GDPR: Cum va controla personalul ANSPDCP firmele care prelucrează date personale

GDPR: Cum va controla personalul ANSPDCP firmele care prelucrează date personale
Investigațiile pe care personalul Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) le vor face la firmele care prelucrează date personale se vor desfășura conform unei proceduri puse de curând în dezbatere. Controalele se vor putea face atât în scris, la sediul ANSPDCP, cât și la sediul sau domiciliul entității supuse controlului, anunțate dinainte sau inopinat. Dacă angajații Autorității se vor lovi de împotrivirea celor verificați, vor putea cere concursul organelor de poliție sau chiar o autorizare judiciară pentru investigație. Important e că aceștia vor fi obligați să păstreze secretul profesional cu privire la informațiile pe care le află din investigații.
Chiar luna trecută a apărut în Monitorul Oficial Legea nr. 129/2018 pentru modificarea legii de funcționare a ANSPDCP, prin care s-au adus atribuții suplimentare angajaților Autorității, în lumina Regulamentului general privind protecția datelor (GDPR). De aceea, era necesar ca respectivele atribuții, printre care se numără și verificările personalului ANSPDCP la operatorii de date personale, să fie dublate de o procedură la nivelul Autorității.
Astfel, ANSPDC a pus de curând în dezbatere proiectul procedurii de efectuarea investigațiilor, care, odată ce va fi adoptat și publicat în Monitorul Oficial, va reprezenta cadrul legal în conformitate cu care personalul ANSPDCP va face investigații la firme.
În primul rând, scrie în proiect, investigațiile se vor face din oficiu sau în urma unor plângeri primite de la persoanele fizice, cu informare prealabilă sau inopinat. Ca să se declanșeze o investigație din oficiu, ar trebui să existe ori o propunere din interiorul ANSPDCP, ori o notificare de la altcineva privind încălcarea securității datelor de către un operator (dar nu plângere a persoanei vizate), ori date sau informații din alte surse cu privire la încălcări ale legislației prelucrării datelor.
„Investigațiile din oficiu se declanşează potrivit prevederilor legale aplicabile, în conformitate cu condiţiile prevăzute de prezenta procedură și se efectuează pentru verificarea unor date şi informaţii cu privire la prelucrarea datelor cu caracter personal, obţinute de către ANSPDCP din orice surse, altele decât cele care fac obiectul unor plângeri. Datele şi informaţiile pot fi culese din corespondența primită de ANSPDCP, massmedia, accesarea reţelei de Internet, din documentele de constatare întocmite în urma efectuării altor investigaţii sau alte documente de la nivelul ANSPDCP, din activităţile de cooperare cu entităţi de drept public sau privat ori cu autorităţi de supraveghere din străinătate, precum şi din alte surse”, scrie în procedura în dezbatere.
Investigații la sediu sau la domiciliu
În proiect scrie că investigațiile vor putea fi făcute pe teren, la sediul autorității sau în scris. În câteva cuvinte, investigațiile la sediul ANSPDCP vor presupune invitația de a veni la sediu pentru a da lămuriri, iar investigațiile în scris vor presupune solicitarea de informații, date și documente în scris.
Investigațiile pe teren vor fi, în fapt, cele de la sediul, domiciliul, punctul de lucru sau orice alte locații unde își desfășoară activitatea entitatea controlată, după cum se explică în proiect.
În orice caz, personalul ANSPDCP va trebui să arate celui controlat o legitimație de control și să-i prezinte obiectivele investigației în desfășurare.
Ce vor verifica angajații la entitățile controlate și ce le vor cere, conform proiectului:
- toate aspectele care au legătură cu obiectul investigației, solicitând orice informaţii legate de obiectivele controlului;
- orice document, echipament, mijloc sau suport de stocare a datelor necesare desfășurării investigației.
De asemenea, organele de control vor putea ridica documente, în copie certificată de către entitatea controlată, înregistrări relevante pentru obiectul controlului, pe care le vor anexa la procesul-verbal de control. Și audierea persoanelor e prevăzută în proiect.
Desigur, controlul se va încheia cu întocmirea unui proces-verbal de constatare/sancționare contravențională, unde se vor putea dispune și recomandări, nu doar sancțiuni. „În situația în care cuantumul amenzii depășește echivalentul în lei al sumei de 300.000 euro, aplicarea amenzii se efectuează prin decizie a președintelui ANSPDCP, care are la baza procesul-verbal de constatare și raportul personalului de control„, se prevede în documentul în dezbatere.
Personalul ANSPDCP va trebui să păstreze secretul profesional cu privire la informațiile confidențiale/clasificate la care a avut acces, iar asta, pe termen nelimitat, potrivit proiectului. Ca fapt divers, și inspectorii fiscali sunt ținuți de o astfel de obligație în activitatea lor.
Ajutorul organelor de poliție la investigație și autorizare judiciară
Apoi, proiectul mai prevede și că personalul de control va putea să ceară ajutorul organelor de poliție, înainte sau în timpul investigației, dacă entitatea controlată va manifesta opoziție față de cei care fac investigația.
De asemenea, personalul ANSPDCP va putea inclusiv să ceară autorizare judiciară de la Curtea de Apel București pentru a face investigațiile.
„În situația în care personalul de control este împiedicat în orice mod în exercitarea atribuțiilor, ANSPDCP poate solicita autorizarea judiciară, dată prin încheiere de către președintele Curții de Apel București sau de către un judecător delegat de acesta (…) O copie a autorizaţiei judiciare pentru efectuarea investigației se comunică entității controlate înainte de începerea investigației. Încheierea privind autorizarea judiciară poate fi atacată cu contestaţie la Înalta Curte de Casaţie şi Justiţie, în termen de 72 de ore de la comunicarea acesteia. Contestaţia nu este suspensivă de executare”, scrie în proiectul în dezbatere.
Atenție! Proiectul privind procedura de investigație NU se aplică momentan. Acesta trebuie adoptat și publicat în Monitorul Oficial ca să intre în vigoare.