Cu doar 3 zile înainte de împlinirea a 5 ani de la intrarea în vigoare a Regulamentul GDPR[1] , respectiv cea mai mare amendă din istoria sancțiunilor acordate vreodată pentru încălcarea regulilor privind protecția datelor. Compania care deține platforma Facebook (Meta Platforms Ireland Limited) a fost sancționată cu o amendă în cuantum de 1,2 mld. Euro de către EDPB ca urmare a declanșării mecanismului pentru la data de 25 mai 2018, Comitetul european pentru protecția datelor (EDPB) a anunțat că a impus asigurare a coerenței prevăzut de art. 63 și art. 65 GDPR. Motivul principal al sancționării este dat de faptul că Facebook a transferat datele cu caracter personal al cetățenilor UE către compania Facebook din SUA fără a avea o bază legală care să asigure securitatea acestui transfer.
Reamintim că prin hotărârea C-311/18 - Data Protection Commissioner împotriva Facebook Ireland Ltd și Maximillian Schrems (Schrems II), CJUE a declarat nevalid Scutului de confidențialitate (Privacy Shield). Astfel, de la data hotărârii, 16 iulie 2020, temeiul legal de transfer a datelor cu caracter personal între UE și SUA a fost drastic limitată. CJUE a apreciat că legislația SUA, care permite anumitor autorități să acceseze datele cetățenilor pentru asigurarea securității naționale, este de natură să atingă grav drepturile cetățenilor Uniunii Europene ale căror date sunt transferate. Clauzele Contractuale Standard (SCC), deși nu au fost invalidate, au fost considerate o bază legală care trebuie analizată în concret, împreună cu tot pachetul de măsuri organizatorice și de securitate implementate. Simpla aderare la SCC nu este considerată că respectă cerințele GDPR privind transferul de date cu caracter personal către state terțe.
Plecând de la premisa anterioară, am analizat optica autorităților de supraveghere de la intrarea în vigoare a GDPR și până în prezent, precum și dinamica sancțiunilor aplicate de autoritatea națională, pe de o parte, și autoritățile competente din alte state membre UE, pe de altă parte.
În acest sens, sunt relevante următoarele informații reper, pentru o imagine de ansamblu:
- Între perioada 2018-2023 la nivel european s-au impus aproximativ 1850 de sancțiuni.
- Între perioada 2018-2023 România a impus aproximativ 150 de sancțiuni.
- Cea mai mare amendă impusă la nivel european este cea impusă de autoritatea din Irlanda împotriva Meta Platforms Ireland Limited în anul 2023, în cuantum de 1,2 mld. Euro.
- Cea mai mare sancțiune impusă de autoritatea din România este în cuantum de 130.000 Euro împotriva unei instituții din domeniul bancar din anul 2019.
- Cea mai mică amendă la nivel european, cunoscută, este de 28 Euro, impusă de către autoritatea din Ungaria în anul 2020.
- Cea mai mică amendă impusă de autoritatea din România este de 150 Euro împotriva unei persoane fizice în anul 2022.
