Un control al Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP) poate fi un cosmar pentru orice companie. E-Juridic va prezinta raspunsurile la cele mai importante intrebari cu privire la acest subiect oferite de Andreea Coman, Managing Associate Savescu&Asociatii, si Vlad Bercu, Associate Savescu&Asociatii.
Acum poti afla toate detaliile cu privire la un control al ANSPDCP pe tema GDPR!
1. Cum recunosti un angajat al ANSPDCP aflat in control?
Conform art. 9 din cadrul Procedurii de efectuare a investigatiilor, adoptate prin Decizia Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal nr. 161/2018, controlul potentialelor incalcari a securitatii datelor cu caracter personal – investigatia, este efectuata de personalul de control al Autoritatii. Personalul de control al ANSPDCP se legitimeaza pe baza legitimatiei de control, cu indicarea imputernicirii aprobate de presedintele autoritatii in cazul controalelor efectuate la sediul Autoritatii sau in scris, iar in cazul investigatiilor efectuate pe teren personalul de control este obligat sa detina la el o imputernicire in care sa fie indicat numele/denumirea entitatii controlate.
Totodata, conform art. 31 lit. h) din Regulamentul de organizare si functionare a Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal in exercitarea atributiilor sale, personalul Autoritatii are indatorirea de a purta ecuson.
2. Cum esti informat corect si din timp ca firma ta este controlata de ANSPDCP?
Conform art. 14 din Procedura, investigatiile desfasurate de Autoritate pot fi efectuate cu instiintarea prealabila a entitatii controlate sau se pot desfasura inopinat, fara anuntarea in prealabil in scris a entitatii controlate.
Avand in vedere aceasta dispozitie si caracterul investigativ al procedurii, rezulta fara doar si poate ca nu in toate cazurile firmele care urmeaza a fi supuse controlului li se va aduce la cunostinta despre vizita „amicala” ce va fi intreprinsa de personalul de control al Autoritatii. Mai mult, avand in vedere caracterul tehnic al controalelor organizate de Autoritate, consideram ca in cele mai dese cazuri controalele vor avea un caracter inopinat, similare cu cele efectuate de agentii ANAF. Rareori intalnim ca Autoritatea fiscala sa binevoiasca sa-si anunte vizitele, cu ANSPDCP fiind vorba de acelasi lucru.
Din aceste considerente este important ca toata documentatia sa fie pusa la punct si sa se respecte de facto, adica in mod real, procedurile de conformare la GDPR, intrucat chiar si in situatia in care investigatia este efectuata cu instiintarea entitatii controlate, aceasta din urma nu va dispune de un interval de timp suficient de mare incat sa inlature eventualele nereguli sau sa implementeze anumite proceduri, intervalul controlului putand fi programat in aceeasi zi, chiar si dupa o ora de la anuntare.
250 Modele Fise de Post
Teste rezolvate de matematica pentru clasele V-VIII
Compuneri perfecte pentru clasele III-IV
Apreciem ca investigatiile vor putea fi considerate ca fiind anuntate in prealabil atunci cand acestea se desfasoara la sediul Autoritatii sau in scris (situatie in care in prealabil se transmite entitatii controlate o convocare, respectiv, adresa de solicitare informatii), spre deosebire de cele efectuate pe teren care au un preponderent caracter inopinat, entitatea controlata luand la cunostinta de investigatie in momentul prezentarii personalului de control la sediul sau.
3. Cine iti spune si, mai important, cand ti se spune ce se investigheaza?
Controlul este anuntat de catre un reprezentant al Autoritatii atunci cand acesta se realizeaza cu instiintare prealabila, respectiv, de catre insusi personalul de control desemnat atunci cand are un caracter inopinat.
