Legislație

Lista cu amenzi GDPR România

2 aug., 2019 No comments yet
Amenzi GDPR în România

Pentru cei care stau liniștiți fără să fi întreprins vreo acțiune de conformare GDPR, sau cu o implementare mioritică pe criteriul că ‘pe noi oricum nu ne caută nimeni’  iată că de la intrarea în vigoare a GDPR, apar tot mai multe semnale a faptului că noul Regulament de protecția datelor personale este mai serios decât ar fi crezut cineva la început. Acest lucru se reflectă în numărul crescător de amenzi GDPR.

Conform site-ului Autorității Naționale de Supraveghere, în România, au fost aplicate zeci de amenzi ca urmare a sute de investigații și mii de plângeri. Astfel, putem vorbi despre următoarele rapoarte ale ANSPDCP:

I. RAPORTUL ANSPDCP aferent perioadei 25 mai 2018 – 24 mai 2019 (1 an de GDPR):

Conform site-ului Autorității Naționale de Supraveghere, în România, din 25 mai 2018 până la 24 mai 2019:

  • s-au înregistrat 398 de notificări de încălcări de securitate a datelor cu caracter personal;
  • s-au primit 5260 plângeri și sesizări; cu cca 50% mai mult decât în 2017 – semn că lumea conștientizează tot mai bine drepturile pe care le are în acest sens. 
  • s-au efectuat 485 investigații din oficiu;
  • s-au efectuat 496 investigații la plângerile persoanelor vizate.
  • s-au emis 57 de măsuri corective, adică recomandări făcute de către Autoritate organizațiilor în cauză pentru a se conforma. 
  • au fost acordate 23 avertismente

În cele din urmă, până acum au fost amendate 28 companii. Cuvântul cheie aici este până acum. Având în vedere numărul de 23 de avertismente este foarte posibil ca să auzim și de alte amenzi pentru încălcarea regulamentul GDPR în curând. 

II. RAPORTUL din data de 05.02.2020, sinteză a activității pentru anul 2019

Făcând o comparație cu raportul anterior, observăm o creștere a activității din partea Autorității, dar și un interes mai mare din partea persoanelor vizate privind protecția datelor cu caracter personal.

În continuare ANSPDCP se focusează pe îndrumare și consiliere. Acest aspect este unul pozitiv, având în vedere că, încă, operatorii de date cu caracter personal sunt nepregătiți.

O privire de ansamblu arată așa:

  • 6193 plângeri și sesizări care au condus la 912 investigații – 16 %
  • Din numărul de 912 investigații doar 28 s-au finalizat cu amendă – 2,8 %
  • Cuantumul amenzilor fiind de 2.339.291,75 lei.
  • Solicitările de puncte de vedere au fost în număr de 1106.

Privind procentul de doar 0,5 % (numărul de amenzi rezultate în urma sesizărilor și a plângerilor) putem afirma cu convingere că ANSPDCP nu este o sperietoare și că nu orice prelucrare a datelor cu caracter personal este ilegală sau neconformă.

III. RAPORTUL din 11.02.2021 sinteză a activității pentru anul 2020

  • S-au primit un număr de 5480 plângeri, 694 investigații și 194 notificări privind incidentele de securitate;
  • Au fost aplicate 29 amenzi în cuantum de 892.115,95 lei (aprox. 183.000 euro) și 10.000 lei, o amendă aplicată în temeiul Legii nr. 506/2004.
  • De asemenea, au fost aplicate 64 avertismente și au fost dispuse 65 de măsuri corective.

Spre deosebire de celelalte rapoarte, din acesta putem înțelege că Autoritatea este foarte interesată ca aspectele problematice să fie îndreptate, dispunând mai multe măsuri corective pe care le vom dezvolta mai jos.

IV. RAPORT anual al ANSPDCP pe 2021

  • S-a primit un număr de 941 solicitări de emitere puncte de vedere privind diverse aspecte referitoare la modalitatea de interpretare și aplicare a Regulamentului.
  • S-a primit un număr total de 5006 plângerisesizări și notificări privind incidente de securitate, pe baza cărora au fost deschise 691 investigații.
  • Au fost aplicate 36 de amenzi în cuantum total de 371.131,95 lei,
  • De asemenea, au fost aplicate 93 avertismente și au fost dispuse 56 de măsuri corective și 1 avertizare.

