Amenzile GDPR s-au dublat în 2023, cele mai multe le-a luat mediul privat / Robotul ION, Casa Verde și ROeID – investigații nefinalizate
Rompetrol Downstream, UiPath și eMag au primit cele mai mari amenzi în acest an pentru incidente de securitate care au încălcat Regulamentul UE privind protecția datelor personale (GDPR), iar amenzile aplicate în special mediului privat s-au dublat la peste 460.000 de euro. Instituțiile publice au primit amenzi infime, iar investigațiile privind datele colectate de robotul ION, posibila scurgere de date la Casa Verde sau prelucrarea datelor în aplicația ROeID nu au fost finalizate.
Robotul ION, Casa Verde și ROeID – trei investigații pe GDPR rămase nefinalizate
Sub presiunea dezvăluirilor făcute de mass-media, Autoritatea pentru Protecția Datelor Personale (ANSPDCP) a demarat din primăvara acestui an trei investigații majore la instituții sau autorități publice privind posibila încălcare a Regulamentului UE privind protecția datelor personale (GDPR):
- în luna martie – investigație privind datele colectate de robotul ION.
- în luna iulie – investigație privind posibila scurgere de date în programul Casa Verde, dosar pentru care Ministerul Mediului a făcut și plângere la Parchet.
- în luna noiembrie – investigație cu privire la condițiile de prelucrare a datelor cu caracter personal prin intermediul aplicației ROeID, aplicație gestionată de Autoritatea pentru Digitalizarea României (ADR).
ANSPDCP acuză un deficit de personal / O investigație durează în medie între 12 și 18 luni
HotNews.ro a solicitat Autorității pentru Protecția Datelor Personale (ANSPDCP) să precizeze ce a constatat în cadrul acestor investigații și măsurile luate.
- „În ceea ce privește investigațiile demarate cu privire la datele colectate de robotul ION, posibila scurgere de date în programul Casa Verde, precum și la condițiile de prelucrare a datelor prin intermediul aplicației ROeID, precizăm că acestea sunt în curs de desfășurare.
- În acest sens, menționăm că durata unei investigații variază în funcție de complexitatea cazurilor, termenele de furnizare a informațiilor de către operatori, analiza informațiilor primite, gradul de încărcare al personalului, informațiile noi ce pot apărea în cursul investigațiilor care pot extinde termenul de analizare și finalizare a acesteia.
- Referitor la durata medie de soluționare a unei investigații, aceasta variază între 12 și 18 luni în funcție de factorii mai sus menționați.”, au precizat oficialii ANSPDCP.
În același timp, Autoritatea a mai menționat că „există investigații care s-au finalizat în termen relativ scurt (de ex. 2 luni)”, dar instituția reclamă faptul că „dispune de resurse umane deficitare pentru exercitarea atribuțiilor legale.”
Amenzile GDPR s-au dublat la peste 460.000 de euro în acest an, peste 98% aplicate mediului privat
la solicitarea HotNews.ro, ANSPDCP a transmis situația amenzilor aplicate pentru încălcarea GDPR până la data de 7 decembrie 2023, care arată valoarea acestora s-a dublat comparativ cu anul trecut.
- „În anul 2023, până la data de 07.12.2023, instituția noastră a finalizat 460 investigații efectuate la entități private și instituții publice, valoarea totală a amenzilor fiind de aprox. 2.300.000 lei (echivalentul a aprox. 470.000 euro).
- Dintre acestea un număr de 336 investigații au fost efectuate la entități private, iar urmare a acestor investigații, au fost aplicate amenzi în cuantum total de aprox. 464.000 euro. Totodată, precizăm că din cele 460 de investigații finalizate în 2023, până la data de 07.12.2023, 124 investigații au vizat instituții/autorități publice.”, arată ANSPDCP.
Spre comparație, anul trecut ANSPDCP spune că a finalizat 433 investigații din care 319 au fost efectuate la entități private și 114 la instituții/autorități publice/companii controlate de stat.
