Dincolo de conformitatea cu GDPR: regimul investigațiilor, obligații și urmări
Aplicarea din 25 mai 2018 a noului Regulament GDPR a obligat majoritatea organizațiilor private și de stat să revizuiască politica de protecție a datelor cu caracter personal și a adus schimbări majore în relația digitală a acestora cu utilizatorii. Tot în baza GDPR, autoritățile de supraveghere au și ele obligații, ce se traduc prin sarcini și competențe de investigare, pentru a monitoriza aplicarea și respectarea regulamentului și pentru a proteja drepturile persoanelor vizate.
Legea nr. 129/2018 asigură cadrul instituțional necesar aplicării în România a unor prevederi din GDPR. Intrată în vigoare în iunie 2018, modifică și completează Legea nr. 102/2005 privind înființarea organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) și abrogă Legea nr. 677/2001, ce reglementa anterior acest domeniu.
Legea introduce, printre altele, dispoziții speciale ce reglementează activitățile de control ale ANSPDCP, în realizarea competențelor de investigare, efectuate prin personalul de control împuternicit în acest scop.
Procedura ANSPDCP de efectuare a investigațiilor
La momentul actual, ANSPDCP își desfășoară activitatea, inclusiv cea de investigare a potențialelor încălcări ale reglementărilor GDPR, în baza Legii 102/2005, modificată și completată. Procedura de efectuare a investigațiilor, reglementată detaliat, a fost însă adoptată prin Decizia Autorității naționale de supraveghere nr. 161 din data de 9 octombrie 2018 (denumită în cele ce urmează „Procedura”).
Conform Procedurii ce detaliază condițiile și maniera de derulare a investigațiilor, acestea pot fi inițiate din oficiu sau la plângere și se pot desfășura pe teren, la sediul autorității și în scris.
1. Investigațiile din oficiu
ANSPDCP are puterea de a declanșa investigații din oficiu, pentru verificarea informațiilor din alte surse decât plângeri. Față de consecințele severe pe care le pot avea investigațiile derulate în cazul nerespectării obligațiilor în materie de către organizațiile controlate, ca de exemplu aplicarea de amenzi substanțiale stabilite de GDPR, este important să menționăm că astfel de controale pot fi inițiate și pentru verificarea informațiilor primite de la alte autorități, mass-media, internet, etc. și se pot efectua și sub formă de audituri privind protecția datelor.
2. Investigațiile la plângere
În ceea ce privește investigațiile GDPR, se pare că persoanele vizate vor fi unul dintre motoarele principale, sub forma plângerilor înregistrate la ANSPDCP. Orice persoană fizică ce identifică un drept al său pe care organizația nu îl respecta conform regulamentului GDPR, poate depune plângere la ANSPDCP.
Conform unor cifre făcute publice, Autoritatea de supraveghere înregistrase 145 de plângeri în doar 14 zile de la intrarea în vigoare a GDPR. Conformunui raport publicat pe 25 octombriepe numărul plângerilor înregistrate în România crescuse cu peste 1100%, până la 1,643, la care se adaugă 96 de notificări privind breșe de securitate referitoare la protecția datelor personale, depuse de companii sau alte organizații. Informațiile au fost strânse de ApTI (Asociația pentru Tehnologie și Internet) până pe 25 august.
Dezbaterea pe tema protejării datelor cu caracter personal a crescut semnificativ în ultimul an și apreciem că aceste cifre, deși poate nu par foarte mari, scot în evidență nu numai gradul de conștientizare al publicului cu privire la drepturile conferite și consolidate de GDPR, ci și dorința de exercitare a acestora.
În contextul noii legislații GDPR, companiile au pus mult accent pe noile responsabilități – implementarea unor măsuri adecvate din punct de vedere tehnic și organizațional pentru a garanta drepturile persoanelor vizate – și pe posibila aplicare a unor amenzi substanțiale, în cazul în care acestea nu respectă noile cerințe privind protecția datelor cu caracter personal. La 5 luni de la implementare însă, se pare că pentru companii, modul în care abordează relația cu persoanele vizate, clienți și angajați deopotrivă, va fi la fel de important.