Obiectul/obiectivele (prelucrarea vizata; domeniul vizat;) si tipul controlului (de fond, tematic s.a.m.d.), ce ar trebui sa se regaseasca indicat in cuprinsul imputernicirii personalului de control desemnat a-l realiza sunt aduse la cunostinta entitatii controlate, fie in momentul prezentarii echipei de control la sediul entitatii, fie in momentul in care reprezentantul entitatii controlate se prezinta la sediul Autoritatii, fie in momentul in care entitatii controlate i se solicita sa raspunda in scris, prin insasi adresa transmisa entitatii. Intrucat acest moment este unul esential, apreciem ca aceste informatii trebuie sa fie aduse la cunostinta entitatii controlate, fie reprezentantului legal, fie reprezentantului conventional, cat mai curand, cel putin inainte ca personalul de control sa inceapa verificarile intr-o maniera aleatorie.
4. Care sunt pasii concreti ai anchetei Autoritatii?
Investigatiile se pot declansa din oficiu sau la plangere. Important este ca Autoritatea se poate autosesiza doar pe baza faptului ca cineva din personalul acesteia navigand pe internet a considerat ca a identificat o neregula in ceea ce priveste securitatea datelor cu caracter personal la o entitate care are o prezenta online constanta. In acest sens, toti cei care cad sub titulatura de „operator de date cu caracter personal” sau „imputernicit al operatorului de date”, indiferent de notorietatea pe piata sau durata activitatii este vazut in calitate de potential pericol pentru securitatea datelor cu caracter personal si poate fi supus investigarii.
In cazul investigatiilor din oficiu, acestea se fac printr-o nota motivata care cuprinde entitatea supusa investigatiei, avizata de seful ierarhic si aprobata de presedintele ANSPDCP. In cazul plangerilor, investigatia se porneste dupa ce se aproba o rezolutie scrisa a presedintelui ANSPDCP, insa care poate delega aceasta atributie sefului compartimentului de specialitate.
Dupa ce se declanseaza procedura, Autoritatea urmeaza sa delege personalul de control care se va ocupa propriu-zis de investigatie.
Actele de control si celelalte documente se intocmesc in prealabil de catre titularul desemnat cu investigatia si se supun spre avizare/semnare sefului ierarhic si spre semnare/aprobare presedintelui ANSPDCP sau inlocuitorilor acestora, dupa caz.
Ulterior, daca investigatia nu este inopinata, se aduce la cunostinta celui supus controlului, fie prin convocarea la sediul Autoritatii, fie prin adresa de solicitare informatii, asupra faptului ca urmeaza a se desfasura o investigatie privind conformarea acestuia la rigorile GDPR, in conformitate cu obiectivele controlului.
In functie de modalitatea de realizarea a investigatiei, procedurile difera. Astfel, daca vorbim despre cele efectuate la sediul Autoritatii sau in scris, operatorul va fi informat cu privire la desfasurarea investigatiei si ii va fi solicitata, fie prezentarea anumitor acte si/sau dispozitive, fie anumite explicatii, fie ambele.
Daca totusi este vorba despre o investigatie desfasurata pe teren, atunci personalul de control se va deplasa la locul unde isi are sediul firma si va purcede la efectuarea controlului, daca nu exista impedimente in efectuarea controlului. In cadrul investigatiei pe teren personalul de control pe langa deplasarea la sediu, legitimarea lor si prezentarea actelor de control, va efectua urmatoarele actiuni de baza: va inmana o copie a imputernicirii entitatii controlate, va verifica toate aspectele care au legatura cu obiectul investigatiei prin solicitarea oricaror informatii legate de obiectivele controlului; va putea ridica documente si dispozitive tehnice pentru a fi investigate/expertizate, va putea proceda inclusiv la audierea unor persoane din cadrul entitatii controlate daca se va aprecia ca acestea poseda informatii relevante cu privire la obiectul controlului sau vor putea dispune inclusiv aplicarea de sigilii si ridicarea echipamentelor in vederea expertizarii. In masura in care investigatia are loc sub forma unui audit, acesta se va efectua conform limitelor imputernicirii personalului de control.
Rezultatul investigatiei se consemneaza in procesul-verbal de constatare/sanctionare incheiat de personalul de control, daca este cazul. Atentie, procesul-verbal este titlu de creanta si instiintare de plata, fiind supus aceluiasi regim juridic prevazut de OG nr. 2/2001.
