Lista Amenzi GDPR 2020
Anul 2020 a consolidat, în România, practica de control și sancționare în baza Regulamentului General privind Protecția Datelor (GDPR), confirmând că aplicarea normelor nu mai este doar teoretică, ci are consecințe concrete pentru operatorii și persoanele împuternicite care prelucrează date cu caracter personal.
Pe parcursul acestui an, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a continuat să investigheze plângeri și incidente, aplicând sancțiuni pentru abateri recurente precum: prelucrarea fără temei legal, securitate tehnică și organizatorică insuficientă, obținerea unui consimțământ nevalid, informare incompletă a persoanelor vizate sau nerespectarea drepturilor prevăzute de GDPR (acces, opoziție, ștergere etc.).
În continuare, vei găsi lista amenzi GDPR 2020, structurată astfel încât să poți identifica rapid entitățile sancționate, cuantumul amenzilor și motivele invocate de autoritatea de supraveghere. Această lista amenzi GDPR 2020 este utilă atât pentru conformare (identificarea riscurilor tipice), cât și pentru înțelegerea direcțiilor de control și a tipurilor de încălcări sancționate în practică.
Lista amenzi GDPR 2020 în România
1. Qualitance QBS S.A. – 1000 euro – Decembrie 2020
GDPR-ul se aplică tuturor prelucrărilor de date cu caracter personal (excepție fiind cele prevăzute de Regulament), chiar și celor din faza de recrutre a personalului. Astfel, operatorii sunt nevoiți să ia măsuri privind protejarea datelor cu caracter personal ale candidaților încă din perioada recrutării.
Lipsa unor astfel de măsuri, va atrage sancțiuni așa cum și operatorul Qualitance QBS SA a fost sancționat cu 1000 euro datorită faptului că a trimis prin email o informare către 295 de candidați (persoane care și-au oferit datele prin intermediul website-ului operatorului sau diverse aplicații online), devzăluind adresele de email și către ceilalți destintatari (atenție la CC și BCC atunci când trimitem emailuri!).
Care a fost încălcarea? Ei bine compromiterea confidențialității datelor, orice operator având obligația de a implementa măsurit tehnice și organizatorice adecvate (art. 32).
Ce este însă interesant este faptul că ANSPDCP a transmis operatorului că este obligația acestuia să instruiască în mod REGULAT persoanele care lucrează sub autoritatea acestuia, fie că vorbim de angajați fie că vorbim de colaboratori!
2. ING Bank N.V. Amsterdam – Sucursala București – decembrie – 3000 euro
De fiecare dată când avem solicitări din partea persoanelor vizate cu privire la încetarea anumitor prelucrări sau rectificarea anumitor date, este bine să le luăm foarte în serios. O astfel de situație este cea de la ING Bank – Sucursala București, care primise la data de 24.11.2017 o solicitare de închidere a contului curent.
Datorită unei erori de sistem, această cerere de închidere a contului însă, nu a avut ca efect închiderea relației de afaceri cu operatorul, păstrându-se activ statusul contului.
Sesizând autorității această situație, aceasta a constatat că a avut loc o prelucrare de date lippsită de temei legal, prelucrându-se astfel adresa de email, numele și prenumele și data de expirare a cărții de identitate.
Pentru aceasta operatorul a aplicat o amendă de 3000 euro.
3. S.C. C&V Water Control S.A. – 2000 euro – Noiembrie 2020
Lipsa comunicării informațiilor solicitate către ANSPDCP este din nou sancționată. De data aceasta este vorba de suma de 2000 de euro operatorului S.C. C&V Water Control S.A. pentru că nu a dat curs solicitării autorității.
Totodată, operatorului i-a fost aplicată și măsura corectivă de a transmite toate informațiile solicitate anterior.
4. Banca Transilvania SA – 100.000 euro – Noiembrie 2020
Poate cea mai meditatizată amendă a anului 2020 vine chiar înainte de Crăciun.
Ce s-a întâmplat? Un client, obosit de formularistica băncii, a completat într-un mod aparte, amuzant pentru angajații băncii declarația cu privire la modul în care clientul intenționează să folosească suma împrumutată (85.000 euro).
