Valoarea amenzilor administrative menționate în GDPR a fost și încă mai este un „bau-bau„. Preponderent, regulamentul așa a fost promovat: „Atenție! GDPR impune amenzi de 10 milioane euro sau 2% din cifra de afaceri„…Se omite, de multe ori, că e vorba de amenzi „de pînă la„ sau nu se face nici o mențiune despre „ce se amendează„.
Articolul 83 Condiții generale pentru impunerea amenzilor administrative zice:
-
(4) amenzi administrative de până la 10 000 000 EUR sau, în cazul unei întreprinderi, de până la 2 % din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându-se în calcul cea mai mare valoare
-
(5) amenzi administrative de până la 20 000 000 EUR sau, în cazul unei întreprinderi, de până la 4 % din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându-se în calcul cea mai mare valoare
(Din text eu am înțeles că dacă este instituție publică amenda este de pînă la 10 000 000 EUR, iar dacă este întreprindere, amenda maximă poate fi valoarea cea mai mare dintre 10 000 000 EUR și 2% din cifra de afaceri.)
Amenzile se iau în următoarele situații (nu am inclus chiar toate detaliile din articole):
| Articol | Motiv pentru care se ia amendă | Obligația operatorului | Obligația persoanei împuternicită | Tip amendă
(Alineat 4 sau 5 Art. 85) |
| 5 | Nerespectarea oricăruia dintre cele șase principii referitoare la prelucrarea datelor cu caracter personal. | DA | NU | 5 |
| 6 | Nerespectarea legalității prelucrării pe baza uneia dintre condițiile descrise la Articolul 6 (persoana vizată a consimțit la prelucrarea sau prelucrarea este necesară pentru executarea unui contract, pentru a-și îndeplini obligațiile legale Obligația de a proteja interesele vitale, din motive de interes public sau pentru interesele legitime ale operatorului sau ale terților). |
DA | NU | 5 |
| 7 | Nu se poate demonstra că persoana vizată și-a dat consimțământul la prelucrarea datelor sale cu caracter personal sau nu se poate demonstra valabilitatea consimțămîntului. | DA | NU | 5 |
| 8 | Nu s-a verificat dacă consimțământul este dat sau autorizat de reprezentatul legal al unui copil care are cel puțin 16 ani în ceea ce privește serviciile societății informaționale. | DA | NU | 4 |
| 9 | Prelucrarea categoriilor speciale de date cu caracter personal (de exemplu, date privind sănătatea) atunci când nu au fost îndeplinite condițiile prevăzute la articolul 9. (De exemplu, consimțământul explicit al persoanei vizate). |
DA | DA (Art.27(2)(a) ) | 5 |
| 11 | Păstrarea datelor personale atunci când nu mai este necesară identificarea persoanei vizate. | DA | NU | 4 |
| 12 | Nu se pot furniza persoanei vizate orice informații menționate la articolele 13 și 14 și orice comunicări în temeiul articolelor 15-22 și 34 referitoare la prelucrare, într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu, în special pentru orice informații adresate în mod specific unui copil. | DA | NU | 5 |
| 13 | Nu se pot furniza informațiile necesare conform articolului 13 (de exemplu, identitatea operatorului, scopurile procesării precum și temeiul juridic sau destinatarii datelor cu caracter personal) atunci cînd datele sînt colectate de la persoana vizată. | DA | NU | 5 |
| 14 | Nu pot fi prezentate informațiile cerute de articolul 14 (de exemplu, identitatea operatorului, scopurile procesării precum și temeiul juridic, sau destinatarii datelor cu caracter personal) în cazul în care datele nu au fost colectate de la persoana vizată. | DA | NU | 5 |
| 15 | Nerespectarea dreptului de acces al persoanei vizate pentru datele care o privesc. | DA | NU | 5 |
| 16 | Nerespectarea dreptului la rectificare în legătură cu datele inexacte cu privire la persoana vizată. | DA | NU | 5 |
| 17 | Nerespectarea dreptului de ștergere, fără întârzieri nejustificate, în cazul în care se aplică una dintre condițiile prevăzute la articolul 17 (De exemplu, în cazul în care persoana vizată își retrage consimțământul pe care se bazează prelucrarea). |
DA | NU | 5 |
| 18 | Pre lucrarea nu este restricționată atunci este îndeplinită una dintre condițiile prevăzute la articolul 18 (de exemplu, în cazul în care corectitudinea datelor personale este contestată de persoana vizată). | DA | NU | 5 |
