Investigatiile
Aspecte generale
In cadrul investigatiilor pot fi verificate orice aspecte privind respectarea regulilor de prelucrare a datelor cu caracter personal.
Tipurile de investigatii
A. Instiintarea. Investigatiile pot fi efectuate cu instiintarea entitatii controlate sau se pot desfasura inopinat, fara anuntarea in prealabil in scris a entitatii controlate. In cazurile in care investigatia este efectuata cu instiintarea entitatii controlate, aceasta se efectueaza incepand cu data si ora anuntate de Autoritatea de supraveghere.
B. Locul investigatiei. In functie de locul unde urmeaza sa se efectueze controlul, investigatiile pot fi efectuate pe teren, la sediul autoritatii ori in scris. Modalitatea de efectuare a unei investigatii la sediul autoritatii ori in scris se stabileste de catre seful ierarhic/inlocuitorul acestuia prin rezolutie scrisa. Investigatiile pe teren constau in verificari efectuate la sediul/domiciliul/punctul de lucru sau alte locatii unde isi desfasoara activitatea entitatea controlata sau locatii care au legatura cu prelucrarea in cauza, dupa caz.
C. Sesizarea autoritatii. In functie de modul de sesizare a Autoritatii de supraveghere, investigatiile se pot efectua din oficiu sau la plangere.
Obligatiile entitatii controlate
In cadrul investigatiei, entitatea controlata are, in principal, urmatoarele obligatii:
a) sa permita personalului de control, fara intarziere, inceperea si derularea investigatiei si sa asigure suportul necesar personalului de control;
b) sa asigure accesul personalului de control in incintele in care isi desfasoara activitatea, la orice echipament, mijloc sau suport de prelucrare/stocare a datelor, in vederea efectuarii verificarilor necesare desfasurarii investigatiei, inclusiv la cele care pot fi accesate la distanta;
c) sa puna la dispozitia personalului de control orice informatii si documente indiferent de suportul de stocare, necesare desfasurarii investigatiei, inclusiv copii de pe acestea;
d) sa puna la dispozitia Autoritatii documentele solicitate, certificate pentru conformitate cu originalul;
e) sa furnizeze intr-o forma completa documentele, informatiile, inregistrarile si evidentele solicitate, precum si orice lamuriri necesare, fara a putea opune caracterul confidential al acestora, in conditiile legii;
f) sa permita personalului de control utilizarea echipamentelor de inregistrare si stocare audiovideo/foto ori de cate ori echipa de control considera ca este necesar in cadrul derularii activitatii de control.
Investigatiile din oficiu
Scop. Investigatiile din oficiu se efectueaza pentru verificarea unor date si informatii cu privire la prelucrarea datelor cu caracter personal, obtinute de catre Autoritatea de supraveghere din alte surse decat cele care fac obiectul unor plangeri. Datele si informatiile pot fi obtinute din surse cum ar fi: corespondenta primita de Autoritatea de supraveghere, mass-media, accesarea retelei de internet, documentele de constatare intocmite in urma efectuarii altor investigatii sau alte documente de la nivelul Autoritatii, activitatile de cooperare cu entitati de drept public sau privat ori cu autoritati de supraveghere din strainatate. Investigatiile din oficiu se pot efectua si sub forma de audituri privind protectia datelor.
Declansare. Investigatiile din oficiu se pot efectua:
a) la propunerea compartimentelor cu atributii de control ale Autoritatii de supraveghere;
b) la propunerea presedintelui sau vicepresedintelui Autoritatii de supraveghere, printr-o rezolutie scrisa;
c) la propunerea celorlalte compartimente din cadrul Autoritatii de supraveghere;
d) ca urmare a transmiterii notificarilor de incalcare a securitatii datelor cu caracter personal;
e) pentru verificarea unor date si informatii cu privire la prelucrarea datelor cu caracter personal, obtinute de catre Autoritatea de supraveghere din alte surse decat cele care fac obiectul unor plangeri, inclusiv pe baza sesizarilor sau a informatiilor primite de la o alta autoritate de supraveghere sau de la o alta autoritate publica;
f) in vederea cooperarii internationale, precum si cu celelalte autoritati de supraveghere din statele membre, in domeniul protectiei datelor cu caracter personal, inclusiv in cadrul operatiunilor comune si al acordarii de asistenta reciproca.
Motivare. Propunerea de efectuare a unei investigatii din oficiu se face printr-o nota motivata care cuprinde entitatea supusa investigatiei, avizata de seful ierarhic si aprobata de presedintele Autoritatii de supraveghere.