Atașat găsiți declarația clientului
Amuzându-se de această situație, unul din angajații băncii a distribuit-o pe emailul colegilor de serviciu. Ulterior altul dintre angajați a listat emailul care conținea această declarație dar și conversația internă între aganajații operatorului. Un al treilea angajat a fotografiat cu telefonul mobil înscrisul listat și l-a distribuit prin aplicația WhatsApp cunoscuților. De aici, în foarte scurt timp înscrisul a fost postat și distribuit pe Facebook și pe un website.
Toată această situație a ajuns înapoi în fața clientului care s-a declarat foarte nemulțumit de situație întrucât a condus la dezvăluirea și accesul neautorizat al datelor sale cu caracter personal dar și a angajaților băncii : nume, prenume, email, date comportamentale, preferințe personale, valoarea tranzacției, adresa locului de muncă, funcție, număr de telefon.
Aflând despre incident, operatorul a luat imediat poziție cu privire la acest eveniment, însă, nu a fost suficient pentru a evita sancțiunea de 100.000 euro.
Sesizată ANSPDCP, a demarat o investigație la Banca Transilvania și a constatat că operatorul nu a luat suficiente măsuri pentru a se asiura că salariații acesteia, care au acces la date cu caracter personal nu prelucrează date decât la cererea băncii. Totodată, Autoritatea menționează că această dezvăluire produsă în spațiul public dovedește INEFICIENȚA instruirii angajaților privind respectarea normelor de protecție a datelor cu caracter personal!
În ceea ce privește prejudiciile produse, Autoritatea ne spune că dezvăluirea a generat o serie de prejudicii de natură morală persoanei vizate precum și alte dezavantaje semnificative de natură economică sau socială pentru eprsoana afectată de producerea acestui incident de securitate!
5. Vodafone România S.A. – noiembrie – 4000 euro
Un lucru este cert: ANSPDCP aplică tot mai multe sancțiuni pentru lipsa răspunsurilor solicitărilor – fie că este vorba de Autoritate fie că este vorba de solicitările persoanelor vizate.
Un astfel de caz este și cel al Vodafone, care deși nu este la prima amendă pe care a primit-o, în data de 04.11.20 Autoritatea a finalizat o investigație prin care a amendat operatorul cu 4000 euro sau 19468,8 lei.
Ce s-a întâmplat? Din informațiile primite aflăm că o persoană a depus plângere că nu i s-a oferit răspuns unor cereri de exercitare a drepturilor de acces și de ștergere. Acest lucru a fost probat pe parcursul investigației când Vodafone nu a putut face dovada solicitării acestor cereri.
Ce înțelegem de aici? Așa cum am menționat și în alte cazuri, este nevoie să se trateze cu maximă seriozitate toate solicitările pe care le primim, cu privire la protecția datelor cu caracter personal și a vieții private.
6. DADA CREATION S.R.L. – 5000 euro – Noiembrie 2020
Lipsa măsurilor tehnice și organizatorice pot atrase sancțiuni mari pentru un o mică afacere de tipul magazin online. Putem vedea acest lucru din investigația demarată de Autoritatea Națională de Supraveghere la operatorul DADA CREATION S.R.L.
Ce s-a întâmplat? A fost reclamat următorul fapt: prin website (magazin online https://botezdepoveste.ro/) operatorul a făcut publice o serie de înregistrări detaliate ale tranzacțiilor recepționate, astfel următoarele date ale clienților (persoane fizice) au fost expuse: e-mail, numere de telefon, nume și prenume clienți (persoane adulte și minori), vârstă minori, adrese de livrare, număr comandă, suma totală a comenzii, produsele comandate și data efectuării comenzii.
În total vorbim de 1091 de persoane vizate (persoane fizice) ale căror date au fost divulgate și expuse unui acces neautorizat!
De ce s-a ajuns la această situație? Autoritatea ne menționează că această încălcare a securității datelor a fost posibilă datorită faptului că operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării.
Ce sancțiuni au fost aplicate? Pentru cele menționate mai sus ANSPDCP a aplicat o amendă în cuantum de 24.272,50 lei echivalentul a 5.000 euro, în baza art. 32 alin. (1) și (2). Poate ne gândim că nu este o amendă uriașă însă, raportată la cifra de afaceri pe anul 2019 (103.494 euro) și la profitul net de 7.317 euro (conform https://www.risco.ro/en/verifica-firma/dada-creation-cui-36446498), vorbim de o amendă aplicată pe o sumă de 5,1% din cifra de afaceri!
