Legislație

Lista amenzi GDPR 2022

22 ian., 2022 No comments yet
Lista amenzi GDPR 2022 - amenzi gdpr romania

Anul 2022 a confirmat faptul că aplicarea GDPR în România a intrat într-o etapă de rutină operațională, în care controalele, investigațiile și sancțiunile ANSPDCP au vizat constant atât sectorul privat, cât și instituțiile publice. Pentru operatorii de date, 2022 a fost un semnal clar că lipsa conformării (în special pe zona de securitate, transparență și gestionarea drepturilor persoanelor vizate) poate conduce la amenzi și măsuri corective.

Pe parcursul acestui an, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a analizat plângeri, sesizări și incidente de securitate, aplicând sancțiuni pentru încălcări frecvente precum: prelucrarea datelor fără temei legal adecvat, implementarea insuficientă a măsurilor tehnice și organizatorice, informarea incompletă sau neclară a persoanelor vizate, consimțământ nevalid, precum și nerespectarea drepturilor prevăzute de GDPR (acces, opoziție, ștergere, portabilitate etc.).

În cele ce urmează, prezentăm lista amenzilor GDPR din 2022, astfel încât să poți identifica rapid entitățile sancționate, cuantumul amenzilor și principalele motive reținute de autoritatea de supraveghere. Această listă este utilă atât pentru evaluarea riscurilor de conformare, cât și pentru înțelegerea direcțiilor de control și a tipurilor de încălcări sancționate în practică.

Conținut

Lista amenzi GDPR 2022 în România

1. Apă Canal Ilfov SA – ianuarie 2022 – 3000 eur

Un mesaj electronic trimis în mod eronat către utilizatorii înregistrați pe portalul online al societății Apă Canal Ilfov SA a condus la divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal a unui număr semnificativ de persoane fizice.

Mai exact, operatorul a introdus eronat adresele de e-mail la secțiunea ”To”, în loc de ”BCC”. Pentru ca nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării, operatorul de date Apă Canal Ilfov SA a fost sancționat contravențional cu amendă în cuantum de 14.757,60 RON, (echivalentul a 3000 EURO).

2. Asociație de proprietari din Iași – ianuarie 2022 – 500 eur

O investigație la o Asociație de proprietari din Iași, inițiată ca umare a unei plângeri, s-a finalizat cu amendă în cuantum de 2.462,5 lei, echivalentul sumei de 500 EURO și un avertisment, întrucât operatorul de date a afișat listele de plată ce conțineau numele și prenumele fiecărui membru al Asociației de proprietari. În plus, petentul a reclamat și afișarea unui înscris cu caracter defăimător în care erau menționate datele sale personale (numele și prenumele).

Asociația de proprietari a dezvăluit datele cu caracter personal ale petentului (nume și prenume) prin afișarea la avizier a unei informări, fără consimțământul acestuia și fără existența unei alte situații în care consimțământul nu este necesar.

În plus, operatorului i s-a aplicat și măsura corectivă de a lua măsurile necesare astfel încât să se asigure conformitatea operațiunilor de prelucrare cu dispozițiile RGPD și să se evite prelucrarea (inclusiv dezvăluirea) datelor cu caracter personal fără consimțământul persoanelor vizate.

3. Kaufland România SCS – decembrie 2022 – 3.000 eur

În urma unei notificări de încălcare a securității datelor care a fost transmisă de operator, ANSPDCP a demarat o investigație la Kaufland România SCS, investigație finalizată cu sancțiune contravențională cu amendă în cuantum de 14.779,80 de lei (echivalentul a 3000 EURO).

Totul a pornit de la o sesizare făcută de o persoana vizată către operatorul Kaufland România SCS asupra faptului că o înregistrare video ce conținea imagini cu persoana sa din parcarea unuia dintre magazinele deținute de acest lanț comercial a apărut pe pagina web a unui ziar local.

În cadrul investigației, Autoritatea a constatat că managerul de magazin a permis accesul unui angajat în camera de monitorizare iar acesta și-a folosit telefonul personal mobil pentru a capta imagini ale înregistrărilor video ce rulau și le-a transmis prin WhatsApp unui terț. Apoi, aceste imagini au fost transmise prin postarea acestora de o publicație online, dezvăluindu-se astfel imaginile și numerele de înmatriculare ale mașinilor a două persoane vizate.

Reamintim, în acest context că operatorul are obligația:

  • de a lua măsuri pentru a se asigura că orice persoană fizică care acționează sub autoritatea sa și care are acces la date cu caracter personal nu le prelucrează decât la cererea sa
  • de a implementa măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de confidențialitate și de securitate corespunzător riscului prelucrării
  • de a implementa instrucțiuni privind interzicerea utilizării echipamentului personal al angajaților (cum sunt: telefonul mobil, tabletele) pentru a filma/realiza fotografii/descărca/distribui înregistrări video prin utilizarea WhatsApp sau a rețelelor sociale.

4. SUDREZIDENȚIAL Broker S.R.L.– decembrie 2022 – 10.000 eur

Pentru neconformarea la Regulamentul General privind Protecția Datelor, operatorul de date SUDREZIDENȚIAL Broker S.R.L. a fost sancționat  contravențional cu amendă cuantum de 49.418 lei, echivalentul a 10.000 EURO și cu 2 avertismente.

Amenda a fost aplicată întrucât în cadrul investigației s-a constatat că operatorul SUDREZIDENȚIAL Broker S.R.L. nu a luat măsuri adecvate pentru a asigura faptul că orice persoană fizică care acţionează sub autoritatea sa şi care are acces la date cu caracter personal nu le prelucrează decât la cererea sa.

Mai exact, administratorul societății a întocmit evidențe în format Excel care conțineau datele cu caracter personal ale clienților operatorului și ale altor persoane fizice (parteneri de viață ai clienților), evidențe care apoi au fost publicate pe o anumită pagină de internet, divulgându-se astfel către publicul larg datele personale a cel puțin 509 persoane vizate. Aceste evidențe conțineau nume, prenume, cod numeric personal, număr telefon, serie și număr carte de identitate, adresă de e-mail, date bancare, achiziții de imobile, stare civilă, sumă solicitată, bancă, observații.

În plus, operatorul nu a informat persoanele vizate cu privire la această încălcare a securității datelor cu caracter personal primind avertisment în acest sens.

Un alt avertisment a fost aplicat operatorului SUDREZIDENȚIAL Broker S.R.L. întrucât a stocat informații (module cookies care nu erau necesare din punct de vedere tehnic în funcționarea site-ului operatorului) fără obținerea acordului utilizatorilor, persoane fizice.

5. Instituție publică ANRP – decembrie 2022 – 13000 lei

În septembrie 2022 Autoritatea Națională de Supraveghere a dispus operatorului Autoritatea Națională pentru Restituirea Proprietăților (ANRP) măsuri de remediere întrucât s-a constatat încălcarea prevederilor art. 5 alin. (1) lit. b) și art. 6 din RGPD. Prin planul de remediere, operatorul era obligat ca în termen de 20 de zile să asigure conformitatea cu dispozițiile RGPD a operațiunilor de prelucrare a datelor cu caracter personal. Întrucât operatorul de date ANRP nu a comunicat măsurile luate, în luna noiembrie 2022, s-a efectuat o nouă investigație care s-a finalizat cu sancțiune contravențională cu amendă de 13.000 lei.

În cadrul investigației reprezentanții operatorului au declarat că Regulamentul de supraveghere video și Procedura de sistem privind prelucrarea datelor cu caracter personal nu au fost aprobate și ca atare nu au fost aduse la cunoștința personalului din subordinea ANRP care prelucrează date. Totodată, reprezentanții operatorului au susținut că nu au avut loc instruiri periodice ale persoanelor care acționează sub autoritatea ANRP.

În acest context atragem atenția că autorităților publice li se pot aplica avertismente însoțite de planuri de remediere, iar dacă acestea nu aduc la îndeplinire în totalitate măsurile prevăzute în planul de remediere, Autoritatea Națională de Supraveghere poate aplica sancţiunea contravenţională a amenzii.

6. Societatea Energetică Electrica S.A. – decembrie 2022 – 5000 euro

Operatorul Societatea Energetică Electrica S.A. a fost sancționat contravențional cu amendă în cuantum de 24.654,50 lei, echivalentul sumei de 5.000 EURO în urma producerii unei încălcări a confidențialității datelor cu caracter personal. Investigația a fost demarată ca urmare a transmiterii de către operator a notificării cu privire la producerea încălcării despre care încă nu s-au dat mai multe detalii.

7. Casa Rusu S.R.L. – decembrie 2022 – 2000 euro

O încălcare a securității datelor s-a produs și la operatorul de date Casa Rusu S.R.L., încălcare pentru care a fost sancționat contravențional cu amendă în cuantum de 9.883,60 RON, (echivalentul a 2000 EURO).

În cadrul investigației, s-a constatat că un formular neautorizat prin care se colectau date bancare a fost introdus în secțiunea de plăți on-line a site-ului pe care îl deține operatorul. In acest fel s-a produs accesul neautorizat la datele prelucrate prin divulgarea neautorizată și accesul neautorizat la anumite date cu caracter personal, cum ar fi: numele și prenumele deținătorului cardului bancar, numărul cardului, data și anul expirării, cod CVC.

Nici în acest caz, operatorul nu a implementat măsuri tehnice și organizatorice adecvate, atât în momentul stabilirii mijloacelor de prelucrare, cât și în cel al prelucrării în sine. De asemenea, operatorul nu a realizat testarea, evaluarea și aprecierea periodică ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.

