Claudiu Zamfir
Instituțiile publice beneficiază de un tratament preferențial atunci când încalcă regulamentul GDPR, primind mai întâi un avertisment, iar apoi, după abateri repetate, amenzile sunt limitate la 200.000 de lei, spre deosebire de firmele private, care pot fi amendate chiar și cu 4% din cifra de afaceri anuală, potrivit unor precizări ale autorității naționale care aplică celebrul regulament european de protecție a datelor în România.
Autoritatatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a emis, marți, o serie de precizări, privind aplicarea sancțiunilor GDPR față de instituțiile publice care încalcă regumentul UE. Explicațiile apar în contextul în care o serie de specialiști au arătat că sistemul Ministerului de Finanțe și al ANAF de facturare electronică eFactura pe relația firme-consumatori (B2C) ar putea încălca GDPR. La rândul său, Ministerul Finanțelor a afirmat că legislația e-Factura respectă GDPR, dar a precizat totuși că „explorează modalități prin care datele cu caracter personal regăsite pe factura electronică să fie convertite într-o formă de identificare fiscală care să nu permită corelarea directă cu identitatea persoanei pentru care s-a emis factura”.
Marți, 23 iulie 2024, autoritatea românească în domeniul GDPR, ANSPDCP, a precizat că oricum instituțiile și autoritățile publice din România beneficiază de un „regim sancționator distinct și etapizat”, decis de Parlamentul României, prin Legea nr. 190/2018.
„Spre deosebire de sectorul privat”, „în cazul sectorului public din România, regimul sancționator este distinct și etapizat, așa cum a fost reglementat prin Legea nr. 190 din 18 iulie 2018”, spune Autoritatea națională de protecție a datelor.
Astfel, dacă firmele private pot fi amendate de la prima abatere, în cazul instituțiilor publice care încalcă regulamentul GDPR, ANSPDCP nu poate da decât un avertisment, mai întâi. Abia apoi, dacă instituția publică avertizată continuă să încalce GDPR, este amendată. Dar amenzile în cazul instituțiilor publice sunt între 2.000 și 40.000 de euro, în condițiile în care companiile private riscă amenzi și de ordinul zecilor de milioane de euro, pentru încălcarea GDPR.
În anul 2022, ANSPDCP a aplicat operatorilor din sectorul public și privat 134 de avertismente, iar în anul 2023 a aplicat 186 de avertismente.
Spre deosebire de sectorul privat al cărui regim sancționator este reglementat în art. 83 alin. (4) și (5) din Regulamentul general privind protecţia datelor (RGPD), în cazul sectorului public din România regimul sancționator este distinct și etapizat, așa cum a fost reglementat prin Legea nr. 190 din 18 iulie 2018, astfel:
1. Într-o primă etapă, legiuitorul a stabilit că, în cazul unei încălcări a prevederilor RGPD şi ale Legii nr. 190/2018 de către autorităţile și instituțiile publice, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal aplică în mod obligatoriu mai întâi sancțiunea avertismentului însoțită de un plan de remediere, așa cum prevede art. 13 din Legea nr. 190/2018.
2. În a doua etapă, ulterior, doar dacă se constată că autorităţile/instituțiile publice nu au adus la îndeplinire măsurile stabilite în planul de remediere, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal poate aplica sancţiunea contravenţională a amenzii, așa cum stabilește art. 14 din Legea nr. 190/2018.
Precizăm că, în sectorul public amenzile pornesc de la 10.000 lei și pot ajunge până la 200.000 lei, cuantumuri stabilite prin art. 14 din Legea nr. 190/2018.
Acest regim sancționator diferit pentru operatorii din sectorul public a fost reglementat prin Legea nr. 190/2018, în baza prevederilor art. 83 alin. (7) din RGPD care a statuat ca fiecare stat membru să prevadă norme prin care să se stabilească dacă şi în ce măsură pot fi impuse amenzi administrative autorităţilor publice şi instituțiilor publice.
În acest context, subliniem că, în multe state membre ale Uniunii Europene nu se aplică amenzi în cazul autorităţilor/instituțiilor publice.
În același timp, menționăm că în comunicatele de presă, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal prezintă în principal amenzile aplicate, într-o manieră similară cu celelalte autorități naționale de protecția datelor din Uniunea Europeană.
În ceea ce privește avertismentele aplicate, menționăm că informații sunt disponibile în rapoartele anuale de activitate, secțiunea „Informații generale” – „Informații de interes public” – „Rapoarte anuale”.
Astfel, în anul 2022, s-au aplicat operatorilor din sectorul public și privat 134 de avertismente, iar în anul 2023 s-au aplicat 186 de avertismente.