Prevederile GDPR au intrat in vigoare in mai 2018. A fost un eveniment asteptat cu aceeasi temere – persoanele mai artistice ar spune Apocaliptica - precum ‘criza anului 2000’ pentru sistemele informatice sau in Romania, momentul denominarii leului (taierea a patru zerouri la toate bancnotele si monedele) in 2005.
Mai exact, toata lumea a vorbit despre subiect cu multe luni inainte de a intra in vigoare, s-au organizat conferinte, sesiuni de training. Posibilitatea amenzilor uriase (de 2% sau chiar 4% din cifra de afaceri a firmei ori grupului multinational) a speriat marile companii si a oferit oportunitati de afacere pentru firmele de consultanta, care au creat departamente specializate in ‘GDPR compliance’.
Majoritatea companiilor, prinse nepregatite
La fel ca in alte cazuri, interesul pentru acest subiect s-a stins usos-usor dupa intrarea in vigoare a regulamentului. Majoritatea companiilor importante pare ca au facut pasii minim necesari (si au alocat investitiile minime cerute de legislatie) ca sa respecte principiile de baza ale reglementarii, fara sa faca insa eforturi suplimentare de a intelege legea in substanta (spiritul) ei si nu doar in forma (litera). Ne aducem aminte de GDPR doar atunci cand in presa se vorbeste despre o amenda – si cu cat suma platita este mai mare, cu atat vorbim despre un eveniment de presa mai atragator.
Majoritatea firmelor si-au informat clientii, furnizorii, angajatii dupa caz despre drepturile pe care le au in privinta protejarii datelor lor personale fie direct, pe site-ul propriu sau prin alte metode. Au prevazut in contractele firmei articole speciale prin care au spus ce inseamna GDPR si cum se conformeaza ele.
Totusi, amenzile din partea organismelor nationale de reglementare incep sa apara, mai timid sau in forta in parti ale Europei.
7 amenzi GDPR au fost acordate in Romania
In Romania vorbim deja despre amenzi aplicate catre 7 companii (pana in data de 11 octombrie 2019) din toate domeniile de activitate: doua banci, o companie de intermediere de credite online, si chiar un consultant in probleme de GDPR!
Amenzile au fost cuprinse intre sume reduse (in jur de 2000 - 3000 de euro in 3 cazuri), modice in 2 cazuri (15.000 si respectiv 20.000 euro) si mari pentru cele doua banci amendate: 130.000 si respectiv 150.000 euro.
In Polonia a fost amendata pana acum o singura companie (Bisnode) care ofera informatii financiare si juridice despre companii, dar si persoane fizice care practica diverse activitati in nume personal, iar suma amenzii a depasit 230.000 euro.
Dupa cum se observa – si dealtfel asa cum prevede si directiva europeana - amenzile sunt direct proportionale atat cu dimensiunea companiei, cat si cu impactul – real sau potential - avut asupra persoanelor afectate si cu intentia companiei de a coopera sau nu cu autoritatea de supraveghere.
In cazurile din Romania care au condus la amenzi reduse, incalcarile legii au avut impact potential limitat prin numarul celor afectati: neinformarea unui numar redus de angajati ca sunt filmati cu camere de supraveghere in anumite zone publice din companie, afisarea unei liste cu date personale ale angajatilor ori clientilor, in alt caz, in locuri publice din compania amendata, sau trimiterea de emailuri nesolicitate catre persoane carora nu li s-a cerut acordul in acest sens. In schimb, in cazurile care au condus la amenzi ridicate, vorbim despre multe persoane afectate in mod efectiv sau potential de dezvaluirea datelor lor personale.
Interesant de precizat, compania amendata nu este exonerata de faptul ca angajati ai sai sau diverse persoane au utilizat cu rea credinta informatiile neprotejate suficient, iar lipsa cooperarii cu Autoritatea de Supraveghere nationala constituie un factor agravant – ceea ce conduce la amenzi potential mai severe. Spre exemplu, unele dintre firmele amendate au raportat chiar ele catre Autoritatea nationala respectivele probleme de securitate.
Ce s-a intamplat in cazul firmei din Polonia
In schimb, in cazul firmei Bisnode din Polonia, acestia au primit o amenda considerata mare din mai multe motive. Bisnode detinea datele cu caracter personal a peste 7 milioane de persoane fizice autorizate sa practice diverse activitati comerciale.
Compania a informat 900.000 dintre aceste persoane prin e-mail, catre acele persoane a caror emailuri de contact le detineau, ca datele lor personale sunt folosite in mod public. Dintre acestia, aproximativ 12.000 de persoane au obiectat asupra folosirii datelor lor personale in scopuri comerciale.
In schimb, pentru celelalte peste 6 milioane de persoane potential afectate, pentru care detineau doar numerele de telefon sau adresa postala, firma nu a facut demersul de informare, deoarece aceasta ar fi implicat costuri postale sau de transmitere de SMS excesive si disproportionat de mari fata de efectul obtinut (costuri de aproape 7 milioane de euro, mai mari decat cifra de afaceri anuala a firmei).
Mai multe aspecte atrag atentia in acest caz. In primul rand, faptul ca cei afectati nu erau consumatori, ci entitati comerciale (chiar daca persoane fizice), ceea ce extinde sfera de aplicare a regulamentului intr-un mod potential periculos.
De acum, companiile ar trebui sa fie atente nu doar la utilizarea informatiilor publice ale angajatilor sau clientilor lor persoane fizice, dar si la utilizarea in contractele comerciale (cu furnizorii de exemplu, dar si cu diversi alti contraactori) a informatiilor private ale acestora.
Autoritatea din Polonia nu a recunoscut faptul ca firma in cauza ar fi avut cheltuieli prea mari pentru a-si indeplini obligatia de informare, ci a tinut cont mai degraba de imposibilitatea unui mare numar de persoane (peste 6 milioane) de a se opune utilizarii datelor lor.
Totodata, Autoritatea a tinut cont si de refuzul Bisnode de a se conforma voluntar cerintelor legale, in timpul anchetei intreprinse de Autoritate.
Este asteptat ca Bisnode sa conteste in instanta amenda primita, iar definirea si interpretarea conceptului de ‘efort disproportionat de mare’ sa fie realizata in instanta si in consecinta, limitarile si modul de operare al termenului sa fie mai clar stabilite.
Este clar ca suntem abia la inceputul unui lung proces de ajustare a regulamentului GDPR, iar viitorul va aduce noi provocari si controverse in acest domeniu.
Te-ar putea interesa si articolele:
Firma din Polonia, amendata pentru nerespectarea GDPR!
Avocatnet.ro, amendat pentru nereguli la crearea de cont!
Amenda pentru transmiterea datelor personale prin WhatsApp!
Amenda GDPR pentru camere de supraveghere video!
Expert GDPR, amendat cu 3.000 de euro!
Un hotel din Bucuresti, amendat pentru nerespectarea GDPR!
Cea mai mare amenda GDPR din Romania!