Pentru a evita incidente similare de dezvăluire neautorizată a datelor cu caracter personal, s-a dispus operatorului și măsura corectivă de a revizui și de a actualiza măsurile tehnice și organizatorice implementate ca urmare a evaluării privind riscul pentru drepturile și libertățile persoanelor, inclusiv a procedurilor referitoare la comunicațiile electronice.

8. OTP LEASING ROMANIA IFN SA – noiembrie 2022 – 3000 euro

Lipsa unui nivel adecvat de securitate, corespunzător riscurilor prelucrării, care ar fi trebuit să fie asigurat de OTP LEASING, a permis accesul neautorizat în sistemul MyLeasing și i-a adus operatorului o amendă în cuantum de 14.675,7 lei (echivalentul sumei de 3.000 EURO).

O persoană fizică a putut accesa în mod neautorizat platforma informatică My Leasing, prin alterarea adresei de URL și crearea unui cont de administrator. Astfel, a putut accesa datele clienților operatorului, persoane juridice, care și-au creat cont pe platformă în vederea urmăririi informațiilor legate de contractele de leasing.

În plus, operatorul OTP LEASING nu a informat persoanele vizate cu privire la producerea incidentului de securitate, deși datele divulgate pot conduce la prejudicii aduse acestor persoane fizice, reprezentanți ai persoanelor juridice.

Reamintim, în acest context, că operatorul are obligația, conform RGPD, să demonstreze conformitatea cu regulamentul, prin adoptarea de politici interne şi prin punerea în aplicare de măsuri care să respecte în special principiul protecţiei datelor începând cu momentul conceperii şi cel al protecţiei implicite a datelor.

9. Medicover SRL – noiembrie 2022 – 1000 euro

În urma unei investigații demarate ca urmare a unei notificări de încălcare a securității datelor transmise de Medicover S.R.L., ANSPDCP a constatat că operatorul de date Medicover S.R.L. nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de confidențialitate și securitate corespunzător riscului prelucrării.

Ce s-a întâmplat mai exact: s-a transmis unui client un e-mail ce conținea acte adiționale ale contractelor de prestări servicii medicale care aparțineau altor clienți ai operatorului. Această încălcare a condus la pierderea confidențialității datelor prelucrate prin divulgarea neautorizată și accesul neautorizat la anumite date cu caracter personal, cum ar fi: numele și prenumele, CNP, adresa și semnătura.

Pentru aceasta, operatorul a fost sancționat contravențional cu amendă în cuantum de 4,901 RON, (echivalentul a 1000 EURO).

10. ING Bank NV Amsterdam Sucursala București – noiembrie 2022 – 20000 euro

O investigație la operatorul ING Bank NV Amsterdam Sucursala București s-a finalizat cu sancțiune contravențională cu amendă în cuantum de 98.076,00 lei (echivalentul sumei de 20.000 EURO) întrucât operatorul de date nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prezentat de prelucrare.  Lipsa acestor măsuri a condus la divulgarea neautorizată și accesul neautorizat la datele cu caracter personal ale unor clienți ING Bank NV Amsterdam Sucursala București.

Potrivit informațiilor care au stat la baza notificării, au fost afectate date cu caracter personal ale unor clienți, în sensul că s-au accesat și s-au divulgat neautorizat diferite date de identificare asociate actului de identitate, date de contact, date de natură bancară, user și parolă modul Internet Banking urmate de operațiuni de plată efectuate de către terțe persoane.

Reamintim aici principiul “integritate și confidențialitate” care stă la baza Regulamentului General privind Protecția Datelor potrivit căruia operatoruli ii revine obligația de a prelucra datele cu caracter personal într-un mod care asigură securitatea adecvată a acestora, inclusiv protecţia împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare.

11. Asociația de proprietari Bld. Pipera 1-2E – noiembrie 2022 – 300 euro

Asociația de proprietari Bld. Pipera 1-2E a fost sancționată contravențional cu amendă în cuantum de 1,480.98 lei (echivalentul a 300 EURO), întrucât președintele asociației a dezvăluit pe grupul de Whatsapp al blocului, înregistrări din sistemul de supraveghere video administrat de Asociație care cuprindeau imagini cu petiționarul. În plus, operatorul nu a furnizat informațiile solicitate de ANSPDCP în termenul legal.

12. Raiffeisen Bank SA – noiembrie 2022 – 28000 euro

Operatorul Raiffeisen Bank S.A. a fost sancționat contravențional cu două avertismente și cu trei amenzi în cuantum total de  138.572 lei (echivalentul sumei de 28.000 EURO), deoarece nu a luat măsuri pentru a se asigura că orice persoană fizică care acționează sub autoritatea sa și are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului.

Investigația a fost demarată ca urmare a transmiterii de către operatorul Raiffeisen Bank SA a unui număr de 17 notificări cu privire la producerea unor încălcări a securității datelor cu caracter personal.

Principalele constatări din cadrul investigației au fost:

  • S-au utilizat sistemele informatice ale operatorului Raiffeisen Bank S.A. și s-au efectuat interogări în sistemul de evidență administrat de Biroul de Credit S.A., respectiv în cel administrat de ANAF, pentru a simula decizii de creditare pentru un broker extern de credite.
  • În două situaţii (care au vizat un număr de cel puțin 169 persoane fizice) s-au efectuat operațiuni de prescoring pentru clienți sau potențiali clienți, fără ca documentația aferentă interogării în Sistemul Biroului de Credite să fie semnată de solicitanții respectivi.
  • S-au acordat credite unor clienți, persoane fizice, prin intermediul unei entități – persoană împuternicită a operatorului, fără ca aceștia să le fi solicitat și fără să fi semnat documentele aferente.
  • S-au produs mai multe incidente prin transmiterea, prin e-mail, a unor date confidențiale către alte persoane decât persoanele vizate ca urmare a introducerii/actualizării în sistem a unor adrese de email eronate sau a atașării documentelor aferente unui client într-un email destinat altui client.
  • S-au produs situații ce implică și suspiciuni de frauda internă în creditare:
    • S-au efectuat operațiuni specifice pentru acordarea unui credit pentru un client persoană fizică, fără prezența solicitantului la sediul agenției.
    • S-au solicitat facilități de credit de diferite tipuri (Card de Credit, credit de nevoie personale, actualizarea datelor în aplicația Băncii) prin modificarea numărului de telefon al persoanelor vizate cu numărul de telefon al angajatului băncii și prin introducerea unei adrese de email fictive.
  • S-au acordat trei facilități de credit (Flexicredit, refinanțare Flexicredit respectiv Card de Cumpărături) în numele unei persoanei fizice, client al băncii, dar fără ca acesta să fi solicitat, în realitate acele credite.
  • S-au divulgat neautorizat date cu caracter personal ale unor clienți din contul Smart Mobile (serviciul de mobile banking pus la dispoziție de către Raiffeisen Bank) al acestora către alți clienți ai operatorului.

Toate acestea au condus la accesul neautorizat și/sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate prin aplicațiile informatice utilizate de Raiffeisen Bank S.A. în activitatea de creditare. Datele divulgate au fost nume, prenume, adresa de domiciliu, cetățenie, naționalitate, imaginea persoanei, codul numeric personal, numărul și seria cărții de identitate, email, nr. telefon, date din Sistemul Biroului de Credit, date din sistemul de evidență administrat de ANAF, date din contul Smart Mobile.

Reamintim, cu această ocazie, obligația ce revine operatorului de a lua măsuri prin care să se asigure că orice persoană fizică care acționează sub autoritatea sa și are acces la date cu caracter personal nu le prelucrează decât la cererea lui.

13. SC Das Sense Society SRL – noiembrie 2022 – 1000 euro

Pentru că nu a furnizat informațiile solicitate de Autoritate, SC Das Sense Society SRL a fost sancționată contravențional cu amendă în cuantum de 4.950 lei, echivalentul a 1000 euro.

Investigația s-a desfășurat ca urmare a unor plângeri prin care se reclama faptul că la punctul de lucru al operatorului  SC Das Sense Society SRL erau instalate camere de supraveghere care surprindeau imagini atât de pe domeniul public (trotuar și stradă), cât și de pe domeniul privat (rampa și scările de acces într-un complex de locuințe, accesul într-un supermarket).

Întrucât operatorul nu a dat curs solicitării de informații adresate de ANSPDCP necesare pentru desfășurarea investigației, s-a dispus sancționarea cu amendă.

14. SC Prestige Media PHG SRL – noiembrie 2022 – 5000 euro

Încălcarea principiilor de prelucrare a datelor cu caracter personal prevăzute de RGPD i-a adus operatorului de date SC Prestige Media PHG SRL o amendă în cuantum de 24.683,5 lei (echivalentul sumei de 5.000 euro).

În cadrul investigației s-a constatat că pe site-ul operatorului erau publicate documente confidențiale ale unor angajați ai unei alte societăți.  Mai exact, pe site-ul respectiv erau afișate 23 de decizii nominale de încetare a contractelor individuale de mandate/raporturilor de muncă ce conțineau date cu caracter personal (nume, prenume, funcție, număr contract de muncă, abateri disciplinare) ale mai multor persoane fizice, deși acestea nu aveau niciun fel de raporturi juridice cu SC Prestige Media PHG SRL.

