Astfel,era de mult anticipata abrogarea legii 677/2001si astfel a fost promulgata, Legea pentru modificarea si completarea Legii nr. 102/2005 privind infiintarea, organizarea si functionarea Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal, precum si pentru abrogarea Legii nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date.

Legea nr. 129/2018  aduce o serie larga de modificari si probabil cel mai important lucru, ATENTIE la amenzile pe care le vor putea aplica autoritatile:

(1) Orice persoană vizată care consideră că prelucrarea datelor sale cu caracter personal încalcă prevederile legale în vigoare are dreptul de a depune plângere la Autoritatea națională de supraveghere, în special în cazul în care reședința sa obișnuită, locul său de muncă sau presupusa încălcare se află sau, după caz, are loc pe teritoriul României. Plângerea poate fi depusă inclusiv prin mijloacele electronice de comunicare.

Activitatea de control

Personalul de control are dreptul sa efectueze investigatii, inclusiv inopinate, sa ceara si sa obtina, de la operator si de la persoana imputernicita de operator, orice informatii si documente indiferent de suportul de stocare, sa ridice copii de pe acestea, sa aiba acces la oricare dintre incidentele operatorului si ale persoanei imputernicite precum si sa aiba acces si sa verifice orice echipament, mijloc sau suport de stocare a datelor, necesare desfasurarii investigatiei, in conditiile legii;

ATENTIE – Autoritatea poate intra cu MANDAT in sediile institutiilor, pentru verificarea aplicarii GDPR!

Autoritatea pentru protectia datelor cu caracter personal, pe acelasi picior cu executorii si mascatii, care pot incepe investigatiile doar intre anumite ore!

(3) În situația în care personalul de control este împiedicat în orice mod în exercitarea atribuțiilor prevăzute la alin. (2), Autoritatea națională de supraveghere poate solicita autorizarea judiciară dată prin încheiere de către președintele Curții de Apel București sau de către un judecător delegat de acesta. O copie a autorizației judiciare se comunică obligatoriu entității controlate înainte de începerea investigației.

(4) Cererea de autorizare se judecă în camera de consiliu, fără citarea părților. Judecătorul se pronunță asupra cererii de autorizare în termen de cel mult 48 de ore de la data înregistrării cererii. Încheierea se motivează și se comunică Autorității naționale de supraveghere și entității controlate în termen de cel mult 48 de ore de la pronunțare.

(5) În cazul în care investigația trebuie desfășurată, inclusiv simultan, în mai multe spații deținute de către entitatea controlată, Autoritatea națională de supraveghere va introduce o singură cerere, instanța pronunțându-se printr-o încheiere în care se vor indica spațiile în care urmează să se desfășoare investigația.

(6) Cererea de autorizare trebuie să cuprindă toate informațiile de natură să justifice investigația, iar judecătorul sesizat este ținut să verifice dacă cererea este întemeiată

Investigatia nu poate incepe inainte de ora 08.00 si nu poate continua dupa ora 18.00 si trebuie efectuata in prezenta persoanei la care se efectueaza investigatia sau a reprezentantului sau. Investigatia poate continua dupa ora 18.00 numai cu acordul scris al persoanei la care se efectueaza aceasta sau a reprezentantului sau;

In activitatea de control, ANSPDCP poate dispune aplicarea de masuri corective, inclusiv de sanctiuni contraventionale (mustrarea sau amenda), poate formula recomandari si poate sesiza alte autoritati competente, dupa caz;

Termen special de prescriptie al amenzilor pe care Autoritatea le poate da!

Sanctiunile contraventionale se pot aplica in termen de 3 ani de la data savarsirii faptei; in cazul incalcarilor care dureaza in timp sau al celor constand in savarsirea, in baza aceleiasi rezolutii, la intervale diferite de timp, a mai multor actiuni sau inactiuni, care prezinta, fiecare in parte, continutul aceleiasi contraventii, prescriptia incepe sa curga de la data constatarii sau de la data incetarii ultimului fapt savarsit, daca acest moment intervine anterior constatarii;

In cazul prelucrarii datelor ce intra in competenta de control a ANSPDCP, cu exceptia celor transfrontaliere, constatarea si sanctionarea faptelor se fac prin proces-verbal incheiat de personalul de control.

In situatia in care cuantumul amenzii aplicate depaseste echivalentul in lei a 300.000 euro, aplicarea amenzii se efectueaza prin decizie a presedintelui ANSPDCP;

Aplicarea masurilor corective care constau in obligarea operatorului sau a persoanei imputernicite de operator sa respecte cererile persoanei vizate de de exercitare a drepturilor, sa asigure conformitatea operatiunilor de prelucrare, obligarea operatorului sa informeze persoana vizata cu privire la o incalcare a protectiei datelor personale, se poate efectua prin procesul-verbal de constatare/sanctionare incheiat de personalul de control sau prin decizie a presedintelui ANSPDCP; in schimb, aplicarea masurilor corective care constau in limitarea temporara sau definitiva, interdictia asupra prelucrarii, rectificarea sau stergerea datelor cu caracter personal, restrictionarea prelucrarii, notificarea acestor actiuni destinatarilor carora le-au fost divulgate datele cu caracter personal, suspendarea fluxurilor de date către un destinatar dintr-o tara terta sau catre o organizatie internationala, se poate efectua numai prin decizie a presedintelui Autoritatii.

