Comunitatea DPOCategorie: Aspecte generaleComenzi magazin online
Alina Criste asked 3 ani ago

Buna ziua, am observat ca din contul meu (magazin online) au fost facute 3 comenzi care nu imi apartin mie sau apropiatilor. Suspectez ca un angajat al magazinului online a facut comenzile. Plata comenzilor a fost facuta prin aplicarea unor discounturi. Ce depturi mi-au fost incalcate si ce sanctiuni poate sa primeasca magazinul online#?

Mentionez ca este un magazin online cu sute de mii de clienti.

1 Answers
Maria Ioana Enea Echipa answered 3 ani ago

Bună ziua, dna. Criste!

Vă mulțumim pentru întrebarea adresată. Ne pare rău de situație. Cel puțin aveți un indiciu în soluționarea acesteia: suspectați deja pe cineva, respectiv un angajat – ceea ce presupune demararea unei cercetări disciplinare.

Dacă înțelegem corect speța, în primul rând, vă rugăm să aveți în vedere că acest incident este catalogat ca un acces neautorizat la datele dvs. cu caracter personal, respectiv datele contului dvs. Incidentul reprezintă o vulnerabilitate a sistemului și a politicii dvs. de prelucrare a datelor cu caracter personal.

Pentru a putea încadra juridic întreaga situație și a vă da un răspuns cât mai aplicat, vă rugăm să ne spuneți dacă activitatea societății dvs. este conformă cu normele impuse de Regulamentul General privind protecția datelor, respectiv dacă:

1) au fost adoptate proceduri și politici interne cu privire la prelucrarea datelor cu caracter personal?

2) acestea au fost aduse la cunoștiință angajaților?

3) au fost incluse prevederi specifice privind prelucrarea datelor cu caracter personal (drepturi și obligații) în contractul individual de muncă/fișa postului/contractul colectiv de muncă/ regulamentul intern – documente încheiate cu sau în legătură cu angajații, respectiv angajatul suspectat?

Dacă s-au avut în vedere acestea (inclusiv s-au implementat) atunci practic prin acțiunea/fapta realizată de angajatul suspect, acesta și-a încălcat obligațiile de confidențialitatea și protecție a datelor cu caracter personal asumate ca urmare a încheierii contractului individual de muncă. În acest caz, poate fi angajată răspunderea disciplinară a acestuia, fiind necesară o cercetare disciplinară prealabilă dvs. conform prevederilor regulamentului intern al societății dvs. și a Codului muncii.

Mai mult, în această situație, conform Regulamentului general privind protecția datelor, angajatul devine el însuși Operator de date, stabilind singur scopurile și mijloacele de prelucrare a datelor. Acesta nu mai acționează în baza contractului individual de muncă, respectiv în baza unui mandat sau instrucțiune din partea dvs. Astfel, dvs. deveniți persoană vizată, deci un schimb de roluri. Aceasta deoarece datele dvs. cu caracter personal, respectiv datele contului dvs. au fost prelucrate/utilizate în scopul propriu al angajatului suspect, fără a vă da consimțământul în acest sens.

Astfel, conform Regulamentului general privind protecția datelor, puteți să vă adresați ANSPDCP cu o plângere în acest sens.

Având în vedere cele expuse mai sus, societatea dvs. nu este pasibilă de vreo sancțiune, numai în cazul în care activitatea acesteia nu se desfășoară conform cu normele Regulamentului general privind protecția datelor.

Pentru orice alte nelămuriri, vă stăm la dispoziție. În acest sens, vă rugăm să ne scrieți pe adresa: contact@gdprcomplet.ro.

O zi frumoasă!