Într-o lume în care protecția datelor personale este tot mai importantă, nerespectarea normelor GDPR poate avea consecințe serioase pentru orice firmă – indiferent de mărime sau domeniu de activitate. Regulamentul General privind Protecția Datelor (GDPR), aplicabil în toate statele membre ale Uniunii Europene, nu este doar un set de recomandări, ci o obligație legală strictă. Iar ignorarea acestei obligații se poate traduce prin amenzi usturătoare și daune semnificative de imagine.
În acest articol îți prezentăm normele legale cu referință directă la aceste amenzi si penalităti.
REGULAMENTUL (UE) 2016/679 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI
din 27 aprilie 2016
privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)
Articolul 83
Condiții generale pentru impunerea amenzilor administrative
(1) Fiecare autoritate de supraveghere asigură faptul că impunerea unor amenzi administrative în conformitate cu prezentul articol pentru încălcările prezentului regulament menționate la alineatele (4), (5) și, (6) este, în fiecare caz, eficace, proporțională și disuasivă.
(2) În funcție de circumstanțele fiecărui caz în parte, amenzile administrative sunt impuse în completarea sau în locul măsurilor menționate la articolul 58 alineatul (2) literele (a)-(h) și (j). Atunci când se ia decizia dacă să se impună o amendă administrativă și decizia cu privire la valoarea amenzii administrative în fiecare caz în parte, se acordă atenția cuvenită următoarelor aspecte:
(a) natura, gravitatea și durata încălcării, ținându-se seama de natura, domeniul de aplicare sau scopul prelucrării în cauză, precum și de numărul persoanelor vizate afectate și de nivelul prejudiciilor suferite de acestea;
(b) dacă încălcarea a fost comisă intenționat sau din neglijență;
(c) orice acțiuni întreprinse de operator sau de persoana împuternicită de operator pentru a reduce prejudiciul suferit de persoana vizată;
(d) gradul de responsabilitate al operatorului sau al persoanei împuternicite de operator ținându-se seama de măsurile tehnice și organizatorice implementate de aceștia în temeiul articolelor 25 și 32;
(e) eventualele încălcări anterioare relevante comise de operator sau de persoana împuternicită de operator;
(f) gradul de cooperare cu autoritatea de supraveghere pentru a remedia încălcarea și a atenua posibilele efecte negative ale încălcării;
(g) categoriile de date cu caracter personal afectate de încălcare;
(h) modul în care încălcarea a fost adusă la cunoștința autorității de supraveghere, în special dacă și în ce măsură operatorul sau persoana împuternicită de operator a notificat încălcarea;
(i) în cazul în care măsurile menționate la articolul 58 alineatul (2) au fost dispuse anterior împotriva operatorului sau persoanei împuternicite de operator în cauză cu privire la același obiect, respectarea respectivelor măsuri;
(j) aderarea la coduri de conduită aprobate, în conformitate cu articolul 40, sau la mecanisme de certificare aprobate, în conformitate cu articolul 42; și
(k) orice alt factor agravant sau atenuant aplicabil circumstanțelor cazului, cum ar fi beneficiile financiare dobândite sau pierderile evitate în mod direct sau indirect de pe urma încălcării.
(3) În cazul în care un operator sau o persoană împuternicită de operator încalcă în mod intenționat sau din neglijență, pentru aceeași operațiune de prelucrare sau pentru operațiuni de prelucrare conexe, mai multe dispoziții din prezentul regulament, cuantumul total al amenzii administrative nu poate depăși suma prevăzută pentru cea mai gravă încălcare.
(4) Pentru încălcările dispozițiilor următoare, în conformitate cu alineatul (2), se aplică amenzi administrative de până la 10 000 000 EUR sau, în cazul unei întreprinderi, de până la 2 % din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându-se în calcul cea mai mare valoare:
(a) obligațiile operatorului și ale persoanei împuternicite de operator în conformitate cu articolele 8, 11, 25-39, 42 și 43;
(b) obligațiile organismului de certificare în conformitate cu articolele 42 și 43;
(c) obligațiile organismului de monitorizare în conformitate cu articolul 41 alineatul (4).
