Mulți antreprenori și profesioniști ignoră legislația europeană privind protecția datelor cu caracter personal (GDPR), ceea ce poate duce la sancțiuni severe din partea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP). Aceste amenzi pot ajunge până la 20 de milioane de euro sau 2-4% din cifra de afaceri anuală globală a companiei, în funcție de suma cea mai mare.
ANSPDCP, activă din 2005, aplică sancțiuni pe baza Regulamentului UE 2016/679, în vigoare din 2016 și aplicabil din 2018. Aceasta investighează operatorii de date – fie persoane juridice, autorități publice sau alte entități – care gestionează date personale. Regulamentul nu se aplică activităților personale sau domestice.
Datele cu caracter personal includ orice informații care pot identifica o persoană, cum ar fi numele, CNP-ul, domiciliul, adresa de e-mail etc. Prelucrarea acestora presupune operațiuni precum colectarea, stocarea, modificarea sau organizarea datelor, conform Ziare.com.
Cele mai frecvente încălcări ale legislației GDPR
- Printre neregulile constatate de ANSPDCP în urma controalelor se numără:
- Încălcarea drepturilor persoanelor vizate, în special a dreptului de acces și de ștergere a datelor;
- Prelucrarea datelor fără respectarea prevederilor legale;
- Pierderea confidențialității datelor în mediul online;
- Acces neautorizat la sistemele de supraveghere video;
- Neprezentarea măsurilor adecvate pentru protecția datelor pe site-uri și aplicații.
Lista celor mai mari amenzi aplicate în România
În ultimii ani, ANSPDCP a sancționat numeroase companii pentru nerespectarea GDPR. Cele mai mari amenzi aplicate sunt:
- Raiffeisen Bank – 150.000 de euro;
- Unicredit Bank – 130.000 de euro;
- Rompetrol Downstream SRL – 110.000 de euro;
- Banca Transilvania – 100.000 de euro;
- UiPath SRL – 70.000 de euro;
- Dante International SA – 40.000 de euro;
- Altex România – 20.000 de euro.
Regulile GDPR se aplică și IMM-urilor
Regulamentul trebuie respectat nu doar de marile companii, ci și de întreprinderile mici și mijlocii (IMM-uri), care au obligații precum:
- Asigurarea securității datelor;
- Respectarea drepturilor persoanelor vizate;
- Cartografierea prelucrărilor de date;
- Notificarea încălcărilor de securitate;
- Evaluarea impactului protecției datelor.
O nouă profesie: responsabilul cu protecția datelor (DPO)
Intrarea în vigoare a GDPR a creat o nouă profesie: Responsabilul cu Protecția Datelor (DPO), obligatoriu în anumite entități. DPO-ul poate fi un angajat intern sau un consultant extern, având responsabilități precum:
- Informarea și consilierea operatorilor de date;
- Monitorizarea respectării GDPR;
- Cooperarea cu autoritățile de supraveghere.
În România, această profesie este oficial recunoscută sub codul COR 242231, conform Ordinului nr. 1477/1056/2020.
Adoptarea măsurilor GDPR nu doar că protejează afacerile de amenzi, dar și contribuie la construirea unei relații de încredere cu clienții și partenerii.
Comentează