Amenzile GDPR

Amenzi GDPR

În acest articol ne-am propus să idendificăm amenzile GDPR.

Care sunt și cum se calculează amenzile pentru nerespetarea prevederilor GDPR

Sunt amenzile singurul argument care motivează antreprenorul român?

Vezi aici care sunt amenzile care se aplica companiilor Vezi aici care sunt amenzile care se aplica companiilor

Panica instaurată sub amenințarea amenzilor GDPR a fost și este exploatata de firmele mari de avocatură sau consultanță. Motiv pentru care am ajuns să percepem protecția datelor doar ca un instrument ca protejare împotriva sancțiunilor impuse de Regulament. El ar trebui perceput ca un reflex al normalității, o practică izvorâtă din responsabilitate și respect reciproc. Drept urmare am ajuns să rezumăm protecția datelor personale la expresia devenita laitmotiv “4% sau 20.000.000 euro”.

Scopul acestui articol este sa analizăm, cu obiectivitate, motivele pentru care putem fi amendați pentru neasigurarea protecției datelor personale.  Să explicăm în ce condiții se poate ajunge la sancțiunile astronomice prevăzute de GDPR.

Care sunt sancțiunile pentru nerespectarea GDPR-ului?

Conform legii 190/2018, atât încălcarea prevederilor art. 3-9 din lege cât și încălcarea dispozițiilor 83 alin. (4)-(6) din Regulamentul general privind protecția datelor constituie contravenție care poate fi sancționată prin avertisment sau amendă contravențională.

Amenzile GDPR, aplicabile operatorilor economici

Regulamentului (UE) 2016/679 prevede doua praguri de amenda.

Pragul 1: amenzi administrative de până la 10 000 000 EUR sau, în cazul unei întreprinderi, de până la 2 % din cifra de afaceri, pentru încălcarea obligațiilor operatorului și ale persoanei împuternicite de operator în conformitate cu articolele 8, 11, 25-39, 42 și 43 din GDPR.

Pragul 2: amenzi administrative de până la 20 000 000 EUR sau, în cazul unei întreprinderi, de până la 4 % din cifra de afaceri, pentru încălcarea următoarelor dispoziții:

 • Principiile de bază pentru prelucrare, inclusiv condițiile privind consimțământul (articolele 5, 6, 7 și 9 din Regulament)
 • Drepturile persoanelor vizate (articolele 12-22 din Regulament)
 • Transferurile de date cu caracter personal către un destinatar dintr-o țară terță sau o organizație internațională (articolele 44-49 din Regulament)
 • Ordinele autorității de supraveghere (articolul 52 din Regulament)
 • Obligații în temeiul legislației naționale adoptate în temeiul capitolului IX (articolele 85-91 din Regulament)
 1. Amenzile prevazute în legea 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679

Regulamentul general privind protecția datelor oferă posibilitatea statelor membre a de a adopta și implementa măsuri suplimentare., Fiecare stat poate stabili  norme detaliate pentru a asigura protecția drepturilor și a libertăților cu privire la protecția datelor cu caracter personal. Autoritatea din Romania a stabilit aceste norme  prin legea 190/2018. Printre altele, Legea 190/2018 prevede și măsuri de punere în aplicarea a Regulamentului (UE) 2016/679 precum și sancțiunile pentru încălcarea acestuia.

Prin urmare, constituie contravenție și se sancționează cu amenzi administrative de până la 20 000 000 EUR sau, în cazul unei întreprinderi, de până la 4 % din cifra de afaceri încălcarea prevederilor art. 3-9 din legea 190/2018:

 • Prelucrarea datelor genetice, a datelor biometrice sau a datelor privind sănătatea (art. 3)
 • Prelucrarea unui număr de identificare național (art. 4)
 • Prelucrarea datelor cu caracter personal în contextul relațiilor de muncă (art. 5)
 • Prelucrarea datelor cu caracter personal și de categorii speciale de date cu caracter personal, în contextul îndeplinirii unei sarcini care servește unui interes public (art. 6)
 • Prelucrarea datelor cu caracter personal în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare (art. 7)
 • Prelucrarea datelor cu caracter personal în scopuri de cercetare științifică sau istorică, în scopuri statistice ori în scopuri de arhivare în interes public (art. 8)
 • Prelucrarea datelor cu caracter personal de către partidele politice şi organizațiile cetățenilor aparținând minorităților naționale, organizațiilor neguvernamentale (art. 9)

Găsești aici (link) centralizarea contravențiilor prevăzute de Regulamentul general privind protecția datelor și legea 190/2018 privind măsuri de punere în aplicare a Regulamentului, atât pentru operatori cât și pentru cei care au calitatea de împuternicit.