Accesul
In cazul unui investigatii, entitatea controlata trebuie sa asigure accesul personalului de control in incintele in care isi desfasoara activitatea, la orice echipament, mijloc sau suport de prelucrare/stocare a datelor, in vederea efectuarii verificarilor necesare desfasurarii investigatiei, inclusiv la cele care pot fi accesate la distanta.
Autorizarea judiciara
In situatia in care personalul de control este impiedicat in orice mod in exercitarea atributiilor, Autoritatea de supraveghere poate solicita autorizarea judiciara, data prin incheiere de catre presedintele Curtii de Apel Bucuresti sau de catre un judecator delegat de acesta, in conditiile legii.
Solicitarea. Autorizarea judiciara pentru efectuarea investigatiei se solicita de catre compartimentul cu atributii de reprezentare in instanta pe baza documentelor puse la dispozitie de catre compartimentul/compartimentele cu atributii de control.
O copie a autorizatiei judiciare pentru efectuarea investigatiei se comunica entitatii controlate inainte de inceperea investigatiei. In cazul in care investigatia trebuie desfasurata, inclusiv simultan, in mai multe spatii detinute de catre entitatea controlata, ANSPDCP va introduce o singura cerere, instanta pronuntandu-se printr-o incheiere in care se vor indica spatiile in care urmeaza sa se desfasoare investigatia
.
Ridicarea de copii
Drepturi. Personalul de control are dreptul sa ceara si sa obtina de la operator si de la persoana imputernicita de operator, precum si, dupa caz, de la reprezentantul acestora, la fata locului si/sau in termenul stabilit, orice informatii si documente, indiferent de suportul de stocare, sa ridice copii de pe acestea.
Obligatii. Entitatea controlata are obligatia, in cadrul investigatiei, sa puna la dispozitia personalului de control orice informatii si documente indiferent de suportul de stocare, necesare desfasurarii investigatiei, inclusiv copii de pe acestea.
Punerea de sigilii
Drepturi. In vederea evitarii riscului distrugerii unor documente relevante pentru investigatii, personalul de control poate proceda la aplicarea de sigilii in cadrul investigatiilor desfasurate de Autoritatea de supraveghere in situatia nefinalizarii investigatiei in ziua in care aceasta a inceput, precum si in orice alte situatii in care se justifica aceasta masura.
Obligatii. Entitatea controlata are obligatia sa asigure integritatea sigiliilor aplicate pana la ridicarea acestora de catre personalul de control.
Aspecte procedurale. Identificarea si pastrarea obiectelor, precum si punerile de sigilii se fac conform dispozitiilor Legii nr. 135/2010 privind Codul de procedura penala, cu modificarile si completarile ulterioare. Personalul de control va consemna in procesul-verbal de constatare/sanctionare activitatea de punere de sigilii, respectiv ridicarea acestora.
Efectuarea de expertize
In cadrul efectuarii investigatiilor, personalul de control poate propune printr-o nota, avizata/semnata de seful ierarhic si aprobata de presedintele ANSPDCP/inlocuitorul acestuia, efectuarea de expertize, in conditiile legii.
Audierea de persoane
Drepturi. In cadrul investigatiilor, personalul de control poate audia persoanele ale caror declaratii sunt considerate relevante si necesare desfasurarii investigatiei.
Aspecte procedurale. Rezultatul audierii se consemneaza de catre personalul de control intr-o nota de audiere, semnata de participanti. In situatia in care persoanele audiate refuza sa semneze nota de audiere, se va face mentiune in acest sens pe respectivul inscris. Nota de audiere se anexeaza la procesul-verbal de constatare/sanctionare.
B. Masuri dispuse de Autoritatea de supraveghere
Fiecare autoritate de supraveghere are, potrivit GDPR, urmatoarele competente corective:
a) de a emite avertizari in atentia unui operator sau a unei persoane imputernicite de operator cu privire la posibilitatea ca operatiunile de prelucrare prevazute sa incalce dispozitiile Regulamentului;
b) de a emite avertismente adresate unui operator sau unei persoane imputernicite de operator in cazul in care operatiunile de prelucrare au incalcat GDPR;
c) de a da dispozitii operatorului sau persoanei imputernicite de operator sa respecte cererile persoanei vizate de a-si exercita drepturile in temeiul GDPR;
d) de a da dispozitii operatorului sau persoanei imputernicite de operator sa asigure conformitatea operatiunilor de prelucrare cu dispozitiile Regulamentului, specificand, dupa caz, modalitatea si termenul-limita pentru aceasta;
e) de a obliga operatorul sa informeze persoana vizata cu privire la o incalcare a protectiei datelor cu caracter personal;
f) de a impune o limitare temporara sau definitiva, inclusiv o interdictie asupra prelucrarii;
g) de a dispune rectificarea sau stergerea datelor cu caracter personal sau restrictionarea prelucrarii, precum si notificarea acestor actiuni destinatarilor carora le-au fost divulgate datele cu caracter personal;
h) de a retrage o certificare sau de a obliga organismul de certificare sa retraga o certificare eliberata sau de a obliga organismul de certificare sa nu elibereze o certificare in cazul in care cerintele de certificare nu sunt sau nu mai sunt indeplinite;
i) de a impune amenzi administrative, in functie de circumstantele fiecarui caz;
j) de a dispune suspendarea fluxurilor de date catre un destinatar dintr-o tara terta sau catre o organizatie internationala.