Apreciem, în contextul actual, că modul în care companiile aleg, de exemplu, să rezolve cererile privind protecția datelor cu caracter personal poate avea nu numai implicații legale, ci ar putea aduce și prejudicii imaginii publice a companiei, fapt ce ar putea impacta, în ultimă instanță, încrederea în brand și vânzările. Cel mai recent astfel de exemplu este cel al companiei Twitter. Nu ne putem pronunța încă asupra posibilelor prejudicii de imagine și consecințe aferente. Din punct de vedere al implicațiilor legale însă, menționăm că, în urma unei plângeri, compania este investigată de autoritățile de supraveghere din jurisdicția corespunzătoare. Plângerea a fost depusă ca urmare a refuzului Twitter de a furniza unui utilizator informațiile cu privire la datele cu caracter personal pe care le deține despre acesta. Investigația a fost demarată chiar dacă răspunsul de refuz al Twitter a fost dat în baza GDPR, ce prevede că companie poate refuza cereri din partea utilizatorilor pe motiv că ar necesita un efort disproporționat.
a) Investigația de teren
Fie că sunt inițiate din oficiu, fie la plângere, ANSPDCP are dreptul, conform legii, să efectueze investigații, inclusiv neanunțate, și poate:
- să ceară și să obțină de la operator și persoana împuternicită de operator, sau de la reprezentantul acestora, în vederea verificării, la fața locului și/sau în termenul stabilit, orice informații și documente, indiferent de suportul de stocare,
- să ridice copii de pe documente sau înregistrări relevante care au legătură cu obiectul controlului,
- să aibă acces la oricare dintre incintele în care entitatea controlată își desfășoară activitatea,
- să aibă acces și să verifice orice echipament, mijloc sau suport de stocare a datelor, necesare desfășurării investigației, în condițiile legii.
Legea prevede și o serie de prerogative similare organelor de cercetare penală în favoarea personalului de control. Identificarea și păstrarea obiectelor, precum și punerile de sigilii se fac conform dispozițiilor din Codul de procedură penală. Mai mult decât atât, verificările și eventualele ridicări de documente, alte suporturi, sau chiar accesul în spațiile operatorilor / persoanelor împuternicite de operatori se pot face fără un act de autorizare emis de instanță.
Ce se întâmplă dacă investigația este împiedicată
Numai în situația în care personalul de control este împiedicat în orice mod în exercitarea atribuțiilor sale – ca parte a activității de investigare – ANSPDCP poate solicita autorizarea judiciară, asupra cererii judecătorul pronunțându-se în termen de cel mult 48 de ore de la data înregistrării, citarea nefiind obligatorie, prin Încheiere a președintelui Curții de Apel sau a unui judecător delegat de acesta. O copie a autorizației judiciare se va comunica obligatoriu entității controlate înainte de începerea investigației. Autorizația se poate contesta la Înalta Curte de Casație și Justiție, în termen de 72 de ore de la comunicare, însă nu suspendă desfășurarea investigației.
În ceea ce privește intervalul orar în care se poate desfășura, investigația ANSPDCP nu poate începe înainte de ora 8,00, nu poate continua după ora 18,00 și trebuie efectuată în prezența persoanei la care se efectuează investigația sau a reprezentantului său. Investigația ANSPDCP poate continua și după ora 18,00 numai cu acordul scris al persoanei la care se efectuează aceasta sau a reprezentantului său.
Autoritatea națională de supraveghere poate dispune efectuarea de expertize și audierea persoanelor ale căror declarații sunt considerate relevante și necesare desfășurării investigației.