In cazul nerespectarii masurilor dispuse sau in cazul refuzului tacit sau expres de furnizare a tuturor informatiilor si documentelor solicitate in cadrul procedurii de investigatie ori in cazul refuzului de supunere la investigatie, ANSPDCP poate dispune, prin decizie, aplicarea unei amenzi cominatorii de pana la 3.000 lei pentru fiecare zi de intarziere, calculată de la data stabilita prin decizie;

Constatarea faptelor si aplicarea masurilor corective se va face in conformitate cu dispozitiile GDPR;

Prezenta lege transpune dispozițiile art. 41 din Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului, publicată în Jurnalul Oficial al Uniunii Europene, seria L, nr. 119 din 4 mai 2016.

Ce sanctiuni va aplica autoritatea?

(2)   Fiecare autoritate de supraveghere are toate următoarele competențe corective:

(a)	de a emite avertizări în atenția unui operator sau a unei persoane împuternicite de operator cu privire la posibilitatea ca operațiunile de prelucrare prevăzute să încalce dispozițiile prezentului regulament;

(b)	de a emite mustrări adresate unui operator sau unei persoane împuternicite de operator în cazul în care operațiunile de prelucrare au încălcat dispozițiile prezentului regulament;

(c)	de a da dispoziții operatorului sau persoanei împuternicite de operator să respecte cererile persoanei vizate de a-și exercita drepturile în temeiul prezentului regulament;

(d)	de a da dispoziții operatorului sau persoanei împuternicite de operator să asigure conformitatea operațiunilor de prelucrare cu dispozițiile prezentului regulament, specificând, după caz, modalitatea și termenul-limită pentru aceasta;

(e)	de a obliga operatorul să informeze persoana vizată cu privire la o încălcare a protecției datelor cu caracter personal;

(f)	de a impune o limitare temporară sau definitivă, inclusiv o interdicție asupra prelucrării;

(g)

de a dispune rectificarea sau ștergerea datelor cu caracter personal sau restricționarea prelucrării, în temeiul articolelor 16, 17 și 18, precum și notificarea acestor acțiuni destinatarilor cărora le-au fost divulgate datele cu caracter personal, în conformitate cu articolul 17 alineatul (2) și cu articolul 19;

(h)	de a retrage o certificare sau de a obliga organismul de certificare să retragă o certificare eliberată în temeiul articolul 42 și 43 sau de a obliga organismul de certificare să nu elibereze o certificare în cazul în care cerințele de certificare nu sunt sau nu mai sunt îndeplinite;

(i)	de a impune amenzi administrative în conformitate cu articolul 83, în completarea sau în locul măsurilor menționate la prezentul alineat, în funcție de circumstanțele fiecărui caz în parte;

(j)	de a dispune suspendarea fluxurilor de date către un destinatar dintr-o țară terță sau către o organizație internațională.

DACA VORBIM DE AMENZI, atunci acestea sunt prohibitive – 

(4)   Pentru încălcările dispozițiilor următoare, în conformitate cu alineatul (2), se aplică amenzi administrative de până la 10 000 000 EUR sau, în cazul unei întreprinderi, de până la 2 % din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându-se în calcul cea mai mare valoare:

(a)	obligațiile operatorului și ale persoanei împuternicite de operator în conformitate cu articolele 8, 11, 25-39, 42 și 43;

(b)	obligațiile organismului de certificare în conformitate cu articolele 42 și 43;

(c)	obligațiile organismului de monitorizare în conformitate cu articolul 41 alineatul (4).

(5)   Pentru încălcările dispozițiilor următoare, în conformitate cu alineatul (2), se aplică amenzi administrative de până la 20 000 000 EUR sau, în cazul unei întreprinderi, de până la 4 % din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându-se în calcul cea mai mare valoare:

(a)	principiile de bază pentru prelucrare, inclusiv condițiile privind consimțământul, în conformitate cu articolele 5, 6, 7 și 9;

(b)	drepturile persoanelor vizate în conformitate cu articolele 12-22;

(c)	transferurile de date cu caracter personal către un destinatar dintr-o țară terță sau o organizație internațională, în conformitate cu articolele 44-49;

(d)	orice obligații în temeiul legislației naționale adoptate în temeiul capitolului IX;

(e)	nerespectarea unui ordin sau a unei limitări temporare sau definitive asupra prelucrării, sau a suspendării fluxurilor de date, emisă de către autoritatea de supraveghere în temeiul articolului 58 alineatul (2), sau neacordarea accesului, încălcând articolul 58 alineatul (1).

Avocat Cuculis

Avocat@indrumari-juridice.eu

Ghid GDPR-Cum Implementez In Firma Directiva De Protectie A Datelor Personale Din Regulamentul 679 Al Uniunii Europene-Consultanta GDPR Pentru Firme-Avocat Cuculis

av.drd. Cuculis

avocat@indrumari-juridice.eu