Comunitatea DPOCategorie: SancțiuniÎn cadrul Uniunii Europene există companii/instituții publice care au primit amenzi sau sancțiuni de la Autoritate Națională pentru Supraveghere a Datelor cu Caracter Personal pentru nerespectarea GDPR. Putem face o scurta analiza a situațiilor?
8 Answers
Nicolae Ploesteanu answered 1 an ago

Art. 14 (2) din Legea nr. 102 din 3 mai 2005 privind înființarea, organizarea şi funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal prevede:

(1) Sancțiunile contravenționale principale pe care le aplică Autoritatea Națională de Supraveghere, potrivit art. 58 alin. (2) lit. b) și i) din Regulamentul General Privind Protecția Datelor, sunt mustrarea și amenda. Aplicarea amenzii se face în condițiile art. 83 din Regulamentul general privind protecția datelor.

Aplicarea unor sancțiuni către companii poate fi vizualizată în raportul de activitate al Autorității pe anul 2017: http://www.dataprotection.ro/?page=Raport_anual_2017&lang=ro

În ceea ce privește activitatea de sancționare pe anul 2018, inclusiv întemeindu-se pe prevederile din GDPR, datele asumate le puteți solicita de la Autoritate în baza Legii 544/2001 privind accesul liber la informațiile de interes public, întrucât în cadrul acestei comunități noi nu indicam așa ceva pentru a avea grija de imaginea companiilor din Romania. În aceeași idee, legat de aplicarea unor sancțiuni, este indicat sa fie utilizate exclusiv informațiile publice de pe site-ul ANSPDCP.

Cerasela Huza answered 11 luni ago

Cazul Google

Comisia Națională Franceză pentru Informatica și Libertăți (CNIL) a cerut ca Google să fie amendat cu 50 de milioane de euro pentru încălcarea Regulamentului General privind Protecția Datelor (GDPR).

Google este acuzat, astfel, că serviciilor privind datele personale ale utilizatorilor nu sunt suficient de clare si de transparente.

Având în vedere câștigurile înregistrate de compania mama Alphabet, amenda de 50 de milioane de euro nu este una foarte mare, dar este pentru prima dată când un gigant al Internetului este amendat cu privire la încălcarea Regulamentului General pentru Protecția Datelor cu Caracter Personal.

Hilda Sumalan answered 11 luni ago

Spitalul Barreiro din Portugalia

Spitalul Barreiro din Portugalia a fost amendat cu 400.000 de euro de către Autoritatea portugheză pentru protecția datelor cu caracter personal pentru nerespectarea Regulamentului UE privind protecția generală a datelor (GDPR).

Din declarațiile Autorității reiese că au fost încălcate principiile integrității și confidențialității datelor cu caracter personal din sistemul lor informatic.

Spitalul din sectorul public, nu a arhivat și separat corespunzător datele lor de cele ale altui spital, permițând astfel accesul persoanelor neautorizate la ele. Mai mult decât atât au fost descoperite mult mai multe conturi de acces cu rol de ”medici” decât medici angajați ai spitalului.

Cerasela Huza answered 11 luni ago

Vodafone – trimitere abuzivă de mesaje

În luna aprilie 2018, Compania Vodafone a derulat o campanie prin SMS de obținere a consimțământului utilizatorilor PrePAy prin care cererea acordul pentru prelucrarea datelor cu caracter personal.

Astfel această campanie a fost una care încalcă legislația, fiind una nesolicitată și pentru care nu s-a cerut acordul prealabil, pentru transmiterea de informații cu scop de marketing.

Prin omisiune și prin trunchierea mesajului, Vodafone induce în eroare utilizatorii PrePay și îi determină să își dea consimțământul pentru utilizarea datelor personale în scopuri de marketing și publicitate targetată, sub pretextul unei premieri cu 5 GB de date mobile.

În urma investigațiilor ANSPDCP, Compania Vodafone a fost amendată cu suma de 10.000 lei pentru folosirea datelor utilizatorilor fără consimțământ.

Hilda Sumalan answered 11 luni ago

Vodafone – obligare de a șterge date cu caracter personal colectate abuziv

În urma unei investigații din oficiu a ANSPDC din luna mai 2018, s-a dispus printr-o decizie, obligarea Vodafone la ștergea în termen de 30 de zile a datelor cu caracter personal colectate fără consimțământul expres al persoanelor vizate, în speță codul numeric personal.

În dosarul în care compania a solicitat suspendarea deciziei ANSPDCP, Vodafone România a prezentat în fața instanței o adresă emisă de Serviciul Român de Informații (SRI) care arată că “ștergerea/distrugerea datelor cu caracter personal ale abonaților privind codul numeric personal (CNP) este de natură să afecteze îndeplinirea de către companie a obligației legale de a acorda sprijin organelor de stat cu atribuții în domeniul apărării și securității naționale”, obligație care îi revine în calitate de furnizor de servicii de comunicații destinate publicului.

Instanța a respins cererea de suspendare la 12 septembrie, iar operatorul a atacat sentința la instanța superioară la 8 octombrie. Primul termen a fost programat în partea a doua a lunii iunie 2019.

