Motive pentru amenzi GDPR sunt destule și era de așteptat ca cel puțin câteva firme mari și cunoscute să fie vizitate de autorități pentru verificări, de obicei în urma sesizărilor primite. Dar trebuie să știi că ANSPDCP a dat avertismente și amenzi (ce-i drept, mai mici, dar semnificative), și unor firme mici.
Cele mai des întâlnite motive pentru amenzi GDPR
Operatorul n-a luat măsurile tehnice și organizatorice adecvate
pentru a proteja datele cu caracter personal. În multe din situațiile în care vizita ANSPDCP s-a soldat cu amendă s-a întâmplat că cineva a făcut o poză cu câte o listă cu date cu caracter personal (nume de persoane) și a postat în social media (pe Facebook).
Ce trebuie să faceți, tu și toți cei cu care lucrezi?
Aveți grijă pe unde lăsați listele cu nume (și alte date cu caracter personal). Nu dați acces tuturor la tot – accesul la date cu caracter personal trebuie să-l aibă doar cei care chiar trebuie să lucreze cu datele respective. Aveți grijă cu trimisul de mailuri adresate multor persoane odată, cu toată lumea la CC – folosiți funcția BCC sau, pur și simplu, trimiteți mailurile individual sau doar către destinatari de la aceeași companie. Aveți grijă ca cei cu care lucrați și cărora le dați acces la date cu caracter personal cu care operați, persoane fizice (angajați, freelanceri) sau firme, să fie de încredere.
Operatorul n-a putut demonstra
diverse aspecte legate de respectarea GDPR (exemple: n-a putut demonstra că a dat acces clientului la datele sale cu caracter personal în urma unei solicitări în acest sens sau că a obținut consimțământul prealabil și neechivoc pentru trimiterea de mailuri cu promoții etc).
Ce trebuie să faceți, tu și toți cei cu care lucrezi?
Acoperiți-vă de dovezi: procese verbale încheiate în prezența martorilor și semnate și de ei, sisteme de confirmare a abonărilor cu double-opt-in, chiar și poze cu telefonul cu autodatare dacă nu se poate altfel – tot ce poate face dovada că ați acționat conform cu GDPR. Răspundeți fără întârziere (și rezolvați în conformitate cu legea) la solicitările persoanelor care cer acces, transfer, ștergere, actualizare a datelor lor cu caracter personal; nu uitați că persoanele fizice au drepturi clar stabilite de GDPR și trebuie să vă conformați. Asigurați-vă că puteți face dovada că ați reacționat conform GDPR.
Operatorul nu a răspuns solicitărilor ANSPDCP
Adică autoritățile au cerut informații (cel mai probabil, în urma unor sesizări), iar operatorii au ignorat solicitările.
Ce trebuie să faceți, tu și toți cei cu care lucrezi?
E mai simplu să colaborezi cu Autoritatea, decât să ignori problema și să speri că trece. Nu lăsați astfel de solicitări fără răspuns, pentru că aveți obligația legală de a furniza ANSPDCP toate informațiile pe care ei le cer despre modul în care acționați în ceea ce privește protecția datelor cu caracter personal. Este posibil ca Autoritatea să examineze clarificările și să decidă că nu aveți nicio vină sau că greșeala nu merită o amendă, ci un avenrtisment – așadar, nu ezitați să oferiți clarificările cerute (dar discutați întâi cu un specialist GDPR – ne puteți contacta oricând pentru o consultație în situații de acest gen).
Probleme din sfera GDPR?