Pe langa sanctionarea celui la care au fost depistate nereguli, Autoritatea poate dispune si alte masuri corective si poate formula recomandari (care doar in teorie au caracter de recomandare, intrucat in practica ar fi bine sa fie respectate, pentru a evita riscul unor sanctiuni aplicate de Autoritate).
Vezi si:
5. Te poti apara in timpul verificarilor sau poti contestata doar amenda/contraventia in instanta?
Pe durata investigatiei, apararile vizeaza in special urmarirea respectarii procedurii si a limitarii controlului conform imputernicirii, urmarirea respectarii garantiilor prevazute de lege in favoarea entitatii controlate si a acuratetii celor constatate si consemnate de personalul de control in cuprinsul procesului verbal. In acest sens, reprezentantul legal al entitatii/persoana desemnata va contacta imediat si intr-o forma cat mai complet DPO-ul si avocatul societatii (care se vor prezenta foarte rapid); se va identifica personalul autoritatii care efectueaza investigatia pe baza legitimatiei de control si a imputernicirii emise pentru efectuarea investigatiei; ideal ar fi ca responsabilul cu protectia datelor si avocatul entitatii sa fie prezenti in permanenta (apreciem ca reprezentantul legal al entitatii/persoana desemnata are dreptul sa solicite personalului de control asteptarea sosirii acestora in virtutea dreptului sau la aparare); in caz contrar, pana la sosirea lor, persoana desemnata de entitate va urmari sa obtina cat mai multe informatii cu privire la investigatie pentru a putea informa cat mai complet responsabilul cu protectia datelor (DPO) si avocatul societatii; colaborarea cu personalul de control, sub orice aspect trebuie sa fie subsumata necesitatii respectarii limitelor mandatului, adica obiectivelor investigatiei.
De asemenea, pentru motive justificate, entitatea controlata poate solicita amanarea sau suspendarea efectuarii investigatiei. Fie pentru ca solicita, in virtutea dreptului la aparare prezenta unui specialist in domeniu, fie pentru ca demararea/continuarea controlului este imposibila obiectiv intrucat informatiile solicitate de organul de control nu se afla in posesia sa, ci in posesia altui operator sau pentru ca accesul personalului de control la anumite dat presupune o serie de alte aprobari s.a.m.d.
Art. 15 din Procedura reglementeaza ca ANSPDCP poate amana sau suspenda efectuarea investigatiei, inclusiv la solicitarea entitatii controlate, pentru motive justificate. De aici rezulta ca de cele mai multe ori, amanarea sau suspendarea investigatiei sunt masuri la care Autoritatea apeleaza, in functie de imprejurari. Nimic nu va impiedica insa, aaca va aflati la inceputul investigatiei si aveti doar cateva neajunsuri pe care ati dori sa le indepartati rapid, sa incercati sa solicitati o amanare a investigatiei sau chiar o suspendare a investigatiei, luandu-va angajamentul sa remediati micile nereguli existente intr-un termen determinat. Totusi, acest remediu tine si de noroc, fiind la latitudinea Autoritatii sa decida daca ofera sau nu o asemenea pasuire. Aceasta chestiune fiind apreciata in functie de suspiciunile pe care Autoritatea le are cu privire la eventualele nereguli, gravitatea si amploarea lor, continutul sesizarii/plangerii, in functie de riscurile asociate prelucrarii, precum si demersurile necesar a fi indeplinite pentru asigurarea conformitati prelucrarii.
Indiferent ca investigatia se realizeaza pe teren, la sediul/domiciliul/punctul de lucru sau alte locatii unde isi desfasoara activitatea entitatea controlata sau locatiile care au legatura cu prelucrarea in cauza sau printr-o adresa de convocare la sediul ANSPDCP a reprezentantilor entitatii controlate, cu precizarea datei si orei de incepere a investigatiei si dupa caz, cu indicarea documentelor, inregistrarilor relevante, echipamentelor informatice in functie de obiectul controlului, actelor de identitate ale reprezentantului legal/persoanei imputernicite si ale entitatii controlate, inclusiv cu stampila in cazul autoritatilor publice si registrul de control, daca este cazul sau atunci cand investigatia se realizeaza in scris, situatie in care se transmite o adresa catre entitatea controlata, intocmita de titularul de lucrare si semnata, dupa caz, de catre seful ierarhic sau presedintele ANSPDCP/inlocuitorii acestora, prin care se solicita informatii, date si documente necesare solutionarii cazului supus investigatiei, cu mentionarea obligatiei entitatii controlate de a raspunde in scris, cu anexarea de dovezi in copii certificate pentru conformitate cu originalul si in cadrul termenului stabilit de ANSPDCP, personalul de control trebuie sa isi indeplineasca atributiile in limitele imputernicirii pe care personalul de control trebuie sa o detina in cazul oricarui tip de control.
