Ultima actualizare: 6 noiembrie 2018
Intrarea în vigoare la 25 mai 2018 a Regulamentului (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date a determinat nu numai un efort susținut al operatorilor de conformare cu noile reguli, dar și reglementarea modalității în care organismelor locale de control trebuie să acționeze pentru investigarea unor posibile încălcări ale legislației.
Această procedură de efectuare a investigațiilor de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a fost publicată în Monitorul Oficial al României nr. 892 din 23 octombrie 2018.
Efectuarea investigatiilor
ANSPDCP este autorizată să lanseze investigații de monitorizare și control al legalității, fie din oficiu, fie ca urmare a unei plângeri prealabile formulate de către persoanele interesate împotriva unui operator de date.
Investigațiile din oficiu se pot efectua ca urmare a transmiterii notificărilor de încălcare a securității datelor cu caracter personal sau pentru verificarea unor date și informații cu privire la prelucrarea datelor cu caracter personal obținute de către ANSPDCP din alte surse decât cele ce fac obiectul unor plângeri. Investigațiile din oficiu se pot efectua inclusiv pe baza sesizărilor sau a informațiilor primite de la o altă autoritate de supraveghere sau autoritate publică. De asemenea, investigațiile din oficiu se pot efectua și sub formă de audituri privind protecția datelor.
Investigațiile la plângere sunt demarate ca urmare a sesizărilor primite de autoritate cu privire o posibilă încălcare a legislației de către un operator de date cu caracter personal.
În ambele situații, investigațiile se pot desfășura: pe teren, la sediul instituției, în scris sau la autoritățile/organismele publice.
Fiecare tip de investigație conține proceduri detaliate cu privire la modul de desfășurare a acestora, drepturile și obligațiile entităților supuse controlului și modul de aplicare a sancțiunilor pentru încălcarea prevederilor ce reglementează protecția datelor cu caracter personal.
Astfel, în cadrul investigațiilor pe teren (la sediul, domiciliul, punctul de lucru sau alte locații unde își desfășoară activitatea entitatea controlată). controlorii pot propune - efectuarea de expertize - audierea persoanele ale căror declarații sunt considerate relevante și necesare desfășurării investigației - aplicarea uneia dintre sancțiunile contravenționale prevăzute în legislație.
Procesul-verbal încheiat cu ocazia investigațiilor reprezintă titlu de creanță și înștiințare de plată.
În situaţia în care personalul de control este împiedicat în efectuarea controlului, ANSPDCP poate solicita autorizarea judiciară. O copie a autorizaţiei judiciare se comunică obligatoriu entităţii controlate, înainte de începerea investigaţiei și, deși poate fi atacată cu contestație la Înalta Curte de Casație și Justiție, contestația nu este suspensivă de executare. Investigațiile efectuate la sediul Autorității supraveghere se efectuează pe baza unei adrese de convocare transmise reprezentanților operatorului de date controlat .
În cuprinsul respectivei adrese se va menționa obligația entității controlate de a se prezenta la sediul ANSPDCP cu documente, înregistrări relevante, echipamente informatice, în funcție de obiectul controlului.
Legea permite în mod excepțional ca procesul-verbal de constatare/sancționare să poată fi încheiat la sediul autorității fără convocarea reprezentanților entității controlate, atunci când se decide că există dovezi suficiente pentru finalizarea investigației. Investigațiile în scris se realizează în baza unei adrese transmise de autoritate către entitatea controlată, prin care se solicită informații, date și documente necesare soluționării cazului supus investigației.
Entitatea controlată are obligația de a răspunde în scris și de a anexa dovezi în termenul stabilit de către Autoritatea națională de supraveghere.
În funcție de răspunsul primit, respectiva autoritate poate decide continuarea investigației în scris sau pe teren sau poate decide finalizarea investigației, prin încheierea procesului-verbal de constatare/sancționare la sediul ANSPDCP.
Sanctiuni
Sancțiunile contravenționale principale aplicate de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal sunt avertismentul și amenda.
De asemenea, Autoritatea Națională de Supraveghere poate emite o avertizare pentru entitatea controlată, în cazul în care există posibilitatea ca, prin operațiunile de prelucrare de date cu caracter personal pe care un operator intenționează să le efectueze să se încalce legislația aplicabilă.
Aplicarea sancțiunilor se face prin procesul-verbal de constatare/sancționare încheiat de personalul de control. În cazul în care cuantumul amenzii depășește echivalentul în lei a sumei de 300.000 euro aplicarea acesteia se va realiza prin decizia președintelui ANSPDCP.
Pe lângă aplicarea sancțiunilor contravenționale prevăzute de lege, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal poate dispune și alte măsuri corective și poate formula recomandări.