Întrucât operatorul nu a prezentat dovezi din care să rezulte că a prelucrat în mod legal datele personale din cele 23 de documente, i s-a aplicat și măsura corectivă de eliminare/anonimizare a informațiilor care permit identificarea persoanelor vizate din cuprinsul deciziilor de încetare a contractelor de mandat/raporturilor de muncă publicate pe site-ul său.

15. Compania Națională Poșta Română SA – noiembrie 2022 – 2000 euro

Compania Națională Poșta Română SA a fost sancționată contravențional cu amendă în cuantum de 9.883,80 lei, echivalentul a 2000 euro, deoarece, în calitate de persoană împuternicită, a pierdut anumite trimiteri poștale care conțineau decizii de stabilire a drepturilor de pensie, carnete de muncă și certificate de deces.

Această lipsă a implementării de măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de confidențialitate și securitate a datelor personale ale persoanelor vizate, a condus la pierderea, divulgarea neautorizată sau accesul neautorizat la anumite date cu caracter personal, afectând 35 de persoane fizice.

De asemenea, s-a dispus față de Compania Națională Poșta Română SA și măsura corectivă de revizuire și actualizare a măsurilor tehnice și organizatorice implementate ca urmare a evaluării privind riscul pentru drepturile și libertățile persoanelor, inclusiv a procedurilor de lucru referitoare la protecția datelor cu caracter personal, în vederea asigurării protecției datelor prelucrate atât pe stațiile de lucru (PC), cât și pentru prestarea serviciilor poștale în format fizic (primirea ori livrarea trimiterilor poștale), precum și asigurarea unei protecții fizice a spațiilor de lucru unde sunt prelucrate trimiterile poștale și a măsurilor privind instruirea persoanelor care acționează sub autoritatea companiei.

În acest context, subliniem faptul că obligațiile de a asigura măsurile de confidențialitate și securitate a prelucrării datelor revin atât operatorului, cât și persoanei împuternicite de acesta.

16. Persoană fizică – octombrie 2022 – 150 euro

Încă o amendă aplicată unei persone fizice pentru folosirea neautorizată a unor date cu caracter personal.

În cursul desfășurării investigației, ANSPDCP a constatat că unei persoanei fizice i-au fost divulgate accidental anumite date cu caracter personal și aceasta le-a folosit neautorizat, fără a avea consimțământul persoanei căreia îi aparțineau datele. Pentru aceasta, a fost sancționată contravențional cu amendă în cuantum de 150 euro.

17. SC Materiale Constructii Online SRL – octombrie 2022 – 2000 euro

Nerespectarea drepturilor conferite de GDPR persoanelor vizate, precum și lipsa cooperării cu Autoritatea de Supraveghere, i-a adus operatorului de date SC Materiale Constructii Online SRL o sancțiune contravențională cu amendă în cuantum de 2000 euro.

Investigația ANSPDCP a fost demarată ca urmare a unei plângeri prin care se reclama faptul că reprezentanții site-ului www.depozit-online.ro nu au dat curs solicitărilor de ștergere a contului unui utilizator. În plus, operatorul de date nu a răspuns adreselor transmise de către Autoritate.

18. Persoană fizică – octombrie 2022 – 150 euro

Neconformarea la GDPR a site-ului i-a adus unei persoane fizice, deținător al site-ului https://centralpoint.ro/afisare-bd-general/, o sancțiune contravențională cu amendă în cuantum de 150 euro.

ANSPDCP a constatat, în cursul desfășurării investigației demarate ca urmare a primirii unei sesizări, că au fost publicate pe acest site o serie de date cu caracter personal,  încălcându-se astfel securitatea prelucrării de date. A fost afectat un număr de 383 de persoane fizice iar datele publicate au fost: codul numeric personal, numărul de telefon, seria și numărul actului de identitate, adresa de e-mail, detalii bancare  (achiziții de imobile), stare civilă.

19. Bitfactor SRL – septembrie 2022 – 2000 euro

Funcționarea defectuoasă a unei aplicații folosite în comunicări de marketing i-a adus operatorului Bitfactor SRL o sancțiune contravențională cu amendă în cuantum de 9.852,8 lei, echivalentul a 2000 euro.

Investigația a fost demarată ca urmare a transmiterii unei notificări de încălcare a securității datelor către Autoritate. S-a constatat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate, care să protejeze în mod continuu datele cu caracter personal ale persoanelor vizate, atât în momentul stabilirii mijloacelor de prelucrare, cât și în momentul prelucrării în sine. Această situația a condus la încălcarea confidențialității datelor a unui număr de 1757 de persoane vizate, utilizatori ai site-ului operatorului.

Reamintim, cu această ocazie, obligația ce îi revine operatorului, conform art. 25 alin. (1) din Regulamentul General privind Protecția Datelor, și anume: „operatorul, atât în momentul stabilirii mijloacelor de prelucrare, cât şi în cel al prelucrării în sine, pune în aplicare măsuri tehnice şi organizatorice adecvate, cum ar fi pseudonimizarea, care sunt destinate să pună în aplicare în mod eficient principiile de protecţie a datelor, precum reducerea la minimum a datelor, şi să integreze garanţiile necesare în cadrul prelucrării, pentru a îndeplini cerinţele prezentului regulament şi a proteja drepturile persoanelor vizate.”

De asemenea, amintim considerentul (78) din RGPD care stabilește că „operatorul ar trebui să adopte politici interne şi să pună în aplicare măsuri care să respecte în special principiul protecţiei datelor începând cu momentul conceperii şi cel al protecţiei implicite a datelor.

20. Curtea Veche Publishing SRL – septembrie 2022 – 5000 euro

Lipsa măsurilor tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării i-a adus și operatorului Curtea Veche Publishing SRL o sancțiune contravențională cu amendă în cuantum de 24.566 lei, echivalentul sumei de 5000 euro.

Investigația a fost demarată ca urmare a unor notificări de încălcare a securității datelor, transmise de operator către autoritatea de supraveghere:

  • Una dintre încălcările securității datelor, produsă ca urmare a postării pe un forum public a unui fișier care conținea baza de date a clienților operatorului din perioada 2019 – 2021, a condus la divulgarea neautorizată a anumitor date cu caracter personal ale unui număr de 10739 clienți ai operatorului. Datele cu caracter personal divulgate au fost: nume, prenume, număr de telefon, e-mail, parola sub formă criptată, adresa IP de pe care a fost creat contul de utilizator.
  • Cea de-a doua încălcare a securității datelor, produsă ca urmare a unui atac de tip ransomware, a condus la accesul neautorizat și pierderea integrității și disponibilității anumitor date cu caracter personal a aproximativ 100 de persoane vizate, angajați și colaboratori ai operatorului.

În plus, pe lângă sancțiunea cu amendă aplicată, operatorului i s-a aplicat și măsura corectivă de a revizui și actualiza măsurile tehnice și organizatorice implementate și a procedurilor de lucru referitoare la protecția datelor cu caracter personal, inclusiv prin implementarea unor soluții informatice suplimentare de securizare a datelor.

21. Banca Comercială Română SA– septembrie 2022 – 2000 euro

O nouă sancțiune a fost aplicată operatorului Banca Comercială Română SA întrucât nu a luat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării.

Investigația a fost demarată ca urmare a unei notificări de încălcare a securității datelor, transmisă de Banca Comercială Română SA, încălcare produsă ca urmare a unei erori tehnice a unei aplicații IT a operatorului. S-a constat că au fost transmise e-mailuri conținând datele cu caracter personal ale unor clienți către alți clienți.

De acest incident a fost afectat un număr de 564  persoane fizice vizate, clienți ai bancii, prin divulgarea neautorizată sau accesul neautorizat la anumite date cu caracter personal, cum ar fi: nume și prenume, CNP, adresa de domiciliu, număr de telefon, adresa de e-mail, alături de informații financiare generate eronat privind câștigul cumulat, pierderea cumulate, câștigul net, pierderea netă, impozitul datorat cumulat, impozitul de plată, impozit de recuperat.

22. Vodafone România SA – septembrie 2022 – 2000 euro

Operatorul Vodafone România SA a fost sancționat deoarece nu a adoptat măsuri suficiente pentru a asigura faptul că orice persoană fizică care acționează sub autoritatea operatorului și care are acces la datele cu caracter personal nu le prelucrează decât la cererea operatorului și nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de confidențialitate și securitate corespunzător riscului prelucrării.

Mai exact, operatorul a transmis către ANSPDCP două notificări de încălcare a securității datelor cu caracter personal, acesta fiind punctul de plecare în investigație. S-a constatat că operatorul nu a verificat respectarea procedurii de identificare a persoanei apelante de către împuterniciții săi, ceea ce a permis unor terțe persoane să achiziționeze în mod fraudulos telefoane noi în numele unor clienți ai operatorului. Mai mult, această situație a permis terțelor persoane accesarea datelor din contractele încheiate de clienți cu operatorul și a datelor din conturile personale My Vodafone. Datele personale care au putut fi accesate sunt: nume, prenume, adresă, codul numeric personal, numărul de telefon de contact, codul PUK, numărul de contact al titularului contului, seria SIM a cartelei inițiale, valoarea ultimei facturi neplătite și traficul de date.

23. SC Raiffeisen Bank SA – septembrie 2022 – 2000 euro

Amenda cu numărul 100 aplicată de ANSPDCP îi revine SC Raiffeisen Bank SA, care în calitate de împuternicit al unui operator, a fost sancționată cu 2000 de euro pentru încălcarea principiului exactității datelor și cu avertisment pentru pentru încălcarea dispozițiilor art. 5 alin. (1) lit. a) și b) și ale art. 6 din Regulamentul General privind Protecția Datelor.