Cine conduce investigațiile și impune contravenții privind protecția datelor?

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Persona (ANSPDCP), are calitatea de autoritate publică centrală autonomă cu competență generală în domeniul protecției datelor personale. Aceasta reprezintă garantul respectării drepturilor fundamentale la viață privată și la protecția datelor personale.

Rolul central al autorității naționale de supraveghere nu este acela de vânător de amenzi. Ci de  a asigura un climat de siguranță persoanelor fizice prin edificarea unei reale culturi a protecției datelor personale în România. În ceea ce privește amenzile, aceasta are obligația de a asigură faptul că impunerea unor amenzi administrative este eficace, proporțională și disuasivă.

Mai multe despre cum se desfășoară controlul ANSPDCP am scris în articolul ”Investigatiile de control al prelucrarii datelor cu caracte -personal

Cum se stabilește cuantumul amenzii?

Amenzile GDPR se stabilesc în funcție de natura, gravitatea și durata încălcării, avându-se în vedere următoarele aspecte:

 • gradul de responsabilitate al operatorului sau al persoanei împuternicite de operator ținându-se seama de măsurile tehnice şi organizatorice implementate de aceștia
 • natura, gravitatea și durata încălcării, numărul persoanelor vizate afectate şi de nivelul prejudiciilor suferite de acestea
 • acțiuni întreprinse de operator sau de persoana împuternicită de operator pentru a reduce impactul încălcării
 • dacă și în ce măsură operatorul sau persoana împuternicită de operator a notificat încălcarea
 • premeditarea faptei sau rezultatul neglijentei
 • gradul de cooperare cu autoritatea de supraveghere pentru a remedia încălcarea și a atenua posibilele efecte negative ale încălcării
 • respectarea măsurilor impuse anterior de autoritate
 • orice alt factor agravant sau atenuant aplicabil circumstanțelor cazului
 •  

Care sunt șansele să fiu controlat de autoritate?

Plecând de la premisa că fiecare dintre noi poate să aibă la un moment dat un client, un partener, un concurent sau chiar un angajat nemulțumit, oricare dintre aceștia poate sa facă o sesizare autorității și să ne trezim făcând obiectul unei anchete.

La fel de probabil este să fim victima unui atac cibernetic. Să luam cel mai banal scenariu: deschidem un e-mail în care ne așteptăm să găsim o factură. Dar dam peste un virus care ne compromite toată baza de date din calculator. Astfel, în lipsa adoptării măsurilor tehnice și organizatorice adecvate, vom fi obligați să notificăm autoritatea cu privire la incidentul de securitate, în maxim 72 de ore.

Ce risc când primesc o sesizare de la autoritate?

De regula, termenul de răspuns la o solicitare a autorității este de 5 zile. Deși pare suficient timp, în 5 zile este aproape imposibil de a realiza o implementare reală și completă GDPR-ului. Procesul de implementare, în mod uzual, se întinde pe mai multe luni. Cu alte cuvinte, o aliniere pe repede înainte a GDPR-ului, de ochii soacrei, este puțin probabil să fie suficient de convingătoare în situația unui control al autorității.

Atenție: Întrezărirea răspunsului la o solicitare a autorității, vă va costa 3.000 de lei/ zi de întârziere.

Astfel, incapacitatea de a formula la timp un răspuns satisfăcător vă va genera penalități care pot depăși cu mult valoarea unei eventuale amenzi. Astfel, multi dintre operatori vor fi puși în situația de a alege. Între a transmite autorității un răspuns incomplet sau de a-și asuma o penalizare de 3000 lei/zi de întârziere.

Să ne amintim succint top 3 cele mai cunoscute amenzi din era GDPR:

Locul 1: Google a primit o amendă record de 50 de milioane de euro din partea autorității franceze însărcinate cu protecția datelor. Aceasta a apreciat că este insuficientă informarea utilizatorilor despre exploatarea datelor lor personale. Și  a acuzat Google de lipsă de transparență, informații inadecvate și pentru că nu și-a informat utilizatorii în ceea ce privește datele personale.

Locul 2: Orange Polska a primit o amenda de aproximativ 2,1 milioane Euro (9,1 milioane PLN) pentru utilizarea de sisteme automate de apelare în scopuri de marketing direct fără a avea consimțământul necesar al abonaților sau al utilizatorilor finali

Locul 3: Spitatul Barreiro din Portugalia a fost amendat cu 400.000 de euro de către Autoritatea Portugheză. Motivul amenzii a fost  nerespectarea Regulamentului UE privind protecția generală a datelor (GDPR) prin faptul că nu a separat drepturile de acces la datele pacienților.