Cerasela Huza answered 11 luni ago

Facebook Italia

Autoritatea de Reglementare a Datelor cu Caracter Personal din Italia a condamnat “practicile agresive” ale Facebook, care potrivit acestora încalcă legile privind protecţia consumatorilor, aplicând astfel o amendă de 11.4 milioane de euro în luna decembrie 2018.

Autorităţile italiene sunt de părere că utilizatorii nu sunt informaţi corect în privinţa potenţialei folosiri comerciale a unora dintre datele personale care sunt solicitate la înscrierea pe Facebook.

Cerasela Huza answered 7 luni ago

Municipalitatea Bergen

La data de 17.12.2018, Autoritatea Norvegiană pentru Protecția Datelor (DPA) a avertizat că va exercita competența sa corectivă (articolul 58.2 litera (d) din GDPR) față de municipalitatea Bergen și că va impune o amendă conform Articolul 83 din GDPR pentru că au permis accesul nesecurizat elevilor, angajaților și altor persoane la fișiere cu nume de utilizator și parole care aparțin la mai mult de 35 000 de studenți, încălcând astfel cerințele de securitate a datelor stabilite în GDPR.

Municipalitatea din Bergen a folosit o soluție de conectare la serviciul cloud, denumită eFEIDE, pentru înregistrarea centralizată a utilizatorilor, cu acces unic atât pentru profesori cât și studenți pentru a accesa – de la dispozitive conectate la Internet – diferite sisteme utilizate de școlile primare din Bergen. eFEIDE este livrat de Identum).

eFeide conține numele studenților și angajaților, numele de utilizator, parolele, data nașterii, adresa, apartenența la școală și clasa. Pe data de 24.08.2018, eFeide a avut 35 601 de utilizatori unici. La data de 15.05.2018 (în momentul în care a fost în vigoare Legea privind protecția datelor anterioare), un angajat al școlii a raportat la Helpdesk-ul de la Bergen că mai multe fișiere care conțineau numele de utilizator și parolele elevilor și angajaților erau accesibile studenților. Acest lucru a fost descoperit de un student care a raportat acest lucru angajaților școlii.

Studentul a găsit numele de utilizator și parolele cu acces de administrator într-un fișier accesibil studenților. Prin urmare, toți angajații și studenții au putut accesa informații despre toți utilizatorii catalogului FEIDE care aparțineau municipiului Bergen.

Autoritatea a considerat că:

  • stocarea unui fișier digital, neprotejat, care conținea numele de utilizator și parolele la sistemele informatice ale școlilor primare din municipiul Bergen și care era disponibil pentru profesori și studenți, este o încălcare a articolului 32.1 din GDPR.

  • Lipsa autentificării de tip ” two-factor” pentru accesul angajaților la sistemele informatice ale municipalității din Bergen, care conțin datele personale ale studenților, este o încălcare a articolului 32.1. GDPR.

Autoritatea s-a referit de asemenea și la considerentul 38 care spune:

”Copiii au nevoie de o protecție specifică a datelor lor cu caracter personal, întrucât pot fi mai puțin conștienți de riscurile, consecințele, garanțiile în cauză și drepturile lor în ceea ce privește prelucrarea datelor cu caracter personal. Această protecție specifică ar trebui să se aplice în special utilizării datelor cu caracter personal ale copiilor în scopuri de marketing sau pentru crearea de profiluri de personalitate sau de utilizator și la colectarea datelor cu caracter personal privind copiii în momentul utilizării serviciilor oferite direct copiilor. Consimțământul titularului răspunderii părintești nu ar trebui să fie necesar în contextul serviciilor de prevenire sau consiliere oferite direct copiilor.”

Cerasela Huza answered 6 luni ago

Uniontrad Company – Franța

O noua amendă pentru nerespectarea GDPR, de data această în Franța.

Autoritatea de supraveghere franceză, CNIL, a amendat la data de 19.06.2019, compania Uniontrad Company pentru nerespectarea prevederilor GDPR cu privire la cerințele în cazul supravegherii video a angajaților. În luna februarie 2018, Autoritatea a efectuat un control la sediul Uniontrad Company în urma plângerilor depuse de angajații companiei în perioada 2013-2017.

Astfel s-a constatat faptul ca angajații erau monitorizați video fără întreruperi și că aceștia nu erau informați cu privire la ce anume se filmează și în ce scopuri. La acea dată s-a dispus o îndrumare și măsuri corective, menite să alinieze compania la cerințele Regulamentului cu privire la supravegherea angajaților la locul de muncă.

La un al doilea control din Octombrie 2018 s-a constata ca situația era aceeași și compania nu a lua nici o măsură corectivă.

În acel moment Autoritatea a luat în calcul o amendă de 7.500 euro, dar după o analiză mai clară privind situația financiară a companiei a considerat că suma de 20.000 euro este una proporțională și justificată.

Uniontrad Company are la dispoziție 2 luni să se conformeze, altfel urmeză să fie amendați cu câte 200 euro pentru fiecare zi în care nu sunt respectate îndrumările.