Filip&Company: O privire retrospectivă asupra sancţiunilor aplicate în România în domeniul protecţiei datelor. Ce s-a schimbat în 2023 faţă de 2022?

Pe parcursul celor mai mult de 5 ani de la aplicarea în România a Regulamentului general privind protecţia datelor (UE) 2016/679 (“GDPR”), societăţile au adoptat multe măsuri de conformare cu cerinţele legislaţiei, dar conformarea continuă este în continuare un subiect important pe agenda oricărei societăţi. Principalele acţiuni observate în ultimii ani au privit actualizarea proceselor şi documentaţiei, adresarea implicaţiilor de protecţia datelor din noile proiecte, susţinerea de training-uri pentru angajaţii societăţii, iar în unele cazuri, rezolvarea incidentelor de încălcare a securităţii datelor.

În ultimii 2 ani a fost observată şi o activitate intensă din partea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal („ANSPDCP”), în special în ceea ce priveşte activitatea de control.

Principala schimbare observată în anul 2023 priveşte valoarea totală a amenzilor aplicate. Astfel, anul 2023 a adus o creştere a cuantumului total al amenzilor, care s-a dublat faţă de anul 2022. Numărul amenzilor aplicate nu diferă însă foarte mult. În 2022, ANSPDCP a aplicat cel mai mare număr de amenzi de la aplicarea GDPR – 69 de amenzi (conform Raportului anual de activitate). În 2023, numărul de amenzi în baza GDPR a fost mai redus ca în anul precedent - 60 de amenzi (conform informaţiilor disponibile pe website-ul ANSPDCP), dar valoarea medie a fost mai mare.

De asemenea, este interesant de observat faptul că în 2023 au fost aplicate şi 2 amenzi pentru nerespectarea cerinţelor privind cookies prevăzute de Legea 506/2004, spre deosebire de anul 2022, când pentru nerespectarea acestor cerinţe au fost aplicate doar avertismente. Acestea au fost în cuantum de 10.000 şi 40.000 RON.

Ca o observaţie generală, în afara diferenţei privind cuantumul total al amenzilor, practica ANSPDCP a fost în general relativ constantă, principalul motiv de sancţionare fiind, în continuare, lipsa măsurilor tehnice şi organizatorice adecvate pentru asigurarea securităţii datelor.

Astfel, principalele motive care au dus la aplicarea de sancţiuni de către ANSPDCP în ultimii 2 ani au fost:

• lipsa măsurilor tehnice şi organizatorice adecvate, în special în contextul în care lipsa acestora a condus la incidente de securitate (de ex. transmiterea/accesarea datelor în mod neautorizat);
• prelucrarea datelor cu caracter personal fără un temei legal de prelucrare (inclusiv în ceea ce priveşte categoriile speciale de date);
• nerespectarea drepturilor persoanelor vizate (opoziţia la comunicările de marketing, dreptul de acces şi ştergere);
• neregularităţi legate de informarea persoanelor vizate;
• nerespectarea principiilor GDPR (de ex. limitarea legată de scop, minimizarea datelor, exactitatea, limitarea legată de stocare);
• nerespectarea măsurilor corective aplicate de ANSPDCP;
• nefurnizarea informaţiilor solicitate de ANSPDCP;
• lipsa notificării ANSPDCP şi a persoanelor vizate în cazul unor incidente de încălcare a securităţii datelor;
• nerespectarea dispoziţiilor privitoare la stocarea de informaţii sau obţinerea accesului la informaţia stocată în echipamentul terminal al unui utilizator (cookies), prevăzute de Legea 506/2004;
• nerespectarea cerinţei de a asigura protecţia datelor începând cu momentul conceperii (privacy by design) şi în mod implicit (privacy by default);
• operatorul nu s-a asigurat că persoanele care acţionează sub autoritatea sa prelucrează datele doar la cererea sa;
• recrutarea unei alte persoane împuternicite fără autorizare din partea operatorului.