Obligațiile personalului de control
Conform Procedurii, în privința investigațiilor pe teren, efectuate la sediul/domiciliul/punctul de lucru sau alte locații unde își desfășoară activitatea entitatea controlată sau locații care au legătură cu prelucrarea în cauză, personalul de control este obligat, printre altele, să:
- prezinte legitimația de control reprezentanților entității controlate;
- prezinte autorizația judiciară, în situațiile prevăzute de lege;
- solicite înregistrarea ordinului de deplasare și a împuternicirii, dacă este cazul;
- înscrie în registrul de control al entității controlate datele specifice, dacă este cazul;
- prezinte obiectivele investigației;
- verifice toate aspectele care au legătură cu obiectul investigației prin solicitarea oricăror informații legate de obiectivele controlului.
Celelalte activități au legătură cu atribuțiile concrete de verificare, ridicare documente, înregistrări, întocmirea procesului-verbal de constatare/sancționare contravențională și aplicarea măsurilor corective și formularea recomandărilor necesare pentru remedierea deficiențelor constatate, după caz.
Tot potrivit Procedurii, în cadrul investigațiilor efectuate pe teren, personalul de control al ANSPDCP va trebui să aibă un comportament decent în relația cu entitatea controlată și va putea să solicite asistență din partea organelor de poliție.
Obligațiile entității controlate
În cadrul investigației, entitatea controlată va avea, în principal, următoarele obligații:
- să permită personalului de control, fără întârziere, începerea și derularea investigației;
- să asigure accesul personalului de control în incintele în care își desfășoară activitatea, la orice echipament, mijloc sau suport de prelucrare/stocare a datelor, în vederea efectuării verificărilor necesare desfășurării investigației;
- să pună la dispoziția personalului de control orice informații și documente indiferent de suportul de stocare, necesare desfășurării investigației, inclusiv copii de pe acestea;
- să pună la dispoziția ANSPDCP documentele solicitate, certificate pentru conformitate cu originalul;
- să furnizeze într-o formă completă documentele, informațiile, înregistrările și evidențele solicitate, precum și orice lămuriri necesare, fără a putea opune caracterul confidențial al acestora, în condițiile legii.
b) Investigațiile la sediul autorității ori în scris
Investigațiile pe teren nu sunt singurele forme de desfășurare a activității personalului de control în îndeplinirea competențelor de investigare instituite de GDPR, Procedura prevăzând încă alte două specii – investigațiile la sediul ANSPDCP cu convocarea reprezentanților entității controlate sau investigațiile în scris.
Urmările investigației. Sancțiuni aplicabile în cazul îngreunării investigației
Pe lângă aplicarea sancțiunilor contravenționale în cazul nerespectării regulilor GDPR, despre care s-a discutat intens în ultimul an, ANSPDCP poate emite avertizări pentru entitatea controlată, în cazurile prevăzute de Procedură și poate dispune și măsuri corective, ca de exemplu, să oblige operatorul să respecte cererile persoanei vizate de exercitare a drepturilor, să se asigure că prelucrarea datelor este conformă cu legea aplicabilă; să oblige operatorul să informeze persoana vizată cu privire la o încălcare a protecției datelor cu caracter personal; să limiteze, temporar sau definitiv, să interzică prelucrarea, rectificarea sau ștergerea datelor cu caracter personal; să retragă certificările eliberate în materie sau să nu le elibereze, în anumite condiții; să suspende fluxul de date către un destinatar dintr-o țară terță sau către o organizație internațională. Mai mult, ANSPDCP poate efectua o nouă investigație dacă organizația nu dovedește luarea măsurilor corective dispuse, în termenul acordat.
În cazul în care organizația nu respectă măsurile dispuse sau refuză tacit sau expres să furnizeze toate informațiile și documentele solicitate în cadrul procedurii de investigație, ori refuză să se supună la investigație, atât Legea nr. 102/2005, cât și Procedura prevăd și aplicarea unei amenzi cominatorii de până la 3.000 lei pentru fiecare zi de întârziere, calculată de la data stabilită prin decizie, care constituie titlu executoriu. Operatorul poate introduce bineînțeles contestație la secția de contencios administrativ și fiscal din cadrul tribunalului, în termen de 15 zile de la înmânare/comunicare.
Un articol semnat de Lorena Ciobanu, Associate, ONV LAW