Lista amenzi GDPR 2021

Anul 2021 a continuat tendința de maturizare a aplicării GDPR în România, cu verificări mai frecvente și decizii de sancționare care au vizat atât companii private, cât și instituții publice. Pentru operatorii de date, 2021 a confirmat că neconformarea (mai ales pe zona de securitate și temei legal) rămâne un risc real, cu impact financiar și reputațional.

În acest an, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a investigat plângeri, sesizări și incidente de securitate, aplicând amenzi pentru încălcări precum: prelucrarea datelor fără un temei legal corect, măsuri tehnice și organizatorice insuficiente, lipsa transparenței în informarea persoanelor vizate, consimțământ obținut necorespunzător sau nerespectarea drepturilor persoanelor vizate (acces, rectificare, ștergere, restricționare, opoziție).

Mai jos prezentăm lista amenzilor GDPR acordate in 2021, cu informații clare despre entitățile sancționate, valoarea amenzilor și motivele care au stat la baza sancțiunilor. Această lista amenzi GDPR 2021 te ajută să înțelegi tiparele de neconformare sancționate cel mai des și să prioritizezi măsurile de conformare în organizație.

Lista amenzi GDPR 2021 în România

1. Kaufland România SCS – decembrie 2021 – 3000 euro

Utilizarea camerelor de supraveghere video reprezintă unul din cele mai problematice și contestate aspecte din România, întrucât este deseori foarte deranjantă pentru persoanele vizate.

Autoritatea Națională de Supraveghere a finalizat în luna decembrie 2021 o investigație la operatorul Kaufland România SCS și a constatat încălcarea dispozițiilor art. 15 alin. (3) din Regulamentul General privind Protecția Datelor, referitor la dreptul de acces.

O persoană vizată ar trebui să aibă drept de acces la datele cu caracter personal colectate care o privesc și ar trebui să își exercite acest drept cu ușurință, să poată să își primească datele să poată să facă verificări asupra acestora ș.a.

Investigația a fost demarată ca urmare a unei plângeri formulate de o persoană vizată care a reclamat faptul că operatorul nu a furnizat o copie integrală a înregistrărilor video pentru un anumit interval orar în care aceasta a fost în incinta comercială respectivă.

În cadrul investigației efectuate, s-a reținut că reprezintă o obligație a operatorului de comunicare a unei înregistrări video ce conține imagini care privesc persoana vizată, ca urmare a exercitării dreptului de acces de către acesta, iar comunicarea imaginilor se poate efectua de operator prin luarea măsurilor de obturare (”blurare”) a acelor imagini care ar putea să aducă atingere drepturilor și libertăților altor persoane fizice, dacă este cazul. Prin urmare, operatorul era obligat să adopte o serie de măsuri tehnice și organizatorice, pentru a permite deplina exercitare a dreptului de acces al persoanei vizate, cu respectarea, în același timp, a drepturilor altor persoane fizice.

Ca atare, Autoritatea Națională de Supraveghere a constatat că operatorul nu a comunicat complet respectivele înregistrări video solicitate, ceea ce constituie o încălcare a art. 15 alin. (3) din Regulamentul General privind Protecția Datelor. Ca atare, operatorul a fost sancționat contravențional cu amendă în cuantum de 14846,4 lei (echivalentul a 3000 EURO).

2. SC Nobiotic Pharma SRL – decembrie 2021 – 2.000 euro

Iar ai primit un mesaj commercial nesolicitat de tip SMS, fără ați fi dat consimțământul în acest sens? La fel a pățit și persoana fizică din speță, care s-a prevalat de drepturile sale conform Regulamentului General privind Protecția Datelor și a făcut plângere în acest sens la A.N.S.P.D.C.P.

Drept consecință, dat fiind faptul că operatorul SC Nobiotic Pharma SRL nu a dat curs solicitării de informații adresate de A.N.S.P.D.C.P., a fost sancționat contravențional cu amenda în valoare de 2.000 euro pentru neîndeplinirea obligației de furnizare a informațiilor solicitate și necesare A.N.S.P.D.C.P., conform art. 58 alin. (1) din Regulamentul General privind Protecția Datelor.

3. Telekom Romania Communications S.A. – decembrie 2021 – 6.000 euro

Vorba din popor spune că ,,A greși e omenește’’, însă A.N.S.P.D.C.P. spune că greșeala sau eroarea unui operator în ceea ce privește punerea în executare și respectarea prevederilor Regulamentului General privind Protecția Datelor constituie contravenție și se sancționează ca atare.

