Comunitatea DPOCategorie: SancțiuniCompanii și Instituții din România amendate pentru nerespectarea GDPR și motivele. Deocamdată Autoritatea a aplicat doar 3 amenzi în acest sens cu toate ca la nivelul UE există deja destul de multe amenzi pentru nerespectarea GDPR.
GDPR master Echipa asked 7 luni ago
Cerasela Huza replied 4 luni ago

**Prima amendă GDPR care vizează o companie din România**

În urma unei plângeri către Autoritatea Națională de Supraveghere din data de 22.11.2018 privind prelucrarea neadecvată a CNP-ului și a adresei persoanelor care făceau tranzacții on-line. Din textul comunicatului de presă al Autorității Naționale de Supraveghere se poate înțelege că în situația în care persoanele fizice efectuau tranzacții: plăti / încasări, transfer de sume, persoana care primea fondurile primea și informații suplimentare legate de cel care a efectuat plata – în acest caz adresa si CNP-ul plătitorului.

https://gdprcomplet.ro/prima-amenda-gdpr-care-vizeaza-o-companie-din-romania/

Cerasela Huza replied 4 luni ago

A doua amendă pentru încălcarea securității datelor cu caracter personal a fost aplicată în data de 02.07.2019 operatorului WORLD TRADE CENTER BUCHAREST S.A.

Datele a 46 de clienți cazați în cadrul unității hoteliere deținute de operator au fost dezvăluite în mediul online, fără consimțământul acestora, prin fotografierea listei cu persoanele care beneficiază de mic-dejun de către o persoană din afara societății.
Având în vedere că WORLD TRADE CENTER BUCHAREST S.A. nu a luat măsurile necesare pentru a se asigura că angajații săi care au acces la datele cu caracter personal sunt instruiți corespunzător și nu le prelucrează în alte scopuri decât cele pentru care au fost colectate, Autoritatea Naționala pentru Supravegherea Datelor cu Caracter Personal a constata încălcarea art. 24 din GDPR si a aplicat o amendă în cuantum de 71.028 lei echivalentul sumei de 15.000 euro.

Cerasela Huza replied 4 luni ago

A 3-a amendă privind încălcarea Regulamentul (UE) 2016/679 (GDPR) a fost aplicată operatorului de date cu caracter personal LEGAL COMPANY & TAX HUB SRL cunoscut sub denumire comercială de avocatoo.ro.

Astfel, în urma sesizări din data de 10.12.2018, Autoritatea a constata faptul că un set de fișiere cu privire la detaliile tranzacțiilor recepționate de site-ul avocatoo.ro, ce conținea nume, prenume, adresa de corespondență, email, telefon, loc de muncă și detalii tranzacții efectuate, era accesibil public prin intermediul a două link-uri.

Amenda în cuantum de 14.173,50 lei (3000 euro) a fost aplicată pentru nerespectarea obligației de a securiza corespunzător datele cu caracter personal și pentru că operatorul nu a luat măsurile necesare împotriva pierderii, a distrugerii accidentale sau a deteriorării datelor cu caracter personal.

3 Answers
Darius Farcas answered 6 luni ago

Bună ziua,

deși nu este vorba despre o amendă, putem vorbi despre următoarea situație: într-una dintre Staţiile de distribuţie carburanţi din reţeaua societăţii Rompetrol Downstream SRL (“Societatea”) a fost realizată o înregistrare video în care au fost surprinse imagini cu un client (“Clientul”) care a avut dificultăţi la alimentarea cu carburant a autovehiculului personal, dificultăţi datorate unei probleme tehnice a pompei de alimentare. Imaginile respective conţinând date cu caracter personal (imagine, voce, număr de înmatriculare autovehicul) au fost postate în spaţiul public, pe diverse reţele de socializare, fără acordul Clientului ("Incidentul"). Clientul a notificat ANSPDCP, care impune companiei următoarea informare: https://www.rompetrol.ro/companie/presa/articol/comunicat-privind-un-incident-de-securitate-a-protectiei-datelor-cu-caracter-personal-id-267-cmsid-108

De asemenea, pentru aceeași companie: https://www.rompetrol.ro/companie/presa/articol/comunicat-privind-un-incident-de-securitate-a-protectiei-datelor-cu-caracter-personal-id-268-cmsid-108 în luna ianuarie 2019, unui angajat al societăţii Rompetrol Gas SRL (“Societatea”), i s-a sustras laptopul de serviciu din maşina personală ("Incidentul") pe care se regăseau date cu caracter personal ale reprezentaţilor legali/derulanţilor de contract ai clienţilor (“Clientul”).

Cerasela Huza answered 5 luni ago

În perioada de un an de la aplicarea Regulamentului (UE) 2016/679, Autoritatea Națională de Supraveghere a acordat prioritate îndrumării operatorilor în vederea asigurării unei conformări adecvate la noile reguli de protecția datelor și nu a amendării acestora. Acest lucru vine în sprijinul Companiilor si Instituțiilor care de cele mai multe ori nu au îndrumări clare cu privire la împlementarea aspectelor din Regulament.

