Regulamentul General privind Protecția Datelor (GDPR) reprezintă un cadru legislativ riguros, menit să protejeze drepturile persoanelor fizice în ceea ce privește prelucrarea datelor personale. În cazul în care o companie încalcă prevederile GDPR, există sancțiuni drastice care îi pot fi aplicate. Acestea includ amenzi financiare substanțiale, care pot afecta semnificativ operațiunile unei companii și care pot decridibiliza compania în fața clienților sau colaboratorilor proprii. În acest articol, sunt prezentate tipurile de sancțiuni prevăzute de GDPR, cu descrierea unor exemple relevante.
Amenzi în caz de încălcare a prevederilor GDPR
Amenzile reprezintă sancțiunile cele mai dure prevăzute de GDPR și pot fi aplicate în funcție de gravitatea și natura încălcării. Regulamentul stabilește două niveluri diferite de amenzi:
- Până la 10 milioane de euro sau, pentru companii, până la 2% din cifra de afaceri globală anuală, în cazul încălcării anumitor prevederi mai puțin grave ale GDPR.
- Până la 20 milioane de euro sau, pentru companii, până la 4% din cifra de afaceri globală anuală, în cazul încălcării prevederilor mai grave ale GDPR, cum ar fi drepturile și libertățile fundamentale ale persoanelor fizice.
Exemplu: O companie ce își desfășoară activitatea în mediul online neglijează securitatea datelor și suferă o breșă de securitate care conduce la expunerea datelor personale ale utilizatorilor săi. Din cauza neglijenței și impactului asupra datelor personale ale utilizatorilor, autoritatea de protecție a datelor poate aplica o amendă de 10 milioane de euro sau 2% din cifra de afaceri globală a companiei, în funcție de care dintre aceste sume prezintă o valoare mai însemnată.
Avertismente și măsuri corective
Pe lângă amenzi, GDPR oferă autorităților de protecție a datelor posibilitatea de a emite avertismente și de a impune măsuri corective în cazurile în care încălcările nu prezintă un grad ridicat de risc. Aceste măsuri pot include:
- Obligarea companiei să implementeze măsuri de securitate pentru a preveni incidente similare în viitor.
- Interzicerea sau restricționarea temporară a prelucrării datelor personale în anumite scopuri.
- Cerința de a informa persoanele vizate despre încălcare și de a le furniza măsuri adecvate de protecție sau compensare.
Exemplu: O companie nu respectă dreptul de acces al utilizatorilor și refuză să furnizeze informațiile solicitate cu privire la datele personale prelucrate. În urma unei investigații, autoritatea de protecție a datelor emite un avertisment și obligă compania să ofere accesul la datele solicitate de utilizatori și să implementeze măsuri de transparență în ceea ce privește prelucrarea datelor.
Câteva cazuri specifice de amenzi însemnate acordate pentru încălcarea GDPR în Europa:
- British Airways: În 2019, Autoritatea Britanică pentru Protecția Datelor a aplicat o amendă de 183,39 milioane de lire sterline companiei British Airways pentru o încălcare a securității care a dus la expunerea datelor personale ale peste 500.000 de clienți.
- Marriott International: În același an, Autoritatea Britanică pentru Protecția Datelor a aplicat o amendă de 99,2 milioane de lire sterline companiei Marriott International în urma unei încălcări a securității care a expus datele personale ale aproximativ 339 de milioane de clienți.
- Google LLC: În 2019, Comisia Națională pentru Informatică și Libertăți din Franța (CNIL) a aplicat o amendă de 50 de milioane de euro companiei Google LLC pentru încălcarea transparenței și informării cu privire la prelucrarea datelor personale în scopuri de publicitate personalizată.
În consecință, implementarea prevederilor GDPR este esențială pentru orice companie, pentru a se asigura respectarea drepturilor utilizatorilor/clienților/partenerilor lor în ceea ce privește prelucrarea datelor personale. Sancțiunile prevăzute de GDPR, cum ar fi amenzile substanțiale și măsurile corective specifice, sunt menite să asigure conformitatea și să descurajeze încălcările dispozițiilor regulamentului. Cazurile majore în care au fost aplicate amenzi însemnate operatorilor din Europa au demonstrat că autoritățile cu atribuții în domeniul protecției datelor cu caracter personal asigură respectarea GDPR la nivel național și unional, precum și sublinierea faptului că nerespectarea Regulamentului va avea consecințe financiare și de imagine semnificative pentru operatori.
Photo by Sora Shimazaki