Aceasta nu este prima amenda din Europa de acest tip, având în vedere că la 12 august 2019, Autoritatea de Supraveghere austriacă a aplicat o amendă administrativă de 55000 de euro unui operator care activează în sectorul medical. 

Dacă considerăm că această amendă de 51.000 de euro pare minusculă pentru proprietarul reţelei de socializare trebuie să ştim că ea vizează doar filiala din Germană şi nu întreaga companie, conform declaraţiilor Autorităţii de protecţie a datelor din Hamburg, Germania.

„Această amendă ar trebui să fie un avertisment clar pentru toate celelalte companii: numirea unui responsabil cu protecţia datelor şi comunicarea lui catre Autoritatea de supraveghere sunt obligaţiile operatorului”, pe care autoritatea de protecţie a datelor le ia în serios. 

Sancţiunea a fost percepută în conformitate cu noile reglementari ale Uniunii Europene, care au intrat în vigoare în mai 2018. Regulamentul general privind protecţia datelor, sau GDPR, acordă Autorităţilor UE pentru protecţia datelor puterea de a aplica amenzi de până 4% din cifra de afaceri globală pentru cele mai grave încălcări de securitate.

Nu este prima dată când gigantul social media a fost amendat, cea mai mare sancţiune primită a fost aplicată de Comisia Federală pentru Comerţ din SUA în valoare de 5 miliarde de dolari (4,49 miliarde de euro).

Cine este obligat să îşi desemneze un Responsabil cu Protecţia Datelor (DPO) ?

Pentru a îndruma modul în care sunt gestionate datele cu caracter personal în cadrul unui operator sau al unei persoane împuternicite de operator, în anumite situaţii, este necesară o persoană care să exercite o misiune de informare, de consiliere şi de control în plan intern: responsabilul cu protecţia datelor.
Desemnarea unui responsabil cu protecţia datelor este obligatorie din 25 mai 2018, raportat la dispoziţiile art. 37 - 39 din Regulamentul General privind Protecţia Datelor, în cazul în care operatorul sau persoana împuternicită de operator:

  • este o autoritate publică sau un organism public, cu excepţia instanţelorîn exercitarea funcţiei lor jurisdicţionale;
  • desfăşoară o activitate principală care conduce la realizarea unei monitorizări constante şi sistematice pe scară largă a persoanelor;
  • desfăşoară o activitate principală care constă în prelucrarea pe scară largă de date sensibile (cum ar fi : date privind originea rasială sau etnică, convingerile religioase, apartenenţa sindicală, date genetice, biometrice, privind starea de sănătate) sau referitoare la condamnări penale şi infracţiuni.

Conform ghidului ANSPDCP privind desemnarea unui responsabil cu protecţia datelor, spitalul este dat exemplu ca operator care are această obligaţie având în vedere preclurarea pe scară largă a datelor privind starea de sănătate şi un cabinet medical individual nu are această obligaţie datorită cantităţii limitate de date privind starea de sănătate.

Chiar dacă entitatea nu are obligaţia expresă de a desemna un responsabil cu protecţia datelor (de exemplu un cabinet medical individual), ANSPDCP recomandă numirea acestuia, în considerarea efectului benefic al activităţii responsabilului în vederea asigurării respectării Regulamentului General de Protecţia Datelor de către operatorul respectiv sau persoana împuternicită de operator.

Un responsabil cu protecţia datelor reprezintă un avantaj major pentru operator în vederea înţelegerii şi respectării obligaţiilor prevăzute de GDPR, dialogului cu autorităţile pentru protecţia datelor şi reducerii riscurilor apariţiei unor litigii.

Rolul responsabilului cu protecţia datelor:

  • să informeze şi să consilieze operatorul sau persoana împuternicită de operator, precum şi angajaţii acestora cu privire la obligaţiile existente în domeniul protecţiei datelor cu caracter
    personal;
  • să monitorizeze respectarea GDPR şi a legislaţiei naţionale în domeniul protecţiei datelor;
    să consilieze operatorul sau persoana împuternicită în legătură cu realizarea de studii de impact privind protecţia datelor şi să verifice efectuarea acestora;
  • să coopereze cu autoritatea pentru protecţia datelor şi să reprezinte punctul de contact în relaţia cu aceasta.