținând cont de măsurile tehnice și organizatorice implementate de aceștia;
• Orice încălcări anterioare relevante;
• Gradul de cooperare;
• Categoriile de date cu caracter personal afectate de încălcare;
• Modul în care încălcarea a devenit cunoscută;
• Existența unor cazuri anterioare în care au fost ordonate competențe corective împotriva operatorului sau a procesatorului;
• Respectarea codurilor de conduită aprobate sau a mecanismelor de certificare aprobate;
• Existența unor alți factori agravanți sau atenuanți.

Care sunt situațiile în care amenda e de 2% din cifra de afaceri?

Conform Articolului 83, Alineatul 4, se impune o amendă de 10 000 000 EUR sau, în cazul unei întreprinderi, cifra de afaceri anuală totală la nivel mondial de 2% din exercițiul financiar precedent (oricare dintre acestea este mai mare) în situațiile în care autoritatea de supraveghere constată încălcarea următoarelor Articole:

• Obligațiile operatorului și ale procesatorului de date stabilite în Articolele 8, 11, 25 la 39, 42 și 43;
• Obligațiile corpului de certificare conforme cu Articolele 42 și 43;
• Obligațiile corpului de monitorizare aferente Articolului 41 (Alineat 4)

Mai explicit, acest tip de penalitate se referă la încălcarea clară a Articolelor:

• 8: Consimțământul copilului
• 11: Prelucrarea care nu necesită identificare
• 25: Protecția datelor prin design și implicit
• 26: Operatori comuni
• 27: Reprezentanți ai operatorilor care nu sunt stabiliți în UE
• 26, 29 & 30: Prelucrarea
• 31: Cooperarea cu autoritatea de supraveghere
• 32: Securitatea datelor
• 33: Notificarea încălcărilor autorității de supraveghere
• 34: Comunicarea încălcărilor la persoanele vizate
• 35: Evaluarea impactului protecției datelor
• 36: Consultare prealabilă
• 37-39: Protecția datelor
• 41 (4): Monitorizarea codurilor de conduită aprobate
• 42: Certificare
• 43: Organisme de certificare

Care sunt situațiile în care amenda e de 4% din cifra de afaceri?

Conform Articolului 83, Alineatul 4, se impune o amendă de 20 000 000 EUR sau, în cazul unei întreprinderi, cifra de afaceri anuală totală la nivel mondial de 4% în exercițiul financiar precedent (oricare dintre acestea este mai mare) în următoarele condiții de încălcare:

• Principiile de bază ale procesării, incluzând condițiile pentru consimțământ, aferente Articolelor 5, 6, 7 și 9;
• Drepturile subiecților aferente Articolelor de la 12 la 22;
• Transferul datelor personale către un recipient dintr-o țară terță sau o organizație internațională, aferent Articolelor de la 44 la 49.

Mai explicit, acest tip de penalitate se referă la încălcarea clară a Articolelor:

• 5: Principii privind prelucrarea datelor cu caracter personal;
• 6: Legalizarea procesării;
• 7: Condiții pentru consimțământ;
• 9: Prelucrarea categoriilor speciale de date cu caracter personal (adică date personale sensibile);
• 12 -22: Dreptul la informație, accesul, rectificarea, ștergerea, restricționarea procesării, transferabilitatea datelor, obiectul, profilul;
• 44 -49: Transferuri către țări terțe;
• 58 alineatul (1): cerința de a oferi acces la autoritatea de supraveghere;
• 58 (2): Comenzi / limitări privind prelucrarea sau suspendarea fluxurilor de date.

Norme privind sancțiunile impuse de fiecare stat membru

În Articolul 83, Alineatul 7 se mai specifică faptul că ”Fără a aduce atingere competenţelor corective ale autorităţilor de supraveghere menţionate la articolul 58 alineatul (2), fiecare stat membru poate prevedea norme prin care să se stabilească dacă şi în ce măsură pot fi impuse amenzi administrative autorităţilor publice şi organismelor publice stabilite în statul membru respectiv.”

Mai departe se prevede că exercitarea de către autoritatea de supraveghere a competenţelor sale în temeiul Art.83 are loc cu condiţia existenţei unor garanţii procedurale adecvate în conformitate cu dreptul Uniunii şi cu dreptul intern, inclusiv căi de atac judiciare eficiente şi dreptul la un proces echitabil.

Dar acestea nu sunt toate sancțiunile prevăzute de GDPR. În Articolul 84: ”Sancţiuni”, Alineatul 1  se specifică faptul că statele membre au dreptul de a stabili normele privind alte sancţiuni aplicabile în caz de încălcare a Regulamentului, în special pentru încălcări care nu fac obiectul unor amenzi administrative în temeiul Articolului 83, şi iau toate măsurile necesare pentru a garanta faptul că acestea sunt puse în aplicare. Sancţiunile respective trebuie să fie eficace, proporţionale şi disuasive. Totodată, până la 25 mai 2018 fiecare stat membru trebuie să informeze Comisia cu privire la dispoziţiile de drept intern pe care le adoptă în temeiul alineatului (1), precum şi, fără întârziere, cu privire la orice modificare ulterioară a acestora.

Celor care nu le-au citit încă, le recomand precedentele articole (1 – 14) ale seriei GDPR Explicitat:

• ”GDPR explicitat (1): Cine se va supune noului regulament și Unde?”
• ”GDPR explicitat (2): Ce sunt datele personale?”
• ”GDPR explicitat (3): Respectați principiile și demonstrați-vă conformitatea activităților”
• ”GDPR explicitat (4): Verificați legalitatea prelucrării și obțineți Consimțământul”
• ”GDPR explicitat (5): Dreptul de a fi informat si Ce informații trebuie trimise”
• ”GDPR explicitat (6): Dreptul de acces, rectificare, ștergere sau restricționare”
• ”GDPR explicitat (7): Dreptul la portabilitatea datelor, obiecții și luarea automată a deciziilor”
• ”GDPR explicitat (8): Responsabilitatea și guvernanța în noua viziune”
• ”GDPR explicitat (9): Data protection by design and by default”
• ”Cele mai frecvente întrebări și răspunsuri despre GDPR”
• ”GDPR explicitat (10): Importanța evaluărilor de impact (DPIA)”
• ”GDPR explicitat (11): Un personaj important – Data Protection Officer (DPO)”
• ”GDPR explicitat (12): Transferul internațional de date”
• ”GDPR explicitat (13): Notificarea breșelor de securitate”
• ”GDPR explicitat (14): Coduri de Conduită și Mecanisme de Certificare”