imagine cu concept gdpr
GDPR

Conferința anuală ANSPDCP din 28.01.2025

februarie 24, 2025 / Niciun comentariu

În calitate de Responsabil cu Protecția Datelor, echipa GDPR Complet a avut ocazia să participe la conferința anuală a ANSPDCP în data de 28.01.2025. Întâlnirea a oferit o perspectivă amplă asupra evoluției protecției datelor în România, subliniind principalele provocări și soluții implementate în domeniu. Discuțiile s-au axat pe aspecte esențiale, inclusiv activitatea ANSPDCP, impactul AI asupra protecției datelor, lecțiile învățate din incidentele recente și viitorul GDPR.

Vă prezentăm un material cu rol informativ și un infografic, în care veți regăsi concluziile prezentate în cadrul conferinței anuale ANSPDCP și principalele aspecte care necesită o atenție sporită în domeniul protecției datelor. Documentele sintetizează tendințele actuale, exemple de încălcări frecvente și recomandări practice de conformare cu GDPR. 

infografic cu date GDPR

De asemenea, atașat puteți regăsi link-ul către înregistrarea video, unde Darius Fărcaș de la GDPR complet vă prezintă cele mai importante aspecte punctate în această conferință:

I. Context și evoluție generală a activității ANSPDCP

1. Creșterea puternică a volumului de plângeri

  • Datele prezentate arată un salt spectaculos al plângerilor după 2018 (intrarea în vigoare a GDPR), cu o medie anuală care a urcat de la ~1000 (2006–2017) la peste 4000 (2018–2024).
  • Motive: grad mai mare de conștientizare, sancțiuni sporite, obligații noi pentru operatori.
  • Cu toate acestea, România este pe ULTIMUL LOC în Uniunea Europeană la numărul de notificări privind încălcarea securității datelor cu caracter personal per 100.000 locuitori (ultimele 12 luni) – doar 0.34 / 100.000, spre deosebire de Țările de Jos (prima la nivel european) – 188 / 100.000
  • !NB – Tendința de creștere a numărului de sesizări, va crește exponențial odată cu creșterea nivelului de conștientizare a fenomenului!

2. Statistici privind incidentele de securitate

O hartă „termică” a nivelului de amenzi GDPR din U.E. arată cam așa:

harta cu incidente GDPR
Disclaimer: Imaginea a fost preluată din prezentările ANSPDCP

România aplică amenzi multe raportat la numărul plângerilor și de un cuantum mic!

II. Domenii cu cele mai frecvente încălcări și exemple de sancțiuni

1. Sisteme CCTV și relații de muncă:

  • Lipsa informării și a temeiului legal pentru supraveghere video este un motiv constant de plângeri.
  • De asemenea, supravegherea excesivă a angajaților (camere, monitorizări electronice) fără transparență adecvată este un subiect tot mai discutat.

2. Marketing direct și comunicații comerciale:

  • Mesajele nesolicitate (spam, SMS, e-mail, apeluri) și folosirea datelor de contact fără consimțământ clar.
  • Lipsa opțiunii de dezabonare sau nerespectarea cererilor de dezabonare.

3. Sectorul financiar-bancar și medical:

  • Prelucrarea excesivă sau neautorizată a datelor, cerințe abuzive (ex. copii după actele de identitate), dezvăluiri neautorizate ori breșe.
  • În domeniul medical, încălcarea principiilor GDPR privind datele sensibile ale pacienților, lipsa unor măsuri corespunzătoare de securitate și confidențialitate.

4. Comerț online și telecom:

  • Colectare excesivă de date, lipsa informării, breșe de securitate.
  • Transmiterea de mesaje comerciale nesolicitate, respectiv gestionarea neconformă a datelor de clienți.