Amenzile aplicate în urma acestor investigații au fost în cuantum de 212.200 euro (entități private – 209.600 euro – și instituții publice – 13.000 lei, echivalentul a 2.600 euro).
Topul amenzilor GDPR în 2023: Privat versus stat
Din totalul celor 336 de investigații finalizate la firme private în acest an, cele mai mari amenzi au fost următoarele:
- Rompetrol Downstream SRL 110.000 euro
- UiPath SRL – 70.000 euro
- Dante International (eMag.ro) – 40.000 euro
- Hora Credit IFN SA – 24.000 euro
- Alior Bank – 17.000 euro
În urma celor 124 de investigații care au vizat instituții/autorități publice în acest an, Autoritatea a aplicat o singură amendă: 10.000 de lei către Primăria din Comuna Albeni.
Topul amenzilor GDPR în 2022: Privat versus stat
La nivelul anului 2022, din totalul amenzilor de 212.000 euro, cele mai mari 5 amenzi aplicate firmelor private au fost următoarele:
- Raiffeisen Bank – 28.000 euro (investigația a început în noiembrie 2019 și a fost finalizată în luna septembrie 2022);
- ING Bank N.V. Amsterdam – 20.000 euro (investigația a început în luna martie 2022 și a fost finalizată în luna octombrie 2022);
- Sudrezidential Broker SRL –10.000 Euro (investigația a început în luna iulie 2022 si a fost finalizată în luna noiembrie 2022);
- S.P.E.E.H. Hidroelectrica SA – 10.000 euro (investigația a început în octombrie 2021 și a fost finalizată în luna decembrie 2022);
- Enel Energie Muntenia SA – 10.000 euro (investigația a început în luna mai 2021 și a fost finalizată in luna iulie 2022);
La stat, singura amendă a fost aplicată către Autoritatea Națională pentru Restituirea Proprietăților – 13.000 lei (investigația a început în luna martie 2022 și a fost finalizată în luna noiembrie 2022).
De ce sunt amenzi atât de mici și de puține la stat? Explicațiile ANSPDCP
Discrepanța între amenzile aplicate mediului privat și instituțiilor publice este uriașă, iar explicațiile Autorității sunt că Regulamentul UE prevede un regim diferit de sancționare.
Astfel, autoritățile și instituțiile publice sunt sancționate mai întâi cu avertisment la care se anexează un plan de remediere și doar în final se aplică amenda, care oricum este mult mai mică valoric decât amenzile care pot fi aplicate mediului privat.
Autoritatea menționează că în acest caz sunt incidente prevederile art. 13 din Legea 190/2018 privind măsuri de punere în aplicare a GDPR.
- „Astfel, potrivit art. 13 din actul normativ anterior menționat, autorităţile/organismele publice sunt sancționate mai întâi cu avertisment la care se anexează un plan de remediere.
- În situația în care autorităţile/organismele publice nu au adus la îndeplinire în totalitate măsurile prevăzute în planul de remediere, Autoritatea Naţională de Supraveghere, în funcţie de circumstanţele fiecărui caz în parte, poate aplica sancţiunea contravenţională a amenzii de la 10.000 lei până la 200.000 lei (art. 14 din Legea nr. 190/2018).
- Ca atare, din cele de mai sus rezultă că situațiile în care se aplică amenzi instituțiilor/autorităților publice sunt mult mai rare.
- Pe de altă parte, sancțiunile aplicabile operatorilor din mediul privat sunt avertismentul și amenda contravențională. În acest sens, precizăm că amenzile sunt reglementate la art. 83 din Regulamentul (UE) 2016/679.”, au precizat oficialii ANSPDCP.
Conform Regulamentului UE privind protecția datelor, amenzile către firme pot atinge până la 20 milioane de euro sau până la 4% din cifra de afaceri mondială totală anuală corespunzătoare exerciţiului financiar anterior.