2.4. Aplicarea masurilor corective autoritatilor si organismelor publice
In cazul constatarii incalcarii prevederilor GDPR si/sau ale legislatiei nationale de catre autoritatile/organismele publice, Autoritatea nationala de supraveghere incheie un proces-verbal de constatare si sanctionare a contraventiei prin care se aplica sanctiunea avertismentului si la care anexeaza un plan de remediere.
Termene. Termenul de remediere se stabileste in functie de riscurile asociate prelucrarii, precum si demersurile necesar a fi indeplinite pentru asigurarea conformitatii prelucrarii. In termen de 10 zile de la data expirarii termenului de remediere, Autoritatea nationala de supraveghere poate sa reia controlul.
Responsabilitatea. Responsabilitatea indeplinirii masurilor de remediere revine autoritatii/organismului public care, potrivit legii, poarta raspunderea contraventionala pentru faptele constatate.
Plan de remediere. Modelul planului de remediere este prevazut in Anexa 3 din prezentul material. Planul de remediere se anexeaza la procesul-verbal de constatare si sanctionare a contraventiei.
In cadrul investigatiilor pot fi verificate orice aspecte privind respectarea regulilor de prelucrare a datelor cu caracter personal.
Tipurile de investigatii
A. Instiintarea. Investigatiile pot fi efectuate cu instiintarea entitatii controlate sau se pot desfasura inopinat, fara anuntarea in prealabil in scris a entitatii controlate. In cazurile in care investigatia este efectuata cu instiintarea entitatii controlate, aceasta se efectueaza incepand cu data si ora anuntate de Autoritatea de supraveghere.
B. Locul investigatiei. In functie de locul unde urmeaza sa se efectueze controlul, investigatiile pot fi efectuate pe teren, la sediul autoritatii ori in scris. Modalitatea de efectuare a unei investigatii la sediul autoritatii ori in scris se stabileste de catre seful ierarhic/inlocuitorul acestuia prin rezolutie scrisa. Investigatiile pe teren constau in verificari efectuate la sediul/domiciliul/punctul de lucru sau alte locatii unde isi desfasoara activitatea entitatea controlata sau locatii care au legatura cu prelucrarea in cauza, dupa caz.
C. Sesizarea autoritatii. In functie de modul de sesizare a Autoritatii de supraveghere, investigatiile se pot efectua din oficiu sau la plangere.
Obligatiile entitatii controlate
In cadrul investigatiei, entitatea controlata are, in principal, urmatoarele obligatii:
a) sa permita personalului de control, fara intarziere, inceperea si derularea investigatiei si sa asigure suportul necesar personalului de control;
b) sa asigure accesul personalului de control in incintele in care isi desfasoara activitatea, la orice echipament, mijloc sau suport de prelucrare/stocare a datelor, in vederea efectuarii verificarilor necesare desfasurarii investigatiei, inclusiv la cele care pot fi accesate la distanta;
c) sa puna la dispozitia personalului de control orice informatii si documente indiferent de suportul de stocare, necesare desfasurarii investigatiei, inclusiv copii de pe acestea;
d) sa puna la dispozitia Autoritatii documentele solicitate, certificate pentru conformitate cu originalul;
e) sa furnizeze intr-o forma completa documentele, informatiile, inregistrarile si evidentele solicitate, precum si orice lamuriri necesare, fara a putea opune caracterul confidential al acestora, in conditiile legii;
f) sa permita personalului de control utilizarea echipamentelor de inregistrare si stocare audiovideo/foto ori de cate ori echipa de control considera ca este necesar in cadrul derularii activitatii de control.
