Serviciul este pentru operatori de date (companii, ONG-uri, instituții) care au primit sancțiuni ANSPDCP sau se află într-o investigație și vor să gestioneze corect atât partea litigioasă, cât și măsurile de conformare. Lucrăm pe documente concrete: actul autorității, corespondența, politicile interne, evidențe, incidente, astfel încât poziția ta să fie coerentă și verificabilă.
Când ai nevoie de asta
- Ai primit o sancțiune ANSPDCP (amendă, avertisment, măsuri corective) în legătură cu GDPR.
- Ai primit solicitări de informații și nu e clar ce trebuie transmis și cum.
- Există un incident de securitate și vrei să limitezi riscurile juridice și operaționale.
- Ți se impută lipsa temeiului legal, informări incomplete sau consimțământ nevalid.
- Ți se impută probleme de securitate (acces, parole, logare, backup, drepturi de acces).
- Ai prelucrări prin furnizori (împuterniciți) și există discuții despre contracte și măsuri.
- Ai nevoie de un plan de remediere care să fie practic și ușor de probat ulterior.
- Vrei să pregătești poziția pentru instanță fără să blochezi operațiunile curente.
Ce facem concret
- Analizăm actul ANSPDCP (decizie/proces-verbal) și documentele din investigație.
- Stabilim cronologia: prelucrări, fluxuri de date, incidente, comunicări, măsuri luate.
- Identificăm obligațiile relevante raportat la speță (GDPR, lege națională aplicabilă, proceduri ANSPDCP).
- Construim strategia: contestare în instanță, obiective, probatoriu, delimitarea riscurilor.
- Redactăm contestația/cererea și anexele probatorii (politici, registre, contracte, dovezi tehnice).
- Pregătim un plan de conformare: măsuri tehnice și organizatorice, responsabilități, termene interne, dovezi.
- Gestionăm corespondența și comunicările astfel încât să fie consecvente și verificabile.
- Reprezint în instanță și coordonez, dacă e necesar, colaborarea cu IT/forensic sau DPO extern.
Documente/informații utile pentru prima analiză
| Document | De ce contează | Observații |
|---|---|---|
| Actul ANSPDCP + anexe | Definește faptele, temeiurile și măsurile | Trimite și dovada comunicării |
| Corespondența cu ANSPDCP | Arată solicitări, răspunsuri și termene | Emailuri, adrese, numere de înregistrare |
| Registrul activităților de prelucrare | Clarifică scopuri, temeiuri, categorii de date, destinatari | Dacă lipsește, indică ce evidențe există |
| Politici & informări (privacy notice, cookie, securitate) | Relevante pentru conformare și pentru apărare | Trimite versiuni și datele de publicare |
| Contracte cu împuterniciți (DPA, anexe securitate) | Delimitează roluri și măsuri | Include clauze despre audit, subîmputerniciți |
| Incident/breach: raport intern, loguri, timeline | Probează ce s-a întâmplat și ce măsuri au fost luate | Fără date inutile, cu trasabilitate |
| DPIA/analize de risc (dacă există) | Arată evaluarea prealabilă și deciziile | Trimite versiuni și concluzii |
| Proceduri interne (acces, parole, backup, training) | Probează măsuri tehnice și organizatorice | Include evidențe de training și aprobări |
Riscuri și greșeli frecvente
- Răspunsuri către autoritate fără cronologie clară și fără documente suport.
- Confuzia între roluri (operator vs împuternicit) și responsabilități contractuale.
- Politici și informări necorelate cu practica reală de prelucrare.
- Transmiterea de informații excesive fără filtrare (risc de expunere inutilă).
- Lipsa dovezilor tehnice pentru măsurile invocate (loguri, proceduri, audit).
- Întârzierea implementării măsurilor corective după sancțiune sau după incident.
- Plan de conformare generic, fără responsabilități și dovezi măsurabile.
Întrebări frecvente
Pot contesta sancțiunea și să implementez măsuri corective în paralel?
De multe ori, da. Contestarea vizează temeiurile și proporționalitatea pe speță, iar conformarea reduce riscul pe viitor și ajută la controlul operațional.
Ce înseamnă „măsuri corective” în practică?
Pot include proceduri, securitate, informări, contracte cu împuterniciți, organizarea răspunsului la incidente și responsabilități interne. Le adaptăm la fluxurile tale reale.
Cum abordăm un incident de securitate?
Documentăm faptele, deciziile și măsurile luate, fără speculații. Corelăm eventualele notificări/comunicări cu evidențe tehnice relevante.
Ce rol are registrul activităților de prelucrare?
Ajută la clarificarea scopurilor, temeiurilor, categoriilor de date și a măsurilor. Dacă lipsește sau e incomplet, îl reconstruim în mod coerent.
Contează relația cu furnizorii (împuterniciți)?
Da. Contractele, anexele de securitate și drepturile de audit pot fi esențiale, mai ales când incidentul sau prelucrarea implică un furnizor.
Se poate construi un plan de conformare realist?
Da. Lucrăm pe priorități, risc practic și resurse disponibile, cu măsuri tehnice și organizatorice care pot fi dovedite ulterior.
Ce probe sunt utile în instanță?
Actul ANSPDCP, corespondența, politici aplicabile, registre, contracte și dovezi tehnice relevante, toate corelate într-o cronologie consistentă.
Contact
Informațiile sunt generale și nu înlocuiesc consultanța juridică. Contează faptele, actele și cronologia.
Linkuri interne relevante
Surse
- Regulamentul (UE) 2016/679 (GDPR)
- Legea nr. 190/2018 privind măsuri de punere în aplicare a GDPR
- ANSPDCP – Legea nr. 190/2018 (resurse)
- Legea nr. 506/2004 (viața privată în comunicații electronice)
- Ordonanța Guvernului nr. 2/2001 privind regimul juridic al contravențiilor
- ANSPDCP – Procedura de soluționare a plângerilor (document)
- ANSPDCP – Sancțiuni aplicate în baza GDPR (informativ)