Totodată operatorului i-a fost aplicat un avertisment întrucât nu a notificat Autoritatea acest incident de securitate (aceasta aflând de el dintr-o altă sursă), încălcând prevederile art. 33 din RGPD.
Nu în ultimul rând, așa cum era de așteptat, operatorului i s-a aplicat și măsura corectivă de revizuire și actualizare a măsurilor tehnice și organizatorice pentru a fi evitate evenimente similare pe viitor.
7 Amendă Globus Score SRL – Septembrie 2020
Dacă ne gândim că poate odată amendată o companie, este mică probabilitatea ca acest lucru să se întâmple (afară de cazul în care este vorba de o companie foarte mare), ei bine ANSPDCP ne arată că acest lucru se poate întâmpla:
Compania de publicitate Globus Score SRL (doi anajați conform informațiilor publice), a fost amendată în toamna anului trecut – noiembrie 2019, pentru că nu au transmis în scris toate informațiile solicitate ANSPDCP.
Același lucru însă se întâmplă și anul acesta când operatorul, din nou nu a dus la îndeplinire măsura corectivă dispusă de a furniza informațiile cerute de ANSPDCP.
Pentru aceasta Autoritatea a sancționat compania cu 2000 euro și a făcut menționea că se aplică și măsura corectivă de a transmite toate informațiile solicitate cu mențiunea că se poate aplica o amendă de până la 4% din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior (art. 83 alin. 5 lit. e).
În concluzie, recomandăm tratarea cu cea mai mare seriozitate a solicitărilor venite atât din partea persoanelor vizate cât și din partea ANSPDCP.
8. S.C. Marsorom S.R.L. – 3000 euro – Octombrie 2020
Poate avem o mică afacere, într-o localitate mică și ne gândim că mai putem amâna implementarea standardului R.G.P.D. în firmă, ori că ne permitem scăpări pentru că Autoritatea e din București și are suficienți operatori mari de care să se ocupe, ei bine o nouă investigație ne arată contrariul.
Este vorba de o investigație finalizată de ANSPDCP la S.C. MARSOROM S.R.L., un operator care comercializează anvelope. Ce s-a întâmplat? O persoană vizată a sesizat către Autoritate că pe website-ul operatorului puteau fi văzute unele date cu caracter personal de ale clienților acestuia. În mod evident, o astfel de divulgare neautorizată de date (a persoanelor care au plasat comenzi), nu corespunde normelor prevăzute de Regulament.
Pentru acest motiv, cu ocazia investigației, Autoritatea a constatat că operatorul nu a luat suficiente măsuri de securitate care să prevină accesarea și divulgarea datelor. Pentru acest motiv a aplicat o amendă de 14574,9 lei (3.000 euro).
Totodată, Autoritatea a recomandat următoarele: să stabilească o perioadă de stocare mai scurtă a datelor personale aferente conturilor clienților pentru respectarea principiului limitării stocării.
9. Asociația de proprietari Militari R – 2000 euro – Octombrie 2020
Asociațiile de proprietari sunt în vizorul Autorității și alte aspecte decât cele întâlnite până acum: utilizarea neconformă a sistemelor de supraveghere CCTV, lipsa informării etc. De data aceasta, Asociația de proprietari Militari R a fost sancționată pentru că nu a oferit răspuns solicitărilor A.N.S.P.D.C.P.
Cazul de față, privește o plângere depusă de persoana vizată care a reclamat faptul că nu i s-a răspuns la cererea trimisă asociației de proprietari. Ca urmare a solicitărilor de clarificări venite din partea Autorității, asociația nu a oferit răspuns nici de această dată.
Pentru acest motiv, a fost aplicată o amendă de 9.659 lei (2000 euro) operatorului și obligația de a da răspuns adreselor în termen de 5 zile.
10. Megareduceri TV S.R.L. – Octombrie 2020 – 3000 euro
La data de 01.10.2020 ANSPDCP ne anunță că a finalizat încă o investigație asupra operatorului MEGAREDUCERI TV S.R.L. care a avut ca obiect cercetarea faptului că operatorul a trimis mai multe sms-uri pe telefon cu privire la serviciile website-ului www.reducereazi.ro unor persoane care nu și-au exprimat consimțământul în acest sens.
