ANSPDCP a continuat să aplice sancțiuni importante pentru încălcarea Regulamentului (UE) 2016/679 (GDPR). Cele mai frecvente probleme au privit lipsa măsurilor de securitate, prelucrarea datelor fără temei legal și gestionarea defectuoasă a cererilor formulate de persoanele vizate.
În anumite situații, sancțiunile administrative pot fi analizate și contestate printr-o
plângere contravențională, în funcție de circumstanțele concrete și de actele emise de autorități.
Pentru probleme privind conformarea legală, protecția datelor și raporturile juridice dintre persoane sau companii, vezi și pagina despre
drept civil.
1. Ce tipuri de amenzi GDPR au fost aplicate?
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a sancționat atât companii private, cât și instituții publice.
Domeniile cel mai frecvent vizate au inclus:
- comerțul online;
- serviciile financiare;
- sectorul medical;
- serviciile digitale;
- instituțiile publice;
- operatorii care gestionează volume mari de date personale.
2. Prelucrarea datelor fără temei legal valid
Una dintre cele mai frecvente cauze ale sancțiunilor o reprezintă prelucrarea datelor personale fără un temei legal clar.
În practică, astfel de situații pot include:
- colectarea datelor fără informarea corespunzătoare a persoanei vizate;
- folosirea datelor în alte scopuri decât cele declarate;
- transmiterea datelor către terți fără justificare;
- solicitarea unor date excesive față de scopul urmărit.
Simplul fapt că o companie menționează GDPR într-o politică de confidențialitate nu este suficient. Operatorul trebuie să poată demonstra concret temeiul juridic al prelucrării.
3. Măsuri de securitate insuficiente și breșe de date
O altă categorie importantă de sancțiuni privește lipsa unor măsuri tehnice și organizatorice adecvate pentru protejarea datelor.
| Problemă frecventă | Risc asociat |
|---|---|
| Parole slabe sau partajate | Acces neautorizat la date |
| Lipsa autentificării în doi pași | Compromiterea conturilor |
| Servere configurate incorect | Expunerea informațiilor sensibile |
| Lipsa monitorizării accesului | Dificultăți în identificarea incidentelor |
În cazul unor breșe de securitate, autoritatea poate analiza:
- numărul persoanelor afectate;
- tipul datelor compromise;
- durata incidentului;
- măsurile luate după descoperirea problemei.
4. Neraportarea incidentelor de securitate
GDPR obligă operatorii să notifice ANSPDCP în termen de 72 de ore de la constatarea unui incident de securitate, în anumite situații prevăzute de regulament.
Întârzierea notificării sau lipsa documentării incidentului poate conduce la sancțiuni suplimentare.
5. Nerespectarea drepturilor persoanelor vizate
Autoritatea a aplicat sancțiuni și pentru:
- ignorarea cererilor formulate de persoane vizate;
- depășirea termenului legal de răspuns;
- lipsa unor proceduri interne clare;
- răspunsuri incomplete sau nejustificate.
Persoanele vizate pot solicita:
- acces la date;
- rectificarea datelor;
- ștergerea anumitor informații;
- restricționarea prelucrării;
- portabilitatea datelor.
6. Monitorizarea excesivă a angajaților
Amenzile au vizat și situațiile de monitorizare disproporționată a personalului:
- supraveghere video fără informare corespunzătoare;
- monitorizarea excesivă a e-mailului;
- tracking GPS fără justificare;
- acces nejustificat la comunicațiile angajaților.
În anumite cazuri, astfel de situații pot avea implicații și în materia
dreptului muncii.
7. Probleme recurente identificate în practică
7.1. Documente doar formale
Multe organizații folosesc politici standard fără legătură reală cu activitatea desfășurată.
7.2. Lipsa unei analize reale a fluxurilor de date
Operatorii nu identifică exact:
- ce date colectează;
- unde sunt stocate;
- cine are acces;
- cât timp sunt păstrate.
7.3. Lipsa procedurilor interne
Fără proceduri clare, solicitările GDPR și incidentele de securitate sunt gestionate haotic.
8. Recomandări practice pentru reducerea riscului de sancțiuni
- realizarea periodică a unui audit GDPR;
- actualizarea politicilor și procedurilor interne;
- implementarea măsurilor tehnice de securitate;
- instruirea angajaților;
- respectarea termenelor legale;
- încheierea contractelor de prelucrare a datelor cu partenerii.
În anumite situații, conflictele privind protecția datelor pot genera litigii civile sau comerciale, motiv pentru care poate deveni relevantă și analiza juridică în materia
dreptului comercial.
Întrebări frecvente despre amenzile GDPR
Pot fi sancționate și firmele mici?
Da. Obligațiile GDPR se aplică indiferent de dimensiunea operatorului, în funcție de activitatea desfășurată și de tipul datelor prelucrate.
Este suficientă existența unei politici de confidențialitate?
Nu. Operatorul trebuie să demonstreze măsuri reale și efective de conformare.
Ce se întâmplă în cazul unei breșe de securitate?
Situația trebuie analizată rapid, iar în anumite cazuri există obligația notificării autorității competente și a persoanelor afectate.
Concluzie
Amenzile GDPR arată că autoritățile verifică activ modul în care sunt prelucrate datele personale.
Prevenția rămâne esențială: audit periodic, măsuri de securitate, proceduri clare și instruirea personalului.
Printr-o abordare corectă și prin consultanță juridică adecvată, riscul de sancțiuni poate fi redus semnificativ.
Ai nevoie de sprijin pentru conformarea GDPR?
Solicită o analiză juridică privind protecția datelor, obligațiile operatorilor și relația cu autoritățile competente.