Cei 3 ani de la aplicarea GDPR au însemnat o activitate intensă, atât pentru operatorii economici implicaţi în activităţile de prelucrare a datelor cu caracter personal, care au adoptat programe de conformare cu GDPR, cât şi pentru Autoritatea din România, care prin activitatea de monitorizare şi control a adus clarificări asupra modului de interpretare şi implementare a GDPR.
Acest material îşi propune să prezinte o sinteză a activităţii de control şi a sancţiunilor aplicate în această perioadă. În principal, neconformităţile sancţionate au privit:
- lipsa măsurilor tehnice şi organizatorice adecvate
- prelucrarea datelor fără un temei legal (inclusiv cu privire la categoriile speciale de date)
- nerespectarea drepturilor persoanelor vizate (opoziţie comunicări de marketing, acces, ştergere)
- operatorul/persoana împuternicită nu s-au asigurat că angajaţii acţionează doar conform instrucţiunilor
- nerespectarea principiilor GDPR
- neregularităţi legate de informarea persoanelor vizate (de regulă, lipsa informării)
- nefurnizarea informaţiilor solicitate de Autoritate
- nerespectarea măsurilor corective impuse de Autoritate
- lipsa notificării Autorităţii în cazul unui incident de încălcare a securităţii datelor (GDPR şi Legea 506/2004)
- lipsa măsurilor de securitate conform Legii 506/2004
- nerespectarea dispoziţiilor privind comunicările nesolicitate din Legea 506/2004