Mai exact, A.N.S.P.D.C.P. a constatat și a dispus față de operatorul Telekom Romania Communications S.A., următoarele:

• încălcarea 5 alin. (1) lit. d) și f) și alin. (2) din RGPD prin aceea că a colectat și a prelucrat în mod eronat anumite date cu caracter personal inexate și drept consecință a dezvăluit ilegal date personale ale unei persoane fizice către o altă persoană fizică – faptă pe care a sancționat-o contravențional cu amendă în suma de 5.000 euro.
• încălcarea 17 din RGPD prin aceea că nu a adoptat măsurile necesare pentru a da curs cererii de ștergere formulate – faptă pe care a sancționat-o contravențional cu amendă în suma de 1.000 euro.

În mod surprinzător A.N.S.P.D.C.P. face trimitere la considerentul 65 din RGPD conform căruia a reținut că ,,O persoană vizată ar trebui să aibă dreptul la rectificarea datelor cu caracter personal care o privesc şi “dreptul de a fi uitată”, în cazul în care păstrarea acestor date încalcă prezentul regulament sau dreptul Uniunii sau dreptul intern sub incidenţa căruia intră operatorul. (…)’’

Cu privire la prima faptă, eroarea operatorului nu este scuzabilă, fiind determinată de lipsa metodelor eficiente de asigurare a exactității datelor și lipsa unor măsuri adecvate și eficiente de securitate, atât din punct de vedere tehnic (cum ar fi: colectare automatizată a unor date, securizarea transmiterii documentelor și mesajelor prin criptare/parolare), cât și din punct de vedere organizatoric, prin instruirea regulată a persoanelor ce prelucrează date sub autoritatea operatorului.

Cu privire la cea de-a 2-a faptă, aceasta este o consecință a lipsei unor măsuri tehnice și organizatorice adecvate care să garanteze implementarea efectivă și corectă a acestor operațiuni în baza/bazele de date folosite de operator și persoanele împuternicite de acesta, precum și instruirea corespunzătoare a persoanelor care prelucrează date sub autoritatea acestora.

Toate aceste neconformități au fost sancșionate prin dispunerea de către A.N.S.P.D.C.P. a măsurilor corective aferente.

Morala: A greși e omenește, dar a încălca RGPD este contravenție.

4. Societatea Civilă Medicală Policlinica Tommed – decembrie 2021 – 2.000 euro

Fie că a fost vorba de analize de rutină, fie că am avut nevoie de intervenții medicale mai complicate, majoritatea dintre noi, încă de la cea mai fragedă vârstă, am fost cel puțin o dată în viață pacienți. Pe lângă procedura medicală propriu-zisă de care am beneficiat, ne-am confruntat și cu cea administrativă aferentă acesteia.

Ai fost, ești sau vei fi pacient? Știi cum îți sunt prelucrate datele cu caracter personal, în special cele privitoare la sănătatea ta? Cunoști care îți sunt drepturile garantate de Regulamentul General privind Protecția Datelor?

Pacientul din speță avea cunoștiință despre principiile și condițiile prelucrării datelor cu caracter personal. Drept consecință și-a exercitat dreptul conform RGPD sesizând A.N.S.P.D.C.P. cu o plângere împotriva operatorului – Societatea Civilă Medicală Policlinica Tommed pentru dezvăluirea fără drept de către acesta a anumitor date personale (inclusiv de sănătate) ale pacientului său către un alt operator.

În acest sens, în urma investigației efectuate în luna noiembrie 2021, A.N.S.P.D.C.P. a constata încălcarea prevederilor art. 5 alin. (1) lit. a), b) și f) și alin. (2), coroborate cu art. 9 din RGPD, operatorul fiind sancționat contravențional cu amendă în valoare de 2.000 euro. În fapt, s-a reținut că operatorul a dezvăluit respectivele date cu caracter personal fără respectarea principiilor și a condițiilor de prelucrare a datelor personale (inclusiv a celor de sănătate) și fără informarea prealabilă a persoanei implicate.

Mai mult, operatorului i s-a aplicat și măsura corectivă de a asigura conformitatea cu RGPD a operațiunilor de colectare și prelucrare ulterioară a datelor personale – inclusiv, dar fără a se limita la instruirea regulată a persoanelor care prelucrează date sub autoritatea operatorului și implicarea corespunzătoare a responsabilului cu protecția datelor (art. 37-39 RGPD).