Un petent a reclamat faptul că un operator îi transmite pe numărul său de telefon mobil mesaje text tip SMS referitoare la transferurile unor sume de bani către anumite persoane, transferuri pe care petentul nu le-a efectuat. Mai mult decât atât, petentul nu a fost client al SC Raiffeisen Bank SA și nu a solicitat inițierea unor tranzacții prin intermediul aplicației operatorului.

În cadrul investigației s-a constatat că SC Raiffeisen Bank SA, în calitate de împuternicit, a introdus în mod eronat numărul de telefon al petentului în cadrul aplicației pusă la dispoziție de operator prin care se inițiau tranzacții la solicitarea clienților. De asemenea, s-a constatat că au fost prelucrate date inexacte (numărul de telefon) ale persoanelor, clienți ocazionali, care au realizat tranzacții de bani prin aplicația operatorului, utilizând numărul de telefon al petentului în cadrul a 44 de tranzacții, încălcându-se astfel principiul exactității datelor.

24. Realmedia Network SA (imobiliare.ro) – septembrie 2022 – 8000 euro

Societatea Realmedia Network SA a fost sancționată cu amendă de 8.000 euro întrucât nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării.

Mai exact, Autoritatea Națională de Supraveghere, în urma unor informații din mediul on-line, s-a autosesizat cu privire la o posibilă breșă de securitate a datelor cu caracter personal apărută la Realmedia Network SA.

În cadrul investigației s-a constatat încălcarea securității prelucrării datelor la nivelul unui serviciu folosit pentru operarea platformei imobiliare.ro, situație ce a condus la divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal a unui număr de 194.309  persoane fizice vizate. Datele cu caracter personal divulgate au fost: nume, prenume, număr de telefon, adresa de e-mail, adresa poștală, cod numeric personal, semnătura, copii ale cărților de identitate, inclusiv coduri de identificare, funcție/calitate, date bancare, informații incluse în extrase de carte funciară/schițe cadastrale, titluri de proprietate, imagini de profil ale utilizatorilor.

25. Alpha Bank România SA – august 2022 – 1000 euro

Încălcarea securității datelor a fost sancționată cu 1000 de euro și în cazul operatorului Alpha Bank România SA.

Mai exact, Autoritatea Națională de Supraveghere a fost notificată de către operator, în baza dispozițiilor art. 33 din Regulamentul General privind Protecția Datelor, asupra încălcării securității prelucrării datelor care s-a produs ca urmare a faptului că s-a transmis un document altui destinatar, din eroare, prin utilizarea aplicației de Whatsapp.

Această încălcare a condus, în mod evident, la divulgarea neautorizată sau accesul neautorizat la anumite date cu caracter personal. De acest incident au fost afectate un număr de 4 persoane fizice vizate cărora le-au fost divulgate date personale precum numele și prenumele, CNP, funcția și semnătura, tipul de credit, numărul și data semnării contractului, perioada de creditare și data ultimei scadențe.

Și în acest caz ANSPDCP constată că nu au fost implementate măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de confidențialitate și securitate corespunzător riscului prelucrării. De asemenea nu au fost luate măsuri suficiente pentru a se asigura că orice persoană fizică care acționează sub autoritatea operatorului și care are acces la date cu caracter personal nu le prelucrează decât la cererea sa.

Pe lângă sancțiunea de 1000 de euro s-a dispus și revizuirea și actualizarea măsurilor tehnice și organizatorice implementate precum și instruirea persoanelor care acționează sub autoritatea operatorului referitor la interzicerea utilizării echipamentului personal al angajaților în relațiile cu clienții (de ex., telefonul mobil) pentru aplicații de comunicare/servicii de chat online neautorizate de Bancă.

Reamintim cu această ocazie importanța instruirii personalului cu privire la riscurile și consecințele pe care le implică divulgarea datelor personale.

26. Enel Energie Muntenia S.A. – august 2022 – 10000 euro

Insuficiența măsurilor de securitate adoptate i-a cauzat operatorului Enel Energie Muntenia S.A. un incident de securitate pentru care a fost sancționat cu amendă de 10.000 euro și un avertisment.

Ce s-a întâmplat mai exact? În urma unei solicitări telefonice către Enel Energie Muntenia S.A., o persoană fizică a primit pe adresa sa de email un răspuns adresat altui client, persoană fizică, însoțit de anumite documente ce conțineau date cu caracter personal. În cadrul investigației s-a constatat că operatoul nu a prezentat informații clare cu privire la motivele pentru care un angajat al său a trimis răspunsul din greșeală petentului.

De asemenea, operatorul nu a prezentat dovezi din care să rezulte că a luat măsuri de remediere în scopul reducerii riscului la care i-au fost supuse datele personale și pentru a preveni pe viitor dezvăluirea sau accesarea ilegală a datelor personale.

Întrucât operatoul nu a notificat incidentul de securitate la Autoritatea de supraveghere, a primit și un avertisment.

27. CDI Transport Intern și Internațional SRL – august 2022 – 7000 euro

Lipsa informării clare, complete și corecte a persoanelor vizate asupra modului în care le sunt colectate și prelucrate datele cu caracter personal, i-a adus operatorului CDI Transport Intern și Internațional SRL o sancțiune contravențională cu amendă de 7000 de euro și un avertisment.

Printr-o sesizare la Autoritate a fost semnalat faptul că pe site-ul societății nu se regăsesc informații referitoare la modalitatea de colectare a datelor cu caracter personal, la drepturile persoanelor vizate conferite de GDPR și la modul de exercitare a acestor drepturi și nici cu privire la faptul că operatorul are obligația de a informa persoanele vizate în situația unei încălcări a securităţii datelor cu caracter personal.

În plus, operatorul nu a furnizat informațiile solicitate de ANSPDCP, în termenul legal, fiind sancționat contravențional și cu un avertisment.

28. SC Wabag Water Services SRL – august 2022 – 1000 euro

Regulamentul (UE) 2016/679 stabilește o serie de principii care se impun a fi respectate în cadrul prelucrării datelor. Printre acestea se numără principiul privind prelucrarea datelor în mod legal, echitabil și transparent față de persoana vizată. Nerespectarea acestui principiu i-a adus operatorului SC Wabag Water Services SRL  o amedă de 1000 de euro.

Ce a făcut mai exact operatorul? A folosit datele cu caracter personal al unei angajate pentru a o înscrie și pentru a o programa, fără consimțământul său, pe platforma națională de vaccinare pentru efectuarea vaccinului împotriva Covid-19 în anul 2021.

29. Denmar Nacrut SRL – august 2022 – 2500 euro

Neconformarea sistemelor de supraveghere video la prevederile GDPR precum și lipsa informării persoanelor vizate i-a adus operatorului Denmar Nacrut SRL 2 sancțiuni contravenționale în cuantum de 2500 euro. De asemenea s-au dispus și o serie de măsuri corective.

Investigația a pornit ca urmare a unei sesizări făcute de către o persoană fizică ce a semnalat faptul că persoane vizate, clienți ai SC Denmar Nacrut SRL, erau supravegheate video în timpul prestării unor servicii cosmetice.

Într-adevăr, în timpul investigației, s-a constatat că Denmar Nacrut SRL deține sistem de supraveghere video montat atât în interiorul, cât și în exteriorul spațiului unde își desfășoară activitatea și sunt monitorizați atât angajații cât și clienții. Mai mult de atât, nu există o informare clară, completă și corectă a angajaților și a persoanelor vizate ale căror date cu caracter personal (respectiv imaginea) se prelucrează prin intermediul camerelor video de supraveghere.

Întrucât operatorul nu a făcut dovada unor incidente existente anterior care să justifice interesul său legitim care să prevaleze asupra intereselor sau drepturilor și libertăților fundamentale ale persoanelor vizate, s-a constatat că operatorul a prelucrat în mod excesiv datele clienților și angajaților săi.

30. Sephora Cosmetics România SA– august 2022 – 2000 euro

Nerespectarea drepturilor persoanelor vizate conferite de Regulamentul General privind Protecția Datelor cu caracter personal i-a adus operatorului Sephora Cosmetics România SA o sancțiune de 2000 euro. Vorbim despre nerespectarea dreptului de opoziție prin care persoanele vizate au dreptul absolut de a se opune prelucrării datelor cu caracter personal dacă acestea sunt prelucrate pentru marketing direct. Operatorul nu a respectat acest drept și a continuat să trimită mesaje comerciale tip SMS în ciuda faptului că persoana vizată a solicitat în repetate rânduri să nu-i mai fie utilizate datele în scop de marketing.

Deși, persoana vizată a fost informată de către operator că datele eu nu vor mai fi prelucrate în scop de marketing, aceasta a continuat să primească mesaje comerciale nesolicitate, de tip SMS, din partea Sephora Cosmetics România SA.

31. S.C. Delivery Solutions S.A. (Sameday) – iulie 2022 – 3000 euro

ANSPDCP a finalizat o investigație la S.C. Delivery Solutions S.A. (Sameday) și a sancționat contravențional operatorul de date cu amendă în cuantum de 3000 eur pentru că nici acesta nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării pentru drepturile și libertățile persoanelor fizice.

De la ce a pornit investigația? Investigația a fost demarată ca urmare a unor sesizări depuse de o persoană fizică în care era semnalat faptul că baza de date a S.C. Delivery Solutions S.A. (Sameday) este la vânzare pe site-ul raidforums.com.