III. Oferirea de despăgubiri persoanei vizate, o soluție?

1. Cazuistică judiciară și despăgubiri

  • Conform Art. 82 GDPR, orice persoană care a suferit un prejudiciu (material sau moral) poate obține despăgubiri de la operator sau de la persoana împuternicită.
  • Jurisprudența recentă a Curții de Justiție a UE (ex. C-300/21 – Österreicher Post, C-687/21 – MediaMarktSaturn) clarifică faptul că simple încălcări GDPR nu dau automat dreptul la despăgubiri, ci trebuie probat prejudiciul (material sau moral) și legătura de cauzalitate.
  • Nu există un prag de minim pentru prejudiciile morale, însă „teama” sau „riscul ipotetic” (fără acces real la date) nu justifică de la sine despăgubiri

2. Forme alternative de compensare

  • În anumite situații (C-507/23, 4 octombrie 2024), o scuză oficială poate constitui o formă admisă de reparare a prejudiciilor morale, dacă legislația națională permite și dacă situația anterioară încălcării nu mai poate fi repusă integral în drepturi.

IV. Măsuri corective, responsabilități și recomandări practice

1. Accent pe măsurile tehnice și organizatorice (MTO)

  • Eroarea umană devine frecvent un semn al lipsei de instruire sau al ineficienței procedurilor interne.
  • În acest context, se ANSPDCP a sancționat LIPSA UNOR TESTĂRI regulate ale angajaților (ex. simulări de phishing, de reacție la potențiale încălcări), pentru a menține vigilența și conformitatea.
  • ANSPDCP încurajează operatorii să adopte o cultură a protecției datelor și a proactivității, nu doar reacții formale.

2. Răspunderea personală a managementului

Mai multe intervenții pun accent pe faptul că, pe lângă răspunderea companiei, conducerea poate fi trasă la răspundere în persoană, dacă se dovedește lipsă de diligență, rea credință ori neglijență în organizarea sistemelor de protecție a datelor.

3. Cooperarea cu operatorii

ANSPDCP a comunicat că la stabilirea cuantumului amenzii va lua în calcul mai mulți factori printre care și:

  • Caracterul INTENȚIONAT sau din neglijență al încălcării
  • Dacă au existat încălcări anterioare relevante;
  • Gradul de cooperare cu Autoritatea – Din datele menționate reiese că în 95% dintre cazurile în care ANSPDCP a interacționat cu operatorii, a fost mulțumită de nivelul de cooperare cu aceștia.
  • Orice alt factor atenuant sau agravant – ex. beneficii financiare obținute ca urmare a încălcării!

V. Direcții viitoare și concluzii

1. Tehnologiile emergente: AI, Big Data

  • Prezentările au sugerat că inteligența artificială și colectarea masivă de date reprezintă următoarea provocare majoră.
  • În acest context s-a pus accentul pe realizarea evaluărilor de impact (DPIA) asupra protecției datelor ș.a.

2. Rolul proactiv al ANSPDCP

  • Autoritatea își dorește o abordare echilibrată: ghidare și educare a operatorilor, combinată cu sancțiuni disuasive pentru încălcările grave și repetate.
  • Cooperarea transfrontalieră rămâne esențială, mai ales în contextul fluxurilor internaționale de date.

MESAJ FINAL

Întâlnirea ANSPDCP a evidențiat faptul că, la 20 de ani de la înființarea instituției, provocările nu s-au diminuat, ci s-au diversificat (AI, big data, acțiuni colective, răspunderea personală a managementului etc.). Pe de altă parte, operatorii devin tot mai conștienți de necesitatea unei conformități reale, iar autoritatea rămâne concentrată pe sprijinirea conformării, concomitent cu aplicarea de măsuri corective și sancțiuni când legislația este încălcată.

Cheia rămâne proactivitatea și responsabilitatea la nivel de organizație – de la top management la fiecare angajat – pentru a proteja datele personale și a evita costuri, daune reputaționale și sancțiuni.

Citește și: GDPR în resurse umane: reglementări esențiale privind documentația și bunele practici

S-ar putea să-ți placă și

raport-fra

Raport FRA – „GDPR în practică – Experiențe ale autorităților de protecție a datelor”

iunie 30, 2024
statistici-sanctiuni-gdpr

Statistici GDPR 2023: topul țărilor în funcție de sumă și număr total de amenzi

ianuarie 4, 2024
protectia-datelor-amenzi-gdpr

Ziua Protecției Datelor: de ce este importantă protejarea datelor personale și ce sancțiuni se aplică pentru încălcări GDPR

ianuarie 31, 2024

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *