Procedura investigatii GDPR – s-a publicat procedura de control a ANSPDCP

procedura investigatii GDPR

In iulie, scriam AICI despre modalitatea în care se va aplica GDPR în România și cum se vor desfășura inspecțiile de către ANSPDCP.

În Monitorul Oficial al României nr. 892 din 23 octombrie 2018 a fost publicată Decizia nr. 161 a Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal privind aprobarea Procedurii de efectuare a investigațiilor.

DESCARCA DE AICI PROCEDURA DE DESFASURARE A INVESTIGATIILOR

Pe lângă ce am scris în articol la momentul respectiv, mai sunt anumite aspecte de luat în calcul:

De unde pornește o investigație?

Investigațiile se pot declanșa din oficiu sau la plângere. Asta înseamnă că ANSPDCP se poate autosesiza privind anumite încălcări ale legislației protecției datelor personale.

De fapt, acest lucru este precizat și în articolul 3 care zice așa:

Investigaţiile din oficiu se pot efectua:
a)la propunerea compartimentelor cu atribuţii de control ale ANSPDCP;
b)la propunerea preşedintelui sau vicepreşedintelui ANSPDCP, printr-o rezoluţie scrisă;
c)la propunerea celorlalte compartimente din cadrul ANSPDCP;
d)ca urmare a transmiterii notificărilor de încălcare a securităţii datelor cu caracter personal;
e)pentru verificarea unor date şi informaţii cu privire la prelucrarea datelor cu caracter personal, obţinute de către ANSPDCP din alte surse decât cele care fac obiectul unor plângeri, inclusiv pe baza sesizărilor sau a informaţiilor primite de la o altă autoritate de supraveghere sau de la o altă autoritate publică;
f)în vederea cooperării internaţionale, precum şi cu celelalte autorităţi de supraveghere din statele membre, în domeniul protecţiei datelor cu caracter personal, inclusiv în cadrul operaţiunilor comune şi al acordării de asistenţă reciprocă.

Interesant de reținut este că atunci când transmiți către autoritate o notificare privind încalcarea securității datelor cu caracter personal (pentru ca ai obligația legală să o faci în anumite cazuri), autoritatea se poate folosi de informații transmise ca să pornească o investigație împotriva ta. Practic, ar echivala în unele situații cu un autodenunț.

De unde mai poate lua ANSPDCP informații?

Simplu. De peste tot:

  • corespondenţa primită de ANSPDCP,
  • mass-media,
  • accesarea reţelei de internet,
  • documentele de constatare întocmite în urma efectuării altor investigaţii sau alte documente de la nivelul ANSPDCP,
  • activităţile de cooperare cu entităţi de drept public sau privat ori cu autorităţi de supraveghere din străinătate

Lista este pur orientativă, documentul folosind expresia ”cum ar fi” – ceea ce înseamnă că practic ANSPDCP poate lua informații de oriunde.

Atenție la ce scrieți, publicați și ce scriu alții despre voi!

Investigația este limitată la plângere/din oficiu?

Ei bine, nu. ANSPDCP poate porni o investigație pe baza unor indicii/plângeri, însă poate verifica orice alt aspect privind protecția datelor cu caracter personal. Asta înseamnă că chiar dacă obiectul plângerii este neîntemeiat, ei pot găsi alte nereguli pentru care să sancționeze companiile.

Pot amâna inspecția?

DA. Deși nu ne-am fi așteptat, se prevede în mod expres în articolul 15 că ”ANSPDCP poate amâna sau suspenda efectuarea investigaţiei, inclusiv la solicitarea entităţii controlate, pentru motive justificate.”

Din practică și din relația chiar și cu alte autorități, motive temeinic justificate pot însemna:

  • lipsa temporară a administratorului/persoanei împuternicite;
  • un volum mare de muncă care nu permite aducerea la timp a documentelor;
  • necesitatea implicării unor număr mare de personal pentru furnizarea informațiilor;
  • timp crescut pentru furnizarea informațiilor (de exemplu că documentele sunt arhivate sau ținute în altă parte etc.)

Cum se pot desfășura investigațiile?

La sediul ANSPDCP – te duci acolo cu documentele.

Pe teren – unde are organizația domiciliu/punct de lucru/sediu social/își desfășoară activitatea.

În scris – probabil aceasta va fi metoda preferată atât de autoritate, cât și de organizațiile vizate – sub formă de corepondență scrisă/electronică.

Investigația propriu-zisă. Drepturi și obligații

Ce activități fac inspectorii pe teren?