Tragem în acest sens un semnal de alarmă cu privire la ce servicii de consultanță apelați. De cele mai multe ori sunteți sfătuiți că un simplu ”CONSIMȚĂMÂNT” este de ajuns pentru a fi conformi din punct de vedere GDPR. Peste tot în jurul nostru ni se cere consimțământul fără prea multe explicații cu toate că acesta ar trebui să fie ultimul temei legal pentru prelucrare la care să se apeleaza.

Operatorii de date cu caracter personal omit sau nu stiu să informeze persoanele vizate cu scopurile clare pentru folosirea datelor sau cu privire la drepturile pe care le au.

Mai mult decât atât, nu au o procedură clară pentru exercitarea acestor drepturi.

O altă confuzie care se face tot mai des este aceea că Operatorii au întețeles greșit rolul unui DPO și de cele mai multe ori cred ca dacă nu au nevoie de un DPO nu au nevoie nici să fie conformi din punct de vedere GDPR. TOȚI operatorii de date cu caracter personal trebuie să se conformeze la GDPR, da NU toți sunt obligați să aibă un DPO. Situațiile in care este nevoie de angajarea unui DPO sunt:

Când prelucrarea este efectuată de o autoritate publică sau un organism public, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale.

Dacă activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrarea care necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă.

Dacă activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date sau a unor categorii de date cu caracter personal privind condamnări penale și infracțiuni.

Restul operatorilor care nu se află în această situație pot apela la serviciile unui DPO Externalizat pentru implementare, la o firma specializată sau pot face implementarea prin intermediul conducerii.

În speranța că aceste informații vin în ajutorul d-voastră vă prezentăm statisticile oferite de ANSPDCP:

• s-au înregistrat 398 de notificări de încălcări de securitate a datelor cu caracter personal;

• s-au primit 5260 plângeri și sesizări;

• s-au efectuat 485 investigații din oficiu;

• s-au efectuat 496 investigații la plângerile persoanelor vizate.

În urma investigațiilor efectuate, au fost dispuse 57 de măsuri corective și au fost acordate 23 avertismente.

Măsurile corective au vizat, în special:

• respectarea dreptului la informare a persoanelor vizate și efectuarea unei informări complete;

• comunicarea de răspunsuri complete și în termen legal, fără întârzieri nejustificate la cererile persoanelor vizate privind exercitarea dreptului de acces;

• respectarea principiilor de prelucrare a datelor, în special cele privind legalitatea, transparența și proporționalitatea;

• implementarea de măsuri tehnice şi organizatorice adecvate pentru asigurarea securității și confidențialității datelor, precum și respectarea acestor măsuri;

• ștergerea datelor cu caracter personal după împlinirea termenului de stocare stabilit prin raportare la scopul în care au fost colectate;

• instruirea persoanelor care prelucrează date sub autoritatea operatorului (angajații operatorului);

• transmiterea de mesaje comerciale prin mijloace de comunicare electronică numai cu consimţământul expres prealabil al utilizatorului.

În situația în care persoanele vizate sunt nemulțumite de modul de soluționare a cererii sau nu au primit răspuns din partea operatorului, acestea au posibilitatea de a depune o plângere la Autoritatea Națională de Supraveghere, prin completarea formularului electronic de plângere, pus la dispoziție pe site-ul autorității

https://www.dataprotection.ro/?page=Plangeri_RGPD&lang=ro

Darius Farcas answered 4 luni ago

Bună ziua,

Pe data de 27.06.2019, Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul UNICREDIT BANK S.A. și a constatat că acesta a încălcat prevederile art. 25 alin. (1) din RGPD.

Sancțiunea a fost aplicată ca urmare a unei sesizări a Autorității Naţionale de Supraveghere din data de 22.11.2018 prin care se semnala faptul că datele privind CNP-ul și adresa persoanelor care efectuau plăți la UNICREDIT BANK S.A., prin intermediul tranzacțiilor on-line, erau dezvăluite către beneficiarul tranzacției, prin formularele de extras de cont/detalii.

Numărul de persoane vizate afectate este de: 337.042 pentru perioada 25 mai 2018 – 10.12.2018.

Ca urmare a neaplicării măsurilor tehnice şi organizatorice adecvate, atât în momentul stabilirii mijloacelor de prelucrare, cât şi în cel al prelucrării în sine, destinate să pună în aplicare în mod eficient principiile de protecție a datelor, precum reducerea la minimum a datelor, şi să integreze garanțiile necesare în cadrul prelucrării, pentru a îndeplini cerințele RGPD şi a proteja drepturile persoanelor vizate, Operatorul a fost sancționat contravențional cu amendă în cuantum de 613.912 lei, echivalentul în euro al sumei de 130.000 euro!

https://www.dataprotection.ro/?page=Comunicat_Amenda_Unicredit&lang=ro