În câteva zile (27 iunie – 5 iulie), Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a aplicat trei amenzi: una de 130.000 de euro, unei instituții bancare, alta de 15.000 de euro, unei unități hoteliere, şi a treia, de 3.000 de euro, unei societăți de consultanță în domeniul protecției datelor. Recent, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal a anunţat că a aplicat şi o altă amendă contravenţională, de 10.000 de lei, operatorului de date cu caracter personal Hilmi Medical Center SRL.
Ce poate face, aşadar, o companie, dacă ANSPDCP inițiază o investigație şi cum se pregătește pentru o astfel de anchetă? Înainte de investigație, trebuie să analizeze periodic conformitatea operațiunilor de prelucrare a datelor cu caracter personal cu reglementările în vigoare, să verifice periodic modul în care prelucrează datele în numele companiei persoanele împuternicite şi să-şi instruiască periodic angajaţii cu privire la prevederile GDPR, spune EY, care continuă să detalieze şi măsurile necesare pe durata investigaţiei, dar şi după ce aceasta se finalizează.
Situaţii variate
„Analizând cazurile investigate și/sau sancționate până în acest moment de ANSPDCP, dar și pe cele în privința cărora ICO (autoritatea britanică în domeniu) și-a anunțat intenția de a aplica amenzi, remarcăm că situațiile practice în care se poate ajunge la o încălcare a GDPR sunt dintre cele mai variate și greu de anticipat”, spune Nicoleta Gheorghe, avocat.
Este evident, explică aceasta, că „procesul de aliniere la prevederile RGPD este unul continuu, care impune o permanentă instruire a personalului ce gestionează date cu caracter personal, în toate ariile de activitate ale companiei”. Cunoașterea fluxurilor de date cu caracter personal, a obligațiilor impuse operatorului, dar și a riscurilor la care se supune prin încălcarea acestora, sunt esențiale pentru evitarea unor amenzi de până la 20.000.000 de euro sau 4% din cifra de afaceri.