În cadrul investigaţiilor efectuate pe teren, personalul de control al ANSPDCP desfăşoară următoarele activităţi:
a) deplasarea la sediul/domiciliul/punctul de lucru sau alte locaţii unde îşi desfăşoară activitatea entitatea controlată;
b) prezentarea legitimaţiei de control şi a împuternicirii, după caz, reprezentanţilor entităţii controlate, care vor asigura participarea persoanelor competente să dea relaţii/informaţii în domeniul controlat. Persoanele desemnate de entitatea controlată/responsabilul pentru protecţia datelor participă la efectuarea controlului, prin furnizarea informaţiilor şi a documentelor solicitate de către echipa de control, şi semnează actele de control încheiate;
c) în situaţiile prevăzute de lege, prezentarea autorizaţiei judiciare emise de către preşedintele Curţii de Apel Bucureşti sau de către un judecător delegat de acesta;
d) solicitarea înregistrării ordinului de deplasare şi a împuternicirii, dacă este cazul;
e) înscrierea în registrul de control al entităţii controlate a datelor prevăzute la art. 3 alin. (2) din Legea nr. 252/2003 privind registrul unic de control, dacă este cazul;
f) prezentarea obiectivelor investigaţiei;
g) verificarea tuturor aspectelor care au legătură cu obiectul investigaţiei prin solicitarea oricăror informaţii legate de obiectivele controlului;
h) verificarea oricărui document, echipament, mijloc sau suport de stocare a datelor necesare desfăşurării investigaţiei;
i) ridicarea documentelor, în copie certificată de către entitatea controlată, sau a înregistrărilor relevante care au legătură cu obiectul controlului şi anexarea acestora la procesul-verbal de constatare/sancţionare;
j) întocmirea procesului-verbal de constatare/sancţionare, prin evidenţierea situaţiilor prezentate de entitatea controlată, a declaraţiilor reprezentanţilor acesteia şi a constatărilor proprii şi aplicarea de sancţiuni contravenţionale sau a altor tipuri de măsuri corective, după caz;
k) aplicarea sancţiunii amenzii în situaţia în care cuantumul acesteia nu depăşeşte echivalentul în lei al sumei de 300.000 euro;
l) aplicarea măsurilor corective prevăzute de lege;
m) întocmirea planului de remediere în situaţiile prevăzute de lege;
n) formularea recomandărilor necesare pentru remedierea deficienţelor constatate, după caz;
o) înmânarea/comunicarea către entitatea controlată a copiei procesului-verbal de constatare/sancţionare.

Ce obligații au inspectorii pe teren?

În cadrul investigaţiilor efectuate pe teren, personalul de control al ANSPDCP are următoarele obligaţii:
a) să ţină legătura cu ANSPDCP şi să comunice în principal şefului ierarhic sau înlocuitorului acestuia orice situaţie deosebită intervenită care are legătură cu realizarea controlului;
b) să aibă un comportament decent în relaţia cu entitatea controlată;
c) în realizarea investigaţiei, personalul de control poate solicita asistenţă din partea organelor de poliţie. Solicitarea de asistenţă poate interveni anterior investigaţiei în condiţiile în care există indicii privind o posibilă opoziţie la investigaţie sau pe parcursul acesteia;
d) să păstreze secretul profesional pe termen nelimitat asupra informaţiilor confidenţiale sau clasificate la care a avut acces.
Suntem curioși să vedem cum se va pune în practică acest ultim aspect, mai ales că nu există o procedură clar stabilită pentru declararea unor informații ca fiind confidențiale sau clasificate.
Cu toate acestea, recomandarea noastră este ca în momentul în care se va întocmi un proces-verbal, organizația să insiste să fie trecute documentele/informațiile la care inspectorii au avut acces și pe care organizația le consideră confidențiale (acest lucru vă va proteja și pentru obținerea unor eventuale despăgubiri în cazul în care personalul de control transmite mai departe aceste informații, fără drept).

Ce obligații are organizația supusă controlului?

În cadrul investigaţiei, organizația controlată are, în principal, următoarele obligaţii:
a) să permită personalului de control, fără întârziere, începerea şi derularea investigaţiei şi să asigure suportul necesar personalului de control;
b) să asigure accesul personalului de control în incintele în care îşi desfăşoară activitatea, la orice echipament, mijloc sau suport de prelucrare/stocare a datelor, în vederea efectuării verificărilor necesare desfăşurării investigaţiei, inclusiv la cele care pot fi accesate la distanţă;
c) să pună la dispoziţia personalului de control orice informaţii şi documente indiferent de suportul de stocare, necesare desfăşurării investigaţiei, inclusiv copii de pe acestea;
d) să pună la dispoziţia ANSPDCP documentele solicitate, certificate pentru conformitate cu originalul;
e) să furnizeze într-o formă completă documentele, informaţiile, înregistrările şi evidenţele solicitate, precum şi orice lămuriri necesare, fără a putea opune caracterul confidenţial al acestora, în condiţiile legii;
f) să permită personalului de control utilizarea echipamentelor de înregistrare şi stocare audiovideo/foto ori de câte ori echipa de control consideră că este necesar în cadrul derulării activităţii de control.

Bune practici: în măsura în care aveți personal disponibil, încercați ca pentru fiecare inspector să aveți un ”shadow” – o persoană care să stea alături de el pe tot parcursul controlului și să noteze tot ceea ce face – ce caută, cum caută, cuvinte-cheie, la ce are acces, ce documente ridică etc.