5. Valoris Center S.R.L. – noiembrie 2021 – 2000 euro

Persoanele împuternicite pot fi sancționate în mod independent de operator! Acest lucru l-am putut constata în mai multe rânduri, iar sancționarea Valoris Center S.R.L. este ca urmare a raportării operatorului a următorului incident: un angajat call center al Valoris Center S.R.L. (firma care are calitatea de persoană împuternicită față de operator), transmite din eroare un fișier excel conținând date a anumitor clienți ai operatorului (11169) către un client. În acest sens au fost divulgate în mod neautorizat date cu caracter personal precum: nume utilizator, CNP utilizator (ai platformei de Internet Banking), email, număr de telefon, numele și prenumele clientului PINul și codul acestuia.

În acest sens, deși numărul de persoane vizate este mare, probabil pentru că au existat măsuri specifice care s-au luat pentru remedierea situației s-a aplicat o amendă de 2000 euro.

6. Vodafone România S.A. – noiembrie 2021 – 1500 euro + 7000 lei

Vodafone România S.A. este sancționat din nou ca urmare a transmiterii de către acesta a unor notificări privind încălcări de securitate.

Din comunicatul ANSPDCP ce putem constata este că problema de data aceasta a venit ca urmare a accesării de date a angajaților sau a persoanelor împuternicite de Vodafone (în mod specific la contracte) dar și a transmiterii de emailuri la adrese greșite, fiind vorba de 64 de persoane vizate afectate.

Astfel operatorul se pare că nu a luat măsuri tehnice și organizatorice pentru a proteja datele ca doar persoane AUTORIZATE să aibă acces la date și DOAR în scopuri specifice reglementate de normele legale.

Amenzi aplicate: 1500 euro în baza RGPD și 7000 lei în baza Legii nr. 506/2004.

7. S.P.E.E.H. Hidroelectrica S.A. – octombrie 2021 – 5000 euro

Operatorul S.P.E.E.H. Hidroelectrica S.A. a notificat o încălcare a securității datelor în sensul accesării ori divulgării în mod nejustificat, către destinatari eronați a datelor a 325 de persoane. Din nefericire nu avem foarte multe detalii despre acest incident: este vorba de date de facturare, spre exemplu? De date de contact? În ce context au fost divulgate datele? Cu toate acestea ANSPDCP ne comunică că operatorul nu a luat măsurile tehnice și organizatorice adecvate pentru asigurarea unui nivel de securitate corespunzător riscului existent.

Totodată operatorul a fost sancționat cu avertisment deoarece a prelucrat datele a 3 clienți proprii, după ce aceștia și-au exercitat dreptul de a fi uitat (adică și-au retras consimțământul). Posibil să fie vorba de activități de marketing care astfel vedem că au fost sancționate cu avertisment.

8. IKEA ROMÂNIA S.A. – octombrie 2021 – 1000 euro

Vulnerabilitățile platformelor online ne dau bătăi de cap de multe ori. Acesta este și cazul Ikea România care în urma unui incident de securitate este sancționată de către ANSPDCP. Despre ce este vorba? Despre divulgarea neautorizată a unor date precum nume, prenume, vârsta unor minori, email, numere de membru Ikea Family, semnătura ologafă a părintelui / tutorelui legal ș.a. timp de 40 de ore prin platforma Ikea Family. Acest incident a afectat 114 persoane fizice din care jumătate erau minori (ne informează Autoritatea)!

Toată situația a fost posibilă datorită unor formulare de colectare de date pentru participare la un concurs în care se vota cel mai bun desen. Din eroare însă, datele cuprinse în formularele de participare au fost divulgate către alte persoane în mod nejustificat.

9. Glove Technology SRL – octombrie 2021 – 5000 euro

Utilizarea camerelor de supraveghere video reprezintă unul din cele mai problematice și contestate aspecte din România. Acest lucru este cu atât mai deranjant pentru persoanele vizate cu cât există cazuri în care se fac fără nici o informare înregistrări audio-video prin diverse sisteme.

Cel mai recent caz în reprezintă cel al operatorului Glove Technology SRL care a instalat camere de supraveghere audio-video în birourile angajaților (deci la locul de muncă), fără a își duce la îndeplinire obligațiile de legalitate, echitabilitate și transparență (adică nu avea temei legal – nu exista consimțământ, nu a avut un test de proporționalitate și nici nu a făcut informarea persoanelor vizate). Totodată, firma a montat aceste camere audio-video pentru a folosi informațiile colectate la o dată ulterioară, împotriva angajaților.

Astfel ANSPDCP, pe lângă aplicarea unei amenzi de 5000 de euro a pus în vedere operatorului să înceteze orice operațiune de monitorizare prin acest sistem, să șteargă orice evidențe ale înregistrărilor prin sistemul dat cât și să asigure conformitatea sa.

