Control Autoritatea de date - procedura si contestarea sanctiunilor

La 25 mai 2024 se împlinesc 6 ani de la intrarea în vigoare a RGPD, perioadă marcată de eforturi semnificative de conformare pentru operatorii de date precum și de numeroase sancțiuni aplicate de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal ANSPDCP (referită mai jos, pentru fluiditate, în limbaj profan, Autoritatea de Date).

În acest articol vom analiza pe scurt procedura de control, vom vedea în ce termen pot fi contestate sancțiunile și celelalte măsuri corective dispuse, care sunt efectele contestației și vom finaliza cu câteva recomandări pentru operatori, astfel încât controlul să decurgă în condiții optime și fără de sancțiuni/cu șanse sporite în caz de contestație.

Pe ce premise se declanșează Controlul?

Din oficiu

De exemplu, când reprezentanții autorității sesizează neconformități în contextul activității online a operatorului (lipsa informării persoanelor vizatecu privire la prelucrarea de date realizate prin pagina web), fac sesizări cu prilejul controalelor la partenerii de afaceri ai operatorului sau după transmiterea uneinotificărilor de încălcare a securității datelor cu caracter personal de către operator (recent Autoritatea de Date a demarat două investigații pe această premisă, finalizatecu aplicarea unor amenzi semnificative)

În cadrul procedurii de soluționare a plângerilor primite

În consecință, evidențiem necesitatea de a asigura premisele interne de exercitare a drepturilor persoanelor vizate și respectarea, în concret, a acestor drepturi, prin soluționarea adecvată, în termen rezonabil, a solicitărilor și reclamațiilor primite.

Care este Obiectul Investigației?

Deși plângerea ori cele sesizate de Autoritatea de Date ca premisă a inițierii investigației vizează, de regulă, aspecte specifice/limitate, în cadrul investigațiilor pot fi verificate ORICE ASPECTE PRIVIND RESPECTAREA REGULILOR DE PRELUCRARE a datelor cu caracter personal.

Cine efectuează investigația?

Personalul de control al Autorității de date – care trebuie să se legitimeze și, pentru investigațiile în teren, să prezinte inclusiv ÎMPUTERNICIREA care să indice DENUMIREA ENTITĂȚII VIZATE DE CONTROL.

Cine trebuie să participe la investigație?

Investigația trebuie efectuată în prezența persoanei la care se efectuează investigația sau a reprezentantului său legal. Dacă aceștia nu pot fi prezenți, trebuie să își desemneze un reprezentant. Reprezentantul poate fi și Responsabilul pentru protecția datelor al entității controlate.

Operatorul este anunțat despre control? Când se poate desfășoară controlul ?

Controlul poate anunțat în prealabil, dar poate fi și inopinat.

Investigația trebuie desfășurate în intervalul orar 8,00 - 18,00. Poate continua după ora 18,00 numai cu acordul persoanei la care se efectuează aceasta sau a reprezentantului său.

Unde se poate desfășoară controlul ?

Investigațiile pot fi efectuate PE TEREN, la SEDIUL AUTORITĂŢII ori ÎN SCRIS.

Investigațiile ÎN TEREN nu se limitează la sediile ori punctele de lucru ale entității controlate ci pot viza ORICE LOCAŢII CARE AU LEGĂTURĂ CU PRELUCRAREA în cauză.

Care sunt obligațiile celui controlat pe durata controlului?

Pe toată durata controlului cel controlat trebuie să manifeste o atitudine colaborativă cu echipa de control:

să permită începerea şi derularea controlului,
să acorde acces în incintele sale şi la orice echipament, mijloc sau suport de prelucrare/stocare a datelor și la orice informaţii, documente, înregistrări necesare investigației
să pună la dispoziția echipei de control, în formă completă, documentele, certificate pentru conformitate, precum și orice informaţii, înregistrări și evidenţe solicitate
să asigure suport personalului de control și să îi acorde orice lămuriri solicitate.

Cel controlat nu poate opune confidențialitatea celor solicitate pentru a refuza accesul ori predarea!

În cursul controlului, echipa de control:

poate dispune efectuarea de expertize,
poate audia persoane ale căror declarații sunt considerate relevante și,
pentru investigațiile în teren care se întind pe mai multe zile, poate aplica sigilii asupra documentelor apreciate relevante investigației, entitatea controlată având obligația de a le asigura integritatea până la ridicare.
poate utiliza echipamente de înregistrare şi stocare audiovideo/foto
poate solicita acces la sistemele informatice și bazele de date de la distanță

Toate acestea se traduc în obligații corelative specifice de cooperare de partea celui controlat.

Se poate operatorul opune controlului?

Nu, nu vă puteți opune pur și simplu. Controlul se poate derula chiar și fără acordul dumneavoastră, cu autorizarea PREALABILĂ a instanței și cu suportul forțelor de ordine.

Autoritatea poate aplica inclusiv amenzi cominatorii de până la 3000 lei/ zi pentru fiecare zi în care se întârzie îndeplinirea obligațiilor care vă revin.

Cu toate acestea, pentru motive temeinice, prezentate și dovedite, se poate solicita suspendarea ori amânarea unui control.