Problema apare mai ales atunci cand investigatia nu este limitata la continutul plangerii sau actului de sesizare din oficiu, personalul Autoritatii putand verifica, sub aceasta „manta” orice aspect privind protectia datelor cu caracter personal, ceea ce este un lucru foarte incomod pentru cel investigat. Cu alte cuvinte, chiar daca obiectul plangerii este neintemeiat, personalul de control poate gasi alte nereguli pentru care sa aplice sanctiuni. Din acest motiv este foarte important ca obiectivele controlului sa fie precise, clar formulate si prezentate entitatii controlate intr-o forma completa, prealabil efectuarii verificarilor, persoanelor in drept sa acorde sprijin personalului de control cu informatii, documente s.a.m.d.
--
Retineti! GDPR este un act normativ foarte complex si din acest motiv respectarea lui nu este deloc usoara. Sunt foarte multe aspecte de luat in calcul si orice scapare poate deveni imediat un motiv solid pentru o sanctiune din partea inspectorilor ANSPDCP. Iata de ce va oferim lucrarea Cum sa evitati amenzile GDPR. Explicatii si comentarii, care va ofera o imagine completa asupra modului cum se desfasoara in mod practic un control, cu accent pe lucrurile urmarite de inspectori si pe modalitatile in care dvs. puteti gestiona eficient aceste lucruri.
--
De multe ori, afirmatia conform careia „in cadrul investigatiilor pot fi verificate orice aspecte privind respectarea regulilor de prelucrare a datelor cu caracter personal” poate fi inselatoare sau ar putea fi interpretata eronat, intrucat orice control demarat de Autoritate are la baza o suspiciune de neregula legata de una sau mai multe activitati de prelucrare, de verificarea modului in care se respecta legislatia privind protectia datelor personale in situatii strict determinate s.a.m.d. Insusi personalul de control este tinut sa actioneze conform unei proceduri si a actelor de control pe care le are asupra sa. In caz contrar, ar fi nelegala extinderea controlului la aspecte ce nu sunt cuprinse in imputernicire, in sesizarea din oficiu sau in plangerea adresata Autoritatii.
Recomandam ca in momentul in care va confruntati cu un control al Autoritatii sa asigurati prezenta la sediul entitatii controlate a unei persoane cu cunostinte in domeniul protectiei datelor cu caracter personal (de ex. avocat/responsabil cu protectia datelor cu caracter personal), cu experienta in procedurile investigative ale autoritatilor sau sa solicitati opinii atunci cand Autoritatea vi se adreseaza in scris. Totodata este recomandabil ca atunci cand reprezentantul entitatii controlate este convocat la sediul Autoritatii, acesta sa se prezinte insotit de un specialist in domeniul protectiei datelor cu caracter personal si in procedurile investigative. Spunem aceasta intrucat tendinta umana, fireasca de altfel atunci cand se doreste demonstrarea conformitatii cu dispozitiile legale, este de a fi permisivi cu organele de control, ceea ce poate constitui ulterior un dezavantaj.
Important! In masura in care actiunile intreprinse de personalul de control sunt in mod manifest abuzive, discretionare, in cazul lipsei imputernicirii sau refuzului de a o prezenta, actele de control prezinta necorelari, fiind incomplete, imprecise, eronate, controlul este efectuat in afara intervalului orar permis de lege, refuzul inscrierii in registrul unic de control s.a.m.d., entitatea controlata se poate opune controlului, refuzand acordarea accesului personalului de control. O astfel de imprejurare va conduce la necesitatea ca personalul de control sa solicite si sa obtina autorizatie judiciara data prin incheiere de catre presedintele Curtii de Apel Bucuresti sau de catre un judecator delegat de acesta, in conditiile legii, similar cu emiterea unui mandat de perchezitie.
