Cele mai multe investigaţii şi amenzi legate de încălcările prevederilor GDPR a fost raportat la companiile din industriile reglementate, care au contact direct cu clienţii şi care prelucrează volume mari de date cu caracter personal.

Studiul a fost realizat în România, Bulgaria, Croaţia, Cehia, Ungaria, Lituania, Polonia şi Slovacia, pentru perioada de la intrarea în vigoare a regulamentului, 25 mai 2018, până la 31 mai 2019.

Pe lângă industriile cele mai afectate de GDPR, şi anume telecomunicaţii şi servicii financiare, alte domenii în care au fost efectuate investigaţii în legătură cu aplicarea GDPR sunt sectorul public, media, tehnologie (în special aplicaţii mobile), servicii medicale şi poştale. Activităţile autorităţilor naţionale de protecţia datelor s-au concentrat pe verificarea respectării principiilor de prelucrare a datelor cu caracter personal, în special pe cel al reducerii la minimum a datelor (data minimization), al limitării datelor la scopul prelucrării (purpose limitation) şi al limitării legate de stocare (data retention). Alte aspecte vizate de autorităţile din ţările cuprinse în studiu sunt legate de respectarea drepturilor persoanelor vizate, instalarea sistemelor de supraveghere video, marketing direct, profilare şi cookies.

Până la 31 mai 2019, cele opt ţări ce au făcut obiectul studiului au comunicat 34 de amenzi impuse pentru diferite încălcări ale GDPR, valoarea totală a acestora fiind de aproximativ 750.000 de euro. Cea mai mare amendă înregistrată în Europa Centrală şi de Est, în cuantum de aproximativ 230.000 de euro, a fost aplicată în Polonia, unei societăţi al cărei obiect de activitate se bazează pe prelucrarea datelor obţinute din surse publice şi folosirea lor în scop comercial. Aspectul vizat de autoritatea poloneză în acest caz este asigurarea transparenţei faţă de persoanele vizate, iar valoarea sancţiunii plasează Polonia în topul celor mai mari trei amenzi impuse în Europa.

Cel mai mare număr de amenzi a fost semnalat în perioada analizată în Bulgaria (13), urmată de Ungaria (10), Cehia (8), Polonia (2) şi Lituania (1). În ceea ce priveşte valoarea totală a amenzilor, Bulgaria a raportat cea mai mare sumă cumulată a acestora (aprox. 250.000 de euro), urmată de Polonia (peste 230.000 de euro), Ungaria (200.000 de euro), Lituania (peste 60.000 de euro) şi Cehia (peste 6.000 de euro).

În România, până la 31 mai 2019, autoritatea de supraveghere în materia protecţiei datelor efectuase 981 de investigaţii, în urma cărora a impus 57 de măsuri corective şi 23 de avertismente, majoritatea investigaţiilor fiind încă în curs de finalizare.

„În România a fost aplicată recent prima amendă în legătură cu aplicarea GDPR, de aproximativ 130.000 de euro, unei instituţii financiare. Asistăm la investigaţii numeroase şi diverse în toată Europa, în urma cărora sunt aplicate noi sancţiuni aproape în fiecare săptămână în multe jurisdicţii. Cea mai mare dintre acestea rămâne amenda de 50 de milioane de euro impusă Google în Franţa”, a precizat Georgiana Singurel, Partener la Reff & Asociaţii, societatea de avocaţi membră a reţelei Deloitte Legal, care coordonează echipa dedicată proiectelor specifice în materia protecţiei datelor.

În ceea ce priveşte legislaţiile locale privind protecţia datelor personale, studiul efectuat de Deloitte Legal subliniază că jurisdicţiile din Europa Centrală şi de Est au introdus deja reglementări naţionale în legătură cu aplicarea GDPR, în principal legate de prelucrarea de date personale de către angajatori, de instalarea de sisteme de supraveghere video, de consimţământul copiilor în legătură cu serviciile online. De asemenea, ţările cuprinse în studiu au adoptat reglementări în sectorul bancar şi al asigurărilor, precum şi în legătură cu prelucrarea datelor biometrice.

Polonia conduce detaşat în ceea ce priveşte numărul de încălcări ale securităţii datelor sesizate autorităţilor naţionale, cu aproximativ 2.000 de notificări, urmată de Cehia (626), România (398), Ungaria (380), Lituania (93) şi Bulgaria (33).

„GDPR a adus schimbări majore pentru orice entitate care prelucrează date cu caracter personal, iar companiile din România din diferite industrii au făcut eforturi semnificative pentru identificarea zonelor principale de risc şi pentru a se asigura că sunt conforme cu prevederile regulamentului. Vedem în continuare în rândul clienţilor noştri o preocupare continuă pentru creionarea proceselor interne şi adaptarea documentaţiei specifice de conformare, inclusiv în ceea ce priveşte pregătirea şi instruirea angajaţilor”, a adăugat Georgiana Singurel.