Totul a început de la plângerile depuse de mai mulți petenți în sensul precizat mai sus, Autoritatea a demarat investigația, a solicitat o serie de clarificări cărora nu li s-a dat curs (nu a răspuns adreselor)! Pentru acest fapt, s-a aplicat o amendă de 14.519 lei (3000 euro) dar și măsura corectivă de a oferi răspuns în termen de 5 zile calendaristice.
11. Amendă Sănătatea Press Groul S.R.L. – Septembrie 2020 – 2000 euro
Domeniul medical a ajuns și în atenția ANSPDCP prin Sănătatea Press Groul S.R.L. care a fost sancționată cu 2000 euro = 9671,40 lei pentru că o încălcare a securității datelor.
Despre ce este vorba?
Cauza: Ca urmare a notificării operatorului, Autoritatea finalizat o investigație în luna august prin care a constatat că acesta nu a reușit să garanteze un nivel ridicat de securitate și confidențialitate a datelor.
Specific: Operatorul a organizat un eveniment online cu aproximativ 1300 de persoane vizate, pentru care a transmis în mod eronat datele de logare: email și nume utilizator. Practic s-au trimis alte adrese de email decât cele cu care își creaseră cont pe platforma electronică.
Temei legal încălcat: ANSPDCP a menționat că a fost încălcat astfel art. 5 alin. (1) lit. f) raportat la art. 32 alin. (1) și (2) din RGPD, operatorul având obligația de a prelucra datele într-un mod prin care este asigurată securitatea datelor inclusiv împotriva prelucrării neautorizate, cum a fost cazul de față.
Alte măsuri: Nu au fost recomandate măsuri care trebuie luate de către operator.
Concluzie: Eroarea este umană. Cu toate acestea Autoritatea ne spune că atunci când prelucrăm date, mai ales atunci când este vorba de baze de date este foarte important să fim extrem de atenți la felul în care le gestionăm, pentru că altfel, vom fi sancționați.
12. Compania Națională Poșta Română – 2000 euro – iulie 2020
Securitatea datelor este o problemă des întâlnită în rândul operatorilor. În acest sens, nici companiile de stat nu fac excepție de la aplicarea amenzilor, astfel Poșta Română a primit o amendă de 2000 euro.
Cauza: Compania Națională Poșta Română a constatat că a încălcat principiul securității datelor prevăzut de art. 32 din GDPR și astfel a notificat acest lucru ANSPDCP.
Specific: Operatorul Poșta Română a fost sancționat deoarece nu a luat suficiente măsuri pentru a preveni accesul ilegal / neautorizat la date cu caracter personal, în speță este vorba de adrese de email și numere de telefon, de pe platforma AWB a poștei. (www.awb.posta-romana.ro) ceea ce a dus la compromiterea a 81 de persoane vizate.
Temei legal încălcat: Temeiul legal încălcat este art. 32 din GDPR, în concret operatorul nu a implementat măsuri tehnice și organizatorice, cum ar fi pseudonimizarea datelor, atât în momentul stabilirii mijloacelor de prelucrare cât și ulterior în momentul prelucrărilor.
Concluzie: Este foarte important ca atunci când gândim o nouă procedură, dezvoltăm un soft intern sau o aplicație să respectăm principiile prevăzute de Regulament, în mod aparte privacy by design. În acest fel ne putem asigura că evităm eventualele sancțiuni și nu vom fi nevoiți să remodelăm acea procedură, soft, sau aplicație dezvoltat.
13. S.C. Viva Credit IFN S.A. – 2000 euro – iulie 2020
ANSPDCP a finalizat o nouă investigație care s-a concretizat într-o amendă de 2000 euro pentru încălcarea unor norme aparte! Despre ce este vorba?
Cauza: Operatorul S.C. Viva Credit IFN S.A. a fost sancționat întrucât nu a dat curs cererii petentului.
Specific: Persoana vizată și-a exprimat dreptul de ștergere printr-o solicitare adresată operatorului. Acesta însă nu a dat curs, mai mult nu a transmis nici o informație referitoare la acțiunile întreprinse în urma cererii în cel mult o lună (sau maxim 3 luni, prezentând și motivele întârzierii).
Se prea poate ca operatorul să fi comunicat pe altă cale răspunsul? Tot ce se poate, însă ANSPDCP a constatat că nu a comunicat răspunsul la adresa de contact (email) sau la adresa de domiciliu existentă în evidențele sale.
