Ce se întâmplă dacă societatea/organizația mea nu respectă normele privind protecția datelor?

Răspuns

Regulamentul general privind protecția datelor (RGPD) pune la dispoziția autorităților de protecție a datelor diferite instrumente în caz de nerespectare a normelor de protecție a datelor :

• posibilă încălcare – se poate emite un avertisment;
• încălcare: printre posibilități se numără o mustrare, interzicerea temporară sau definitivă a prelucrării și o amendă de până la 20 de milioane EUR sau 4 % din totalul global al cifrei de afaceri anuale a societății.

Trebuie menționat că, în cazul unei încălcări, APD poate impune o amendă pecuniară în locul sau în completarea mustrării și/sau a interzicerii prelucrării.

Autoritatea trebuie să se asigure că amenzile impuse în fiecare caz individual sunt eficace, proporționale și disuasive. Aceasta va lua în considerare mai mulți factori, cum ar fi natura, gravitatea și durata încălcării, dacă încălcarea a fost comisă intenționat sau din neglijență, precum și orice acțiuni întreprinse pentru a reduce prejudiciul suferit de către persoanele fizice, gradul de cooperare cu organizația etc.

Exemplu

O societate vinde online produse pentru gospodărie. Prin intermediul site-ului său, consumatorii pot cumpăra aparatură de bucătărie, mese, scaune și alte produse de uz casnic, introducându-și datele bancare. Site-ul a suferit un atac cibernetic în urma căruia atacatorul a intrat în posesia unor date cu caracter personal. În acest caz, lipsa unor măsuri tehnice adecvate luate de societate pare să fi fost cauza pierderii datelor.

În această situație, autoritatea de supraveghere va lua în considerare diverși factori înainte de a decide ce instrument corectiv să aplice. Factori precum: cât de gravă a fost deficiența din sistemul informatic? Cât timp a fost expusă infrastructura informatică la un asemenea risc? S-au efectuat în trecut teste pentru prevenirea unui astfel de atac? Datele câtor clienți au fost furate/dezvăluite? Ce tip de date cu caracter personal a fost afectat – au existat și date sensibile? Toate aceste considerente și altele vor fi luate în calcul de către autoritatea de supraveghere.

Referințe

• Articolele 58, 60, 83, 84; motivele 129, 148, 150, 151 din RGPD
• Orientările CEPD privind aplicarea și stabilirea amenzilor administrative în scopul Regulamentului (UE) 2016/679, 3 octombrie 2017

A company sells online household material. Through its website, consumers can buy kitchen appliances, tables, chairs and other domestic goods by entering their bank details. The website suffered a cyber-attack leading to personal details being rendered available to the attacker. In this case, the lack of appropriate technical measures by the company seems to have been the cause of the data loss.

In this instance, various factors will be considered by the supervisory authority before deciding what corrective tool to use. Factors such as: how serious was the deficiency in the IT system? How long had the IT infrastructure been exposed to such a risk? Were tests carried out in the past to prevent such an attack? How many customers had their data stolen/disclosed? What type of personal data was affected – did it include sensitive data? All these and other considerations will be taken into account by the supervisory authority.

• Articles 58, 60, 83 and 84 and Recitals (129), (148), (150) and (151) of the GDPR
• EDPB Guidelines on the application and setting of administrative fines for the purposes of Regulation (EU) 2016/679, 3 October 2017