Finalizarea Controlului. Procesul-verbal de Control/de Sancționare. Decizia de Sancționare

În urma controlului, ANSPDCP emite un PV de control sau de sancționare (pentru amenzi mai mici de echivalentul în lei a 300.000 EUR) sau o Decizie de sancționare emisă de președintele ANSPDC (amenzi peste valoarea-prag ante-referită) , care trebuie să conțină toate mențiunile și să fie însoțit de toate documentele prevăzute de lege. În caz contrar, lipsurile pot constitui, după caz, motive de nulitate absolută ori relativă a actului sancționator.

Acesta se comunică în copie entității vizate.

În cazul controalelor în teren, anterior aplicării oricărei sancțiuni, trebuie să se ofere entității controlate posibilitatea de exprima un punct de vedere/obiecțiuni asupra celor constatate.

Amenda. Alte măsuri corective. Recomandările

În urma controlului, autoritatea poate emite o avertizare sau poate aplica un avertisment ori o amendă, alături de alte măsuri corective și/sau recomandări.

Amenda trebuie achitată în 15 zile de la recepționarea actului sancționator, adică în același termen în care poate fi contestată. Contestarea sancțiunii suspendă obligația de plată a amenzii până la pronunțarea unei hotărârii judecătorești definitive.

PV de control/sancționare necontestat în termenul legal devine titlu executoriu.

Din păcate, în această materie, posibilitatea de a achita doar jumătate din minimul legal al amenzii în 15 zile de la recepționarea Procesului-verbal este recunoscută doar autorităților și organismelor publice.

Măsurile corective pot viza, de exemplu, obligarea operatorului să respecte cererile persoanei vizate de exercitare a drepturilor, să asigure conformitatea operaţiunilor de prelucrare cu dispoziţiile legale aplicabile, obligarea operatorului să informeze persoana vizată cu privire la o încălcare a protecţiei datelor cu caracter interdicţia asupra prelucrării, rectificarea sau ştergerea datelor cu caracter personal, retragerea unei certificări, suspendarea fluxurilor de date către un destinatar dintr-o ţară terţă.

În cadrul termenului stabilit de autoritate, trebuie făcută dovada luării măsurilor corective dispuse. În caz contrar :

se poate iniția o nouă investigație .
se poate dispune o amendă cominatorie de până la 3.000 de lei pentru fiecare zi de întârziere, calculată de la data stabilită prin decizie

Contestarea sancțiunii și/sau a măsurilor NU suspendă obligația de a îndeplini aceste măsuri în termenul stabilit de autoritate.

Recomandările - nu au caracter obligatoriu, dar, evident, NU trebuie ignorate. Aspectele semnalate pot constitui premisa unor sancțiuni cu prilejul unor controale viitoare. Evident, măsuri concrete în direcția celor recomandate vor dovedi preocuparea entității pentru o prelucrare conformă și oferă un argument favorabil în plus, în cazul constatării unor abateri în viitor.

Contestarea amenzii și a măsurilor corective

Actul sancționator trebuie contestat în termen de 15 zile de înmânare/recepționare. În cadrul acestui termen trebuie invocate toate motivele de nelegalitate și netemeinicie. Instanța competentă este secția de contencios administrativ a Tribunalului.

Termenul este unul de decădere. După expirarea termenului, dreptul de contestație se stinge.

Recomandări pentru derularea optimă a controlului

recomandarea de bază este, evident, să implementați un set de măsuri tehnice, informatice, administrative și juridice, proporționale dar adecvate în contextul activității dumneavoastră, pentru a asigura legalitatea prelucrării și securitatea și confidențialitatea datelor cu caracter personal
reevaluați impactul prelucrării și măsurile implementate, regulat sau ori de câte ori se impune și să le îmbunătățiți (de exemplu, în caz de – extindere a fluxurilor de lucru, mărirea volumului sau categoriilor de date prelucrate, mai ales în caz de breșe de securitate sau în contextul oricăror riscuri suplimentare identificate în timp).
acordați atenția cuvenită solicitărilor și sesizărilor primite de la persoanele vizate și păstrați dovezile de soluționare pe durata termenului de prescripție pentru aplicarea sancțiunilor care le-ar fi asociabile
întocmiți un dosar de conformitate (preferabil și fizic și informatic) – în care să fie centralizate și organizate toate documentele care interesează conformitatea GDPR
în contextul controlului, să desemnați un reprezentant care are cunoștințe relevante sub aspectul legislației în materie și al fluxurilor, politicii și procedurii aplicabile în concret în organizația dvs. Recomandabil ar fi sprijinul unui avocat cu experiență, din stadiu timpuriu, nu doar în contextul contestării de sancțiuni.
manifestați o atitudine de colaborare cu reprezentanții autorității
furnizați orice lămuriri pe care vi le apreciați favorabile și formulați obiecțiuni la PV de control / sancționare în termenul legal/cel indicat de autoritate – cei controlați au legal această posibilitate, indiferent dacă este vorba de un control în teren/la sediul autorității/la distanță. Pentru aceste din urmă două cazuri termenul de obiecțiuni este același cu termenul pentru contestarea sancțiunii.