(5) Pentru încălcările dispozițiilor următoare, în conformitate cu alineatul (2), se aplică amenzi administrative de până la 20 000 000 EUR sau, în cazul unei întreprinderi, de până la 4 % din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându-se în calcul cea mai mare valoare:
(a) principiile de bază pentru prelucrare, inclusiv condițiile privind consimțământul, în conformitate cu articolele 5, 6, 7 și 9;
(b) drepturile persoanelor vizate în conformitate cu articolele 12-22;
(c) transferurile de date cu caracter personal către un destinatar dintr-o țară terță sau o organizație internațională, în conformitate cu articolele 44-49;
(d) orice obligații în temeiul legislației naționale adoptate în temeiul capitolului IX;
(e) nerespectarea unui ordin sau a unei limitări temporare sau definitive asupra prelucrării, sau a suspendării fluxurilor de date, emisă de către autoritatea de supraveghere în temeiul articolului 58 alineatul (2), sau neacordarea accesului, încălcând articolul 58 alineatul (1).
(6) Pentru încălcarea unui ordin emis de autoritatea de supraveghere în conformitate cu articolul 58 alineatul (2) se aplică, în conformitate cu alineatul (2) din prezentul articol, amenzi administrative de până la 20 000 000 EUR sau, în cazul unei întreprinderi, de până la 4 % din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându-se în calcul cea mai mare valoare.
(7) Fără a aduce atingere competențelor corective ale autorităților de supraveghere menționate la articolul 58 alineatul (2), fiecare stat membru poate prevedea norme prin care să se stabilească dacă și în ce măsură pot fi impuse amenzi administrative autorităților publice și organismelor publice stabilite în statul membru respectiv.
(8) Exercitarea de către autoritatea de supraveghere a competențelor sale în temeiul prezentului articol are loc cu condiția existenței unor garanții procedurale adecvate în conformitate cu dreptul Uniunii și cu dreptul intern, inclusiv căi de atac judiciare eficiente și dreptul la un proces echitabil.
(9) În cazul în care sistemul juridic al statului membru nu prevede amenzi administrative, prezentul articol poate fi aplicat astfel încât amenda să fie inițiată de autoritatea de supraveghere competentă și impusă de instanțele naționale competente, garantându-se, în același timp, faptul că aceste căi de atac sunt eficiente și au un efect echivalent cu cel al amenzilor administrative impuse de autoritățile de supraveghere. În orice caz, amenzile impuse trebuie să fie eficace, proporționale și disuasive. Respectivele state membre informează Comisia cu privire la dispozițiile de drept intern pe care le adoptă în temeiul prezentului alineat până la 25 mai 2018, precum și, fără întârziere, cu privire la orice act legislativ de modificare sau orice modificare ulterioară a acestora.
LEGE nr. 190 din 18 iulie 2018
privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor)
Măsuri corective şi sancţiuni
Dispoziţii generale privind măsuri corective şi sancţiuni
Articolul 12
(1) Încălcarea dispoziţiilor enumerate la art. 83 alin. (4)-(6) din Regulamentul general privind protecţia datelor constituie contravenţie.
(2) Sancţiunile contravenţionale principale sunt avertismentul şi amenda contravenţională.
(3) Încălcarea prevederilor art. 3-9 din prezenta lege constituie contravenţie şi se sancţionează în condiţiile prevăzute la art. 83 alin. (5) din Regulamentul general privind protecţia datelor.
(4) Constatarea contravenţiilor prevăzute de prezenta lege şi aplicarea sancţiunilor contravenţionale, precum şi a celorlalte măsuri corective prevăzute de art. 58 din Regulamentul general privind protecţia datelor se fac de Autoritatea naţională de supraveghere, în conformitate cu dispoziţiile Regulamentului general privind protecţia datelor, ale Legii nr. 102/2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, cu modificările şi completările ulterioare, şi ale prezentei legi.
Aplicarea măsurilor corective autorităţilor şi organismelor publice
Articolul 13
(1) În cazul constatării încălcării prevederilor Regulamentului general privind protecţia datelor şi ale prezentei legi de către autorităţile/organismele publice, Autoritatea naţională de supraveghere încheie un proces-verbal de constatare şi sancţionare a contravenţiei prin care se aplică sancţiunea avertismentului şi la care anexează un plan de remediere.
(2) Termenul de remediere se stabileşte în funcţie de riscurile asociate prelucrării, precum şi demersurile necesar a fi îndeplinite pentru asigurarea conformităţi prelucrării.
(3) În termen de 10 zile de la data expirării termenului de remediere, Autoritatea naţională de supraveghere poate să reia controlul.