10. Actamedica S.R.L. – 3000 euro – august 2021

Neglijența față de datele cu caracter personal ale unei persoane vizate poate costa 3000 de euro.

Ce s-a întâmplat? Operatorul Actamedica S.R.L. din Târgu Mureș, trimite niște probe biologice printr-un furnizor de servicii de curierat și o sumă de bani către un destinatar. Coletul însă nu ajunge fără a fi deteriorat, destinatarul reclamând acest lucru operatorului. La momentul la care ia cunoștință despre aceasta, operatorul informează persoana vizată cu privire la incident care îi solicită lămuriri despre măsurile luate și dacă a fost notificată ANSPDCP. La aceste întrebări, operatorul Actamedica S.R.L. redirecționează persoana fizică spre avocatul societății și spre firma de curierat spre a își exprima doleanțele. Pe scurt, consideră că nu este vina acestuia.

Din câte ne putem da seama din comunicat, persoana vizată reclamă acest lucru Autorității care în urma investigației aplică o amendă de:

• 2000 de euro pentru încălcarea prevederilor cu privire la selectarea persoanei împuternicite și a măsurilor de protecție și securitate a datelor garantate de aceasta
• 1000 de euro pentru lipsa notificării incidentului și
• Avertisment pentru lipsa de răspuns în conformitate cu obligația R.G.P.D., către persoana vizată.

Ce putem înțelege de aici? Că trebuie să fim foarte atenți ce furnizor de servicii ne alegem atunci când există date cu caracter personal prelucrate prin intermediul acestuia dar și cel mai important, că relația cu persoana vizată trebuie tratată cu cea mai mare atenție!

11. Asociația Asistenței Rutiere A-Car Vaslui – 10.000 lei – August 2021

Prelucrarea datelor minorilor dar mai ales divulgarea acestora în mediul online trebuie să fie făcută de fiecare dată cu mare atenție! Aceasta este lecția pe care o putem învăța din amenda aplicată de ANSPDCP Asociației Asistenței Rutiere A-Car Vaslui. Operatorul, a postat pe website-ul acestuia www.a-carvaslui.ro date cu caracter personal ale unor minori fără a avea temei legal. Acest lucru a fost sesizat Autorității care a emis Planul de Remediere și obligația de a furniza mai multe informații. Cu toate acestea operatorul nu a dat răspuns solicitărilor.

12. La Santrade S.R.L. – 2000 euro – iunie 2021

ANSPDCP a finalizat în luna iunie o investigație prin care sancționează din nou lipsa de răspuns a operatorilor de date.

De această dată este vorba de La Santrade S.R.L. care, în urma unei plângeri depuse de o persoană vizată cu privire la exercitarea dreptului de acces și de ștergere a datelor sale personale, a solicitat informații printr-o adresă oficială.

Cu toate acestea operatorul nu a dat curs acestei adrese iar pentru acest motiv Autoritatea a aplicat o sanțiune de 9839,4 lei (2000 euro). Totodată i s-a pus în vedere următoarele:

• Să comunice persoanei vizate măsurile adoptate referitoare la ștergerea datelor cu caracter personal;
• Să pună la dispoziție date de contact valabile, în concret, o adresă de email funcțională, pe website-ul său în politica de confidențialitate – la date de contact.

13. S.C. Dreamtime Call S.R.L. – 2000 euro – mai 2021

Lipsa răspunsului te poate costa! Cât? 2000 euro în cazul unora, așa cum este situația pentru S.C. Dreamtime Call  S.R.L.

Ce s-a întâmplat? O persoană vizată a depus plângere împotriva operatorului pentru că acesta a prelucrat datele sale fără un temei legal (numărul de telefon), contactând persoana de mai multe ori fără vreun acord prealabil.

Pentru clarificarea situației ANSPDCP s-a adresat operatorului care însă nu a dat nici un răspuns solicitării. Pentru acest lucru, a fost aplicată o sancțiune de 9852 lei și i s-a impus obligația să transmită toate informațiile solicitate în termen de 5 zile.

În cazul în care operatorul nu va face acest lucru, este posibil să urmeze încă o amendă.

14. Vodafone România S.A. – mai 2021 – 5000 RON

Ca urmare a unei notificări a încălcării de securitate Vodafone a fost sancționată cu 5000 RON. Despre ce este însă vorba? Din mențiunile găsite în comunicatul de presă, se pare că facturile unor persoane vizate au fost transmise unor terțe persoane, lucru care a condus în mod inevitabil la un acces neautorizat la date precum nume, prenume, nr. de telefon, cod client și adresa.