Atentie insa, ca apelarea la o astfel de pozitie de catre entitatea de control trebuie sa nu fie nelegala, ci, in functie de imprejurarile concrete, a fost rezonabil pentru operator sa se opuna controlului, chestiune care va fi apreciata ulterior de catre un judecator. Cu alte cuvinte, invocarea opozitiei nejustificate va reprezenta doar o chestiune de timp in realizarea controlului, existand riscul ca ulterior, eventualele nereguli constatate de catre personalul de control sa fie chiar mai aspru sanctionate.
Una dintre apararile cele mai energice, alaturi de formularea obiectiunilor in cuprinsul procesului verbal, este contestarea procesului-verbal si/sau a deciziei de aplicare a masurilor corective, dupa caz, in conformitate cu procedura de efectuare a investigatiilor, care se completeaza cu dispozitiile OG nr. 2/2001 privind regimul juridic al contraventiilor. Operatorul sau persoana imputernicita de operator poate introduce contestatie la sectia de contencios administrativ a tribunalului competent, in termen de 15 de zile de la data inmanarii, respectiv de la data comunicarii procesului-verbal de constatare/sanctionare sau a deciziei presedintelui ANSPDCP.
Vezi si:
6. Ce fel de acces trebuie sa le oferi angajatilor/inspectorilor ANSPDCP?
Accesul personalului de control ar trebui sa fie limitat in functie de obiectivele controlului si continutul actelor de control. Accesul personalului de control trebuie sa fie unul necesar desfasurarii investigatiei. Apreciem ca personalul de control este obligat sa se limiteze numai la ridicarea obiectelor si inscrisurilor care au legatura cu investigatia.
In acelasi spirit sunt prevazute si obligatiile entitatii controlate de a asigura accesul in incintele in care isi desfasoara activitatea, accesul la echipamentele de prelucrare a datelor personale, de a pune la dispozitia personalului de control informatii si documente necesare desfasurarii investigatiei s.a.m.d.
7. Cum se finalizeaza o ancheta?
O ancheta se finalizeaza prin intocmirea si semnarea procesului - verbal de constatare/sanctionare care trebuie sa cuprinda elementele obligatorii prevazute la art. 23 alin. 2 din Procedura de efectuare a investigatiilor. In cazul depistarii unor nereguli, sanctiunile principale ale Autoritatii sunt avertismentul si amenda.
In urma investigatiilor efectuate, prin procesul-verbal de constatare/sanctionare sau prin decizie a presedintelui ANSPDCP, se poate emite o avertizare pentru entitatea controlata, in
cazul in care exista aprecierea rezonabila ca, prin operatiunile de prelucrare pe care un operator sau o persoana imputernicita de operator urmeaza sa le efectueze, sa se incalce legislatia aplicabila. Decizia presedintelui are la baza procesul-verbal de constatare/sanctionare incheiat de personalul de control si documentele aferente.
In urma efectuarii investigatiilor, pe langa aplicarea sanctiunilor contraventionale prevazute de lege, ANSPDCP poate dispune si alte masuri corective si poate formula recomandari, fie prin procesul-verbal de constatare/sanctionare, fie prin decizie a presedintelui ANSPDCP, care trebuie sa contina elementele obligatorii prevazute la at. 25 alin. 6 din Procedura.
Important! Amenda administrativa, avertismentul si avertizarea pot fi aplicate in mod distinct sau alaturi de alte masuri corective.
Amenda de pana la 300.000 lei poate fi aplicata direct prin procesul-verbal, iar in cazul in care aceasta suma este depasita, amenda se aplica prin decizie a presedintelui ANSPDCP, care are la baza procesul-verbal de constatare/sanctionare si raportul personalului de control.
8. Ce fel de acte pot ridica angajatii ANSPDCP?
Procedura reglementeaza ca Autoritatea are dreptul la ridicarea documentelor ce au legatura cu obiectivele controlului, in copie certificata de catre entitatea controlata sau a inregistrarilor relevante care au legatura cu obiectul controlului. In caz contrar, entitatea controlata se poate opune la ridicarea documentatiei care ar excede obiectului controlului.