| 19 | Lipsa notificării destinatarilor cu privire la rectificarea sau ștergerea datelor cu caracter personal sau restricționarea prelucrării în conformitate art. 16, 17 sau 18. | DA | NU | 5 |
| 20 | Nerespectarea dreptului la portabilitatea datelor în raport cu datele pe care le-a furnizat unui operator. | DA | NU | 5 |
| 21 | Nerespectarea dreptului de a formula obiecții în situațiile în care un operator nu este în măsură să demonstreze legitimitatea prelucrărilor care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau pentru stabilirea, exercitarea sau apărarea intereseului public. |
DA | NU | 5 |
| 22 | Cînd procesul decizional individual automatizat, inclusiv crearea de profiluri nu respectă cerințele Art. 22 | DA | NU | 5 |
| 25 | Neaplicarea măsurilor tehnice și organizatorice adecvate, cum ar fi pseudonimizarea într-un mod eficient, pentru a proteja drepturile persoanelor vizate. | DA | NU | 4 |
| 26 | În cazul operatorilor asociați care nu își asumă responsabilitățile pentru respectarea obligațiilor GDPR, în special în ceea ce privește exercitarea drepturilor persoanei vizate. | DA | NU | 4 |
| 27 | Nu a fost desemnat în scris un reprezentant în Uniune. | DA | DA | 4 |
| 28 | Persoana împuternicită de operator nu oferă garanții suficiente pentru punerea în aplicare a măsurilor tehnice și administrative adecvate care să asigure protecția drepturilor persoanei vizate. Neactualizarea obligațiilor părților (de exemplu contractul în scris, restricții privind subcontractarea). | DA | DA | 4 |
| 29 | Prelucrarea datelor în alte situații decît la cererea operatorului sau a personei împuternicită | NU | DA | 4 |
| 30 | Lipsa evidenței activităților de prelucrare | DA | DA | 4 |
| 31 | Lipsa cooperării cu Autoritatea de supraveghere | DA | DA | 4 |
| 32 | Neaplicarea măsurilor tehnice și adminsitrative în conformitate cu riscul estimat/evaluat | DA | DA (Art.28(3)(c))) | 4 |
| 33 | Autoritatea de supraveghere nu este notficată în termen de 72 ore (pentru întîrzierea notificării nu este oferit un motiv plauzibil) | DA | DA | 4 |
| 34 | Persoana vizată nu a fost notificată fără întîrziere cu privire la încălcarea măsurilor de securitate | DA | NU | 4 |
| 35 | Pentru riscurile ridicate nu a fost realizată evaluarea impactului asupra protecției datelor | DA | NU | 4 |
| 36 | Lipsa consultării cu Autoritatea înainte de a prelucra date personale pentru care a rezultat un risc ridicat în lipsa măsurilor de protecție | DA | NU | 4 |
| 37-39 | Lipsa responsabilului cu protecția datelor | DA | DA | 4 |
| 41 | Respectarea Codului de conduită nu este monitorizat | DA | DA | 4 |
| 42 | Operatorul sau persoana împuternicită de operator care supune activitățile sale de prelucrare mecanismului de certificare nu oferă organismului de certificare menționat la articolul 43 sau, după caz, autorității de supraveghere competente, toate informațiile necesare pentru desfășurarea procedurii de certificare, precum și accesul la activitățile de prelucrare respective | DA | DA | 4 |
| 44 | Nerespectarea condițiilor privind transferul datelor personale | DA | DA | 5 |
| 45 | Transferul datelor personale într-o țara în cazul căreia UE a decis că nu există un nivel de protecție adecvat | DA | DA | 5 |
| 46 | Lipsa mecanismelor legale privind transferul datelor în țări în afara UE | DA | DA | 5 |
| 47 | Nerespectarea regulilor corporatiste obligatorii | DA | DA | 5 |
| 48 | Transferurile sau divulgările de informații neautorizate de dreptul Uniunii, în baza unei hotărîri judecătorești în lipsa unui accord international | DA | DA | 5 |
Tot Articolul 83 – Condiții generale pentru impunerea amenzilor administrative, în alineatele 1 și 2 descrie aspectele ce sînt luate în calcul în stabilierea cuantumului amenzii (cred că în limbaj juridic sînt „situații agravante„). De aici aflăm că impunerea unor amenzi administrative în conformitate cu prezentul articol pentru încălcările regulamentului este, în fiecare caz, eficace, proporțională și disuasivă.
ADRIAN B. MUNTEANU 