Și de data aceasta Autoritatea subliniază necesitatea instruirii persoanelor din cadrul operatorului.

15. Asociație de Proprietari Iași – mai 2021 – 500 euro

Deși există niște îndrumări date de Autoritate către operatorii – asociații de proprietari, amenzile pentru acestea nu s-au împuținat. Astfel putem vedea cum o asociație din Iași a fost sancționată cu 500 de euro ca urmare a faptului că asociația a afișat o listă de plată care conținea numele, prenumele fiecărui membru, la avizier. Persoana vizată a menționat și afișarea unui înscris defăimător  în care erau menționate datele acestuia.

Totuși vedem că sancțiunea a fost aplicată pentru că reprezentanții asociației nu au dat curs solicitărilor ANSDPCP.

16. Banca Comercială Română S.A. – aprilie 2021 – 2000 euro

Un lucru care ne atrage din nou atenția este lipsa informării persoanei vizate și lipsa obținerii consimțământului chiar și în procedurile de executare silită. Acesta este cazul unei persoane care a reclamat BCR pentru că a folosit datele sale în alte scopuri decât cele autorizate de acesta. Astfel, după cum am menționat datele au fost folosite în cadrul unei proceduri de executare silită pentru debite rezultate dintr-un contract. Ba mai mult se pare că persoanei vizate i s-a atribuit în mod eronat calitatea de garant prin extragerea unor date neactualizate iar despre contractul de credit persoana vizată nu avea nici o idee.

Una peste alta, ANSPDCP finalizând investigația a aplicat o sancțiune de 2000 euro și a impus luarea de măsuri pentru respectarea exactității datelor dar și necesitatea instruirii personalului.

17. Persoana Fizică – 200 euro – aprilie 2021

Este destul de cunoscut faptul că dezvoltarea websiteurilor a fost ușurată foarte mult în ultimii ani, astfel că mai oricine cu puține cunoștințe tehnice poate să își construiască propriul website sau un website pentru proiectele pe care le dorește.

În cazul de față, deși probabil lucrurile au plecat de la o inițiativă foarte bună și care a căutat să vină în sprijinul populației în perioada pandemiei, în cele din urmă persoana fizică care a dezvoltat website-ul https://declaratieppr.ro a fost sancționat cu 200 euro pentru nerespectarea R.G.P.D.

De ce?

Ei bine, se pare că prin completarea formularului care genera declarația pe proprie răspundere necesară părăsirii domiciliului sau locuinței persoanei, se prelucrau mai multe date după cum ne putem aminti. Între aceste date se numără: nume, prenume, prenume părinți, domiciliu, cod numeric personal, seria și numărul actului de identitate, adresa locuinței în fapt, locul deplasării, scopul deplasării și semnătura.

Ei bine, mai multe persoane s-au declarat nemulțumite de acest lucru și au adus la cunoștința ANSPDCP faptul dat, Autoritatea fiind nevoită să demareze o investigație. Din aceasta, operatorul persoană fizică nu a putut demonstra că are un temei legal pentru colectarea și prelucrarea acelor date, totodată nu a reușit să facă informarea persoanelor vizate (probabil prin politica de prelucrare a datelor necesară pe website) cu privire la prelucrări și nici nu a luat măsuri pentru securizarea datelor și diminuarea riscurilor în ceea ce privește distrugerea, pierderea sau divulgarea acelor date.

Astfel vedem cea de a doua amendă aplicată unei persoane fizice în România!

18. Telekom Romania Communications S.A. – aprilie 2021 – 2000 euro

Nu este prima amendă primită de Telekom pentru încălcarea normelor privitoare la protecția datelor cu caracter personal însă este cu siguranță o amendă mare raportată la numărul de persoane vizate afectate, natura faptelor și a incidentului.

Astfel, ce s-a întâmplat? O persoană vizată, fost client al Telekom, odată cu încetarea relației contractuale a menționat că ÎȘI RETRAGE CONSIMȚĂMÂNTUL și nu mai dorește să primească informări cu privire la serviciile operatorului.

Cu toate acestea, Telekom a contactat persoana vizată, care și-a exercitat dreptul de opoziție și a solicitat ștergerea numărului său de telefon și adresa de email din baza de date a Telekom. În mod accidental (se menționează că ar fi fost vorba de o eroare umană), din nou Telekom contactează persoana vizată în scop de marketing. Persoana vizată a făcut din nou o solicitare de a nu mai fi contactat și de a i se șterge datele din baza de date Telekom.

În cele din urmă compania a comunicat persoanei vizate că adresa de email și numărul de telefon i-au fost șterse din baza de date și că a fost contactat de către un angajat al companiei în mod  accidental (din eroare umană).