Temei legal încălcat: În acest sens s-a încălcat obligația GDPR din art. 12 alin (3) și (4) – care prevede termenul de o lună (atenție, nu 28,29, 30 sau 31 zile!) și informarea care trebuie făcută.
Alte măsuri: De ce îți e frică nu scapi, zice vorba din popor. Autoritatea de supraveghere a obligat operatorul, în ciuda amenzii aplicate să ofere răspuns petentului la cererea depusă în termen de 5 zile de la comunicarea procesului verbal.
Concluzie: Atunci când avem de a face cu o solicitare din partea persoanei vizate, este recomandat să acționăm cu maximă responsabilitate și promptitudine.
14. SC CNTAR TAROM SA – 5000 euro – iulie 2020
La începutul lunii iulie 2020 ANSPDCP a finalizat o investigație demarată ca urmare a unei notificări privind încălcarea securității datelor tocmai de către operator!
Cauza: Operatorul a raportat un incident la Autoritate, incidentul privind încălcarea securității datelor.
Specific: accesul neautorizat la datele a cinci pasageri TAROM și divulgarea neautorizată a acestor date au constituit principalele cauze pentru care operatorul a fost amendat. Astfel, s-a adus atingere confidențialității datelor prin lipsa măsurilor tehnice și organizatorice adecvate din partea operatorului. În acest sens datele au fost prelucrate de către unul din angajații operatorului cu nerespectarea normelor mai sus amintite.
Temei legal încălcat: art. 32 alin. (4), art. 32 alin. (1) lit. b) și alin. (2) din Regulamentul General privind Protecția Datelor.
Alte măsuri: Ca de cele mai multe ori, Autoritatea a aplicat și alte măsuri suplimentare precum cea de actualizare și revizuire a procedurilor de lucru existente și mai mult decât atât a îndemnat spre instruirea periodică a angajaților.
Ce concluzie putem trage din această amendă? Ei bine că în ciuda faptului că numărul persoanelor vizate este mic (5 – cinci) ANSPDCP are în vedere și alte coordonate atunci când individualizează pedeapsa (precum nivelul de intruziune în viața privată a omului, măsurile luate de operator pentru limitarea riscurilor, nivelul de expunere a datelor cu caracter personal divulgate și alte asemenea.
p.s. Într-o logică naturală a lucrurilor, raportându-ne la un număr de câteva sute de mii de persoane vizate într-o pierdere de date suferită de pe urma unui atac cibernetic, putem considera că este justificată, în ochii Autorității, amenda anunțată de ICO pentru British Airways de peste 183 mld. Lire sterline.
15. Proleasing Motors – 15.000 euro – iulie 2020
În luna iunie 2020 ANSPDCP a finalizat o nouă investigație prin care a aplicat o amendă care cuprinde următoarele specificități:
Cuantum: 15.000 euro = 72.642 lei
Cauza: Investigația a fost cauzată de trimiterea de către operator a unei notificări privind încălcarea securității datelor cu caracter personal prin completarea unui formular. Practic, operatorul s-a denunțat privind acest incident, și cu toate acestea, a fost sancționat.
Specific: Operatorul a organizat un concurs online pe Facebook pentru a atrage clienții la service-ul auto. În acest context a fost postat un document cu o captură din codul sursă al website-ului în care era inclusă și parola de acces la formularele completate de participanții la concurs.
Situația a expus în acest fel un număr de 436 clienți a operatorului prin vizualizarea și accesul neautorizat la date.
Temei legal încălcat: art. 32 RGPD – Securitatea Datelor
Motivarea sancțiunii: operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului existent.
Ce mai cunoaștem este că ANSPDCP a pus în vedere operatorului să ia măsuri prin care astfel de situații să fie evitate pe viitor. În acest sens, Autoritatea a prevăzut adaptarea procedurilor de lucru interne ale operatorului, în mod specific acele proceduri care privesc comunicările în mediul online.
16. Enel Energie Muntenia SA – 4000 euro – mai 2020
După o amendă de 3000 euro în decembrie 2019, o alta tot de 3000 euro în martie 2020, ANSPDCP ne anunță că a aplicat S.C. Enel Energie Muntenia S.A. o amendă de 4000 euro (19368,4 lei) pentru că a încălcar prevederile Regulamentului General privind Protecția Datelor.
Amenda privește un caz de încălcare a securității și confidențialității datelor cu caracter personal prin transmiterea eronată unui client, a unor documente ce conțineau datele altui client. Persoana vizată care a suferit această intruziune în viața privată a depus o plângere iar ca urmare s-a demarat o investigație.
