Pentru ce a fost impusa amenda
La efectuarea unei plati, indiferent daca aceasta era initiata de un titular de cont la banca sanctionata sau de catre un tert utilizator al sistemului de plati interbancar, CNP-ul si adresa platitorului erau accesibile beneficiarului platii prin extrasul de cont sau prin detaliile platii oferite de banca. In urma investigatiei, ANSPDCP a concluzionat ca prelucrarea acestor date incalca principiul data privacy by design, conform caruia operatorii au obligatia ca, de la momentul creionarii procesului de prelucrare si pana la finalizarea acestuia, sa implementeze masuri tehnice si organizatorice adecvate in raport cu natura si riscurile prelucrarii, precum si cu posibilitatile tehnologice si financiare, pentru a asigura respectarea GDPR.
Principiul data privacy by design – implicatii juridice si asupra sistemelor IT
Principiul data privacy by design activeaza ca o umbrela si presupune incorporarea celorlalte principii din GDPR sub o singura prevedere – spre exemplu, principiul minimizarii datelor. Conformarea cu data privacy by design implica o etapa preliminara de evaluare a riscului prelucrarii, prin intermediul careia operatorii identifica eventuale masuri de implementat. Mai mult decat atat, pe langa evaluarea de natura juridica (de exemplu, identificarea datelor prelucrate ca fiind necesare in raport cu scopurile, perioada de retentie, temeiul utilizat etc.), acest principiu presupune verificarea temeinica a infrastructurii IT (sisteme, aplicatii etc.), urmata de remodelarea acesteia, in cazul in care se identifica neconformitati. Astfel, respectarea data privacy by design nu se va putea realiza prin simpla adoptare a unor proceduri si politici, ci numai prin implementarea si testarea periodica a bunei functionari a modificarilor sistemice ce asigura respectarea procedurilor si politicilor in materie de protectie a datelor. Implementarea unui nou proces de business sau a unui nou software in cadrul companiei ar trebui facuta cu sprijinul responsabililor de protectia datelor.
Cea mai buna metoda de a verifica daca atat controalele tehnice, cat si cele non-tehnice functioneaza este de a simula periodic un incident cibernetic ce are ca rezultat accesul neautorizat la date cu caracter personal.
Pentru a efectua acest exercitiu, echipa trebuie sa identifice datele care au fost accesate, sistemele ce stocau aceste informatii si procesele de business afectate. Acest tip de test va obliga echipele interne sa verifice daca informatiile existente sunt de actualitate.
In mod similar, in urma acestor exercitii, companiile pot identifica procese sau aplicatii ce permit unor furnizori externi accesul la date, acces care poate nu a fost documentat in prealabil sau care nu este justificat. Totodata, pentru procesele ce au fost documentate corespunzator la momentul implementarii, o companie poate realiza ca informatiile existente necesita un nivel mai ridicat de detalii.
In ceea ce priveste proportionalitatea amenzii, este interesant de mentionat faptul ca incalcarea principiului data privacy by design este incadrata de GDPR la o amenda de maximum 10 milioane de euro sau 2% din cifra de afaceri globala anuala, si nu la pragul superior de 20 de milioane de euro sau 4%. In plus, in individualizarea cuantumului amenzii, ANSDPCP a trebuit sa aiba in vedere numarul mare de persoane vizate – 337.042 - si alte aspecte, precum categoriile de date implicate, intentia sau caracterul neglijent al faptei operatorului, potentiale actiuni de diminuare a prejudiciului suferit de persoanele vizate etc.
Romania, a doua cea mai mare amenda din Europa Centrala si de Est
Raportata la amenzile acordate in Europa Centrala si de Est, sanctiunea impusa de ANSPDCP este a doua cea mai mare dupa amenda emisa, dupa cea de 220.000 de euro din Polonia cu privire la cazul Bisnode, care utiliza date cu caracter personal din surse publice fara respectarea obligatiilor de informare a persoanelor vizate. Astfel, in baza unui studiu efectuat de Deloitte Legal in Europa Centrala si de Est, cuantumul acestei prime amenzi situeaza Romania in topul amenzilor acordate in acest prim an de aplicare a GDPR. Studiul mai releva ca, in Bulgaria, cea mai mare amenda nu a depasit 27.000 de euro, in Ungaria, 40.000 de euro, iar in Lituania, 61.500 euro.
Industria financiar-bancara a fost printre cele mai vizate de investigatiile ANSPDCP, atat inainte, cat si dupa intrarea in vigoare a GDPR. Mai mult decat atat, ANSPDCP a comunicat ca plangerile si sesizarile primite au avut in vedere incalcarea principiilor de prelucrare a datelor personale in sistemul bancar si a regulilor de confidentialitate si securitate a prelucrarilor de date personale.
Consecinte in plan procedural si judiciar
Din datele oficiale comunicate de ANSPDCP, la finalul lunii mai 2019 se aflau in desfasurare aproximativ 1.000 de investigatii si este de asteptat ca entitatile ce vor fi supuse unor sanctiuni si masuri corective sa conteste in instanta aceste decizii.
Contestatiile inregistrate pe rolul sectiilor de contencios administrativ si fiscal ale tribunalelor suspenda doar plata amenzii, nu si obligatia de a aplica masuri corective, asadar cel mai probabil acestea vor fi dublate de cereri de suspendare a masurilor corective, in temeiul prevederilor din Legea contenciosului administrativ.
In lipsa unei jurisprudente cristalizate pe diferitele tipologii de incalcari aduse legislatiei in materie, generata si de faptul ca legislatia anterioara prevedea praguri semnificativ mai mici pentru amenzi (aprox. 10.000 de euro), va trebui ca instantele de judecata sa stabileasca o optica proprie in solutionare acestor cauze. Vom avea, deci, o potentiala practica neunitara la nivel national.
La scurt timp de la prima amenda, ANSPDCP a anuntat inca doua sanctiuni, in valoare de 15.000 si respectiv de 3.000 de euro. Ramane de vazut daca valoarea si frecventa acestora va creste, avand in vedere apetitul persoanelor vatamate de a formula si actiuni directe in instanta (actiuni scutite de plata taxei de timbru), cat timp introducerea unor astfel de actiuni nu impiedica sesizarea, in paralel, a ANSPDCP si nici nu obliga ANSPDCP la suspendarea sau clasarea plangerilor.