În drept Autoriatea a constatat că Telekom a prelucrat date în scop de marketing deși nu avea un temei legal în acest sens, încălcând prevederile art. 6, fapt pt care a fost sancționata cu avertisment.

Cu toate acestea, pentru că operatorul a contactat telefonic o persoană care și-a exercitat dreptul de opoziție față de astfel de prelucrări, Telekom a fost sancționată cu 2000 euro, încălcând prevederile art. 21 din Regulament.

19. World Class România S.A. – 2000 euro – aprilie 2021

În luna aprilie a acestui an ANSPDCP a finalizat una din cele mai interesante (pentru noi) investigații: operatorul World Class România S.A. a postat pe grupul de Whatsapp al angajaților săi o cerere de demisie a unui angajat (coleg), dezvăluind astfel în mod neautorizat tuturor membrilor grupului numele, prenumele, adresa, seria și numărul CI, CNPul și mai multe informații legate de încetarea raporturilor de muncă.

În acest context Autoritatea a considerat că operatorul NU a luat suficiente măsuri pentru a asigura confidențialitatea datelor persoanei în cauză și a aplicat și o măsură corectivă ca operatorul să asiure conformitatea cu RGPD-ul, a operațiunilor prin măsuri tehnice și organizatorice, subliniind necesitatea INSTRUIRII REGULATE A ANGAJAȚILOR (https://www.dataprotection.ro/?page=Comunicat_07_/_05_/_2021&lang=ro).

Astfel, de ce este această amendă mai aparte decât altele? Pentru că, spre deosebire de altele unde este de regulă vorba de o eroare de sistem, o breșă de securitate sau o altă problemă de natură tehnică, în acest caz vorbim despre o lipsă de instruire a personalului (constatată de ANSPDCP) care a dus la o dezvăluire de date neautorizată, atrăgând operatorului amenda de 2000 euro sau 9851 lei.

20. S.C. Tip Top Food Industry S.R.L. – 5000 euro – martie 2021

Poate cel mai deranjant aspect pentru persoanele vizate atunci când vine vorba de prelucrări este acela al înregistrărilor video prin sisteme de supraveghere CCTV. Astfel, nu de puține ori vedem nemulțumiri, scandaluri și plângeri adresate către ANSPDCP pe acest subiect. În cazul de față, operatorul amintit mai sus, ne spune Autoritatea, că a prelucrat în mod EXCESIV (adică nu era necesară instalarea a atât de multe camere de supraveghere video) date prin camerele instalate în VESTIARE și în zona de servire a mesei, motivând că acestea au scopul de a PROTEJA bunurile și produsele societății și să descurajeze furturile.

Ei bine, în acest context Autoritatea constată că în raport cu scopurile prelucrării – de pază și protecție, aceste prelucrări nu erau necesare, încălcându-se astfel principiul reducerii la minimum a datelor și menționând că prin măsuri mult mai puțin intruzive în viața privată a oamenilor se putea asigura la fel de bine scopul pazei și protecției bunurilor.

Pentru aceste motive, a fost aplicată o amendă de 5000 de euro = 25.362,50 lei.

Ce însă ne apare ca o situație aparte, este aceea a faptului că ANSPDCP ne menționează că operatorul Tip Top Food Industry nu a putut face dovada unui consimțământ liber exprimat și nici nu a putut face dovada vreunui alt temei legal pentru prelucrarea datelor. Cu toate acestea ne întrebăm, ar fi putut fi orice fel de consimțământ colectat de la angajați, un consimțământ liber exprimat în relația Angajator-Angajat ținând cont de „raporturile de putere”? Aceasta este o întrebare a cărui răspuns îl vom căuta în amenzile viitoare pe care le vom vedea de la Autoritate.

Toată această situație se pare că a fost generată de o sesizare a unei persoane vizate care s-a plâns de instalarea camerelor din birourile angajaților, în vestiare și în sala de mese iar Autoritatea a recomandat să fie reorientat unghiul de captare al imaginilor astfel încât acestea să NU monitorizeze activitatea angajaților în spațiile menționate – vestiare și sala de mese.

21. Lugera & Makler Broker S.R.L. – 1500 euro – martie 2021

O nouă investigație finalizată ne aduce la cunoștință o situație cu totul aparte: sancționarea unei persoane împuternicite operatorului (și nu a operatorului) pentru anumite prelucrări specifice efectuate.

