Cel mai important moment pentru companiile din România după intrarea în vigoare a GDPR a fost cu siguranță data de 27 iunie 2019, când Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a impus prima amendă, în cuantum de aproximativ 130.000 de euro, pentru încălcarea regulamentului 2016/679 de către UniCredit Bank.
Pentru ce a fost amendată UniCredit
Potrivit unei analize Deloitte România, la efectuarea unei plăți, indiferent dacă aceasta era inițiată de un titular de cont la banca sancționată sau de către un terț utilizator al sistemului de plăți interbancar, CNP-ul și adresa plătitorului erau accesibile beneficiarului plății prin extrasul de cont sau prin detaliile plății oferite de bancă.
În urma investigației, ANSPDCP a concluzionat că prelucrarea acestor date încalcă principiul data privacy by design, conform căruia operatorii au obligația ca, de la momentul creionării procesului de prelucrare și până la finalizarea acestuia, să implementeze măsuri tehnice și organizatorice adecvate în raport cu natura și riscurile prelucrării, precum și cu posibilitățile tehnologice și financiare, pentru a asigura respectarea GDPR.
În ceea ce privește proporționalitatea amenzii, este interesant de menționat faptul că încălcarea principiului data privacy by design este încadrată de GDPR la o amendă de maximum 10 milioane de euro sau 2% din cifra de afaceri globală anuală, și nu la pragul superior de 20 de milioane de euro sau 4%.
În plus, în individualizarea cuantumului amenzii, ANSDPCP a trebuit să aibă în vedere numărul mare de persoane vizate – 337.042 – și alte aspecte, precum categoriile de date implicate, intenția sau caracterul neglijent al faptei operatorului, potențiale acțiuni de diminuare a prejudiciului suferit de persoanele vizate etc.
Polonia a amendat cu 220.000 euro compania de analiză a datelor Bisnode pentru încălcarea GDPR ce a afectat peste 6 milioane de persoane.
Raportată la amenzile acordate în Europa Centrală și de Est, sancțiunea impusă de ANSPDCP este a doua cea mai mare după amendă emisă, după cea de 220.000 de euro din Polonia cu privire la cazul Bisnode, care utiliza date cu caracter personal din surse publice fără respectarea obligațiilor de informare a persoanelor vizate.
România, a doua cea mai mare amendă din Europa Centrală și de Est
Astfel, în baza unui studiu efectuat de Deloitte Legal în Europa Centrală și de Est, cuantumul acestei prime amenzi situează România în topul amenzilor acordate în acest prim an de aplicare a GDPR.
Ce amenzi au aplicat țările vecine
Studiul mai relevă că, în Bulgaria, cea mai mare amendă nu a depășit 27.000 de euro, în Ungaria, 40.000 de euro, iar în Lituania, 61.500 euro.
Industria financiar-bancară a fost printre cele mai vizate de investigațiile ANSPDCP, atât înainte, cât și după intrarea în vigoare a GDPR. Mai mult decât atât, ANSPDCP a comunicat că plângerile și sesizările primite au avut în vedere încălcarea principiilor de prelucrare a datelor personale în sistemul bancar și a regulilor de confidențialitate și securitate a prelucrărilor de date personale.
Din datele oficiale comunicate de ANSPDCP, la finalul lunii mai 2019 se aflau în desfășurare aproximativ 1.000 de investigații și este de așteptat ca entitățile ce vor fi supuse unor sancțiuni și măsuri corective să conteste în instanță aceste decizii.
Contestațiile înregistrate pe rolul secțiilor de contencios administrativ și fiscal ale tribunalelor suspendă doar plata amenzii, nu și obligația de a aplica măsuri corective, așadar cel mai probabil acestea vor fi dublate de cereri de suspendare a măsurilor corective, în temeiul prevederilor din Legea contenciosului administrativ, se mai arată în analiza semnată de Silvia Axinescu, Senior Managing Associate la Reff & Asociații, Luiza Ionescu, Managing Associate la Reff & Asociații, și Adrian Ifrim, Manager Risk Advisory la Deloitte România.
