Sanctiuni GDPR. Ce poate sa aplice Autoritatea de supraveghere la incalcarea regulamentului?

In data de 25 mai se implineste un an de cand Regulamentul General privind Protectia Datelor Personale (GDPR) a intrat in vigoare. Acesta se aplica de la companii, ministere si case de pensii, pana la scoli si spitale, avand in vedere ca aceste entitati prelucreaza date cu caracter personal cum ar fi: nume, CNP-uri, numere de telefon, adrese de e-mail, precum si date cu caracter personal considerate sensibile (afectiuni medicale, cazier, datorii la Stat etc.).

Incalcarea prevederilor regulamentului conduce la amenzi de 20 de milioane de euro sau de pana la 4% din cifra de afaceri a firmei. Cititi mai jos care sunt sanctiunile pe care le poate aplica Autoritatea de supraveghere.
 

Ce trebuie sa faceti dvs., contabilul, pentru a nu incalca prevederile acestui Regulament si pentru a nu pune firma in pericol? Ghidul GDPR pentru contabili va invata TOT! Detalii AICI.
 

Sanctiuni GDPR: raspunsul specialistului

Legea nationala stabileste la art. 15 din Legea nr. 102/2005 ca sanctiunile contraventionale principale pe care le aplica Autoritatea nationala de supraveghere, potrivit art. 58 alin. (2) lit. b) si i) din GDPR, sunt avertismentul si amenda. Aplicarea amenzii se face in conditiile art. 83 din GDPR.

In cazul in care exista posibilitatea ca, prin operatiunile de prelucrare pe care un operator sau o persoana imputernicita de operator intentioneaza sa le efectueze, sa se incalce legislatia aplicabila, Autoritatea nationala de supraveghere emite o avertizare, potrivit art. 58 alin. (2) lit. a) din Regulamentul general privind protectia datelor.

In functie de circumstantele fiecarui caz, masurile pot fi aplicate in mod distinct sau alaturi de alte masuri corective prevazute la art. 58 alin. (2) din GDPR, respectiv:

a) de a emite avertizari in atentia unui operator sau a unei persoane imputernicite de operator cu privire la posibilitatea ca operatiunile de prelucrare prevazute sa incalce dispozitiile GDPR;

b) de a emite avertismente adresate unui operator sau unei persoane imputernicite de operator in cazul in care operatiunile de prelucrare au incalcat GDPR;

c) de a da dispozitii operatorului sau persoanei imputernicite de operator sa respecte cererile persoanei vizate de a-si exercita drepturile in temeiul GDPR;

d) de a da dispozitii operatorului sau persoanei imputernicite de operator sa asigure conformitatea operatiunilor de prelucrare cu dispozitiile GDPR, specificand, dupa caz, modalitatea si termenul-limita pentru aceasta;

e) de a obliga operatorul sa informeze persoana vizata cu privire la o incalcare a protectiei datelor cu caracter personal;

f) de a impune o limitare temporara sau definitiva, inclusiv o interdictie asupra prelucrarii;

g) de a dispune rectificarea sau stergerea datelor cu caracter personal sau restrictionarea prelucrarii, in temeiul articolelor 16, 17 si 18, precum si notificarea acestor actiuni destinatarilor carora le-au fost divulgate datele cu caracter personal, in conformitate cu articolul 17 alineatul (2) si cu articolul 19;

h) de a retrage o certificare sau de a obliga organismul de certificare sa retraga o certificare eliberata in temeiul articolul 42 si 43 sau de a obliga organismul de certificare sa nu elibereze o certificare in cazul in care cerintele de certificare nu sunt sau nu mai sunt indeplinite;

i) de a impune amenzi administrative in conformitate cu articolul 83, in completarea sau in locul masurilor mentionate la prezentul alineat, in functie de circumstantele fiecarui caz in parte;

j) de a dispune suspendarea fluxurilor de date catre un destinatar dintr-o tara terta sau catre o organizatie internationala.

 

Raspuns oferit pe portalprotectiadatelor.ro de Colectivul de Specialisti Rentrop&Straton.