Amenzi de peste 1,85 mld. lei în 2024 pentru încălcarea legislației privind protecția datelor

Amenzi de peste 1,85 mld. lei în 2024 pentru încălcarea legislației privind protecția datelor

Reading Time: 3 minute

Încălcarea legislației privind protecția datelor a determinat Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) să aplice în 2024 un număr de 83 de amenzi în cuantum total de 1.855.807 lei, față de 73 de amenzi în valoare totală de 2.348.265 lei în 2023.

În ceea ce privește numărul total de investigații, cifrele nu diferă foarte mult, cu un total de 476 de investigații finalizate în 2024, față de 548 de investigații deschise în anul 2023, se arată într-o analiză realizată de specialiștii Filip & Company în domeniul legislației privind protecția datelor.

Cum s-au adaptat companiile

În contextul unei evoluții continue a digitalizării și a realității tehnologice și economice actuale, protecția datelor cu caracter personal rămâne în continuare un subiect de interes, cu implicații în activitatea de zi cu zi a companiilor. Societățile au înțeles această importanță și au adoptat de-a lungul timpului măsuri de conformare cu cerințele legislative.

„Fiind un proces continuu, în ultimul an, am observat ca principale acțiuni de conformare: actualizarea proceselor, politicilor, procedurilor și a notelor de informare, adresarea implicațiilor de protecție a datelor din noile proiecte, susținerea de training-uri și testări pentru angajații societății, realizarea de analize a interesului legitim și evaluări ale impactului asupra protecției datelor, reglementarea contractuală a relațiilor cu implicații din perspectiva prelucrării datelor, iar în unele cazuri, adresarea incidentelor de încălcare a securității datelor. Pe viitor, ne așteptăm la o creștere și a măsurilor de conformare care să vizeze respectarea cerințelor legale în contextul utilizării tot mai des a sistemelor bazate pe inteligența artificială”, se arată în analiza realizată de Ioan Dumitrașcu (Partener, Filip & Company), Diana Gavra (Senior Associate, Filip & Company), Christiana Bouleanu (Associate, Filip & Company).

Sancțiunile pentru încălcarea legislației privind protecția datelor

Similar cu anul 2023, anul trecut au fost aplicate 2 amenzi pentru nerespectarea cerințelor privind cookies prevăzute de Legea 506/2004, în cuantum de 10.000 de lei fiecare. De asemenea, în 2024 a fost aplicată o amendă și în baza Legii 190/2018 operatorului Sector 1 București pentru neîndeplinirea unei măsuri de remediere dispusă prin procesul-verbal de constatare/sancționare emis de ANSPDCP, în cuantum de 159.000 lei.

Conform informațiilor publicate pe website-ul ANSPDCP, principalele motive care au condus la aplicarea de sancțiuni în 2024 au fost:

• lipsa măsurilor tehnice și organizatorice adecvate și lipsa unei testări periodice a eficacității acestora, în special în contextul în care lipsa acestora a condus la incidente de securitate (de ex. transmiterea/accesarea datelor în mod neautorizat);
• nerespectarea drepturilor persoanelor vizate (dreptul de acces, dreptul la opoziție (dezabonarea de la mesaje comerciale), dreptul la ștergere);
• prelucrarea datelor cu caracter personal fără un temei legal de prelucrare (de ex. lipsa dovezii consimțământului pentru prelucrarea numărului de telefon pentru transmiterea de comunicări comerciale, transmiterea fără temei legal a unor copii ale cărților de identitate ale angajaților către o societate care presta anumite servicii pentru operator);
• neregularități legate de informarea persoanelor vizate;
• nerespectarea principiilor GDPR (limitarea legată de scop, minimizarea datelor, limitarea legată de stocare, integritatea și confidențialitatea datelor);
• nerespectarea măsurilor corective aplicate de ANSPDCP și neîndeplinirea unei măsuri de remediere dispusă prin procesul-verbal de constatare/sancționare;
• nerespectarea dispozițiilor privitoare la stocarea de informații sau obținerea accesului la informația stocată în echipamentul terminal al unui utilizator (cookies), prevăzute de Legea 506/2004 (lipsa consimțământului expres și a informării utilizatorilor);
• operatorul nu s-a asigurat că persoanele care acționează sub autoritatea sa prelucrează datele doar la cererea sa;
• nerespectarea cerinței de a asigura protecția datelor începând cu momentul conceperii (privacy by design) și în mod implicit (privacy by default) – prin prisma lipsei de măsuri tehnice și organizatorice adecvate prin care să fie asigurată respectarea drepturilor persoanelor vizate;
• prelucrarea nelegală a datelor prin instalarea de camere de supraveghere audio-video în autovehicule, îndreptate către șofer, cu posibilitatea de monitorizare online de la distanță;
• prelucrarea nelegală a datelor angajaților, colectate prin intermediul sistemelor de monitorizare GPS instalate pe mașinile de serviciu (de ex. prelucrare în timpul în care aceștia se aflau în afara programului de lucru, inclusiv în perioadele de concediu, depășirea termenului de 30 de zile pentru stocare fără furnizarea de dovezi care să justifice necesitatea unui termen mai lung);
• lipsa transmiterii informațiilor solicitate de ANSPDCP în cadrul unei investigații.

Foto: 109208380 © Designer491 | Dreamstime.com