În calitate de persoană împuternicită a două societăți pentru prelucrarea datelor cu caracter personal, S.C. Delivery Solutions S.A. era obligată să ia toate măsurile necesare pentru a proteja sistematic prelucrarea datelor cu caracter personal ale persoanelor fizice, inclusiv împotriva divulgării și/sau accesului neautorizat la date. Lipsa acestor măsuri a condus la divulgarea și/sau accesul neautorizat la datele cu caracter personal pentru 26566 persoane fizice vizate.

Datele personale disponibile spre vânzare pe forumul RaidForums și care puteau fi accesate online sunt: număr și dată AWB, indicative curieri, nume expeditor, nume și prenume destinatar, număr de telefon, adresă, status livrare, tipul serviciului, greutate colet, suma de încasat, intervalul de livrare.

32. E Software Concept SRL – iulie 2022 – 4000 euro

Lipsa măsurilor tehnice și organizatorice în vederea asigurării securității și confidențialității datelor personale precum și nefurnizarea informațiilor solicitate de Autoritatea de supraveghere, i-au adus operatorului de date E Software Concept o amendă în cuantum de 4000 euro.

Ce s-a constatat în timpul investigației?

Pe site-ul operatorului, la anumite link-uri, erau disponibile public anumite documente prin care se dezvăluiau date cu caracter personal ale clienților E SOFTWARE CONCEPT SRL. Documentele în cauză sunt facturile emise de operator către clienții săi, persoane fizice și juridice, și AWB-urile emise de solicitanții serviciilor de curierat. Datele cu caracter personal care au fost dezvăluite sunt: nume, prenume, adresă expeditor și destinatar, număr de telefon, username și parolă, adrese de e-mail.

Mai mult decât această situație care a condus la pierderea confidențialității datelor cu caracter personal ale clienților operatorului, acesta nu a dat curs solicitării de informații adresate de Autoritatea Națională de Supraveghere în exercitarea competențelor sale, astfel că a fost sancționat și pentru acest fapt.

Un site conform GDPR implică mult mai mult decât existența butonului de acceptare de cookie-uri iar aspectele de luat în calcul într-o evaluare a unui site conform GDPR sunt multiple. Poți citi mai multe despre audit GDPR pentru site-uri sau ne poți contacta pe contact@gdprcomplet.ro pentru o ofertă.

33. Continental Automotive Romania – iunie 2022 – 2000 euro

Ultima amendă a lunii iunie 2022 ne confirmă înca o dată că doar stabilirea unor proceduri de lucru nu sunt suficiente să te scape de amendă, dacă nu se evaluează periodic aplicarea acestora. Ce s-a întâmplat mai exact:

În temeiul dispozițiilor Regulamentului General privind Protecția Datelor, Operatorul Continental Automotive Romania SRL a transmis către ANSPDCP, în cursul anului 2022, o notificare de încălcare a securității datelor cu caracter personal și anume, a descoperit la sediul său din Timișoara că în afara sistemului oficial de camere mai exista un număr de 135 de camere de supraveghere neaprobate (neconfigurate conform politicilor interne) conectate la sisteme de camere neoficiale, majoritatea fiind amplasate în mijlocul zonei de producție.

În consecință, Operatorul Continental Automotive Romania SRL a fost sancționat cu amendă în cuantum de 2000 EURO pentru că nu a stabilit măsuri tehnice și organizatorice adecvate și nu a evaluat periodic măsurile tehnice și organizatorice implementate în vederea asigurării securității adecvate a prelucrării imaginilor video ale angajaților și în vederea prevenirii prelucrarării neautorizate.

Vă reamintim în acest sens că procesul de conformare la GDPR este un proces continuu.

34. SC Interactions Marketing SRL – iunie 2022 – 1000 euro

Trimiterea de mesaje comerciale către mai multe persoane reprezintă divulgare neautorizata de date personale în condițiile în care sunt dezvăluite adresele de e-mail ale acestora. Această lipsă a măsurilor tehnice și organizatorice în vederea asigurării confidențialității datelor personale, aduce pentru SC Interactions Marketing SRL, în calitate de împuternicit al unui operator, o sancțiune de 1000 EUR.

ANSPDCP a constatat, în urma investigației, că SC Interactions Marketing SRL, în calitate de împuternicit, a derulat o campanie pentru operatorul reclamat, în cadrul căreia a transmis un mesaj comercial către adresele de email aparținând unui număr de 27 de persoane, fără ascunderea acestora, permițând astfel divulgarea neautorizată a adreselor de e-mail către ceilalți destinatari.

În consecință, încălcând prevederile art. 32 alin. (1) lit. b), SC Interactions Marketing SRL a fost sancționată deoarece, în calitate de persoană împuternicită, avea obligația de a adopta măsuri tehnice și organizatorice adecvate în vederea asigurării confidențialității datelor personale prelucrate.

35. Asociația de Proprietari Aviației Park – iunie 2022 – 7000 euro

O nouă investigație ANSPDCP s-a finalizat cu amendă pentru operatorul Asociația de Proprietari Aviației Park. Acesta a fost sancționat contravențional cu amendă pentru 2 încălcări ale prevederilor GDPR după cum urmează:

  • 2000 EURO pentru prelucrarea în mod excesiv a datele cu caracter personal ale livratorilor și/sau curierilor în calitate de persoane vizate, fără un temei legal justificat raportat la scopul prelucrării (controlul accesului în complexul rezidențial) și fără să prezinte dovezi că asigură informarea corectă și completă a persoanelor vizate, precum și că datele prelucrate sunt adecvate, relevante și limitate la ceea ce este necesar în raport cu scopul prelucrării; S-a constatat că reprezentanții societății de pază (în calitate de împuternicit) colectau și prelucrau datele cu caracter personal în scopul accesului persoanelor la intrarea în complexul rezidențial, sens în care solicitauo serie de date persoanelor care intrau în complex și le notau într-un registru intern, deși instrucțiunile primite de la operator erau exclusiv pentru serviciile de livrări și/sau curierat.
  • 5000 EURO pentru că nu a stabilit o perioadă de stocare a imaginilor prelucrate prin intermediul sistemului de supraveghere video și le-a stocat pe o perioadă mai mare decât cea necesară îndeplinirii scopului în care sunt prelucrate, respectiv controlul accesului în condominiu, deși avea obligația de a păstra imaginile într-o formă care să permită identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele. Astfel, s-a constatat existența de imagini stocate cu o vechime de aproximativ un an și jumătate.

În acest context, reamintim faptul că potrivit art. 4 pct. 7 din RGPD operatorul stabilește scopul și mijloacele de prelucrare, iar conform art. 28 alin. (3) lit. a) din RGPD împuternicitul prelucrează datele numai pe baza unor instrucțiuni documentate din partea operatorului.

De asemenea, reamintim faptul că potrivit art. 5 din RGPD, operatorul trebuie să respecte principiile de prelucrare a datelor, printre care cele privind ”legalitatea, echitatea şi transparenţa”, ”reducerea la minimum a datelor” și ”limitarea legată de stocare”. În același timp, operatorul este responsabil de respectarea principiilor şi trebuie să demonstreze această respectare (”principiul responsabilității”). 

36. S.C. Wine Point S.R.L.– iunie 2022 – 3000 euro

Lipsa măsurilor tehnice și organizatorice în vederea asigurării confidențialității datelor personale, îi aduce operatorului S.C. Wine Point S.R.L. o sancțiune de 3000 EUR.

Investigația ANSPDCP a fost demarată ca urmare a unei sesizări prin care o persoană vizată a semnalat faptul că a primit din partea operatorului, prin e-mail, un mesaj comercial, care era adresat și altor persoane, adresele acestora de e-mail fiind vizibile tuturor celor 810 de destinatari.

În consecință, prin divulgarea neautorizata de date personale, S.C. Wine Point S.R.L. încalcă dispozițiile art. 32 alin. (1) lit. b) din Regulamentul General privind Protecția Datelor

Eroare umană sau rea intenție, trimiterea unui email care divulgă emailurile tuturor destinatarilor reprezintă o breșă de securitate.

Gestionarea breșelor de securitate poate fi o adevărată provocare pentru operatorii de date, astfel că vă recomandăm să citiți mai multe despre gestionarea breșelor de securitate GDPR.

37. Wens Experience SRL – iunie 2022 – 1500 euro

Nerespectarea (sau neînțelegerea) obligațiilor ce îi revin ca și persoană împuternicită i-a adus societății Wens Experience SRL o sancțiune de 1500 eur.

Cu ce a greșit aceasta? Societatea Wens Experience SRL, în calitate de împuternicit al unui operator, a recrutat o altă persoană împuternicită pentru prelucrarea datelor angajaților operatorului fără a primi în prealabil o autorizație scrisă, specifică sau generală din partea operatorului.

Reamintim în acest sens art. 28 alin. (2) din RGPD care spune că „Persoana împuternicită de operator nu recrutează o altă persoană împuternicită de operator fără a primi în prealabil o autorizaţie scrisă, specifică sau generală, din partea operatorului. În cazul unei autorizaţii generale scrise, persoana împuternicită de operator informează operatorul cu privire la orice modificări preconizate privind adăugarea sau înlocuirea altor persoane împuternicite de operator, oferind astfel posibilitatea operatorului de a formula obiecţii faţă de aceste modificări.”