Autoritatea, a constatat gravitatea faptelor și a aplicat amenda sus meționată, iar pe lângă aceasta, a impus operatorului implementarea unor măsuri adecvate și eficiente (foarte important, deci nu doar formale) pentru a se evita pe viitor astfel de situații.
17. Telekom România Communications SA – 3.000 euro – aprilie 2020
Este pentru a doua oară când Telekom este sancționată și întâmplarea face ca să fie vorba de încălcarea aceluiași principiu – al exactității datelor. Dacă la amenda trecută – cu numărul 16 în listă – a fost vorba de trimiterea unor facturi la adrese de corespondență greșite, de data aceasta lucrurile sunt mai grave.
Astfel, ca urmare a unei plângerii depuse de persoana vizată, ANSPDCP a demarat o investigație cu privire la utilizarea în mod fraudulos / ilegal a datelor cu caracter personal, la încheierea unor contracte pe numele acesteia. Se pare că persoana vizată era abonat al Telekom, exista un contract preexistent, însă datele din contract i-au fost luate (încălcând astfel normele cu privire la securitate art. 32 din GDPR), fără a fi verificate corectitudinea acestora și s-au contractat alte servicii.
Ce putea face mai mult operatorul și nu a făcut? Ei bine Autoritatea constată că nu a luat măsuri de securitate suficiente care să includă verificarea exactității datelor colectate telefonic (la distanță) atunci când s-au încheiat contractele. Practic a fost o scăpare procedurală și o eroare umană la mijloc.
Astfel, s-a aplicat o amendă de 3.000 euro = 14524.2 lei, dar două măsuri corective importante: implementarea unor proceduri eficiente de identificare la distanță a persoanelor și măsura instrurii regulate / periodice a respectării normelor aplicabile GDPR. Scopul acestor măsuri este de a împiedica ca pe viitor să se mai petreacă astfel de prelucrări ilegale și dezvăluiri neautorizate de date cu caracter personal.
18. Estee Lauder România SRL – 3.000 euro – aprilie 2020
Prelucrările de date excesive sau lipsite de temei legal au fost sancționate și în perioada pandemiei. Astfel, operatorul Estee Lauder România SRL (domeniul produselor cosmetice) a fost sancționat cu 3.000 euro = 14483,4 lei pentru că a colectat și dezvăluit în mod ilegal date printre care: numele, prenumele, numărul de telefon, data nașterii și informații privind starea de sănătate a unei persoane vizate.
Bineînțeles, la plângerea depusă de această persoană vizată, Autoritatea a demarat o investigație pentru a analiza conformitatea cu GDPR-ul și a constatat toate cele menționate mai sus.
Un aspect important care reiese din decizia Autorității, lucru valabil pentru toți operatorii din România este instruirea în mod periodic a personalului în domeniul protecției datelor și a vieții private. Instruirile după cum reiese din comunicat trebuie să aibă o componentă practică ridicată, fiind analizate / dezbătute fiecare situație de prelucrare de date pentru a se e diminua riscurile și astfel încălcările.
19. AMENDĂ BCR – WHATSAPP – 5000 euro – aprilie 2020
FINALIZARE cercetare: 14.04.2020 – APRILIE
Whatsapp-ul este de cele mai multe ori o binecuvântare pentru mulți dintre noi pentru că putem comunica mai ușor, mai eficient, mai util. Putem să ne scriem mesaje, trimite fotografii sau înregistrări vocale. Putem să îl accesăm de pe telefon sau de pe laptop sau calculator cu opțiunea Web. Astfel, Whatsapp-ul a apărut chiar și în comunicările profesionale, în mediul de afaceri luând forma a diverse grupuri de lucru. Cu toate acestea, specialiștii din protecția datelor de la ANSPDCP ne arată că nu este și un mediu sigur care să garanteze securitatea prelucrărilor. În acest sens, putem vedea o nouă amendă aplicată de Autoritate către Banca Comercială Română (BCR) în cuantum de 5.000 euro sau 24.165.50 lei.