Am povestit mai multe despre bunele practici într-o investigație în cursul nostru online AICI.

Ce e cu autorizația judiciară?

În cazul în care controlul este împiedicat în vreun fel, ANSPDCP poate solicita de la preşedintele Curţii de Apel Bucureşti sau de către un judecător delegat de acesta o autorizație judiciară, un fel de mandat.

Atenție! O copie a autorizaţiei judiciare se comunică obligatoriu entităţii controlate înainte de începerea investigaţiei.

Audieri?

La fel ca în cazul procedurii de control aparținând Consiliului Concurenței, inspectorii ANSDPCP pot audia persoanele pe care ei le consideră relevante (adică care ar putea oferi indicii sau mai multe informații în legătură cu controlul).

Interesant este că, la prima vedere, se pare că nu poți refuza audierea. Da, poți să zici cu ”nu știu” peste tot, dar nu o poți refuza. În schimb, la finalul audierilor, personalul de control încheie o notă de audieri. Pe care poți refuza să o semnezi, iar ei vor consemna acest lucru.

Ce sancțiuni pot primi?

Potrivit GDPR, amenzile sunt: mustrarea și amenda.

De asemenea, în anumite cazuri, ANSPDCP poate emite avertizări.

Ce trebuie să conțină procesul-verbal?

În procesul-verbal de constatare/sancţionare încheiat, personalul de control consemnează în mod obligatoriu următoarele:
a) data şi locul încheierii procesului-verbal de constatare/sancţionare;
b) datele de identificare şi funcţiile membrilor echipei de control, inclusiv numărul legitimaţiei de control;
c) numărul şi data deciziei de împuternicire emise de preşedintele ANSPDCP şi, după caz, numărul şi data împuternicirii pentru investigaţiile efectuate pe teren şi neanunţate în prealabil în scris;
d) obiectul controlului;
e) datele de identificare ale entităţii controlate;
f) datele de identificare şi funcţiile reprezentanţilor entităţii controlate;
g) constatările rezultate în urma verificărilor efectuate;
h) descrierea faptei contravenţionale, cu indicarea datei şi locului în care a fost săvârşită fapta, a împrejurărilor ce pot servi la aprecierea gravităţii faptei şi, eventual, a pagubelor, a actului normativ prin care se stabileşte şi se sancţionează contravenţia, precum şi a măsurilor corective şi/sau a sancţiunii aplicate, dacă este cazul;
i) termenul de exercitare a căii de atac şi instanţa la care se depune plângerea, în cazul aplicării unei sancţiuni contravenţionale;
j) dacă s-au ridicat documente sau alte materiale, felul şi natura acestora;
k) dacă reprezentanţii entităţii controlate, care au participat la activitatea de control, au refuzat să consemneze obiecţiunile cu privire la conţinutul procesului-verbal de constatare/sancţionare, după ce le-a fost adus la cunoştinţă acest drept;
l) menţiuni privind înmânarea/comunicarea procesului-verbal de constatare/sancţionare, în copie, reprezentanţilor entităţii controlate;
m) motivele pentru care reprezentanţii entităţii controlate nu au semnat procesul-verbal de constatare/sancţionare, cu indicarea datelor de identificare a martorului care atestă motivele nesemnării procesului-verbal, în cazul în care acesta există, sau a motivelor care au condus la întocmirea procesului-verbal în lipsa unui martor.

Dat fiind că se precizează expres că toate elementele de mai sus sunt OBLIGATORII, sancțiunea naturală a lipsei vreunui element ar trebui să fie nulitatea absolută a procesului-verbal (citește mai multe despre nulitate în seria special dedicată: episodul 1, episodul 2, episodul 3, episodul 4 și episodul 5).

Cine aplică sancțiunile?

Dacă avem o amendă mai mică de 300.000 EURO, aplicarea sancțiunii se face prin proces-verbal de constatare/sancţionare încheiat de personalul de control.

Dacă avem o amendă mai mare de 300.000 EURO, aplicarea sancțiunii se face prin decizie a preşedintelui Autorităţii naţionale de supraveghere, care are la bază procesul-verbal de constatare şi raportul personalului de control.

De asemenea, ANSPDCP poate dispune, prin decizie a preşedintelui, aplicarea unei amenzi cominatorii de până la 3.000 de lei pentru fiecare zi de întârziere, calculată de la data stabilită prin decizie, în cazul nerespectării măsurilor corective aplicate sau în cazul refuzului tacit sau expres de furnizare a tuturor informaţiilor şi documentelor solicitate în cadrul procedurii de investigaţie ori în cazul refuzului de supunere la investigaţie, potrivit legii. Decizia preşedintelui ANSPDCP constituie titlu executoriu.


Ai nevoie de ajutor în GDPR? Echipa noastră te poate ajuta cu implementarea:

Total
27
Shares

1 comment

  1. Pingback: My Homepage
Leave a Reply

Your email address will not be published. Required fields are marked *