Astfel putem vedea că o persoană vizată a depus o sesizare la ANSPDCP și totodată operatorul de date Raiffeisen Bank S.A. a depus o notificare de încălcare a securității datelor, din care a rezultat că persoana împuternicită Lugera & Makler Broker S.R.L. NU a predat Raiffeisen Bank documentele aferente activităților de prescoring efectuate de un angajat al persoanei împuternicite pe motiv că acestea au fost distruse.

Amenda? 1500 euro.

Care a fost neconformitatea în concret? Autoritatea constată că Lugera & Makler Broker S.R.L. (având calitatea de operator de date dar de persoană împuternicită față de Raiffeisen Bank) NU a luat măsuri pentru a se asigura că orice persoană fizică acționează sub coordonarea sa și care are acces la date cu caracter personal, nu le prelucrează decât la CEREREA acesteia și a implementat măsuri specifice pentru a asigura securitatea datelor.

Astfel în mod accidental sau ilegal au fost distruse datele fiind afectate de acest incident 1058 de persoane vizate, documentația originală fiind distrusă de agentul de vânzări, operator al Lugera & Makler Broker S.R.L.

22. Telekom – 10.000 euro + 15.000 lei – Februarie 2021

Unul din aspectele care costă cel mai mult operatorii este acela al divulgărilor de date în mod neautorizat, fie că este vorba de erori fie că vorbim de vulnerabilități ale sistemelor, platformelor sau softurilor pe care le folosim.

Acesta este cazul Telekom care în luna februarie 2021 a fost sancționată pentru că nu a luat măsuri tehnice și organizatorice adecvate pentru a garanta securitatea datelor cu caracter personal.

În concret, ce s-a întâmplat?

Un număr ridicat de adrese de facturare ale clienților (este vorba de 99.210 persoane vizate), au fost introduse eronat în baza de date, care a fost trimisă către un partener CONTRACTUAL, în baza unui contract de cesiune creanțe. Acest lucru a generat toată situația trimiterii de notificări clienților însă către adrese greșite.

Astfel clienții au primit acces / le-au fost divulgate în același timp următoarele date: client ID, cod client, nume și prenume, CNP, data nașterii, sex, număr telefon, e-mail, adresă (țară, oraș, stradă), valoarea debitelor asociate codului de client.

Pentru aceasta, ANSPDCP a sancționat operatorul cu 10.000 euro întemeindu-și sancțiunea pe prevederile R.G.P.D.

Totodată prin aceleași comunicări s-a oferit și acces neautorizat la datele de cont ale clienților (MyAccount), fiind vorba de 413 persoane vizate. Acestora li s-a divulgat: numele titularului de cont; data nașterii; numere de telefon utilizate; adresa de domiciliu; adresa e-mail; codul de abonat; serviciile contractate; extraopțiuni active pe cont; istoricul facturilor simple.

Pentru acest al doilea aspect, ANSPDCP a sancționat Telekom cu 15.000 lei în baza Legii 506/2004.

Printre măsurile corective propuse de Autoritate, se numără:

• Revizuirea și actualizarea procedurilor și
• Implementarea unui proces pentru testarea, evaluarea și aprecierea periodică a eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.

23. S.C. Medicover S.R.L.  – 2.000 euro – Februarie 2021

Divulgarea neautorizată și oferirea de acces neautorizat la date, reprezintă una din cele mai des întâlnite probleme atunci când vorbim de protejarea datelor cu caracter personal.

Tot în luna februarie 2021 ANSPDCP a finalizat o nouă investigație din care am fost informați că operatorul S.C. Medicover S.R.L. nu a reușit să ia suficiente măsuri tehnice și organizatorice pentru a evita situația în care persoanele care lucrează sub autoritatea sa au acces la mai multe date decât cele strict necesare și că acestea nu sunt prelucrate decât la cererea operatorului.

În fapt, din ce înțelegem, mai multe date printre care se numără nume, prenume, CNP, serie și nr. CI, adresă CI, adresă de corespondență, telefon de contact, email, date privind starea de sănătate altor persoane fizice decât destinatarii, au fost trimise prin email și la o adresă poștală diferită decât cea a destinatarului vizat. Astfel, prin aceasta au fost dezvăluite datele unor persoane neautorizate.

Fiind vorba de trimiterea a mai multor notificări, în mod succesiv, cu privire la aceeași problematică, ANSPDCP a sancționat operatorul cu 2000 euro.

O măsură aparte recomandată de Autoritate a fost ca operatorul să își stabilească un mecanism (sau proceduri) prin care să fie verificată validitatea adresei de email la momentul colectării acesteia.