38. Kaufland România SCS – iunie 2022 – 2000 euro

ANSPDCP a finalizat o nouă investigație prin care sancționează din nou lipsa măsurilor tehnice și organizatorice adecvate pentru a asigura securitatea informațiilor. De această dată, operatorul de date Kaufland România SCS a fost sancționat cu amendă în cuantum de 9.893,2 lei (echivalentul sumei de 2000 EURO) pentru încălcarea dispozițiilor art. 29 și art. 32 alin. (1) lit. b), alin. (2) și alin. (4) din Regulamentul General privind Protecția Datelor.

Este vorba de două notificări de încălcare a securității datelor cu caracter personal și anume accesul neautorizat al unor angajați ai operatorului la datele cu caracter personal ale clienților Kaufland și transmiterea eronată către un alt destinatar a unor date personale ale unui client.

În prima încălcare a securității, angajatul operatorului care a preluat plângerea unei petente nu a respectat procedura internă de soluționare a unei reclamații și a permis vizualizarea documentului de către agentul de pază. Acesta, ulterior a utilizat necorespunzător aceste date și astfel s-a ajuns la încălcarea confidențialității datelor personale ale petentei.

Cea de-a doua încălcare a securității datelor are la bază tot nerespectarea procedurii de lucru și a constat în transmiterea eronată către un alt destinatar a unei foi de comandă a unui client prin intermediul unor platforme de livrare. Această situație a condus la divulgarea și accesul neautorizat la datele cu caracter personal (nume, prenume, adresa de e-mail, număr de telefon) ale clientului Kaufland.

În acest context, reamintim că orice persoană fizică care acționează sub autoritatea operatorului și care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului.

39. Med Life S.A. – mai 2022 – 5000 euro

Lipsa măsurilor la securitatea fizică a documentelor ne aduce în atenție o amendă aplicată Med Life S.A., cu totul aparte. Este vorba de divulgarea ilicită ale datelor clienților proprii a operatorului, date precum: nume, prenume, CNP, serviciul medical de care a beneficiat, analiza medicală efectuată, suma achitată, cont bancar dar și ale angajaților: salariu în avans, pentru două luni la rând. În acest sens, documente care conțineau aceste date au fost aruncate la coșul de gunoi al unei unități administrativ-teritoriale.

Sesizarea a fost făcută de către o persoană care a identificat aceste documente, aspect care a dus la demararea investigației.

Astfel, a fost aplicată o amendă de 5000 de euro și actualizarea măsurilor tehnice și organizatorice implementate.

O recomandare mereu prezentă este aceea a instruirii periodice a persoanelor care acționează sub autoritatea Med Life S.A., în mod specific cu privire la riscurile pe care le comportă prelucrările de date cu caracter personal.

40. Kredyt Inkaso Investments RO S.A. – mai 2022 – 5000 euro

Dezvăluirea datelor medicale sunt printre cele mai sensibile aspecte și cel mai des reclamate de către persoanele vizate. În cazul Kredyt Inkaso Investments RO S.A., aceștia au dezvăluit date precum: adresa de domiciliu, cod numeric personal, funcția deținută, date privind contractul de muncă, date din certificatele de concediu medical către medici și unități medicale cu care firma nu avea contract (sau nu existau raporturi juridice).

Una din problemele menționate de ANSPDCP este prelucrarea datelor cu privire la starea de sănătate care s-a realizat cu încălcarea principiului legalității.

Nu în ultimul rând, operatorul nu a respectat termenele indicate pentru notificarea incidentului de securitate, încălcându-se prevederile art. 33 (pentru aceasta s-a aplicat un avertisment).

Amenda aplicată este echivalentul a 5000 de euro.

41. Mayr Melnhof Packaging Romania S.R.L – mai 2022 – 1500 euro

Spațiul destinat servirii mesei și locul destinat fumătorilor sunt considerate spații în care nivelul de viață privată al angajaților este unul mai ridicat în comparație cu alte spații care pot fi monitorizate. În acest sens, societatea amintită a montat un sistem de camere de supraveghere video în sala de mese și la locul de fumat, aspect care a fost raportat de către angajați. Aceștia au raportat faptul că această monitorizare este excesivă, situație cu privire la care ANSPDCP a concluzionat că este într-adevăr încălcat principiul minimizării datelor.

42. Loris Fuel Shop SRL – mai 2022 – 1000 euro

Divulgarea de date pe Facebook este din nou sancționată! De data aceasta operatorul Loris Fuel Shop SRL este sancționat cu o amendă de 1000 de euro pentru divulgarea pe rețeaua de socializare a unor capturi video cu persoana vizată, înregistrată la stația de alimentare cu carburant. Deseori aceste imagini sunt postate cu scopul de a stârni amuzamentul, însă acestea, nefiind anonimizate atrag după cum se pare și sancțiuni. Astfel, vedem cum din nou instruirea personalului duce la o dezvăluire neautorizată de date și la atragerea unei sancțiuni asupra operatorului.

Un aspect pe care ANSPDCP îl recomandă, pe lângă instruirea angajaților este acela al procedurării modalităților de acces la imagini dar și a raportării situațiilor de încălcare a securității datelor.

43. Concordia Capital IFN S.A. – mai 2022 – 4.000 euro

Interesul poartă fesul!

Trebuie să admitem actualitatea zicalei, căci cu toții acționăm în baza unui interes, acesta fiind temeiul majorității covârșitoare a acțiunilor noastre.

Zicala este la fel de actuală și în materia protecției datelor. În acest sens, există anumite condiționări de care Operatorii de date trebuie să țină cont: în primul rând, interesul trebuie să fie legitim, să aibă aptitudinea de a legitima acțiunea principală. Apoi acțiunea principală trebuie însoțită/completată de acțiuni secundare care îi confirmă sau dezvăluie caracterul legitim față de persoanele vizate.

În sancțiunea dispusă, Autoritatea Națională de Supraveghere face un examen al legitimității interesului Operatorului de date – Concordia Capital IFN S.A., în ceea ce privește acțiunea acestuia de a instala camere audio-vizuale în birourile angajaților săi.

În acest sens, a constatat o încălcare a art. 5 și 6 din Regulamentul General privind Protecția Datelor, stabilind că Operatorul nu a respectat următoarele condiții imperative:

  • Acțiunea să fie luată în subsidiar, doar în cazul în care au fost folosite alte mijloace mai puțin intruzive pentru atingerea acestuia care nu și-au dovedit eficiența.
  • Acțiunea și scopul acesteia să fie aduse la cunoștința persoanei vizate în mod concret și eficient (în speță, informarea s-a realizat prin Regulamentul Intern).
  • Scopul invocat în legitimarea acțiunii, respectiv asigurarea protecției persoanelor, bunurilor și valorilor angajatorului și ale angajaților, să fie unul justificat.
  • În realizarea acțiunii, Operatorul să respecte principiile de prelucrare reglementate de art. 5 alin. (1) lit. a), b), c) și alin. (2) și a condițiilor de legalitate prevăzute de art. 6 din Regulamentul General privind Protecția Datelor.
  • Operatorul să respecte garanțiile art. 5 din Legea 190 din 18.07.2018 privind măsurile de punere în aplicare a Regulamentului General privind Protecția Datelor:
    • interesele legitime urmărite de angajator să fie temeinic justificate şi să prevaleze asupra intereselor sau drepturilor şi libertăţilor persoanelor vizate;
    • angajatorul să realizeze informarea prealabilă obligatorie, completă şi în mod explicit a angajaţilor;
    • angajatorul să consulte sindicatul sau, după caz, reprezentanţii angajaţilor înainte de introducerea sistemelor de monitorizare;
    • acțiunea să fie luată, doar dacă alte forme şi modalităţi mai puţin intruzive pentru atingerea scopului urmărit de angajator nu şi-au dovedit anterior eficienţa; şi
    • durata de stocare a datelor cu caracter personal să fie proporţională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepţia situaţiilor expres reglementate de lege sau a cazurilor temeinic justificate.

În concluzie, interesul poartă fesul, dar în materia protecției datelor personale, dacă interesul nu este unul legitim și nu sunt îndeplinite condițiile legale pentru a putea legitima acțiunea în baza acestuia, nu-ți vei mai permite nici un fes datorită amenzii luate.

44. Megareduceri TV S.R.L. – mai 2022 – 4.000 euro

Nu orice reducere înseamnă un câștig! Cu atât mai mult pentru Operatorul de date Megareduceri TV S.R.L. care primește a 2-a amendă pentru neconformare la GDPR. Citește despre sancțiunea aplicată operatorului Megareduceri TV S.R.L. din octombrie 2020.

Pe de-o parte, din punct de vedere comercial, pentru orice operator economic, a reduce din preț înseamnă dinamizarea vânzărilor, creșterea vizibilității în rândul consumatorilor și bineînțeles creșterea profitului.

Pe de altă parte, din punct de vedere al protecției datelor cu caracter personal, a reduce din garanțiile impuse de Regulamentul General privind Protecția Datelor reprezintă un risc iminent de sancțiune din partea Autorității Național de Supraveghere.

În speță, pentru Operatorul de date, Megareduceri TV S.R.L., riscul s-a concretizat: în urma investigației efectuate, Autoritatea Națională de Supraveghere a constat încălcarea prevederilor art. 83 alin. (5) lit. e) corelate cu dispozițiile art. 58 alin. (1) din Regulamentul General privind Protecția Datelor. Investigația a fost demarată ca urmare a plângerilor formulate de clienți/potențiali clienți, care, fără a-și da consimțământul în acest sens, au primit mesaje comerciale tip sms (pe numerele personale de telefon) prin care se promovau ofertele promoționale de pe website-ul Operatorului: www.reduceriazi.ro.