Ce s-a întâmplat? Ei bine, o angajată a operatorului, nerespectând procedura de lucru internă, a colectat copii ale actelor de identitate ale clienților băncii (între care minori și reprezentanți legali) prin intermediul telefonului personal. Folosindu-se de aplicația WhatsApp, a trimis copii ale acestor acte către alte persoane din bancă. Pe de o parte vedem prelucrarea datelor prin intermediul telefonului personal, care ridică probleme, pe de alta, comunicarea prin WhastApp. Această situație bineînțeles a nemulțumit anumite persoane vizate, care au depus plângere la ANSPDCP.
Ce a constatat Autoritatea? Odată demarată ancheta, Autoritatea constată că responsabilitatea securității datelor o are operatorul, adică BCR și că acesta nu a implementat măsuri adecvate în vederea asigurării unui nivel de securitate corespunzător cu riscul prelucrării (folosirea telefoanelor personale + folosirea Whatsapp). Totodată, ANSPDCP a constatat că BCR nu a luat măsuri pentru a se asigura că orice angajat care acționează sub autoritatea bănncii și bineînțeles, prelucrează date, nu o face decât la cererea operatorului!
Temeiul legal? În acest sens, pentru încălcarea prevederilor art. 32 alin. (4) coroborat cu art. 32 alin. (1) și alin. (2) din Regulamentul General privind Protecția Datelor, referitoare la securitatea prelucrărilor, s-a aplicat amenda sus menționată.
20. Vodafone România – 20.000 lei – martie 2020
Unul din cele mai importante aspecte pe care trebuie să le avem în vedere atunci când prelucrăm date, este următorul: să fim atenți la ce facem! Datele cu caracter personal sunt proprietatea persoanei vizate. Cu un mic exercițiu de imaginație putem vedea lucrurile altfel: Ți-ai comandat ultimul model de Iphone, te-a costat cam două salarii lunare iar după ce l-ai ridicat din magazin, pe stradă te oprește un cetățean să te roage să îi dai telefonul să se uite cât e ceasul. I-l dai? Nu, îi spui tu cât e ceasul! Mai mergi câțiva pași și o doamnă, de la chioșcul de ziare îți spune că te roagă să îi dai telefonul să facă câteva fotografii la principalele ziare locale, pentru a și le trimite pe WhatsUp. Îl dai? Nu, faci tu pozele! În cele din urmă te oprești să îți cumperi un covrig și vrei să plătești cu noul telefon achiziționat. Cu toate acestea, angajatul covrigăriei, plin de ulei pe mâini, îți cere telefonul să atingă cu el aparatul de înregistrare plăți. Te gândești de două ori, dacă îl ia și având mâinile alunecoase de la ulei îl scapă pe jos și ți se sparge ecranul? Deci suntem atenți cu proprietatea noastră! La fel trebuie să fie fiecare angajat al operatorilor care lucrează cu date cu caracter personal în mod curent.
Lipsa atenției, simpla greșeală costă mult, după cum ne arată o sancțiune aplicată operatorului Vodafone România, în valoare de 20.000 lei. O petentă s-a adersat autorității printr-o sesizare spunând că are suspiciuni că datele sale cu caracter personal ar fi putut fi dezvăluite unei terțe persoane, lipsite de interes. Ce s-a întâmplat? Într-una din zile, tastând telefonul, a intrat pe website-ul Vodafone și a cerut o ofertă, însă, ulterior a primit pe adresa de email un contract încheiat între Vodafone și o altă persoană vizată. Acest fapt i-a ridicat întrebări dar și suspiciunea că datele sale personale ar fi fost dezvăluite unei persoane, petrecându-se la mijloc o confuzie, o eroare!
Efectuând o investigație, Autoritatea a constatat că într-adevăr, lucrurile s-au petrecut întocmai iar operatorul nu a luat măsuri suficiente de securizare și de protecție a datelor și nici de garantare a confidențialității acestor date.
21. Dante International SA (Emag) – 3000 euro – martie 2020
Dacă încă nu ne-am convins că nu putem face comunicări comerciale, spre exemplu, nu putem trimite newsletter unei persoane care s-a dezabonat de la această opțiune, ANSPDCP vine să ne confirme acest lucru! În acest sens, ca urmare a unei sesizări, operatorul Dante International SA a fost sancționat cu 3000 euro sau 14.420,4 lei pentru că nu a respectat prevederile referitoare la legalitatea prelucrării.
Despre ce e vorba?