24. BNP Paribas Personal Finance SA Paris Sucursala București  – 10.000 lei – Februarie 2021

Consimțământul persoanei vizate este unul din cele mai des întâlnite subiecte discutate în rândul persoanelor cu atribuții în domeniul protecției datelor. Acest lucru se întâmplă datorită naturii, felului de a fi colectat în conformitate cu GDPR-ul și a practicilor din România: foarte mulți operatori trimit comunicări în scop de marketing, așa-zisele „newsletters”, fără a avea consimțământul prealabil al persoanei vizate.

Acesta și este obiectul unei investivații finalizate în februarie 2021 asupra operatorului BNP Paribas Personal Finance SA, care a fost sancționată cu 10.000 lei pentru că nu a făcut dovada existenței consimțământului prealabil al persoanei vizate.

Ce s-a întâmplat? Plângerea a fost demarată de o persoană care a acuzat că primise pe telefon mesaje comerciale de tip SMS din partea operatorului. Cu toate că și-a exercitat în repetate rânduri dreptul de opoziție față de aceste prelucrări, în continuare le-a primit, motiv pentru care a reclamat aspectul către ANSPDCP.

Ca urmare a finalizării investigației, Autoritatea, a aplicat amenda motivând că a încălcat prevederile Dispozițiile art. 12 din Legea nr. 506/2004, modificată și completată, prevăd următoarele: (1)Este interzisă efectuarea de comunicări comerciale prin utilizarea unor sisteme automate de apelare care nu necesită intervenţia unui operator uman, prin fax ori prin poşta electronică sau prin orice altă metodă care foloseşte serviciile de comunicaţii electronice destinate publicului, cu excepţia cazului în care abonatul vizat şi-a exprimat în prealabil consimţământul expres pentru a primi asemenea comunicări.

25. Amendă Persoană Fizică – 500 euro – Februarie 2021

Prima amendă aplicată în România unei persoane fizice în calitate de operator de date, apare ca urmare a unei investigații finalizate în luna februarie 2021!

Vedem deseori abuzuri din partea persoanelor fizice în ceea ce privește postările pe rețele de socializare, fie că este vorba de publicarea de documente, liste, fotografii sau video-uri prin care se divulgă date cu caracter personal ale unor altor persoane vizate.

Ce s-a întâmplat?

O persoană vizată a reclamat faptul că pe o rețea de socializare, pe pagina personală a unei persoane fizice care deținea funcția de Secretar General în cadrul unei filiale de sector a unui partid politic, a fost PUBLICATĂ o listă cuprinzând 10 poziții de persoane semnatare / susținători pentru alegerea Consiliului General și a Primarului Municipiului București. În cadrul acestei postări au fost dezvăluite în acest sens: numele, prenumele, semnătura, cetățenia, data nașterii, adresa, seria și numărul actului de identitate și opțiunea politică a persoanelor semnatare.

Obiectul sancțiunii?

Ca urmare a desfășurării investigației, ANSPDCP a constatat că operatorul (persoana fizică) nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel corespunzător riscului prelucrării, astfel acest lucru a condus la divulgarea către publicul larg a datelor mai sus menționate a 10 persoane vizate.
În sensul prezentat mai sus, operatorul și-a încălcat obligația de a respecta principiul integrității și confidențialității datleor.

Totodată, operatorul nu a dat răspuns solicitărilor ANSPDCP, motiv pentru care a fost sancționat cu 2437,35 lei (echivalentul a 500 EURO).

În concluzie, atunci când dorim să postăm diverse informații pe rețelele de socializare, informații care ar putea include date cu caracter personal, să ne asigurăm că respectăm toate principiile impuse de R.G.P.D., în mod aparte principiul integrității și confidențialității datelor.

26. ING BANK N.V. AMSTERDAM – 1000 euro – Ianuarie 2021

O amendă aparte a fost aplicată la sfârșitul lunii ianuarie 2021 către ING Bank.

Specificul acestei amenzi nu ține atât de mult de suma pentru care s-a aplicat (1000 euro) cât pentru obiectul acesteia: banca, a trimis de două ori fișiere către un partener contractual, fișiere care conțineau date neactualizate. Transmiterea de fișiere s-a făcut prin intermediul unei societăți mandatare în scopul emiterii unor polițe de asigurare. Problema a fost că angajații departamentului de monitorizare a polițelor, NU au verificat polițele în conformitate cu procedurile interne, prelucrând astfel date neactualizate fiind afectate datele a 270 de persoane fizice.

ANSPDCP motivează că nu au fost luate suficiente măsuri tehnice și organizatorice înainte de incident, fapt care a condus la încălcarea confidențialității datelor.