Günther Leissler, counsel Schoenherr (Viena) și coordonatorul practicii de protecția datelor personale a firmei, în conferință la București: Companiile trebuie să se asigure că au proceduri interne de reacție eficientă în cazul unei investigații din partea autorității de control

La aproape un an și jumătate de la intrarea în vigoare a GDPR, autoritățile din Statele Membre UE sunt tot mai active în derularea de investigații menite să urmărească nivelul de conformare în acest domeniu. În cadrul unui eveniment dedicat, avocații de la birourile din Viena și București ale Schoenherr au discutat despre tendințele la nivel european, incluzând măsuri ale autorităților, riscuri pentru companii, conformare și adoptarea de proceduri de reacție în caz de inspecție.

„În acest moment, nu mai vorbim doar despre nevoia ca operatorii de date să ia măsuri de conformare la GDPR sau să urmărească aplicarea acestor măsuri. Suntem în punctul în care companiile trebuie să se asigure, totodată, că au proceduri interne de reacție eficientă în cazul unei investigații din partea autorității de control în domeniul protecției datelor personale”, a declarat Günther Leissler, counsel în cadrul Schoenherr Viena și coordonatorul practicii de protecția datelor personale a firmei, în cadrul unui eveniment organizat pe 7 noiembrie 2019 în București.

La aproape un an și jumătate de la intrarea în vigoare a GDPR, autoritățile de supraveghere a protecției datelor personale din Europa sunt deja în plină exercitare a rolului lor de control al nivelului de conformare a companiilor.  Măsurile impuse până acum de către autoritățile din domeniu – inclusiv de către ANSPDCP – au evitat, cu excepția cazurilor grave de încălcare a GDPR, impunerea de amenzi la limita superioară stabilită de GDPR (de 4% din cifra de afaceri). Explicația specialiștilor este că această abordare vine din intenția autorităților de a urmări, prin asumarea unui rol colaborativ, iar nu prin impunerea unor măsuri coercitive, principalul scop al GDPR – acela de protejare a persoanelor fizice ale căror date cu caracter personal sunt prelucrate. Nu este exclus, însă, ca această tendință să se schimbe în timp, sub influența unor factori precum practica din alte State Membre UE.

„Indiscutabil, amenzile ce pot fi aplicate de către autoritățile de supraveghere a prelucrării datelor personale reprezintă un risc major pentru companii. Dar există și alte riscuri – în unele cazuri, măsurile corective impuse de către autorități pot avea un impact semnificativ asupra activității companiilor, fie că vorbim de angrenarea de costuri suplimentare necesare pentru a implementa aceste măsuri, de faptul că acestea pot antrena schimbări ale modelului de afaceri, sau de sancțiunile pe care le riscă o companie în cazul în care nu realizează implementarea măsurilor respective în termenul impus de autoritate. Dacă ne referim la România, aceste sancțiuni pot merge până la 3.000 lei/zi de întârziere”, a menționat Costin Sandu, coordonatorul practicii de protecția datelor personale a Schoenherr București.

Printre concluziile evenimentului s-a numărat faptul că reacția corectă și promptă a companiilor în relația cu persoanele ale căror date cu caracter personal sunt prelucrate, precum și în cadrul investigațiilor derulate de către autorități, poate influența rezultatul acestor investigații și poate ajuta companiile să evite riscuri suplimentare. Spre exemplu, „companiile trebuie să se asigure că respectă termenele și cerințele autorității de control în cadrul investigației, astfel încât să evite sancțiunile ce pot fi impuse pentru încălcarea acestora”, a avertizat Costin Sandu.

În cadrul evenimentului, avocații Schoenherr au realizat o paralelă între investigațiile derulate de autoritățile de supraveghere în domeniul protecției datelor personale și autoritățile de concurență din Europa, identificând similitudini și diferențe între abordările din cele două domenii.

„Autoritățile din domeniul datelor personale par a urma, în multe privințe, exemplul autorităților de concurență. Avantajul pentru companii îl reprezintă faptul că, mergând pe căi bătute deja în alte domenii, vor putea beneficia de soluții existente care pot fi ușor adaptate. Spre exemplu, aplicația noastră de reacție în caz de inspecție inopinată dezvoltată de Schoenherr împreună cu SafeReach pentru domeniul concurenței va putea fi folosită și în cazul investigațiilor din domeniul protecției datelor personale”, a precizat Georgiana Bădescu, partener în cadrul Schoenherr București, unde coordonează practica de dreptul concurenței și dreptul Uniunii Europene.