Investigatiile din oficiu
Scop. Investigatiile din oficiu se efectueaza pentru verificarea unor date si informatii cu privire la prelucrarea datelor cu caracter personal, obtinute de catre Autoritatea de supraveghere din alte surse decat cele care fac obiectul unor plangeri. Datele si informatiile pot fi obtinute din surse cum ar fi: corespondenta primita de Autoritatea de supraveghere, mass-media, accesarea retelei de internet, documentele de constatare intocmite in urma efectuarii altor investigatii sau alte documente de la nivelul Autoritatii, activitatile de cooperare cu entitati de drept public sau privat ori cu autoritati de supraveghere din strainatate. Investigatiile din oficiu se pot efectua si sub forma de audituri privind protectia datelor.
Declansare. Investigatiile din oficiu se pot efectua:
a) la propunerea compartimentelor cu atributii de control ale Autoritatii de supraveghere;
b) la propunerea presedintelui sau vicepresedintelui Autoritatii de supraveghere, printr-o rezolutie scrisa;
c) la propunerea celorlalte compartimente din cadrul Autoritatii de supraveghere;
d) ca urmare a transmiterii notificarilor de incalcare a securitatii datelor cu caracter personal;
e) pentru verificarea unor date si informatii cu privire la prelucrarea datelor cu caracter personal, obtinute de catre Autoritatea de supraveghere din alte surse decat cele care fac obiectul unor plangeri, inclusiv pe baza sesizarilor sau a informatiilor primite de la o alta autoritate de supraveghere sau de la o alta autoritate publica;
f) in vederea cooperarii internationale, precum si cu celelalte autoritati de supraveghere din statele membre, in domeniul protectiei datelor cu caracter personal, inclusiv in cadrul operatiunilor comune si al acordarii de asistenta reciproca.
Motivare. Propunerea de efectuare a unei investigatii din oficiu se face printr-o nota motivata care cuprinde entitatea supusa investigatiei, avizata de seful ierarhic si aprobata de presedintele Autoritatii de supraveghere.
Accesul
In cazul unui investigatii, entitatea controlata trebuie sa asigure accesul personalului de control in incintele in care isi desfasoara activitatea, la orice echipament, mijloc sau suport de prelucrare/stocare a datelor, in vederea efectuarii verificarilor necesare desfasurarii investigatiei, inclusiv la cele care pot fi accesate la distanta.
Autorizarea judiciara
In situatia in care personalul de control este impiedicat in orice mod in exercitarea atributiilor, Autoritatea de supraveghere poate solicita autorizarea judiciara, data prin incheiere de catre presedintele Curtii de Apel Bucuresti sau de catre un judecator delegat de acesta, in conditiile legii.
Solicitarea. Autorizarea judiciara pentru efectuarea investigatiei se solicita de catre compartimentul cu atributii de reprezentare in instanta pe baza documentelor puse la dispozitie de catre compartimentul/compartimentele cu atributii de control.
O copie a autorizatiei judiciare pentru efectuarea investigatiei se comunica entitatii controlate inainte de inceperea investigatiei. In cazul in care investigatia trebuie desfasurata, inclusiv simultan, in mai multe spatii detinute de catre entitatea controlata, ANSPDCP va introduce o singura cerere, instanta pronuntandu-se printr-o incheiere in care se vor indica spatiile in care urmeaza sa se desfasoare investigatia
.
Ridicarea de copii
Drepturi. Personalul de control are dreptul sa ceara si sa obtina de la operator si de la persoana imputernicita de operator, precum si, dupa caz, de la reprezentantul acestora, la fata locului si/sau in termenul stabilit, orice informatii si documente, indiferent de suportul de stocare, sa ridice copii de pe acestea.
Obligatii. Entitatea controlata are obligatia, in cadrul investigatiei, sa puna la dispozitia personalului de control orice informatii si documente indiferent de suportul de stocare, necesare desfasurarii investigatiei, inclusiv copii de pe acestea.
Punerea de sigilii
Drepturi. In vederea evitarii riscului distrugerii unor documente relevante pentru investigatii, personalul de control poate proceda la aplicarea de sigilii in cadrul investigatiilor desfasurate de Autoritatea de supraveghere in situatia nefinalizarii investigatiei in ziua in care aceasta a inceput, precum si in orice alte situatii in care se justifica aceasta masura.
Obligatii. Entitatea controlata are obligatia sa asigure integritatea sigiliilor aplicate pana la ridicarea acestora de catre personalul de control.
Aspecte procedurale. Identificarea si pastrarea obiectelor, precum si punerile de sigilii se fac conform dispozitiilor Legii nr. 135/2010 privind Codul de procedura penala, cu modificarile si completarile ulterioare. Personalul de control va consemna in procesul-verbal de constatare/sanctionare activitatea de punere de sigilii, respectiv ridicarea acestora.