Cu privire la acuzațiile aduse, Megareduceri TV S.R.L. nu a dat curs solicitărilor Autorității de furnizare de informații, deși a confirmat primirea acestor solicitări. În consecință, i s-a aplicat sancțiunea pecuniară în valoare de aprox. 4.000 de euro – una dintre cele mai mari sancțiuni dispuse de Autoritate pentru lipsa unui răspuns din partea Operatorului de date.

Pe lângă aceasta, i s-au aplicat și măsuri corective de intrare în legalitate, respectiv de conformare a activității Operatorului de date cu normele Regulamentului General privind Protecția Datelor:

  • să fie evitate situațiile de prelucrare a datelor cu caracter personal fără consimțământul persoanelor vizate și fără existența unei alte situații în care consimțământul nu este necesar;
  • să fie luate măsurilor necesare privind evaluarea datelor cu caracter personal prelucrate, astfel încât date precum numărul de telefon să nu mai fie prelucrat în scop de marketing direct sau de transmiterea de comunicări comerciale prin servicii de comunicații electronice destinate publicului, fără consimțământul prealabil expres al persoanelor vizate.

În concluzie, atât pentru consumatori cât și pentru operatorii economici, sunt binevenite reducerile … de preț, nicidecum cele referitoare la îndeplinirea obligațiilor legale în materia protecției datelor cu caracter personal.

Reamintim faptul că operatorul a mai fost sancționat pentru încălcarea acelorași prevederi ale Regulamentului General privind Protecția Datelor în octombrie 2020 și se pare că nu și-a învățat lecția.

45. IKEA România S.R.L. – aprilie 2022 – 1.000 euro

Atât activitatea, cât și pasivitatea neconformă se pedepsește.

IKEA România S.R.L., operatorul economic care face parte din grupul IKEA – unul dintre cei mai mari producători de mobilă din lume, a fost sancționată de Autoritatea Națională de Supraveghere pentru lipsa formulării și comunicării unui răspuns în termen de o lună de la primirea cererii persoanei vizate.

În speță, persoana vizată și-a exercitat dreptul de ștergere a datelor sale personale dintr-un cont de utilizator IKEA, conform art. 17 din Regulamentul General privind Protecția Datelor. În acest sens, persoana vizată a formulat mai multe cereri către operatorul economic, care au rămas fără răspuns.

Autoritatea Națională de Supraveghere a constatat că IKEA România S.R.L., în calitate de Operator de date nu a făcut dovadă că a transmis în termenul legal un răspuns la cererile formulate de persoana vizată, încălcând în acest sens art. 12 alin. (3) din Regulamentul General privind Protecția Datelor.

Pe lângă sancțiunea pecuniară, în valoare de 1.000 de euro, operatorului economic i s-a aplicat și măsura corectivă de a depune toate diligențele și de a lua toate măsurile necesare astfel încât să se respecte efectiv drepturile persoanei vizate prevăzute de Regulamentul General privind Protecția Datelor.

În concluzie, adaptăm un proverb românesc la speța noastră: ,,Din greșeli, operatorul învață’’ – drepturile persoanei vizate prevăzute de Regulamentul General privind Protecția Datelor trebuie garantate efectiv de către Operatorul de date. În acest sens, termenul de răspuns de o lună la orice solicitare a persoanei vizate are caracter imperativ.

46. ASOCIAȚIA DE PROPRIETARI din Str. Soporului 17, municipiul Cluj-Napoca – aprilie 2022 – 500 euro

Se pare că nu doar în credința populară, luna Aprilie este ,,Prier’’ – denumire care vine de la timpul prielnic de lucrat, ci și în practica Autorității Naționale de Supraveghere. În acest sens, când există o plângere din partea persoanei vizate cu privire la încălcarea drepturilor sale garantate de Regulamentul General privind Protecția Datelor, este prin excelență timpul ,,prielnic’’ de a demara o investigație cu privire la pretinsa încălcare.

În speță, în vederea desfășurării investigației, Autoritatea Națională de Supraveghere a solicitat informații de la Operatorul de date, ASOCIAȚIA DE PROPRIETARI din Str. Soporului 17, municipiul Cluj-Napoca, acuzat de către persoana vizată că a dezvăluit pe grupul de Facebook al blocului în care domiciliază acesta, imagini cu persoana sa din sistemul de supraveghere video gestionat de Operatorul de date.

Deși a confirmat primirea solicitărilor, Operatorul de date, nu a dat curs acestora, lăsându-le fără răspuns. Drept urmare, fapta Asociației, a constituit situația ,,prielnică’’ acordării unei amenzi în valoare de 500 euro pentru inacțiunea sa. Chiar dacă a fost dispusă o sancțiune, obligația de a furniza Autorității Naționale de Supraveghere informațiile solicitate, rămâne valabilă, Asociația fiind obligată să o îndeplinească în termen de 5 zile de la comunicarea procesului-verbal de sancționare.

Având în vedere cele expuse, putem concluziona că în situația Operatorului se respectă o altă credință populară cu privire la luna Aprilie: aceea de a fi luna păcălelilor. Din păcate, și păcăliciul și cel păcălit este Asociația.

47. Kaufland România S.C.S. – martie 2022 – 2.000 euro

A furniza sau a nu furniza… – Pentru Kaufland România S.C.S. nu este o întrebare, ci o certitudine, fiind în același timp un drept și o obligație.

Astfel, pe de-o parte, în calitatea de comerciant, unul dintre cei mai puternici pe piața românească, Kaufland România S.C.S. are dreptul de a furniza diferite produse alimentare și diferite bunuri de larg consum prin intermediul hipermarketurilor sale. Pe de altă parte, în calitate de Operator de date, are obligația de a furniza informații persoanei vizate conform Regulamentului General privind Protecția Datelor.

În urma investigației demarate de Autoritatea Națională de Supraveghere, s-a constatat că Operatorul de date Kaufland România S.C.S., nu și-a executat obligația de a furniza persoanei vizate o copie a tuturor înregistrărilor din sistemul de supraveghere video ce o privesc. În acest sens, s-a încălcat art. 15 alin. (3) din Regulamentul General privind Protecția Datelor.

Deși persoana vizată și-a exercitat un drept garantat de Regulamentul General privind Protecția Datelor, respectiv dreptul de acces la datele cu caracter personal care o privesc, Operatorul de date Kaufland România S.C.S. nu i-a respectat acest drept. Mai exact, nu i-a transmis, așa cum a solicitat, o copie integrală a înregistrărilor video ce o privesc, realizate în incinta unuia dintre magazinele Operatorului, chiar dacă acestea erau disponibile la momentul solicitării.

Drept urmare, pe lângă sancțiunea pecuniară, Operatorului de date Kaufland România S.C.S. i s-a aplicat și măsura coercitivă de a da curs solicitării persoanei vizate, așa cum a fost formulată, respectiv de a i se comunica imaginile solicitate, în măsura în care mai sunt disponibile la acest momement, bineînțeles cu blurarea imaginilor care duc la identificarea altor persoane.

În concluzie, din perspectiva Regulamentului General privind Protecția Datelor, a furniza sau a nu furniza, nu este o întrebare, este o certitudine, respectiv o obligație – de a furniza informațiile solicitate de către persoana vizată conform art. 15 din Regulament, ca urmarea a exercitării de către aceasta a dreptului de acces la datele cu caracter personal ce o privesc.

Gestionarea cererilor persoanelor vizate poate fi o provocare pentru operatori. Am detaliat acest subiect în articolul GDPR – drepturile persoanei vizate. Când răspundem și când nu?

48. Condor S.A. – martie 2022 – 2.000 euro

Conform Regulamentului General privind Protecția Datelor, a-ți știi măsura, înseamnă în fapt a lua măsuri tehnice și organizatorice adecvate în vederea asigurării confidențialității datelor cu caracter personal prelucrate.

În acest sens, sancțiunea aplicată de către Autoritatea Națională de Supraveghere Operatorului de date Condor S.A. reprezintă, în fapt, încă un argument privind importanța securității datelor cu caracter personal, respectiv securitatea prelucrării prevăzută la art. 32 din Regulament General privind Protecția Datelor.

Ca urmare a unei sesizări formulate de către o persoană vizată, s-a demarat o investigației privind activitatea de prelucrarea a datelor cu caracter personal a Operatorului de date Condor S.A. În acest sens, Autoritatea Națională de Supraveghere a constatat că a avut loc un acces neautorizat la unele documente neparolate care conțineau o serie de date cu caracter personal ale angajaților ori foștilor angajați, cum ar fi: locul de muncă, numele, prenumele, funcția, salariul de încadrare, suma pentru avans, contul bancar, codurile numerice personale.

Ceea ce a atras răspunderea Operatorului de date Condor S.A., din punct de vederea al Regulamentului General privind Protecția Datelor, a fost:

  • lipsa adoptării de măsuri tehnice și organizatorice adecvate și suficiente în vederea asigurării confidențialității datelor personale prelucrate ale angajaților ori foștilor angajați ai Condor S.A., și
  • lipsa instruirii persoanelor care prelucrează date cu caracter personal sub autoritatea Operatorului de date.

În acest sens, Operatorul de date a încălcat dispozițiile art. 32 alin. (1), (2) și (4) din Regulamentul General privind Protecția Datelor.

