Potrivit unui studiu efectuat de rețeaua Deloitte Legal în România, Bulgaria, Croația, Cehia, Ungaria, Lituania, Polonia și Slovacia, cele mai multe investigații și amenzi legate de încălcările prevederilor GDPR a fost raportat la companiile din industriile reglementate, care au contact direct cu clienții și care prelucrează volume mari de date cu caracter personal. Studiul a fost efectuat pentru perioada de la intrarea în vigoare a regulamentului, 25 mai 2018, până la 31 mai 2019. Pe lângă industriile cele mai afectate de GDPR, și anume telecomunicații și servicii financiare, alte domenii în care au fost efectuate investigații în legătură cu aplicarea GDPR sunt sectorul public, media, tehnologie (în special aplicații mobile), servicii medicale și poștale. Activitățile autorităților naționale de protecția datelor s-au concentrat pe verificarea respectării principiilor de prelucrare a datelor cu caracter personal, în special pe cel al reducerii la minimum a datelor (data minimization), al limitării datelor la scopul prelucrării (purpose limitation) și al limitării legate de stocare (data retention). Alte aspecte vizate de autoritățile din țările cuprinse în studiu sunt legate de respectarea drepturilor persoanelor vizate, instalarea sistemelor de supraveghere video, marketing direct, profilare și cookies.
Până la 31 mai 2019, cele opt țări ce au făcut obiectul studiului au comunicat 34 de amenzi impuse pentru diferite încălcări ale GDPR, valoarea totală a acestora fiind de aproximativ 750.000 de euro. Cea mai mare amendă înregistrată în Europa Centrală și de Est, în cuantum de aproximativ 230.000 de euro, a fost aplicată în Polonia, unei societăți al cărei obiect de activitate se bazează pe prelucrarea datelor obținute din surse publice și folosirea lor în scop comercial. Aspectul vizat de autoritatea poloneză în acest caz este asigurarea transparenței față de persoanele vizate, iar valoarea sancțiunii plasează Polonia în topul celor mai mari trei amenzi impuse în Europa.
Cel mai mare număr de amenzi a fost semnalat în perioada analizată în Bulgaria (13), urmată de Ungaria (10), Cehia (8), Polonia (2) și Lituania (1). În ceea ce privește valoarea totală a amenzilor, Bulgaria a raportat cea mai mare sumă cumulată a acestora (aprox. 250.000 de euro), urmată de Polonia (peste 230.000 de euro), Ungaria (200.000 de euro), Lituania (peste 60.000 de euro) și Cehia (peste 6.000 de euro).
În România, până la 31 mai 2019, autoritatea de supraveghere în materia protecției datelor efectuase 981 de investigații, în urma cărora a impus 57 de măsuri corective și 23 de avertismente, majoritatea investigațiilor fiind încă în curs de finalizare.
„În România a fost aplicată recent prima amendă în legătură cu aplicarea GDPR, de aproximativ 130.000 de euro, unei instituții financiare. Asistăm la investigații numeroase și diverse în toată Europa, în urma cărora sunt aplicate noi sancțiuni aproape în fiecare săptămână în multe jurisdicții. Cea mai mare dintre acestea rămâne amenda de 50 de milioane de euro impusă Google în Franța”, a precizat Georgiana Singurel, Partener la Reff & Asociații, societatea de avocați membră a rețelei Deloitte Legal, care coordonează echipa dedicată proiectelor specifice în materia protecției datelor.
În ceea ce privește legislațiile locale privind protecția datelor personale, studiul efectuat de Deloitte Legal subliniază că jurisdicțiile din Europa Centrală și de Est au introdus deja reglementări naționale în legătură cu aplicarea GDPR, în principal legate de prelucrarea de date personale de către angajatori, de instalarea de sisteme de supraveghere video, de consimțământul copiilor în legătură cu serviciile online. De asemenea, țările cuprinse în studiu au adoptat reglementări în sectorul bancar și al asigurărilor, precum și în legătură cu prelucrarea datelor biometrice.
Polonia conduce detașat în ceea ce privește numărul de încălcări ale securității datelor sesizate autorităților naționale, cu aproximativ 2.000 de notificări, urmată de Cehia (626), România (398), Ungaria (380), Lituania (93) și Bulgaria (33).
„GDPR a adus schimbări majore pentru orice entitate care prelucrează date cu caracter personal, iar companiile din România din diferite industrii au făcut eforturi semnificative pentru identificarea zonelor principale de risc și pentru a se asigura că sunt conforme cu prevederile regulamentului. Vedem în continuare în rândul clienților noștri o preocupare continuă pentru creionarea proceselor interne și adaptarea documentației specifice de conformare, inclusiv în ceea ce privește pregătirea și instruirea angajaților”, a adăugat Georgiana Singurel.