Amenzi de 1,8 milioane lei pentru încălcarea legislației privind protecția datelor, în 2024

Autori: Ioan Dumitrașcu (Partener, Filip & Company), Diana Gavra (Senior Associate, Filip & Company), Christiana Bouleanu (Associate, Filip & Company)

În contextul unei evoluții continue a digitalizării și a realității tehnologice și economice actuale, protecția datelor cu caracter personal rămâne în continuare un subiect de interes, cu implicații în activitatea de zi cu zi a companiilor. Societățile au înțeles această importanță și au adoptat de-a lungul timpului măsuri de conformare cu cerințele legislative.

Fiind un proces continuu, în ultimul an, am observat ca principale acțiuni de conformare: actualizarea proceselor, politicilor, procedurilor și a notelor de informare, adresarea implicațiilor de protecție a datelor din noile proiecte, susținerea de training-uri și testări pentru angajații societății, realizarea de analize a interesului legitim și evaluări ale impactului asupra protecției datelor, reglementarea contractuală a relațiilor cu implicații din perspectiva prelucrării datelor, iar în unele cazuri, adresarea incidentelor de încălcare a securității datelor. Pe viitor, ne așteptăm la o creștere și a măsurilor de conformare care să vizeze respectarea cerințelor legale în contextul utilizării tot mai des a sistemelor bazate pe inteligența artificială.

Din perspectiva activității de monitorizare și control a autorității de supraveghere din România – ANSPDCP, principala schimbare observată în anul 2024 privește numărul total al amenzilor aplicate și cuantumul acestora. Astfel, în timp ce în 2023, conform Raportului anual de activitate, ANSPDCP a aplicat un total de 73 de amenzi în valoare totală de 2.348.265 lei, în anul 2024, conform informațiilor din „Brosura Bilanț aniversar la 20 de ani de la înființarea ANSPDCP”, au fost aplicate 83 de amenzi în cuantum total de 1.855.807 lei. De asemenea, în ceea ce privește numărul total de investigații, cifrele nu diferă foarte mult, cu un total de 476 de investigații finalizate în 2024, față de 548 de investigații deschise în anul 2023.

Similar cu anul 2023, în 2024 au fost aplicate 2 amenzi pentru nerespectarea cerințelor privind cookies prevăzute de Legea 506/2004, în cuantum de 10.000 de lei fiecare. De asemenea, în 2024 a fost aplicată o amendă și în baza Legii 190/2018 operatorului Sector 1 București pentru neîndeplinirea unei măsuri de remediere dispusă prin procesul-verbal de constatare/sancționare emis de ANSPDCP, în cuantum de 159.000 lei.

Conform informațiilor publicate pe website-ul ANSPDCP, principalele motive care au condus la aplicarea de sancțiuni în 2024 au fost:

• lipsa măsurilor tehnice și organizatorice adecvate și lipsa unei testări periodice a eficacității acestora, în special în contextul în care lipsa acestora a condus la incidente de securitate (de ex. transmiterea/accesarea datelor în mod neautorizat);
• nerespectarea drepturilor persoanelor vizate (dreptul de acces, dreptul la opoziție (dezabonarea de la mesaje comerciale), dreptul la ștergere);
• prelucrarea datelor cu caracter personal fără un temei legal de prelucrare (de ex. lipsa dovezii consimțământului pentru prelucrarea numărului de telefon pentru transmiterea de comunicări comerciale, transmiterea fără temei legal a unor copii ale cărților de identitate ale angajaților către o societate care presta anumite servicii pentru operator);
• neregularități legate de informarea persoanelor vizate;
• nerespectarea principiilor GDPR (limitarea legată de scop, minimizarea datelor, limitarea legată de stocare, integritatea și confidențialitatea datelor);
• nerespectarea măsurilor corective aplicate de ANSPDCP și neîndeplinirea unei măsuri de remediere dispusă prin procesul-verbal de constatare/sancționare;
• nerespectarea dispozițiilor privitoare la stocarea de informații sau obținerea accesului la informația stocată în echipamentul terminal al unui utilizator (cookies), prevăzute de Legea 506/2004 (lipsa consimțământului expres și a informării utilizatorilor);
• operatorul nu s-a asigurat că persoanele care acționează sub autoritatea sa prelucrează datele doar la cererea sa;
• nerespectarea cerinței de a asigura protecția datelor începând cu momentul conceperii (privacy by design) și în mod implicit (privacy by default) – prin prisma lipsei de măsuri tehnice și organizatorice adecvate prin care să fie asigurată respectarea drepturilor persoanelor vizate;
• prelucrarea nelegală a datelor prin instalarea de camere de supraveghere audio-video în autovehicule, îndreptate către șofer, cu posibilitatea de monitorizare online de la distanță;
• prelucrarea nelegală a datelor angajaților, colectate prin intermediul sistemelor de monitorizare GPS instalate pe mașinile de serviciu (de ex. prelucrare în timpul în care aceștia se aflau în afara programului de lucru, inclusiv în perioadele de concediu, depășirea termenului de 30 de zile pentru stocare fără furnizarea de dovezi care să justifice necesitatea unui termen mai lung);
• lipsa transmiterii informațiilor solicitate de ANSPDCP în cadrul unei investigații.