Amenzi de până la 4% din cifra de afaceri, pentru firmele care gestionează incorect datele cu caracter personal

Pe data de 25 mai 2018, va intra în vigoare Regulamentul Uniunii Europene nr. 679/2016, cunoscut drept Regulamentul general privind protecția datelor personale. "Actul normativ îi privește atât pe agenții economici, cât și instituțiile și organizațiile non-guvernamentale care procesează date cu caracter personal", a declarat avocatul Andrei Săvescu, președintele Societății de Științe Juridice, la seminarul organizat de Centrul Enterprise Europe Network din cadrul Camerei de Comert, Industrie, Navigație și Agricultură Constanța.

Dezbaterea a avut loc în cadrul evenimentului "Ziua porților deschise" și a atras zeci de reprezentanți ai agenților economici din Constanța. 

Regulamentul, a explicat Săvescu, se bazează pe "dreptul la demnitate" și "dreptul de a fi uitat" al oricărei persoane, iar acesta din urmă se referă la necesitatea ca datele personale să nu circule de la un operator economic la altul. După cum se știe, agenți economici mari sau mici, din mai toate domeniile de activitate colectează date ale persoanelor, utilizându-le în interesul afacerilor. Producția de baze de date, comercializarea și exploatarea lor a devenit o adevărată industrie, care intră deseori în conflict cu interesele persoanelor. 

România are obligația să aplice și să respecte acest regulament european. Potrivit Constituției, el are forță juridică mai mare decât legislația internă, a precizat Săvescu.

Potrivit regulamentului: "Toți operatorii din sistemul public, persoanele împuternicite de operator, precum și operatorii din sistemul privat cu peste 250 de angajați au obligația cartografierii prelucrărilor de date cu caracter personal efectuate, raportat la prevederile art. 30 din Regulamentul general privind protecția datelor. Chiar și operatorii din sistemul privat cu mai puțin de 250 de angajați au obligația cartografierii prelucrărilor în cazurile în care prelucrarea pe care o efectuează este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor vizate, în cazul în care prelucrarea nu este ocazională sau prelucrarea include categorii speciale de date ori date cu caracter personal referitoare la condamnări penale și infracțiuni."

Pentru a se conforma regulamentului, agenții economici, instituțiile statului și ONG-urile vor trebui să îndeplinească mai multe condiții. Mai întâi, trebuie să realizeze un audit cu un auditor specializat în protecția datelor personale. Acesta va realiza o diagnoză a modului în care sunt gestionate datele personale (ale angajaților, colaboratorilor și clienților), de către companie și va propune măsuri pentru conformarea la prevederile regulamentului. Datele vor trebui stocate separat și securizate. În plus, compania are obligația să-și întocmească proceduri interne și să desemneze un responsabil cu protecția datelor. "Rolul lui este să consilieze conducerea companiei, să țină legătura cu Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal și să o informeze. Acest responsabil are un statut special: este independent, nu face parte din managementul companiei și, potrivit regulamentului european, nu poate fi concediat", a explicat președintele Societății de Științe Juridice.

Controlul respectării regulamentului va fi exercitat de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, care va avea un rol asemănător celui al Consiliului Concurenței: va efectua controale anunțate sau inopinate și va aplica sancțiuni. Acestea pot ajunge până la 4% din cifra de afaceri a companiei. Întrucât regulamentul nu are norme de aplicare, iar unele prevederi lasă loc la interpretări, este de așteptat ca numărul unităților sancționate să fie mare. "Aceste amenzi vor fi o sursă importantă la bugetul statului", a atenționat avocatul. 

Potrivit unor estimări, sub incidența prevederilor regulamentului european intră circa 360.000 de companii. La acestea se adaugă ONG-urile și toate instituțiile statului, cu excepția Poliției, serviciilor secrete, parchetelor și instanțelor de judecată.

România nu este pregătită să aplice regulamentul, a atras atenția Andrei Săvescu. Nu are numărul necesar de specialiști în domeniul protecției datelor: auditori și responsabili. Pe de altă parte, nu există un sistem de pregătire și certificare pentru aceste funcții. Desigur, se poate apela la avocații specializați în protecția datelor ori la cursurile pentru pregătirea responsabililor în protecția datelor, organizate de reprezentata din România a unei firme străine. Dar oricare din aceste metode poate fi atacată în justiție, câtă vreme nu există un sistem legal de certificare a acestor specialiști. 

Aplicarea regulamentului va fi costisitoare pentru operatorii de date personale, care vor trebui să scoată mii, zeci sau chiar sute de mii de euro din buzunar, în funcție de specificul, dimensiunea unității respective, de complexitatea bazelor de date, de numărul persoanelor ce trebuie pregătite prin cursuri. De asemenea, trebuie adăugate salariile responsabililor de date personale. Acestea vor fi destul de mari, câtă vreme oferta de pe piață muncii va fi foarte mică. 

În cadrul întâlnirii, Dănuț Jugănaru - directorul CCINA și Irina Găitănaru - coordonator consorțiu ERBSN au prezentat Centrul Enterprise Europe Network și serviciile oferite agenților economici.