Efectuarea de expertize
In cadrul efectuarii investigatiilor, personalul de control poate propune printr-o nota, avizata/semnata de seful ierarhic si aprobata de presedintele ANSPDCP/inlocuitorul acestuia, efectuarea de expertize, in conditiile legii.
Audierea de persoane
Drepturi. In cadrul investigatiilor, personalul de control poate audia persoanele ale caror declaratii sunt considerate relevante si necesare desfasurarii investigatiei.
Aspecte procedurale. Rezultatul audierii se consemneaza de catre personalul de control intr-o nota de audiere, semnata de participanti. In situatia in care persoanele audiate refuza sa semneze nota de audiere, se va face mentiune in acest sens pe respectivul inscris. Nota de audiere se anexeaza la procesul-verbal de constatare/sanctionare.
B. Masuri dispuse de Autoritatea de supraveghere
Fiecare autoritate de supraveghere are, potrivit GDPR, urmatoarele competente corective:
a) de a emite avertizari in atentia unui operator sau a unei persoane imputernicite de operator cu privire la posibilitatea ca operatiunile de prelucrare prevazute sa incalce dispozitiile Regulamentului;
b) de a emite avertismente adresate unui operator sau unei persoane imputernicite de operator in cazul in care operatiunile de prelucrare au incalcat GDPR;
c) de a da dispozitii operatorului sau persoanei imputernicite de operator sa respecte cererile persoanei vizate de a-si exercita drepturile in temeiul GDPR;
d) de a da dispozitii operatorului sau persoanei imputernicite de operator sa asigure conformitatea operatiunilor de prelucrare cu dispozitiile Regulamentului, specificand, dupa caz, modalitatea si termenul-limita pentru aceasta;
e) de a obliga operatorul sa informeze persoana vizata cu privire la o incalcare a protectiei datelor cu caracter personal;
f) de a impune o limitare temporara sau definitiva, inclusiv o interdictie asupra prelucrarii;
g) de a dispune rectificarea sau stergerea datelor cu caracter personal sau restrictionarea prelucrarii, precum si notificarea acestor actiuni destinatarilor carora le-au fost divulgate datele cu caracter personal;
h) de a retrage o certificare sau de a obliga organismul de certificare sa retraga o certificare eliberata sau de a obliga organismul de certificare sa nu elibereze o certificare in cazul in care cerintele de certificare nu sunt sau nu mai sunt indeplinite;
i) de a impune amenzi administrative, in functie de circumstantele fiecarui caz;
j) de a dispune suspendarea fluxurilor de date catre un destinatar dintr-o tara terta sau catre o organizatie internationala.
2.4. Aplicarea masurilor corective autoritatilor si organismelor publice
In cazul constatarii incalcarii prevederilor GDPR si/sau ale legislatiei nationale de catre autoritatile/organismele publice, Autoritatea nationala de supraveghere incheie un proces-verbal de constatare si sanctionare a contraventiei prin care se aplica sanctiunea avertismentului si la care anexeaza un plan de remediere.
Termene. Termenul de remediere se stabileste in functie de riscurile asociate prelucrarii, precum si demersurile necesar a fi indeplinite pentru asigurarea conformitatii prelucrarii. In termen de 10 zile de la data expirarii termenului de remediere, Autoritatea nationala de supraveghere poate sa reia controlul.
Responsabilitatea. Responsabilitatea indeplinirii masurilor de remediere revine autoritatii/organismului public care, potrivit legii, poarta raspunderea contraventionala pentru faptele constatate.
Plan de remediere. Modelul planului de remediere este prevazut in Anexa 3 din prezentul material. Planul de remediere se anexeaza la procesul-verbal de constatare si sanctionare a contraventiei.
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!
Articole similare din categoria Analize si solutii GDPR
20Ian2019
Procedura de efectuare a investigatiilor de control ale autoritatii
de Colectivul de Specialisti Rentrop&Straton
20 Ian 2019
13Nov2018
Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPCDP)
de Laurentiu Petre
13 Nov 2018
13Nov2018
Proces-verbal de constatare/sanctionare incheiat de personalul de control
de Laurentiu Petre
13 Nov 2018
13Nov2018
Conditii procedurale privind adresarea unei plangeri admisibile
de Laurentiu Petre
13 Nov 2018
13Nov2018
Conditii privind analizarea si solutionarea plangerilor.Ipoteze posibile
de Laurentiu Petre
13 Nov 2018