9. Cat de mult ma pot opune verificarilor?
Opozitia entitatii controlate in a da curs desfasurarii investigatiei este limitata la aspecte de nelegalitate ale actelor de control, eventuala lipsa de reprezentare a entitatii de control la momentul la care personalul de control se prezinta si domniile lor nu binevoiesc a amana efectuarea controlului pana la sosirea persoanelor desemnate/abilitate sa asiste la o astfel de procedura. De exemplu, conform dispozitiilor procesual penale organele de urmarire penala sunt obligate sa astepte cel mult doua ore pana la sosirea avocatului, daca persoana perchezitionata solicita acest lucru. De asemenea, tot in spiritul legislatiei procesual penale perchezitia domiciliara nu poate fi dispusa in nicio situatie fara un mandat de perchezitie emis de un judecator. De altfel, insasi procedura de efectuare a investigatiilor face trimitere la aplicabilitatea dispozitiilor procesual penale atunci cand se refera la aplicarea sigiliilor, identificarea si pastrarea obiectelor.
10. Poti invoca Legea prevenirii?
Legea prevenirii nr. 270/2017 se refera la toate autoritatile/institutiile publice cu atributii de control, constatare si sanctionare a contraventiilor, in ceea ce priveste incalcarea unor obligatii din zona de fiscalitate, din zona raporturilor de munca si chiar si pentru lipsa dotarii cu noile case de marcat, contraventii reglementate in mare parte de Codul de procedura fiscala si Codul fiscal.
Prin dispozitiile legale aplicabile ANSPDCP se reglementeaza posibilitatea acesteia de a aplica masuri corective, atunci cand imprejurarile fiecarui caz impun astfel de masuri. Insa nimic nu impiedica ANSPDCP sa aplice in mod direct sanctiuni contraventionale. De altfel, conform Legii nr. 190/2018 procedura ce vizeaza aplicarea sanctiunii avertismentului si anexarea planului de remediere se refera la autoritati si organisme publice. Desigur ca atunci cand o autoritate a efectuat deja un control asupra entitatii, conform Legii nr. 270/2017, in privinta unor aspecte comune, atat domeniului de interes vizat de controlul initial, cat si domeniul protectiei datelor, remedieri care au implicat si inlaturarea neregulilor ce vizau prelucrarea datelor personale, apreciem ca s-ar putea pune in discutie necesitatea respectarii principiului non bis in idem, in sensul ca nicio persoana nu poate fi „judecata sau pedepsita” pentru aceeasi fapta de doua ori.
Ne imaginam urmatorul exemplu: un contribuabil isi incalca obligatia de a pastra, precum si obligatia de a prezenta organului fiscal, a datelor arhivate in format electronic si a aplicatiilor informatice cu ajutorul carora le-a generat, contraventie pentru care s-a aplicat un plan de remediere cu toate consecintele ce decurg de aici, procedura care cu greu ar putea fi dublata si de o eventuala investigatie, respectiv, sanctiune, a ANSPDCP.
Raspunsurile cu privire la controlul pe GDPR efectuat de ANSPDCP au fost oferite cititorilor E-Juridic.ro de catre:
Andreea Coman, Managing Associate SAVESCU & ASOCIATII
Vlad Bercu, Associate SAVESCU & ASOCIATII
Florin Amariei scrie pentru E-Juridic.ro din anul 2018, explicand noutatile legislative si prezentand cele mai relevente stiri din domeniu. Si-a inceput activitatea la 9AM.ro, a continuat la legestart.ro si a acoperit dintotdeauna cele mai relevante subiecte din domeniile politica, social si justitie. In prezent, scrie pentru dumneavoastra despre tot ceea ce inseamna domeniile legislativ, justitie si politico-social, cu accent pe explicarea detaliata a ce este important de retinut, cum ne afecteaza aceste informatii si de ce este bine sa aplicam legea in forma ei la zi.
Sfaturi de la Experti - Intrebari si Raspunsuri