Ei bine, orice persoană vizată are dreptul de a se opune prelucrărilor de date cu caracter personal atunci când datele sunt prelucrate în scop de marketing direct. Astfel, nerespectarea acestei dorințe, plasează prelucrarea în sfera ilegalității, iar în cazul în care persoana vizată se decide să raporteze acest fapt, cu Autoritatea de Supraveghere va acționa prompt, aplicând amendă dar și măsuri corective!
22. Enel Energie Muntenia SA – 3000 euro – martie 2020
O situație aparte o privește comunicările electronice pe email și atenția pe care trebuie să o acordăm atunci când trimtem un email. Uneori suntem grăbiți, alteori obosiți sau pur si simplu ni se întâmplă să fim neatenți, să compunem un email și să greșim numele destinatarului sau să introducem o adresă greșită iar emailul nostru să ajungă la altcineva. Fiecăruia dintre noi ni s-a întâmplat acest lucru, însă ANSPDCP ne arată foarte clar că dacă o astfel de comunicare presupune o divulgare de date nepermisă, operatorul va fi sancționat.
Acesta este cazul operatorului Enel Energie Muntenia SA, care a fost sancționat ca urmare a unei investigații declanșate la sesizarea unui client. Clientul, vătămat în drepturile sale, depunând dovezi, adresează Autorității o plângere prin care prezintă în ce fel i s-a adus atingere drepturilor. Constatând veridicitatea lucrurilor ANSPDCP a aplicat o amendă de 3000 euro sau mai specific de 14.423,7 lei pentru că într-adevăr unul din angajații operatorului a trimis la o adresă greșită: numele și prenumele, adresa, emailul, codul de client și codul eneltel unui alt client!
23. Asociația ,,SOS Infertilitatea” – 2000 euro – martie 2020
Ceea ce știm cu toții este că dezvăluirea de date cu caracter personal este strict interzisă, atât timp cât nu avem un temei legal al acestei dezvăluiri. Așa s-a întâmmplat și în cazul Asociației ,,SOS Infertilitatea”, împotriva căreia o persoană vizată a depus o sesizare pentru că ar fi dezvăluit date cu caracter personal fără consimțământul său.
Ca urmare a obligației de verificare a informațiilor ANSPDCP a contactat telefonic președintele asociației, care a cerut ca astfel de solicitări să se facă pe o anumită adresă de email. Cu toate acestea, operatorul nu a dat nici un fel de curs solicitării!
Pentru această nerespectare, ANSPDCP a aplicat o amendă de 2000 euro, sau mai exact 9529,2 lei.
24. Vodafone S.A. – amenda 3000 Euro – Martie 2020
ANSPDCP ne informează că la data de 11.02.2020 a finalizat o nouă investigație prin care a constatat că un cunoscut operator de telefonie mobilă din România, Vodafone România S.A. a încălcat prevederile GDPR.
Care a fost încălcarea? Situația de fapt descrisă de către Autoritate arată în felul următor: o anumită persoană a depus o reclamație la Vodafone, însă datele de pe reclamație au fost preluate în mod greșit de către angajații operatorului. Ca urmare atunci când s-a căutat transmiterea răspunsului către reclamant, emailul a fost trimis către o adresă greșită. Astfel, vorbim despre o persoană vizată, o preluare greșită de informații, un email transmis la o adresă eronată.
Relevanța juridică? Ei bine, GDPR-ul ne obligă să păstrăm datele exacte, sau după caz să le actualizăm dacă se impune și în același timp să luăm măsuri de securitate împotriva prelucrărilor ilegale ale persoanei vizate. Pierderea și transmiterea eronată în acest caz este sancționabilă!
Pentru că în toate aceste situații, responsabilitatea revine operatorului de date, ca urmare a investigației, ANSPDCP a aplicat o amendă de 3.000 de euro sau 13208,8 lei operatorului Vodafone!.
Alături de această măsură, a mai fost aplicată și o măsură corectivă, în concret: de a notifica operatorul sau persoana împuternicită de operator cu privire la încălcare!
În privința soluțiilor propuse pentru a evita pe viitor astfel de situații, Autoritatea a obligat operatorul să ia măsuri suplimentare în procedurile de colectare a datelor, să ia măsurile tehnice și organizatorice potrivite scenariului și să instruiască personalul care prelucrează date la intervale de timp regulate.
În concluzie ce putem învăța din această sancțiune este că fiecare dată cu caracter personal contează, fiecare operațiune este important și orice scăpare a operatorului va fi sancționată.