Iată, pe scurt, cum arată lucrurile pentru anii 2017-2024:

Număr puncte de vedere:

  • 2017 – 409
  • 2018 – 778
  • 2019 – 1106
  • 2020 – 1151
  • 2021 – 941
  • 2022 – 948
  • 2023 – 971
  • 2024 – 882

Număr plângeri:

  • 2017 – 3543
  • 2018 – 4822
  • 2019 – 6193
  • 2020 – 5480
  • 2021 – 5006
  • 2022 – 4260
  • 2023 – 4772
  • 2024 – 5354

Cuantum sancțiuni:

  • 2017 – 870.500 lei
  • 2018 – 631.500 lei
  • 2019 – 2.339.291,75 lei
  • 2020 – 892.115,95 lei
  • 2021 – 371.131,95 lei
  • 2022 – 1.058.863 lei
  • 2023 – 2.348.265 lei
  • 2024 – 1.667.859 lei

Care este obiectul plângerilor și sesizărilor.

Plângerile și sesizările primite de Autoritatea din România (ANSPDCP ) au avut, în principal, ca obiect:

  • nerespectarea condițiilor legale ce privesc exercitarea drepturilor persoanelor vizate (de exemplu: drepturile de informare, acces, opoziție, dreptul de a fi uitat);
  • primirea de mesaje comerciale nesolicitate;
  • dezvăluirea de date personale pe Internet;
  • încălcarea principiilor de prelucrare a datelor cu caracter personal în legătură cu prelucrarea datelor în sistemul bancar;
  • condițiile de legalitate cu privire instalarea sistemelor de supraveghere video;
  • încălcarea regulilor de confidențialitate și securitate a prelucrărilor de date cu caracter personal.

Un aspect interesant, cele mai frecvente încălcări ale securității datelor din România au vizat:

  • accesul neautorizat la datele cu caracter personal prelucrate de operator;
  • transmiterea eronată a facturilor către clienții operatorului;
  • dezvăluirea datelor cu caracter personal/date pacienți;
  • pierderea trimiterilor poștale.
  • procesarea datelor cu caracter personal fără consimțământul persoanelor vizate
  • neinformarea privind folosirea sistemului de supraveghere CCTV
  • lipsa măsurilor de securizare a datelor cu caracter personal

Iar acum haideți să luăm lista amenzilor în ordine inversă, începând cu cea mai recentă!

Amenzi GDPR România:

În concluzie, merită reținute următoarele:

  • GDPR este real. Consumatorii sunt tot mai educați despre drepturile lor, reclamă tot mai des probleme semnalate la operatorii cu care intră în contact iar Autoritatea chiar face controale și chiar dă amenzi.
  • Amenzile acestea nu se dau doar pentru breșele sau incidentele de securitate în sine, ci și pentru lipsa unor proceduri menite să asigure conformarea. 
  • Nu colecta / nu prelucra mai multe date decât ai nevoie.
  • Atenție la conformarea la GDPR a furnizorilor cu care lucrați.

Iar ca o concluzie mai generală, deși interpretările Regulamentului GDPR pot fi multiple și uneori specificul complicat, până la urmă ceea ce se dorește prin GDPR este grija firească față de datele personale ale celor care apelează la serviciile / produsele tale.

Când această grijă există este firesc să fii transparent cu clienții despre ce date și pentru ce anume le colectezi, este firesc să te asiguri că ele nu ajung unde nu trebuie, este firesc să îți instruiești angajații să protejeze datele cu caracter personal cu care intră în contact și este firesc ca până la urmă să depui eforturile necesare unei conformări pe bune la GDPR, și nu a unei implementări de fațadă.

Dacă îți respecti cu adevărat clienții, angajații și colaboratorii, îți place lucrul bine făcut și vrei sa scapi de grija amenzilor GDPR, contactează-ne pe contact@gdprcomplet.ro pentru servicii de consultanță GDPR, DPO externalizat, instruiri și cursuri GDPR.

Inginer software cu peste 20 de ani de experiență in domeniul IT și multiple certificări Microsoft, studii post universitare de protecția datelor, CISO specializat pe utilizarea controalelor de securitate ISO 27001 ca masuri de securitate tehnică și organizațională pentru protejarea datelor cu caracter personal.