Intrarea în vigoare a Regulamentului (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date a responsabilizat o mare parte dintre operatori, care au luat în serios noua reglementare şi s-au conformat cu noile reguli, în timp ce alţii sunt încă în curs de conformare şi implementare.
Însă ce ar trebui să ia în serios toţi operatorii de date cu caracter personal sunt dreptul şi obligaţia legală a Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), de a efectua investigaţii, de a monitoriza, controla şi verifica modul în care aceste date sunt prelucrate efectiv. Important de reţinut este că aceste investigaţii se vor efectua nu doar ca urmare a unei plângeri formulate de către persoanele interesate împotriva unui operator de date, ci şi din oficiu. În ambele situaţii, investigaţiile se vor desfăşura la sediul social sau punctul de lucru al operatorului.
Procedura de efectuare a investigaţiilor de către ANSPDCP a fost aprobată prin Decizia nr. 161 din 9 octimbrie 2018 şi publicată în Monitorul Oficial al României nr. 892 din 23 octombrie 2018. Concret, investigaţiile vor consta în verificări efectuate la sediul sau punctul de lucru sau alte locaţii unde îşi desfăşoară activitatea entitatea controlată sau locaţii care au legătură cu prelucrarea în cauză. În cadrul investigaţiilor efectuate pe teren, personalul de control al ANSPDCP, după prezentarea legitimaţiei de control şi expunerea obiectivelor investigaţiei reprezentanţilor entităţii controlate, va solicita informaţii referitoare la modul de prelucrare a datelor cu caracter personal, va înregistra ordinul de deplasare al delegatului, va înscrie în registrul de control al entitaţii controlate eventualele abateri sau date prevăzute la art. 3 alin. (2) din Legea nr. 252/2003 privind registrul unic de control.
Practic, în cadrul investigaţiilor inițiate din oficiu sau la plângere, ANSPDCP are dreptul, conform legii, să efectueze investigații neanunțate în cadrul cărora este abilitată:
- să ceară și să obțină de la operator și persoana împuternicită de operator, sau de la reprezentantul acestora, orice informații și documente, indiferent de suportul de stocare;
- să ridice copii de pe documente sau înregistrări relevante care au legătură cu obiectul controlului;
- să aibă acces la oricare dintre incintele în care entitatea controlată își desfășoară activitatea;
- să aibă acces și să verifice orice echipament, mijloc sau suport de stocare a datelor, necesare desfășurării investigației, în condițiile legii.
După cum putem observa, ANSPDCP are prerogative similare organelor de cercetare penală în favoarea personalului de control,întrucât identificarea și păstrarea obiectelor, precum și aplicarea de sigilii se fac în temeiul dispozițiilor Codului de procedură penală, iar verificările și eventualele ridicări de documente, accesul în spațiile operatorilor sau a persoanelor împuternicite de operatori, se pot efectua fără un act de autorizare emis de instanță.
Atenţie! În cazul în care personalul de control din cadrul ANSPDCP este împiedicat, în orice mod, în exercitarea activității de investigare, aceasta poate solicita instanţei autorizarea judiciară, printr-o cerere expres solicitată în acest scop. Termenul procedural acordat pentru această solicitare este de cel mult 48 de ore de la data înregistrării. Citarea părţilor implicate nu este obligatorie, iar autorizarea judiciară se materializează prin încheiere a președintelui Curții de Apel sau a unui judecător delegat de acesta. Un exemplar al autorizației judiciare se va comunica obligatoriu entității controlate înainte de începerea investigației. Autorizația poate fi contestată la Înalta Curte de Casație și Justiție, în termen de cel mult 72 de ore de la comunicare, însă acest demers nu suspendă desfășurarea investigației!
Intervalul orar în care se poate desfășura investigația este incepand cu ora 8.00 până cel târziu 18.00 și trebuie efectuată în prezența reprezentantului entităţii controlate. Excepţional, investigația poate continua și după ora 18.00, însă, numai cu acordul scris al persoanei la care se efectuează aceasta sau a reprezentantului său.
În cazul constatării nerespectării regulilor GDPR, pe lângă aplicarea sancțiunilor contravenționale, ANSPDCP poate emite avertizări pentru entitatea controlată, poate dispune și măsuri de constrângere, ca, de exemplu, să oblige operatorul să respecte cererile persoanei vizate de exercitare a drepturilor, să se asigure că prelucrarea datelor este conformă cu legea aplicabilă; să oblige operatorul să informeze persoana vizată cu privire la o încălcare a protecției datelor cu caracter personal; să limiteze, temporar sau definitiv sau să interzică prelucrarea, să dispună rectificarea sau ștergerea anumitor date cu caracter personal; să retragă autorizaţiile, certificările acordate operatorului sau să nu le elibereze, în anumite condiții poate să blocheze transferul datelor într-o țară terță sau către o organizație internațională. Dacă entitatea investigată nu demonstrează luarea măsurilor corective dispuse, în termenul şi în condiţiile acordate, ANSPDCP poate dispune efectuarea unei investigații noi.
Relevante sunt şi aspectele referitoare la obligațiile personalului de control, obligațiile entității controlate, la urmările investigației, sancțiuni aplicabile în cazul îngreunării investigației, pe care ne angajăm să le relatăm în ediţiile viitoare.
Sursa: www.impactdata.ro
Utile informatii. Oare va reusi Autoritatea sa-si îndeplinească si aceasta atributie de control? Oare are „dintii” necesari?
Astept cu interes următoarele articole ale acestei rubrici.