(4) Responsabilitatea îndeplinirii măsurilor de remediere revine autorităţii/organismului public care, potrivit legii, poartă răspunderea contravenţională pentru faptele constatate.
(5) Modelul planului de remediere care se anexează la procesul-verbal de constatare şi sancţionare a contravenţiei este prevăzut în anexa Plan de remediere, care face parte integrantă din prezenta lege.
Constatarea contravenţiilor şi aplicarea de sancţiuni autorităţilor şi organismelor publice
Articolul 14
(1) Dacă în urma controlului prevăzut la art. 13 alin. (3) se constată faptul că utorităţile/organismele publice nu au adus la îndeplinire în totalitate măsurile prevăzute în planul de remediere, Autoritatea naţională de supraveghere, în funcţie de circumstanţele fiecărui caz în parte, poate aplica sancţiunea contravenţională a amenzii, cu luarea în considerare a criteriilor prevăzute la art. 83 alin. (2) din Regulamentul general privind protecţia datelor.
(2) Constituie contravenţie încălcarea de către autorităţile/organismele publice a următoarelor dispoziţii din Regulamentul general privind protecţia datelor, referitoare la:
- a) obligaţiile operatorului şi ale persoanei împuternicite de operator în conformitate cu prevederile 8, art. 11, art. 25-39, art. 42 şi 43;
- b) obligaţiile organismului de certificare în conformitate cu 42 şi 43;
- c) obligaţiile organismului de monitorizare în conformitate cu 41 alin. (4).
(3) Constituie contravenţie încălcarea de către autorităţile/organismele publice a dispoziţiilor art. 3-9 din prezenta lege.
(4) Contravenţiile prevăzute la alin. (2) şi (3) se sancţionează cu amendă de la 10.000 lei până la 100.000 lei.
(5) Constituie contravenţie încălcarea de către autorităţile/organismele publice a următoarelor dispoziţii din Regulamentul general privind protecţia datelor, referitoare la:
- a) principiile de bază pentru prelucrare, inclusiv condiţiile privind consimţământul, în conformitate cu 5-7 şi art. 9;
- b) drepturile persoanelor vizate în conformitate cu 12-22;
- c) transferurile de date cu caracter personal către un destinatar dintr-o ţară terţă sau o organizaţie internaţională, în conformitate cu 44-49;
- d) orice obligaţii în temeiul legislaţiei naţionale adoptate în temeiul capitolului IX;
- e) nerespectarea unei decizii sau a unei limitări temporare sau definitive asupra prelucrării sau a suspendării fluxurilor de date, emisă de către Autoritatea naţională de supraveghere în temeiul 58 alin. (2), sau neacordarea accesului, prin încălcarea dispoziţiilor art. 58 alin. (1).
(6) Prin derogare de la prevederile art. 8 alin. (2) lit. a) din Ordonanţa Guvernului nr. 2/2001 privind regimul juridic al contravenţiilor, aprobată cu modificări şi completări prin Legea nr. 180/2002, cu modificările şi completările ulterioare, contravenţiile prevăzute la alin. (5) se sancţionează cu amendă de la 10.000 lei până la 200.000 lei.
(7) Constituie contravenţie încălcarea de către autorităţile/organismele publice a unei decizii emise de Autoritatea naţională de supraveghere în conformitate cu art. 58 alin. (2) coroborat cu art. 83 alin. (2) din Regulamentul general privind protecţia datelor.
(8) Prin derogare de la prevederile art. 8 alin. (2) lit. a) din Ordonanţa Guvernului nr. 2/2001, cu modificările şi completările ulterioare, contravenţiile prevăzute la alin. (7) se sancţionează cu amendă de la 10.000 lei până la 200.000 lei.
Articolul 15
În aplicarea prevederilor art. 58 alin. (2) lit. b) din Regulamentul general privind protecţia datelor, art. 14^2 alin. (1) din Legea nr. 102/2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, publicată în Monitorul Oficial al României, Partea I, nr. 391 din 9 mai 2005, cu modificările şi completările ulterioare, se modifică şi va avea următorul cuprins:
Articolul 14^2
(1) Sancţiunile contravenţionale principale pe care le aplică Autoritatea naţională de supraveghere, potrivit art. 58 alin. (2) lit. b) şi i) din Regulamentul general privind protecţia datelor, sunt avertismentul şi amenda. Aplicarea amenzii se face în condiţiile art. 83 din Regulamentul general privind protecţia datelor.