Mai departe, pentru scopul acestui articol, am analizat primele 10 sancțiuni acordate de la data intrării în vigoare a GDPR la nivel european și în România ,și astfel am observat că la nivel european, un clasament al amenzilor după cuantum, prezentat în ordine descrescătoare, arată astfel:
[1] Regulamentul UE nr. 679/ 2016 al Parlamentului European și al Consiliului privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE
|
Nr. Crt. |
Tara |
Data Deciziei |
Amenda |
Categoria operatorilor de date |
Motiv |
|
1 |
Irlanda |
2023-05-12 |
1,200,000,000 |
Domeniul IT/Platforme de socializare |
Art. 46 (1) GDPR
|
|
2 |
Luxembourg |
2021-07-16 |
746,000,000 |
Retail online |
GDPR în general |
|
3 |
Irlanda |
2022-09-05 |
405,000,000 |
Domeniul IT/Platforme de socializare. |
Art. 5 (1) a), c) GDPR, Art. 6 (1) GDPR, Art. 12 (1) GDPR, Art. 24 GDPR, Art. 25 (1), (2) GDPR, Art. 35 GDPR |
|
4 |
Irlanda |
2023-01-04 |
390,000,000 |
Domeniul IT/Platforme de socializare |
Art. 5 (1) a) GDPR, Art. 6 (1) GDPR, Art. 12 GDPR, Art. 13 (1) c) GDPR |
|
5 |
Irlanda |
2022-11-25 |
265,000,000 |
Domeniul IT/Platforme de socializare |
Art. 25 (1), (2) GDPR |
|
6 |
Irlanda |
2021-09-02 |
225,000,000 |
Domeniul IT/Platforme de comunicare |
Art. 5 (1) a) GDPR, Art. 12 GDPR, Art. 13 GDPR, Art. 14 GDPR |
|
7 |
Franta |
2021-12-31 |
90,000,000 |
Domeniul IT/Motoare de căutare |
Art. 82 Legea privind protecția datelor |
|
8 |
Franta |
2021-12-31 |
60,000,000 |
Domeniul IT/Platforme de socializare. |
Art. 82 Legea privind protecția datelor |
|
9 |
Franta |
2021-12-31 |
60,000,000 |
Domeniul IT/Motoare de căutare. |
Art. 82 Legea privind protecția datelor |
|
10 |
Franta |
2019-01-21 |
50,000,000 |
Domeniul IT/Motoare de căutare |
Art. 13 GDPR, Art. 14 GDPR, Art. 6 GDPR, Art. 5 GDPR |
Iar la nivelul României, un clasament al amenzilor după cuantum, prezentat în ordine descrescătoare, arată astfel:
|
Nr. Crt. |
Tara |
Data Deciziei |
Amenda |
Categoria operatorilor de date |
Motiv |
|
1 |
România |
2019-06-27 |
130,000 |
Domeniul Bancar |
Art. 25 (1) GDPR, Art. 5 (1) c) GDPR |
|
2 |
România |
2020-12-17 |
100,000 |
Domeniul Bancar |
Art. 5 (1) f) GDPR, Art. 32 (1), (2) GDPR |
|
3 |
România |
2022-11-16 |
28,000 |
Domeniul Bancar |
Art. 25 (1) GDPR, Art. 32 (1), (2), (4) GDPR |
|
4 |
România |
2022-11-21 |
20,000 |
Domeniul Bancar |
Art. 32 (1), (2) GDPR |
|
5 |
România |
2019-12-04 |
20,000 |
Aviație |
Art. 32 GDPR |
|
6 |
România |
2019-10-09 |
20,000 |
IFN |
Art. 32 GDPR, Art. 33 GDPR |
|
7 |
România |
2020-07-09 |
15,000 |
Automobile |
Art. 32 GDPR |
|
8 |
România |
2019-10-09 |
15,000 |
Domeniul Bancar |
Art. 32 GDPR |
|
9 |
România |
2019-07-02 |
15,000 |
Hotelier |
Art. 32 GDPR |
|
10 |
România |
2019-12-10 |
14,000 |
IFN |
Art. 5 GDPR, Art. 25 GDPR, Art. 32 GDPR, Art. 33 GDPR |
Din analiza acestor date putem concluziona că în România cele mai mari amenzi au fost impuse instituțiilor bancare și financiare, pe când, la nivel european, cele mai mari amenzi au fost acordate operatorilor care dețin platforme de comunicare și socializare.
De asemenea, în România cele mai mari amenzi au fost acordate între anii 2019 -2020, când fenomenul GDPR a luat amploare și a existat o intensificare a investigațiilor dar și a conștientizării necesității protecției datelor cu caracter personal. Ulterior, chiar dacă a crescut numărul investigațiilor, cuantumul mediu al amenzilor acordate a scăzut, fiind între 2000 și 3000 euro. În schimb, la nivel european, în ultimii doi ani s-au înregistrat cele mai mari amenzi impuse în principal de autoritățile din Irlanda și Franța.
În concluzie, la nivel european se cristalizează optica EDPB, în special cu privire la transferurile de date către statele terțe. Un moment de cotitură a fost anul 2020, când s-a invalidat Scutul de confidențialitate prin hotărârea Schrems II. În ceea ce privește România, observăm că în ultimii 2 ani s-au întețit controalele chiar dacă, sancțiunile nu au fost drastice.