Pe lângă sancțiunea pecuniară primită, față de Condor S.A. s-au luat și măsurile coercitive aferente, respectiv: implementarea unor măsuri tehnice și organizatorice adecvate, inclusiv sub aspectul instruirii persoanelor care prelucrează date cu caracter personal sub autoritatea sa, și contactarea persoanei care a avut acces neautorizat la datele respective cu caracter personal, în vederea ștergerii sau distrugerii, după caz, a acestora.

În concluzie, a-ți știi măsura, respectiv a-ți asuma calitatea de Operator de date, te obligă prin excelență la respectarea tuturor normelor Regulamentului General privind Protecția Datelor, inclusiv luarea măsurilor tehnice și organizatorice adecvate în vederea asigurării confidențialității datelor cu caracter personal prelucrate.

Vă reamintim care sunt cele mai bune practici în materie de securitate cibernetică, recomandate de ENISA, CERT-EU & GDPR Complet.

49. Amendă Briza Land S.R.L. – februarie 2022 – 2000 euro

Oferirea unui răspuns incomplet la cererea persoanei vizate este sancționată de către ANSPDCP. Astfel, ce putem vedea este un caz clasic în care o persoană vizată solicită în baza drepturilor avute, informații despre datele care o privesc, informații cu privire la datele prelucrate, la scopul prelucrării, la posibile transferuri de date ori divulgări. Ca urmare a primului răspuns, persoana a fost nemulțumită de răspunsul oferit de operator, considerând că îi lipsesc informații esențiale precum cele referitoare la datele prelucrate, sursa acestora și destinatarii datelor.

În acest sens, ANSPDCP a aplicat operatorului Briza Land S.R.L. o sancțiune de 9892,6 lei (2000 de euro) și măsura corectivă de a comunica (în termen de 5 zile de la primirea procesului verbal de sancțune) informațiile solicitate persoanei vizate.

50. IAMSAT Muntenia SA – februarie 2022 – 3.000 euro

Existența unui drept conform legii înseamnă exercitarea acestuia … tot conform legii

Orice persoană are dreptul la siguranța obiectivelor, bunurilor și valorilor proprii împotriva oricăror acțiuni ilicite care îi lezează dreptul de proprietate, prin asigurarea pazei și securității acestora. Acest drept este garantat de Legea nr. 333 din 8.07.2003 privind paza obiectivelor, bunurilor, valorilor și protecția persoanelor, și de alte dispoziții relevante în materie. Așa cum este reglementat, dreptul nu este unul absolut, ci suportă limitări, mai ales când vine vorba de supravegherea video la locul de muncă a angajaților – o chestiune sensibilă, des întâlnită în practică.

IAMSAT Muntenia SA, deși și-a exercitat un drept prevăzut de lege, modalitatea de exercitare nu a fost conform acesteia. Mai exact, Societatea a instalat mijloace de supraveghere video la locul de muncă, fără a informa în acest sens, în mod complet și în prealabil salariații. Drept urmare, Autoritatea Națională de Supraveghere a sancționat Societatea, în calitate de Operator de date, pentru încălcarea art. 12 și 13 din Regulamentul General privind Protecția Datelor, cu amenda în valoare de 2.000 de euro și a impus în sarcina Societății, ca măsură corectivă, obligația de a asigura o informare completă a persoanelor vizate, în special a angajaților, cu privire la utilizarea sistemului de supraveghere video.

Putem, deci, trage o primă concluzie: din perspectiva Autorității de Supraveghere nu doar ,,informația costă bani’’, ci și lipsa transmiterii acesteia costă, în speță 2.000 de euro.

Pe de altă parte, persoana vizată și-a exercitat dreptul de opoziție garantat de Regulamentul General privind Protecția Datelor, conform prevederilor acestuia. Astfel, a transmis Societății, o cerere prin care a adus la cunoștința acesteia că: nu își dă consimțământul pentru utilizarea adresei sale de e-mail și se opune prelucrării datelor sale personale de către Societate și/sau de terți prin intermediul acesteia, după încetarea contractului de muncă.

Cererea a rămas fără răspuns. Drept urmare, Autoritatea Națională de Supraveghere a mai sancționat cu încă o amendă Societatea, în cuantum de 1.000 de euro pentru încălcarea dispozițiilor art. 12 alin. (3), raportate la art. 21 din Regulament, respectiv neexecutarea obligației de a răspunde în termenul legal la cererea persoanei vizate. În acest sens, pe lângă amendă, Autoritatea a impus în sarcina Societății și măsura corectivă de a transmite un răspuns persoanei vizate la cererea sa, care să cuprindă măsurile adoptate în urma exercitării dreptului de opoziție.

Așadar pentru toți cei care prelucrăm date cu caracter personal, se impune să completăm zicala: ,,E bine să fi informat’’, și din perspectiva RGPD: ,,E bine să fi informat, dar nu uita și să informezi! Te poate scuti de amenzi și măsuri corective.’’

Gestionarea cererilor persoanelor vizate poate fi o provocare pentru operatori. Am detaliat acest subiect în articolul GDPR – drepturile persoanei vizate. Când răspundem și când nu?

51. Societatea Civilă Profesională de Avocați „Sabou, Burz & Cuc” – februarie 2022 – 1.000 euro

Comunicarea pe WhatsApp: eficiența scade calitatea

Iată un alt exemplu în care eficientizarea comunicării determinată de tehnologie, nu crește, ci scade calitatea și securitatea informațiilor comunicate.

Nu e condamnabil să vrei să împărtășești din experiența ta, ci este condamnabilă neglijența de a proteja datele cu caracter personal ale clientului tău, să nu mai amintim despre încălcarea secretului profesional. În acest sens a fost poziționarea Autorității Naționale de Supraveghere, când a sancționat contravențional Societatea Civilă Profesională de Avocați „Sabou, Burz & Cuc”, cu amendă în suma de 1.000 euro.

Unul dintre apărătorii timișoreni din cadrul societății de avocatură a distribuit pe un grup de WhatsApp folosit de avocați ai baroului Timiș un document trimis de o instituție publică pe numele clientului societății (persoana vizată, în speță). Documentul a fost distribuit fără o neutralizare a datele cu caracter personal ale clientului, în prealabil. Astfel, cei 278 de membrii – avocați, aflați pe grupul de WhatsApp au aflat pe lângă alte informații sensibile (și probabil relevante pentru activitatea juridică) și următoarele: numele, prenumele, adresa de domiciliu a persoanei vizate și informații referitoare la un dosar aflat pe rolul instanței în care persoana vizată este implicat.

Se pare că nu doar acumularea experienței propriu-zise costă, ci și împărtășirea acesteia, dacă se face cu încălcarea art. 5 alin. (1) lit. a), b), c), f), alin (2), și a art. 6 din Regulamentul General privind Protecția Datelor, respectiv fără a exista un temei legal pentru transferul datelor cu caracter personal, în mod excesiv și incompatibil cu scopul inițial al colectării lor, precum și fără adoptarea unor măsuri tehnice și organizatorice pentru păstrarea confidențialității acestor date – așa cum a hotărât Autoritatea Națională de Supraveghere.

Amenda a fost însoțită și de măsuri corective impuse societății de avocatură în calitatea de operator de date, respectiv: notificarea tuturor membrilor grupului de WhatsApp în vederea ștergerii documentului distribuit și conformarea cu Regulamentul a operațiunilor de colectare și prelucrare ulterioară a datelor personale în cadrul raporturilor juridice de asistare și reprezentare a clienților societății de avocatură. În acest sens, observăm că Autoritatea Națională de Supraveghere insistă și în această speță pe importanța instruirii regulate a persoanelor ce prelucrează date sub autoritatea operatorului.

…dar cum spune un proverb român ,,Tot răul spre bine’’ … în cazul în care societatea de avocatură nu are ca arie de practică protecția datelor, experiența aceasta (chiar dacă nedorită) poate constitui un bun prilej de a începe o extindere în acest sens.

Majoritatea companiilor și instituțiilor publice folosesc astăzi WhatsApp-ul în desfășurarea activităților profesionale, însă acesta ridică probleme cu privire la protecția datelor cu caracter personal. Citește mai mult despre WhatsApp-ul în relațiile de muncă din perspectiva GDPR.

52. S.C. Grupex 2000 S.R.L. – ianuarie 2022 – 1000 euro

Nerespectarea vieții private persoanelor instituționalizate în sistemul de protecție a copilului poate costa! Operatorul S.C. Grupex 2000 S.R.L. a fost sancționată cu 4.943,60 lei pentru postarea unui material video pe websiteul deținut în care apăreau imagini (un material filmat) ale unor bolnavi instituționalizați în sistemul Direcției Județene de Asistență Socială și Protecție a Copilului.

În acest sens, vedem cum o persoană juridică (Direcția) depune plângere în numele persoanelor reprezentate (persoane fizice) pentru a atrage măsuri și a corecta comportamentul neconform.

Este bine să fim atenți la astfel de situații pentru a nu expune aspecte din viața privată a unor persoane care poate nu își pot exercita singure anumite drepturi și sunt astfel mai vulnerabile în fața abuzurilor operatorilor!

Inginer software cu peste 20 de ani de experiență in domeniul IT și multiple certificări Microsoft, studii post universitare de protecția datelor, CISO specializat pe utilizarea controalelor de securitate ISO 27001 ca masuri de securitate tehnică și organizațională pentru protejarea datelor cu caracter personal.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *