Pentru cei care stau liniștiți fără să fi întreprins vreo acțiune de conformare GDPR, sau cu o implementare mioritică pe criteriul că ‘pe noi oricum nu ne caută nimeni’  iată că de la intrarea în vigoare a GDPR, apar tot mai multe semnale a faptului că noul Regulament de protecția datelor personale este mai serios decât ar fi crezut cineva la început. Acest lucru se reflectă în numărul crescător de amenzi GDPR.

Conținut

Conform site-ului Autorității Naționale de Supraveghere, în România, au fost aplicate zeci de amenzi ca urmare a sute de investigații și mii de plângeri. Astfel, putem vorbi despre următoarele rapoarte ale ANSPDCP:

I. RAPORTUL ANSPDCP aferent perioadei 25 mai 2018 – 24 mai 2019 (1 an de GDPR):

Conform site-ului Autorității Naționale de Supraveghere, în România, din 25 mai 2018 până la 24 mai 2019:

  • s-au înregistrat 398 de notificări de încălcări de securitate a datelor cu caracter personal;
  • s-au primit 5260 plângeri și sesizări; cu cca 50% mai mult decât în 2017 – semn că lumea conștientizează tot mai bine drepturile pe care le are în acest sens. 
  • s-au efectuat 485 investigații din oficiu;
  • s-au efectuat 496 investigații la plângerile persoanelor vizate.
  • s-au emis 57 de măsuri corective, adică recomandări făcute de către Autoritate organizațiilor în cauză pentru a se conforma. 
  • au fost acordate 23 avertismente

În cele din urmă, până acum au fost amendate 28 companii. Cuvântul cheie aici este până acum. Având în vedere numărul de 23 de avertismente este foarte posibil ca să auzim și de alte amenzi pentru încălcarea regulamentul GDPR în curând. 

II. RAPORTUL din data de 05.02.2020, sinteză a activității pentru anul 2019

Făcând o comparație cu raportul anterior, observăm o creștere a activității din partea Autorității, dar și un interes mai mare din partea persoanelor vizate privind protecția datelor cu caracter personal.

În continuare ANSPDCP se focusează pe îndrumare și consiliere. Acest aspect este unul pozitiv, având în vedere că, încă, operatorii de date cu caracter personal sunt nepregătiți.

O privire de ansamblu arată așa:

  • 6193 plângeri și sesizări care au condus la 912 investigații – 16 %
  • Din numărul de 912 investigații doar 28 s-au finalizat cu amendă – 2,8 %
  • Cuantumul amenzilor fiind de 2.339.291,75 lei.
  • Solicitările de puncte de vedere au fost în număr de 1106.

Privind procentul de doar 0,5 % (numărul de amenzi rezultate în urma sesizărilor și a plângerilor) putem afirma cu convingere că ANSPDCP nu este o sperietoare și că nu orice prelucrare a datelor cu caracter personal este ilegală sau neconformă.

III. RAPORTUL din 11.02.2021 sinteză a activității pentru anul 2020

  • S-au primit un număr de 5480 plângeri, 694 investigații și 194 notificări privind incidentele de securitate;
  • Au fost aplicate 29 amenzi în cuantum de 892.115,95 lei (aprox. 183.000 euro) și 10.000 lei, o amendă aplicată în temeiul Legii nr. 506/2004.
  • De asemenea, au fost aplicate 64 avertismente și au fost dispuse 65 de măsuri corective.

Spre deosebire de celelalte rapoarte, din acesta putem înțelege că Autoritatea este foarte interesată ca aspectele problematice să fie îndreptate, dispunând mai multe măsuri corective pe care le vom dezvolta mai jos.

IV. RAPORT anual al ANSPDCP pe 2021

  • S-a primit un număr de 941 solicitări de emitere puncte de vedere privind diverse aspecte referitoare la modalitatea de interpretare și aplicare a Regulamentului.
  • S-a primit un număr total de 5006 plângerisesizări și notificări privind incidente de securitate, pe baza cărora au fost deschise 691 investigații.
  • Au fost aplicate 36 de amenzi în cuantum total de 371.131,95 lei,
  • De asemenea, au fost aplicate 93 avertismente și au fost dispuse 56 de măsuri corective și 1 avertizare.

Iată, pe scurt, cum arată lucrurile pentru anii 2017-2021:

Număr puncte de vedere:

  • 2017 – 409
  • 2018 – 778
  • 2019 – 1106
  • 2020 – 1151
  • 2021 – 941

Număr plângeri:

  • 2017 – 3543
  • 2018 – 4822
  • 2019 – 6193
  • 2020 – 5480
  • 2021 – 5006

Cuantum sancțiuni:

  • 2017 – 870.500 lei
  • 2018 – 631.500 lei
  • 2019 – 2.339.291,75 lei
  • 2020 – 892.115,95 lei
  • 2021 – 371.131,95 lei

Care este obiectul plângerilor și sesizărilor.

În continuare vă invităm să urmăriți și care este obiectul plângerilor și sesizărilor.

A. Pentru anul 2018 – 2019, plângerile și sesizările primite de Autoritatea din România (ANSPDCP ) au avut, în principal, ca obiect:

  • nerespectarea condițiilor legale ce privesc exercitarea drepturilor persoanelor vizate (de exemplu: drepturile de informare, acces, opoziție, dreptul de a fi uitat);
  • primirea de mesaje comerciale nesolicitate;
  • dezvăluirea de date personale pe Internet;
  • încălcarea principiilor de prelucrare a datelor cu caracter personal în legătură cu prelucrarea datelor în sistemul bancar;
  • condițiile de legalitate cu privire instalarea sistemelor de supraveghere video;
  • încălcarea regulilor de confidențialitate și securitate a prelucrărilor de date cu caracter personal

B. Pentru ianuarie 2020 – septembrie 2020, plângerile și sesizările au avut ca obiect și s-au luat următoarele tipuri de măsuri corective:

  • respectarea cererilor persoanelor vizate prin care acestea și-au exercitat drepturile în temeiul RGPD;
  • asigurarea conformitatății operaţiunilor de prelucrare cu dispoziţiile RGPD;
  • revizuirea şi actualizarea măsurilor tehnice şi organizatorice implementate, inclusiv a procedurilor de lucru referitoare la protecția datelor cu caracter personal, precum și implementarea unor masuri privind instruirea periodică a persoanelor care acționează sub autoritatea operatorului, referitor la obligațiile ce îi revin conform prevederilor RGPD, inclusiv cu privire la riscurile pe care le comportă prelucrarea datelor cu caracter personal, în funcţie de specificul activităţii;
  • efectuarea unei evaluări privind riscul pentru drepturile și libertățile persoanelor care să cuprindă inclusiv încadrarea într-un grad de risc, ținând seama de natura, domeniul de aplicare, contextul şi scopurile prelucrării;
  • revizuirea şi actualizarea măsurilor tehnice şi organizatorice implementate ca urmarea a evaluării privind riscul pentru drepturile și libertățile persoanelor, inclusiv a procedurilor de lucru referitoare la protecția datelor cu caracter personal.

Un aspect interesant, cele mai frecvente încălcări ale securității datelor din România au vizat:

  • accesul neautorizat la datele cu caracter personal prelucrate de operator;
  • transmiterea eronată a facturilor către clienții operatorului;
  • dezvăluirea datelor cu caracter personal/date pacienți;
  • pierderea trimiterilor poștale.
  • procesarea datelor cu caracter personal fără consimțământul persoanelor vizate
  • neinformarea privind folosirea sistemului de supraveghere CCTV
  • lipsa măsurilor de securizare a datelor cu caracter personal

Iar acum haideți să luăm lista amenzilor în ordine inversă, începând cu cea mai recentă!

Amenzi GDPR România:

115. OTP LEASING ROMANIA IFN SA – noiembrie 2022 – 3000 euro

Lipsa unui nivel adecvat de securitate, corespunzător riscurilor prelucrării, care ar fi trebuit să fie asigurat de OTP LEASING, a permis accesul neautorizat în sistemul MyLeasing și i-a adus operatorului o amendă în cuantum de 14.675,7 lei (echivalentul sumei de 3.000 EURO).

O persoană fizică a putut accesa în mod neautorizat platforma informatică My Leasing, prin alterarea adresei de URL și crearea unui cont de administrator. Astfel, a putut accesa datele clienților operatorului, persoane juridice, care și-au creat cont pe platformă în vederea urmăririi informațiilor legate de contractele de leasing.

În plus, operatorul OTP LEASING nu a informat persoanele vizate cu privire la producerea incidentului de securitate, deși datele divulgate pot conduce la prejudicii aduse acestor persoane fizice, reprezentanți ai persoanelor juridice.

Reamintim, în acest context, că operatorul are obligația, conform RGPD, să demonstreze conformitatea cu regulamentul, prin adoptarea de politici interne şi prin punerea în aplicare de măsuri care să respecte în special principiul protecţiei datelor începând cu momentul conceperii şi cel al protecţiei implicite a datelor.

114. Medicover SRL – noiembrie 2022 – 1000 euro

În urma unei investigații demarate ca urmare a unei notificări de încălcare a securității datelor transmise de Medicover S.R.L., ANSPDCP a constatat că operatorul de date Medicover S.R.L. nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de confidențialitate și securitate corespunzător riscului prelucrării.

Ce s-a întâmplat mai exact: s-a transmis unui client un e-mail ce conținea acte adiționale ale contractelor de prestări servicii medicale care aparțineau altor clienți ai operatorului. Această încălcare a condus la pierderea confidențialității datelor prelucrate prin divulgarea neautorizată și accesul neautorizat la anumite date cu caracter personal, cum ar fi: numele și prenumele, CNP, adresa și semnătura.

Pentru aceasta, operatorul a fost sancționat contravențional cu amendă în cuantum de 4,901 RON, (echivalentul a 1000 EURO).

113. ING Bank NV Amsterdam Sucursala București – noiembrie 2022 – 20000 euro

O investigație la operatorul ING Bank NV Amsterdam Sucursala București s-a finalizat cu sancțiune contravențională cu amendă în cuantum de 98.076,00 lei (echivalentul sumei de 20.000 EURO) întrucât operatorul de date nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prezentat de prelucrare.  Lipsa acestor măsuri a condus la divulgarea neautorizată și accesul neautorizat la datele cu caracter personal ale unor clienți ING Bank NV Amsterdam Sucursala București.

Potrivit informațiilor care au stat la baza notificării, au fost afectate date cu caracter personal ale unor clienți, în sensul că s-au accesat și s-au divulgat neautorizat diferite date de identificare asociate actului de identitate, date de contact, date de natură bancară, user și parolă modul Internet Banking urmate de operațiuni de plată efectuate de către terțe persoane.

Reamintim aici principiul “integritate și confidențialitate” care stă la baza Regulamentului General privind Protecția Datelor potrivit căruia operatoruli ii revine obligația de a prelucra datele cu caracter personal într-un mod care asigură securitatea adecvată a acestora, inclusiv protecţia împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare.

112. Asociația de proprietari Bld. Pipera 1-2E – noiembrie 2022 – 300 euro

Asociația de proprietari Bld. Pipera 1-2E a fost sancționată contravențional cu amendă în cuantum de 1,480.98 lei (echivalentul a 300 EURO), întrucât președintele asociației a dezvăluit pe grupul de Whatsapp al blocului, înregistrări din sistemul de supraveghere video administrat de Asociație care cuprindeau imagini cu petiționarul. În plus, operatorul nu a furnizat informațiile solicitate de ANSPDCP în termenul legal.

111. Raiffeisen Bank SA – noiembrie 2022 – 28000 euro

Operatorul Raiffeisen Bank S.A. a fost sancționat contravențional cu două avertismente și cu trei amenzi în cuantum total de  138.572 lei (echivalentul sumei de 28.000 EURO), deoarece nu a luat măsuri pentru a se asigura că orice persoană fizică care acționează sub autoritatea sa și are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului.

Investigația a fost demarată ca urmare a transmiterii de către operatorul Raiffeisen Bank SA a unui număr de 17 notificări cu privire la producerea unor încălcări a securității datelor cu caracter personal.

Principalele constatări din cadrul investigației au fost:

  • S-au utilizat sistemele informatice ale operatorului Raiffeisen Bank S.A. și s-au efectuat interogări în sistemul de evidență administrat de Biroul de Credit S.A., respectiv în cel administrat de ANAF, pentru a simula decizii de creditare pentru un broker extern de credite.
  • În două situaţii (care au vizat un număr de cel puțin 169 persoane fizice) s-au efectuat operațiuni de prescoring pentru clienți sau potențiali clienți, fără ca documentația aferentă interogării în Sistemul Biroului de Credite să fie semnată de solicitanții respectivi.
  • S-au acordat credite unor clienți, persoane fizice, prin intermediul unei entități – persoană împuternicită a operatorului, fără ca aceștia să le fi solicitat și fără să fi semnat documentele aferente.
  • S-au produs mai multe incidente prin transmiterea, prin e-mail, a unor date confidențiale către alte persoane decât persoanele vizate ca urmare a introducerii/actualizării în sistem a unor adrese de email eronate sau a atașării documentelor aferente unui client într-un email destinat altui client.
  • S-au produs situații ce implică și suspiciuni de frauda internă în creditare:
    • S-au efectuat operațiuni specifice pentru acordarea unui credit pentru un client persoană fizică, fără prezența solicitantului la sediul agenției.
    • S-au solicitat facilități de credit de diferite tipuri (Card de Credit, credit de nevoie personale, actualizarea datelor în aplicația Băncii) prin modificarea numărului de telefon al persoanelor vizate cu numărul de telefon al angajatului băncii și prin introducerea unei adrese de email fictive.
  • S-au acordat trei facilități de credit (Flexicredit, refinanțare Flexicredit respectiv Card de Cumpărături) în numele unei persoanei fizice, client al băncii, dar fără ca acesta să fi solicitat, în realitate acele credite.
  • S-au divulgat neautorizat date cu caracter personal ale unor clienți din contul Smart Mobile (serviciul de mobile banking pus la dispoziție de către Raiffeisen Bank) al acestora către alți clienți ai operatorului.

Toate acestea au condus la accesul neautorizat și/sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate prin aplicațiile informatice utilizate de Raiffeisen Bank S.A. în activitatea de creditare. Datele divulgate au fost nume, prenume, adresa de domiciliu, cetățenie, naționalitate, imaginea persoanei, codul numeric personal, numărul și seria cărții de identitate, email, nr. telefon, date din Sistemul Biroului de Credit, date din sistemul de evidență administrat de ANAF, date din contul Smart Mobile.

Reamintim, cu această ocazie, obligația ce revine operatorului de a lua măsuri prin care să se asigure că orice persoană fizică care acționează sub autoritatea sa și are acces la date cu caracter personal nu le prelucrează decât la cererea lui.

110. SC Das Sense Society SRL – noiembrie 2022 – 1000 euro

Pentru că nu a furnizat informațiile solicitate de Autoritate, SC Das Sense Society SRL a fost sancționată contravențional cu amendă în cuantum de 4.950 lei, echivalentul a 1000 euro.

Investigația s-a desfășurat ca urmare a unor plângeri prin care se reclama faptul că la punctul de lucru al operatorului  SC Das Sense Society SRL erau instalate camere de supraveghere care surprindeau imagini atât de pe domeniul public (trotuar și stradă), cât și de pe domeniul privat (rampa și scările de acces într-un complex de locuințe, accesul într-un supermarket).

Întrucât operatorul nu a dat curs solicitării de informații adresate de ANSPDCP necesare pentru desfășurarea investigației, s-a dispus sancționarea cu amendă.

109. SC Prestige Media PHG SRL – noiembrie 2022 – 5000 euro

Încălcarea principiilor de prelucrare a datelor cu caracter personal prevăzute de RGPD i-a adus operatorului de date SC Prestige Media PHG SRL o amendă în cuantum de 24.683,5 lei (echivalentul sumei de 5.000 euro).

În cadrul investigației s-a constatat că pe site-ul operatorului erau publicate documente confidențiale ale unor angajați ai unei alte societăți.  Mai exact, pe site-ul respectiv erau afișate 23 de decizii nominale de încetare a contractelor individuale de mandate/raporturilor de muncă ce conțineau date cu caracter personal (nume, prenume, funcție, număr contract de muncă, abateri disciplinare) ale mai multor persoane fizice, deși acestea nu aveau niciun fel de raporturi juridice cu SC Prestige Media PHG SRL.

Întrucât operatorul nu a prezentat dovezi din care să rezulte că a prelucrat în mod legal datele personale din cele 23 de documente, i s-a aplicat și măsura corectivă de eliminare/anonimizare a informațiilor care permit identificarea persoanelor vizate din cuprinsul deciziilor de încetare a contractelor de mandat/raporturilor de muncă publicate pe site-ul său.

108. Compania Națională Poșta Română SA – noiembrie 2022 – 2000 euro

Compania Națională Poșta Română SA a fost sancționată contravențional cu amendă în cuantum de 9.883,80 lei, echivalentul a 2000 euro, deoarece, în calitate de persoană împuternicită, a pierdut anumite trimiteri poștale care conțineau decizii de stabilire a drepturilor de pensie, carnete de muncă și certificate de deces.

Această lipsă a implementării de măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de confidențialitate și securitate a datelor personale ale persoanelor vizate, a condus la pierderea, divulgarea neautorizată sau accesul neautorizat la anumite date cu caracter personal, afectând 35 de persoane fizice.

De asemenea, s-a dispus față de Compania Națională Poșta Română SA și măsura corectivă de revizuire și actualizare a măsurilor tehnice și organizatorice implementate ca urmare a evaluării privind riscul pentru drepturile și libertățile persoanelor, inclusiv a procedurilor de lucru referitoare la protecția datelor cu caracter personal, în vederea asigurării protecției datelor prelucrate atât pe stațiile de lucru (PC), cât și pentru prestarea serviciilor poștale în format fizic (primirea ori livrarea trimiterilor poștale), precum și asigurarea unei protecții fizice a spațiilor de lucru unde sunt prelucrate trimiterile poștale și a măsurilor privind instruirea persoanelor care acționează sub autoritatea companiei.

În acest context, subliniem faptul că obligațiile de a asigura măsurile de confidențialitate și securitate a prelucrării datelor revin atât operatorului, cât și persoanei împuternicite de acesta.

107. Persoană fizică – octombrie 2022 – 150 euro

Încă o amendă aplicată unei persone fizice pentru folosirea neautorizată a unor date cu caracter personal.

În cursul desfășurării investigației, ANSPDCP a constatat că unei persoanei fizice i-au fost divulgate accidental anumite date cu caracter personal și aceasta le-a folosit neautorizat, fără a avea consimțământul persoanei căreia îi aparțineau datele. Pentru aceasta, a fost sancționată contravențional cu amendă în cuantum de 150 euro.

106. SC Materiale Constructii Online SRL – octombrie 2022 – 2000 euro

Nerespectarea drepturilor conferite de GDPR persoanelor vizate, precum și lipsa cooperării cu Autoritatea de Supraveghere, i-a adus operatorului de date SC Materiale Constructii Online SRL o sancțiune contravențională cu amendă în cuantum de 2000 euro.

Investigația ANSPDCP a fost demarată ca urmare a unei plângeri prin care se reclama faptul că reprezentanții site-ului www.depozit-online.ro nu au dat curs solicitărilor de ștergere a contului unui utilizator. În plus, operatorul de date nu a răspuns adreselor transmise de către Autoritate.

105. Persoană fizică – octombrie 2022 – 150 euro

Neconformarea la GDPR a site-ului i-a adus unei persoane fizice, deținător al site-ului https://centralpoint.ro/afisare-bd-general/, o sancțiune contravențională cu amendă în cuantum de 150 euro.

ANSPDCP a constatat, în cursul desfășurării investigației demarate ca urmare a primirii unei sesizări, că au fost publicate pe acest site o serie de date cu caracter personal,  încălcându-se astfel securitatea prelucrării de date. A fost afectat un număr de 383 de persoane fizice iar datele publicate au fost: codul numeric personal, numărul de telefon, seria și numărul actului de identitate, adresa de e-mail, detalii bancare  (achiziții de imobile), stare civilă.

104. Bitfactor SRL – septembrie 2022 – 2000 euro

Funcționarea defectuoasă a unei aplicații folosite în comunicări de marketing i-a adus operatorului Bitfactor SRL o sancțiune contravențională cu amendă în cuantum de 9.852,8 lei, echivalentul a 2000 euro.

Investigația a fost demarată ca urmare a transmiterii unei notificări de încălcare a securității datelor către Autoritate. S-a constatat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate, care să protejeze în mod continuu datele cu caracter personal ale persoanelor vizate, atât în momentul stabilirii mijloacelor de prelucrare, cât și în momentul prelucrării în sine. Această situația a condus la încălcarea confidențialității datelor a unui număr de 1757 de persoane vizate, utilizatori ai site-ului operatorului.

Reamintim, cu această ocazie, obligația ce îi revine operatorului, conform art. 25 alin. (1) din Regulamentul General privind Protecția Datelor, și anume: „operatorul, atât în momentul stabilirii mijloacelor de prelucrare, cât şi în cel al prelucrării în sine, pune în aplicare măsuri tehnice şi organizatorice adecvate, cum ar fi pseudonimizarea, care sunt destinate să pună în aplicare în mod eficient principiile de protecţie a datelor, precum reducerea la minimum a datelor, şi să integreze garanţiile necesare în cadrul prelucrării, pentru a îndeplini cerinţele prezentului regulament şi a proteja drepturile persoanelor vizate.”

De asemenea, amintim considerentul (78) din RGPD care stabilește că „operatorul ar trebui să adopte politici interne şi să pună în aplicare măsuri care să respecte în special principiul protecţiei datelor începând cu momentul conceperii şi cel al protecţiei implicite a datelor.

103. Curtea Veche Publishing SRL – septembrie 2022 – 5000 euro

Lipsa măsurilor tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării i-a adus și operatorului Curtea Veche Publishing SRL o sancțiune contravențională cu amendă în cuantum de 24.566 lei, echivalentul sumei de 5000 euro.

Investigația a fost demarată ca urmare a unor notificări de încălcare a securității datelor, transmise de operator către autoritatea de supraveghere:

  • Una dintre încălcările securității datelor, produsă ca urmare a postării pe un forum public a unui fișier care conținea baza de date a clienților operatorului din perioada 2019 – 2021, a condus la divulgarea neautorizată a anumitor date cu caracter personal ale unui număr de 10739 clienți ai operatorului. Datele cu caracter personal divulgate au fost: nume, prenume, număr de telefon, e-mail, parola sub formă criptată, adresa IP de pe care a fost creat contul de utilizator.
  • Cea de-a doua încălcare a securității datelor, produsă ca urmare a unui atac de tip ransomware, a condus la accesul neautorizat și pierderea integrității și disponibilității anumitor date cu caracter personal a aproximativ 100 de persoane vizate, angajați și colaboratori ai operatorului.

În plus, pe lângă sancțiunea cu amendă aplicată, operatorului i s-a aplicat și măsura corectivă de a revizui și actualiza măsurile tehnice și organizatorice implementate și a procedurilor de lucru referitoare la protecția datelor cu caracter personal, inclusiv prin implementarea unor soluții informatice suplimentare de securizare a datelor.

102. Banca Comercială Română SA– septembrie 2022 – 2000 euro

O nouă sancțiune a fost aplicată operatorului Banca Comercială Română SA întrucât nu a luat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării.

Investigația a fost demarată ca urmare a unei notificări de încălcare a securității datelor, transmisă de Banca Comercială Română SA, încălcare produsă ca urmare a unei erori tehnice a unei aplicații IT a operatorului. S-a constat că au fost transmise e-mailuri conținând datele cu caracter personal ale unor clienți către alți clienți.

De acest incident a fost afectat un număr de 564  persoane fizice vizate, clienți ai bancii, prin divulgarea neautorizată sau accesul neautorizat la anumite date cu caracter personal, cum ar fi: nume și prenume, CNP, adresa de domiciliu, număr de telefon, adresa de e-mail, alături de informații financiare generate eronat privind câștigul cumulat, pierderea cumulate, câștigul net, pierderea netă, impozitul datorat cumulat, impozitul de plată, impozit de recuperat.

101. Vodafone România SA – septembrie 2022 – 2000 euro

Operatorul Vodafone România SA a fost sancționat deoarece nu a adoptat măsuri suficiente pentru a asigura faptul că orice persoană fizică care acționează sub autoritatea operatorului și care are acces la datele cu caracter personal nu le prelucrează decât la cererea operatorului și nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de confidențialitate și securitate corespunzător riscului prelucrării.

Mai exact, operatorul a transmis către ANSPDCP două notificări de încălcare a securității datelor cu caracter personal, acesta fiind punctul de plecare în investigație. S-a constatat că operatorul nu a verificat respectarea procedurii de identificare a persoanei apelante de către împuterniciții săi, ceea ce a permis unor terțe persoane să achiziționeze în mod fraudulos telefoane noi în numele unor clienți ai operatorului. Mai mult, această situație a permis terțelor persoane accesarea datelor din contractele încheiate de clienți cu operatorul și a datelor din conturile personale My Vodafone. Datele personale care au putut fi accesate sunt: nume, prenume, adresă, codul numeric personal, numărul de telefon de contact, codul PUK, numărul de contact al titularului contului, seria SIM a cartelei inițiale, valoarea ultimei facturi neplătite și traficul de date.

100. SC Raiffeisen Bank SA – septembrie 2022 – 2000 euro

Amenda cu numărul 100 aplicată de ANSPDCP îi revine SC Raiffeisen Bank SA, care în calitate de împuternicit al unui operator, a fost sancționată cu 2000 de euro pentru încălcarea principiului exactității datelor și cu avertisment pentru pentru încălcarea dispozițiilor art. 5 alin. (1) lit. a) și b) și ale art. 6 din Regulamentul General privind Protecția Datelor.

Un petent a reclamat faptul că un operator îi transmite pe numărul său de telefon mobil mesaje text tip SMS referitoare la transferurile unor sume de bani către anumite persoane, transferuri pe care petentul nu le-a efectuat. Mai mult decât atât, petentul nu a fost client al SC Raiffeisen Bank SA și nu a solicitat inițierea unor tranzacții prin intermediul aplicației operatorului.

În cadrul investigației s-a constatat că SC Raiffeisen Bank SA, în calitate de împuternicit, a introdus în mod eronat numărul de telefon al petentului în cadrul aplicației pusă la dispoziție de operator prin care se inițiau tranzacții la solicitarea clienților. De asemenea, s-a constatat că au fost prelucrate date inexacte (numărul de telefon) ale persoanelor, clienți ocazionali, care au realizat tranzacții de bani prin aplicația operatorului, utilizând numărul de telefon al petentului în cadrul a 44 de tranzacții, încălcându-se astfel principiul exactității datelor.

99. Realmedia Network SA (imobiliare.ro) – septembrie 2022 – 8000 euro

Societatea Realmedia Network SA a fost sancționată cu amendă de 8.000 euro întrucât nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării.

Mai exact, Autoritatea Națională de Supraveghere, în urma unor informații din mediul on-line, s-a autosesizat cu privire la o posibilă breșă de securitate a datelor cu caracter personal apărută la Realmedia Network SA.

În cadrul investigației s-a constatat încălcarea securității prelucrării datelor la nivelul unui serviciu folosit pentru operarea platformei imobiliare.ro, situație ce a condus la divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal a unui număr de 194.309  persoane fizice vizate. Datele cu caracter personal divulgate au fost: nume, prenume, număr de telefon, adresa de e-mail, adresa poștală, cod numeric personal, semnătura, copii ale cărților de identitate, inclusiv coduri de identificare, funcție/calitate, date bancare, informații incluse în extrase de carte funciară/schițe cadastrale, titluri de proprietate, imagini de profil ale utilizatorilor.

98. Alpha Bank România SA – august 2022 – 1000 euro

Încălcarea securității datelor a fost sancționată cu 1000 de euro și în cazul operatorului Alpha Bank România SA.

Mai exact, Autoritatea Națională de Supraveghere a fost notificată de către operator, în baza dispozițiilor art. 33 din Regulamentul General privind Protecția Datelor, asupra încălcării securității prelucrării datelor care s-a produs ca urmare a faptului că s-a transmis un document altui destinatar, din eroare, prin utilizarea aplicației de Whatsapp.

Această încălcare a condus, în mod evident, la divulgarea neautorizată sau accesul neautorizat la anumite date cu caracter personal. De acest incident au fost afectate un număr de 4 persoane fizice vizate cărora le-au fost divulgate date personale precum numele și prenumele, CNP, funcția și semnătura, tipul de credit, numărul și data semnării contractului, perioada de creditare și data ultimei scadențe.

Și în acest caz ANSPDCP constată că nu au fost implementate măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de confidențialitate și securitate corespunzător riscului prelucrării. De asemenea nu au fost luate măsuri suficiente pentru a se asigura că orice persoană fizică care acționează sub autoritatea operatorului și care are acces la date cu caracter personal nu le prelucrează decât la cererea sa.

Pe lângă sancțiunea de 1000 de euro s-a dispus și revizuirea și actualizarea măsurilor tehnice și organizatorice implementate precum și instruirea persoanelor care acționează sub autoritatea operatorului referitor la interzicerea utilizării echipamentului personal al angajaților în relațiile cu clienții (de ex., telefonul mobil) pentru aplicații de comunicare/servicii de chat online neautorizate de Bancă.

Reamintim cu această ocazie importanța instruirii personalului cu privire la riscurile și consecințele pe care le implică divulgarea datelor personale.

97. Enel Energie Muntenia S.A. – august 2022 – 10000 euro

Insuficiența măsurilor de securitate adoptate i-a cauzat operatorului Enel Energie Muntenia S.A. un incident de securitate pentru care a fost sancționat cu amendă de 10.000 euro și un avertisment.

Ce s-a întâmplat mai exact? În urma unei solicitări telefonice către Enel Energie Muntenia S.A., o persoană fizică a primit pe adresa sa de email un răspuns adresat altui client, persoană fizică, însoțit de anumite documente ce conțineau date cu caracter personal. În cadrul investigației s-a constatat că operatoul nu a prezentat informații clare cu privire la motivele pentru care un angajat al său a trimis răspunsul din greșeală petentului.

De asemenea, operatorul nu a prezentat dovezi din care să rezulte că a luat măsuri de remediere în scopul reducerii riscului la care i-au fost supuse datele personale și pentru a preveni pe viitor dezvăluirea sau accesarea ilegală a datelor personale.

Întrucât operatoul nu a notificat incidentul de securitate la Autoritatea de supraveghere, a primit și un avertisment.

96. CDI Transport Intern și Internațional SRL – august 2022 – 7000 euro

Lipsa informării clare, complete și corecte a persoanelor vizate asupra modului în care le sunt colectate și prelucrate datele cu caracter personal, i-a adus operatorului CDI Transport Intern și Internațional SRL o sancțiune contravențională cu amendă de 7000 de euro și un avertisment.

Printr-o sesizare la Autoritate a fost semnalat faptul că pe site-ul societății nu se regăsesc informații referitoare la modalitatea de colectare a datelor cu caracter personal, la drepturile persoanelor vizate conferite de GDPR și la modul de exercitare a acestor drepturi și nici cu privire la faptul că operatorul are obligația de a informa persoanele vizate în situația unei încălcări a securităţii datelor cu caracter personal.

În plus, operatorul nu a furnizat informațiile solicitate de ANSPDCP, în termenul legal, fiind sancționat contravențional și cu un avertisment.

95. SC Wabag Water Services SRL – august 2022 – 1000 euro

Regulamentul (UE) 2016/679 stabilește o serie de principii care se impun a fi respectate în cadrul prelucrării datelor. Printre acestea se numără principiul privind prelucrarea datelor în mod legal, echitabil și transparent față de persoana vizată. Nerespectarea acestui principiu i-a adus operatorului SC Wabag Water Services SRL  o amedă de 1000 de euro.

Ce a făcut mai exact operatorul? A folosit datele cu caracter personal al unei angajate pentru a o înscrie și pentru a o programa, fără consimțământul său, pe platforma națională de vaccinare pentru efectuarea vaccinului împotriva Covid-19 în anul 2021.

[No comment]

94. Denmar Nacrut SRL – august 2022 – 2500 euro

Neconformarea sistemelor de supraveghere video la prevederile GDPR precum și lipsa informării persoanelor vizate i-a adus operatorului Denmar Nacrut SRL 2 sancțiuni contravenționale în cuantum de 2500 euro. De asemenea s-au dispus și o serie de măsuri corective.

Investigația a pornit ca urmare a unei sesizări făcute de către o persoană fizică ce a semnalat faptul că persoane vizate, clienți ai SC Denmar Nacrut SRL, erau supravegheate video în timpul prestării unor servicii cosmetice.

Într-adevăr, în timpul investigației, s-a constatat că Denmar Nacrut SRL deține sistem de supraveghere video montat atât în interiorul, cât și în exteriorul spațiului unde își desfășoară activitatea și sunt monitorizați atât angajații cât și clienții. Mai mult de atât, nu există o informare clară, completă și corectă a angajaților și a persoanelor vizate ale căror date cu caracter personal (respectiv imaginea) se prelucrează prin intermediul camerelor video de supraveghere.

Întrucât operatorul nu a făcut dovada unor incidente existente anterior care să justifice interesul său legitim care să prevaleze asupra intereselor sau drepturilor și libertăților fundamentale ale persoanelor vizate, s-a constatat că operatorul a prelucrat în mod excesiv datele clienților și angajaților săi.

93. Sephora Cosmetics România SA– august 2022 – 2000 euro

Nerespectarea drepturilor persoanelor vizate conferite de Regulamentul General privind Protecția Datelor cu caracter personal i-a adus operatorului Sephora Cosmetics România SA o sancțiune de 2000 euro. Vorbim despre nerespectarea dreptului de opoziție prin care persoanele vizate au dreptul absolut de a se opune prelucrării datelor cu caracter personal dacă acestea sunt prelucrate pentru marketing direct. Operatorul nu a respectat acest drept și a continuat să trimită mesaje comerciale tip SMS în ciuda faptului că persoana vizată a solicitat în repetate rânduri să nu-i mai fie utilizate datele în scop de marketing.

Deși, persoana vizată a fost informată de către operator că datele eu nu vor mai fi prelucrate în scop de marketing, aceasta a continuat să primească mesaje comerciale nesolicitate, de tip SMS, din partea Sephora Cosmetics România SA.

92. S.C. Delivery Solutions S.A. (Sameday) – iulie 2022 – 3000 euro

ANSPDCP a finalizat o investigație la S.C. Delivery Solutions S.A. (Sameday) și a sancționat contravențional operatorul de date cu amendă în cuantum de 3000 eur pentru că nici acesta nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării pentru drepturile și libertățile persoanelor fizice.

De la ce a pornit investigația? Investigația a fost demarată ca urmare a unor sesizări depuse de o persoană fizică în care era semnalat faptul că baza de date a S.C. Delivery Solutions S.A. (Sameday) este la vânzare pe site-ul raidforums.com.

În calitate de persoană împuternicită a două societăți pentru prelucrarea datelor cu caracter personal, S.C. Delivery Solutions S.A. era obligată să ia toate măsurile necesare pentru a proteja sistematic prelucrarea datelor cu caracter personal ale persoanelor fizice, inclusiv împotriva divulgării și/sau accesului neautorizat la date. Lipsa acestor măsuri a condus la divulgarea și/sau accesul neautorizat la datele cu caracter personal pentru 26566 persoane fizice vizate.

Datele personale disponibile spre vânzare pe forumul RaidForums și care puteau fi accesate online sunt: număr și dată AWB, indicative curieri, nume expeditor, nume și prenume destinatar, număr de telefon, adresă, status livrare, tipul serviciului, greutate colet, suma de încasat, intervalul de livrare.

91. E Software Concept SRL – iulie 2022 – 4000 euro

Lipsa măsurilor tehnice și organizatorice în vederea asigurării securității și confidențialității datelor personale precum și nefurnizarea informațiilor solicitate de Autoritatea de supraveghere, i-au adus operatorului de date E Software Concept o amendă în cuantum de 4000 euro.

Ce s-a constatat în timpul investigației?

Pe site-ul operatorului, la anumite link-uri, erau disponibile public anumite documente prin care se dezvăluiau date cu caracter personal ale clienților E SOFTWARE CONCEPT SRL. Documentele în cauză sunt facturile emise de operator către clienții săi, persoane fizice și juridice, și AWB-urile emise de solicitanții serviciilor de curierat. Datele cu caracter personal care au fost dezvăluite sunt: nume, prenume, adresă expeditor și destinatar, număr de telefon, username și parolă, adrese de e-mail.

Mai mult decât această situație care a condus la pierderea confidențialității datelor cu caracter personal ale clienților operatorului, acesta nu a dat curs solicitării de informații adresate de Autoritatea Națională de Supraveghere în exercitarea competențelor sale, astfel că a fost sancționat și pentru acest fapt.

Un site conform GDPR implică mult mai mult decât existența butonului de acceptare de cookie-uri iar aspectele de luat în calcul într-o evaluare a unui site conform GDPR sunt multiple. Poți citi mai multe despre audit GDPR pentru site-uri sau ne poți contacta pe contact@gdprcomplet.ro pentru o ofertă.

90. Continental Automotive Romania – iunie 2022 – 2000 euro

Ultima amendă a lunii iunie 2022 ne confirmă înca o dată că doar stabilirea unor proceduri de lucru nu sunt suficiente să te scape de amendă, dacă nu se evaluează periodic aplicarea acestora. Ce s-a întâmplat mai exact:

În temeiul dispozițiilor Regulamentului General privind Protecția Datelor, Operatorul Continental Automotive Romania SRL a transmis către ANSPDCP, în cursul anului 2022, o notificare de încălcare a securității datelor cu caracter personal și anume, a descoperit la sediul său din Timișoara că în afara sistemului oficial de camere mai exista un număr de 135 de camere de supraveghere neaprobate (neconfigurate conform politicilor interne) conectate la sisteme de camere neoficiale, majoritatea fiind amplasate în mijlocul zonei de producție.

În consecință, Operatorul Continental Automotive Romania SRL a fost sancționat cu amendă în cuantum de 2000 EURO pentru că nu a stabilit măsuri tehnice și organizatorice adecvate și nu a evaluat periodic măsurile tehnice și organizatorice implementate în vederea asigurării securității adecvate a prelucrării imaginilor video ale angajaților și în vederea prevenirii prelucrarării neautorizate.

Vă reamintim în acest sens că procesul de conformare la GDPR este un proces continuu.

89. SC Interactions Marketing SRL – iunie 2022 – 1000 euro

Trimiterea de mesaje comerciale către mai multe persoane reprezintă divulgare neautorizata de date personale în condițiile în care sunt dezvăluite adresele de e-mail ale acestora. Această lipsă a măsurilor tehnice și organizatorice în vederea asigurării confidențialității datelor personale, aduce pentru SC Interactions Marketing SRL, în calitate de împuternicit al unui operator, o sancțiune de 1000 EUR.

ANSPDCP a constatat, în urma investigației, că SC Interactions Marketing SRL, în calitate de împuternicit, a derulat o campanie pentru operatorul reclamat, în cadrul căreia a transmis un mesaj comercial către adresele de email aparținând unui număr de 27 de persoane, fără ascunderea acestora, permițând astfel divulgarea neautorizată a adreselor de e-mail către ceilalți destinatari.

În consecință, încălcând prevederile art. 32 alin. (1) lit. b), SC Interactions Marketing SRL a fost sancționată deoarece, în calitate de persoană împuternicită, avea obligația de a adopta măsuri tehnice și organizatorice adecvate în vederea asigurării confidențialității datelor personale prelucrate.

88. Asociația de Proprietari Aviației Park – iunie 2022 – 7000 euro

O nouă investigație ANSPDCP s-a finalizat cu amendă pentru operatorul Asociația de Proprietari Aviației Park. Acesta a fost sancționat contravențional cu amendă pentru 2 încălcări ale prevederilor GDPR după cum urmează:

  • 2000 EURO pentru prelucrarea în mod excesiv a datele cu caracter personal ale livratorilor și/sau curierilor în calitate de persoane vizate, fără un temei legal justificat raportat la scopul prelucrării (controlul accesului în complexul rezidențial) și fără să prezinte dovezi că asigură informarea corectă și completă a persoanelor vizate, precum și că datele prelucrate sunt adecvate, relevante și limitate la ceea ce este necesar în raport cu scopul prelucrării; S-a constatat că reprezentanții societății de pază (în calitate de împuternicit) colectau și prelucrau datele cu caracter personal în scopul accesului persoanelor la intrarea în complexul rezidențial, sens în care solicitauo serie de date persoanelor care intrau în complex și le notau într-un registru intern, deși instrucțiunile primite de la operator erau exclusiv pentru serviciile de livrări și/sau curierat.
  • 5000 EURO pentru că nu a stabilit o perioadă de stocare a imaginilor prelucrate prin intermediul sistemului de supraveghere video și le-a stocat pe o perioadă mai mare decât cea necesară îndeplinirii scopului în care sunt prelucrate, respectiv controlul accesului în condominiu, deși avea obligația de a păstra imaginile într-o formă care să permită identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele. Astfel, s-a constatat existența de imagini stocate cu o vechime de aproximativ un an și jumătate.

În acest context, reamintim faptul că potrivit art. 4 pct. 7 din RGPD operatorul stabilește scopul și mijloacele de prelucrare, iar conform art. 28 alin. (3) lit. a) din RGPD împuternicitul prelucrează datele numai pe baza unor instrucțiuni documentate din partea operatorului.

De asemenea, reamintim faptul că potrivit art. 5 din RGPD, operatorul trebuie să respecte principiile de prelucrare a datelor, printre care cele privind ”legalitatea, echitatea şi transparenţa”, ”reducerea la minimum a datelor” și ”limitarea legată de stocare”. În același timp, operatorul este responsabil de respectarea principiilor şi trebuie să demonstreze această respectare (”principiul responsabilității”). 

87. S.C. Wine Point S.R.L.– iunie 2022 – 3000 euro

Lipsa măsurilor tehnice și organizatorice în vederea asigurării confidențialității datelor personale, îi aduce operatorului S.C. Wine Point S.R.L. o sancțiune de 3000 EUR.

Investigația ANSPDCP a fost demarată ca urmare a unei sesizări prin care o persoană vizată a semnalat faptul că a primit din partea operatorului, prin e-mail, un mesaj comercial, care era adresat și altor persoane, adresele acestora de e-mail fiind vizibile tuturor celor 810 de destinatari.

În consecință, prin divulgarea neautorizata de date personale, S.C. Wine Point S.R.L. încalcă dispozițiile art. 32 alin. (1) lit. b) din Regulamentul General privind Protecția Datelor

Eroare umană sau rea intenție, trimiterea unui email care divulgă emailurile tuturor destinatarilor reprezintă o breșă de securitate.

Gestionarea breșelor de securitate poate fi o adevărată provocare pentru operatorii de date, astfel că vă recomandăm să citiți mai multe despre gestionarea breșelor de securitate GDPR.

86. Wens Experience SRL – iunie 2022 – 1500 euro

Nerespectarea (sau neînțelegerea) obligațiilor ce îi revin ca și persoană împuternicită i-a adus societății Wens Experience SRL o sancțiune de 1500 eur.

Cu ce a greșit aceasta? Societatea Wens Experience SRL, în calitate de împuternicit al unui operator, a recrutat o altă persoană împuternicită pentru prelucrarea datelor angajaților operatorului fără a primi în prealabil o autorizație scrisă, specifică sau generală din partea operatorului.

Reamintim în acest sens art. 28 alin. (2) din RGPD care spune că „Persoana împuternicită de operator nu recrutează o altă persoană împuternicită de operator fără a primi în prealabil o autorizaţie scrisă, specifică sau generală, din partea operatorului. În cazul unei autorizaţii generale scrise, persoana împuternicită de operator informează operatorul cu privire la orice modificări preconizate privind adăugarea sau înlocuirea altor persoane împuternicite de operator, oferind astfel posibilitatea operatorului de a formula obiecţii faţă de aceste modificări.”

85. Kaufland România SCS – iunie 2022 – 2000 euro

ANSPDCP a finalizat o nouă investigație prin care sancționează din nou lipsa măsurilor tehnice și organizatorice adecvate pentru a asigura securitatea informațiilor. De această dată, operatorul de date Kaufland România SCS a fost sancționat cu amendă în cuantum de 9.893,2 lei (echivalentul sumei de 2000 EURO) pentru încălcarea dispozițiilor art. 29 și art. 32 alin. (1) lit. b), alin. (2) și alin. (4) din Regulamentul General privind Protecția Datelor.

Este vorba de două notificări de încălcare a securității datelor cu caracter personal și anume accesul neautorizat al unor angajați ai operatorului la datele cu caracter personal ale clienților Kaufland și transmiterea eronată către un alt destinatar a unor date personale ale unui client.

În prima încălcare a securității, angajatul operatorului care a preluat plângerea unei petente nu a respectat procedura internă de soluționare a unei reclamații și a permis vizualizarea documentului de către agentul de pază. Acesta, ulterior a utilizat necorespunzător aceste date și astfel s-a ajuns la încălcarea confidențialității datelor personale ale petentei.

Cea de-a doua încălcare a securității datelor are la bază tot nerespectarea procedurii de lucru și a constat în transmiterea eronată către un alt destinatar a unei foi de comandă a unui client prin intermediul unor platforme de livrare. Această situație a condus la divulgarea și accesul neautorizat la datele cu caracter personal (nume, prenume, adresa de e-mail, număr de telefon) ale clientului Kaufland.

În acest context, reamintim că orice persoană fizică care acționează sub autoritatea operatorului și care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului.

84. Med Life S.A. – mai 2022 – 5000 euro

Lipsa măsurilor la securitatea fizică a documentelor ne aduce în atenție o amendă aplicată Med Life S.A., cu totul aparte. Este vorba de divulgarea ilicită ale datelor clienților proprii a operatorului, date precum: nume, prenume, CNP, serviciul medical de care a beneficiat, analiza medicală efectuată, suma achitată, cont bancar dar și ale angajaților: salariu în avans, pentru două luni la rând. În acest sens, documente care conțineau aceste date au fost aruncate la coșul de gunoi al unei unități administrativ-teritoriale.

Sesizarea a fost făcută de către o persoană care a identificat aceste documente, aspect care a dus la demararea investigației.

Astfel, a fost aplicată o amendă de 5000 de euro și actualizarea măsurilor tehnice și organizatorice implementate.

O recomandare mereu prezentă este aceea a instruirii periodice a persoanelor care acționează sub autoritatea Med Life S.A., în mod specific cu privire la riscurile pe care le comportă prelucrările de date cu caracter personal.

83. Kredyt Inkaso Investments RO S.A. – mai 2022 – 5000 euro

Dezvăluirea datelor medicale sunt printre cele mai sensibile aspecte și cel mai des reclamate de către persoanele vizate. În cazul Kredyt Inkaso Investments RO S.A., aceștia au dezvăluit date precum: adresa de domiciliu, cod numeric personal, funcția deținută, date privind contractul de muncă, date din certificatele de concediu medical către medici și unități medicale cu care firma nu avea contract (sau nu existau raporturi juridice).

Una din problemele menționate de ANSPDCP este prelucrarea datelor cu privire la starea de sănătate care s-a realizat cu încălcarea principiului legalității.

Nu în ultimul rând, operatorul nu a respectat termenele indicate pentru notificarea incidentului de securitate, încălcându-se prevederile art. 33 (pentru aceasta s-a aplicat un avertisment).

Amenda aplicată este echivalentul a 5000 de euro.

82. Mayr Melnhof Packaging Romania S.R.L – mai 2022 – 1500 euro

Spațiul destinat servirii mesei și locul destinat fumătorilor sunt considerate spații în care nivelul de viață privată al angajaților este unul mai ridicat în comparație cu alte spații care pot fi monitorizate. În acest sens, societatea amintită a montat un sistem de camere de supraveghere video în sala de mese și la locul de fumat, aspect care a fost raportat de către angajați. Aceștia au raportat faptul că această monitorizare este excesivă, situație cu privire la care ANSPDCP a concluzionat că este într-adevăr încălcat principiul minimizării datelor.

81. Loris Fuel Shop SRL – mai 2022 – 1000 euro

Divulgarea de date pe Facebook este din nou sancționată! De data aceasta operatorul Loris Fuel Shop SRL este sancționat cu o amendă de 1000 de euro pentru divulgarea pe rețeaua de socializare a unor capturi video cu persoana vizată, înregistrată la stația de alimentare cu carburant. Deseori aceste imagini sunt postate cu scopul de a stârni amuzamentul, însă acestea, nefiind anonimizate atrag după cum se pare și sancțiuni. Astfel, vedem cum din nou instruirea personalului duce la o dezvăluire neautorizată de date și la atragerea unei sancțiuni asupra operatorului.

Un aspect pe care ANSPDCP îl recomandă, pe lângă instruirea angajaților este acela al procedurării modalităților de acces la imagini dar și a raportării situațiilor de încălcare a securității datelor.

80. Concordia Capital IFN S.A. – mai 2022 – 4.000 euro

Interesul poartă fesul!

Trebuie să admitem actualitatea zicalei, căci cu toții acționăm în baza unui interes, acesta fiind temeiul majorității covârșitoare a acțiunilor noastre.

Zicala este la fel de actuală și în materia protecției datelor. În acest sens, există anumite condiționări de care Operatorii de date trebuie să țină cont: în primul rând, interesul trebuie să fie legitim, să aibă aptitudinea de a legitima acțiunea principală. Apoi acțiunea principală trebuie însoțită/completată de acțiuni secundare care îi confirmă sau dezvăluie caracterul legitim față de persoanele vizate.

În sancțiunea dispusă, Autoritatea Națională de Supraveghere face un examen al legitimității interesului Operatorului de date – Concordia Capital IFN S.A., în ceea ce privește acțiunea acestuia de a instala camere audio-vizuale în birourile angajaților săi.

În acest sens, a constatat o încălcare a art. 5 și 6 din Regulamentul General privind Protecția Datelor, stabilind că Operatorul nu a respectat următoarele condiții imperative:

  • Acțiunea să fie luată în subsidiar, doar în cazul în care au fost folosite alte mijloace mai puțin intruzive pentru atingerea acestuia care nu și-au dovedit eficiența.
  • Acțiunea și scopul acesteia să fie aduse la cunoștința persoanei vizate în mod concret și eficient (în speță, informarea s-a realizat prin Regulamentul Intern).
  • Scopul invocat în legitimarea acțiunii, respectiv asigurarea protecției persoanelor, bunurilor și valorilor angajatorului și ale angajaților, să fie unul justificat.
  • În realizarea acțiunii, Operatorul să respecte principiile de prelucrare reglementate de art. 5 alin. (1) lit. a), b), c) și alin. (2) și a condițiilor de legalitate prevăzute de art. 6 din Regulamentul General privind Protecția Datelor.
  • Operatorul să respecte garanțiile art. 5 din Legea 190 din 18.07.2018 privind măsurile de punere în aplicare a Regulamentului General privind Protecția Datelor:
    • interesele legitime urmărite de angajator să fie temeinic justificate şi să prevaleze asupra intereselor sau drepturilor şi libertăţilor persoanelor vizate;
    • angajatorul să realizeze informarea prealabilă obligatorie, completă şi în mod explicit a angajaţilor;
    • angajatorul să consulte sindicatul sau, după caz, reprezentanţii angajaţilor înainte de introducerea sistemelor de monitorizare;
    • acțiunea să fie luată, doar dacă alte forme şi modalităţi mai puţin intruzive pentru atingerea scopului urmărit de angajator nu şi-au dovedit anterior eficienţa; şi
    • durata de stocare a datelor cu caracter personal să fie proporţională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepţia situaţiilor expres reglementate de lege sau a cazurilor temeinic justificate.

În concluzie, interesul poartă fesul, dar în materia protecției datelor personale, dacă interesul nu este unul legitim și nu sunt îndeplinite condițiile legale pentru a putea legitima acțiunea în baza acestuia, nu-ți vei mai permite nici un fes datorită amenzii luate.

79. Megareduceri TV S.R.L. – mai 2022 – 4.000 euro

Nu orice reducere înseamnă un câștig! Cu atât mai mult pentru Operatorul de date Megareduceri TV S.R.L. care primește a 2-a amendă pentru neconformare la GDPR. Citește despre sancțiunea aplicată operatorului Megareduceri TV S.R.L. din octombrie 2020.

Pe de-o parte, din punct de vedere comercial, pentru orice operator economic, a reduce din preț înseamnă dinamizarea vânzărilor, creșterea vizibilității în rândul consumatorilor și bineînțeles creșterea profitului.

Pe de altă parte, din punct de vedere al protecției datelor cu caracter personal, a reduce din garanțiile impuse de Regulamentul General privind Protecția Datelor reprezintă un risc iminent de sancțiune din partea Autorității Național de Supraveghere.

În speță, pentru Operatorul de date, Megareduceri TV S.R.L., riscul s-a concretizat: în urma investigației efectuate, Autoritatea Națională de Supraveghere a constat încălcarea prevederilor art. 83 alin. (5) lit. e) corelate cu dispozițiile art. 58 alin. (1) din Regulamentul General privind Protecția Datelor. Investigația a fost demarată ca urmare a plângerilor formulate de clienți/potențiali clienți, care, fără a-și da consimțământul în acest sens, au primit mesaje comerciale tip sms (pe numerele personale de telefon) prin care se promovau ofertele promoționale de pe website-ul Operatorului: www.reduceriazi.ro.

Cu privire la acuzațiile aduse, Megareduceri TV S.R.L. nu a dat curs solicitărilor Autorității de furnizare de informații, deși a confirmat primirea acestor solicitări. În consecință, i s-a aplicat sancțiunea pecuniară în valoare de aprox. 4.000 de euro – una dintre cele mai mari sancțiuni dispuse de Autoritate pentru lipsa unui răspuns din partea Operatorului de date.

Pe lângă aceasta, i s-au aplicat și măsuri corective de intrare în legalitate, respectiv de conformare a activității Operatorului de date cu normele Regulamentului General privind Protecția Datelor:

  • să fie evitate situațiile de prelucrare a datelor cu caracter personal fără consimțământul persoanelor vizate și fără existența unei alte situații în care consimțământul nu este necesar;
  • să fie luate măsurilor necesare privind evaluarea datelor cu caracter personal prelucrate, astfel încât date precum numărul de telefon să nu mai fie prelucrat în scop de marketing direct sau de transmiterea de comunicări comerciale prin servicii de comunicații electronice destinate publicului, fără consimțământul prealabil expres al persoanelor vizate.

În concluzie, atât pentru consumatori cât și pentru operatorii economici, sunt binevenite reducerile … de preț, nicidecum cele referitoare la îndeplinirea obligațiilor legale în materia protecției datelor cu caracter personal.

Reamintim faptul că operatorul a mai fost sancționat pentru încălcarea acelorași prevederi ale Regulamentului General privind Protecția Datelor în octombrie 2020 și se pare că nu și-a învățat lecția.

78. IKEA România S.R.L. – aprilie 2022 – 1.000 euro

Atât activitatea, cât și pasivitatea neconformă se pedepsește.

IKEA România S.R.L., operatorul economic care face parte din grupul IKEA – unul dintre cei mai mari producători de mobilă din lume, a fost sancționată de Autoritatea Națională de Supraveghere pentru lipsa formulării și comunicării unui răspuns în termen de o lună de la primirea cererii persoanei vizate.

În speță, persoana vizată și-a exercitat dreptul de ștergere a datelor sale personale dintr-un cont de utilizator IKEA, conform art. 17 din Regulamentul General privind Protecția Datelor. În acest sens, persoana vizată a formulat mai multe cereri către operatorul economic, care au rămas fără răspuns.

Autoritatea Națională de Supraveghere a constatat că IKEA România S.R.L., în calitate de Operator de date nu a făcut dovadă că a transmis în termenul legal un răspuns la cererile formulate de persoana vizată, încălcând în acest sens art. 12 alin. (3) din Regulamentul General privind Protecția Datelor.

Pe lângă sancțiunea pecuniară, în valoare de 1.000 de euro, operatorului economic i s-a aplicat și măsura corectivă de a depune toate diligențele și de a lua toate măsurile necesare astfel încât să se respecte efectiv drepturile persoanei vizate prevăzute de Regulamentul General privind Protecția Datelor.

În concluzie, adaptăm un proverb românesc la speța noastră: ,,Din greșeli, operatorul învață’’ – drepturile persoanei vizate prevăzute de Regulamentul General privind Protecția Datelor trebuie garantate efectiv de către Operatorul de date. În acest sens, termenul de răspuns de o lună la orice solicitare a persoanei vizate are caracter imperativ.

77. ASOCIAȚIA DE PROPRIETARI din Str. Soporului 17, municipiul Cluj-Napoca – aprilie 2022 – 500 euro

Se pare că nu doar în credința populară, luna Aprilie este ,,Prier’’ – denumire care vine de la timpul prielnic de lucrat, ci și în practica Autorității Naționale de Supraveghere. În acest sens, când există o plângere din partea persoanei vizate cu privire la încălcarea drepturilor sale garantate de Regulamentul General privind Protecția Datelor, este prin excelență timpul ,,prielnic’’ de a demara o investigație cu privire la pretinsa încălcare.

În speță, în vederea desfășurării investigației, Autoritatea Națională de Supraveghere a solicitat informații de la Operatorul de date, ASOCIAȚIA DE PROPRIETARI din Str. Soporului 17, municipiul Cluj-Napoca, acuzat de către persoana vizată că a dezvăluit pe grupul de Facebook al blocului în care domiciliază acesta, imagini cu persoana sa din sistemul de supraveghere video gestionat de Operatorul de date.

Deși a confirmat primirea solicitărilor, Operatorul de date, nu a dat curs acestora, lăsându-le fără răspuns. Drept urmare, fapta Asociației, a constituit situația ,,prielnică’’ acordării unei amenzi în valoare de 500 euro pentru inacțiunea sa. Chiar dacă a fost dispusă o sancțiune, obligația de a furniza Autorității Naționale de Supraveghere informațiile solicitate, rămâne valabilă, Asociația fiind obligată să o îndeplinească în termen de 5 zile de la comunicarea procesului-verbal de sancționare.

Având în vedere cele expuse, putem concluziona că în situația Operatorului se respectă o altă credință populară cu privire la luna Aprilie: aceea de a fi luna păcălelilor. Din păcate, și păcăliciul și cel păcălit este Asociația.

76. Kaufland România S.C.S. – martie 2022 – 2.000 euro

A furniza sau a nu furniza… – Pentru Kaufland România S.C.S. nu este o întrebare, ci o certitudine, fiind în același timp un drept și o obligație.

Astfel, pe de-o parte, în calitatea de comerciant, unul dintre cei mai puternici pe piața românească, Kaufland România S.C.S. are dreptul de a furniza diferite produse alimentare și diferite bunuri de larg consum prin intermediul hipermarketurilor sale. Pe de altă parte, în calitate de Operator de date, are obligația de a furniza informații persoanei vizate conform Regulamentului General privind Protecția Datelor.

În urma investigației demarate de Autoritatea Națională de Supraveghere, s-a constatat că Operatorul de date Kaufland România S.C.S., nu și-a executat obligația de a furniza persoanei vizate o copie a tuturor înregistrărilor din sistemul de supraveghere video ce o privesc. În acest sens, s-a încălcat art. 15 alin. (3) din Regulamentul General privind Protecția Datelor.

Deși persoana vizată și-a exercitat un drept garantat de Regulamentul General privind Protecția Datelor, respectiv dreptul de acces la datele cu caracter personal care o privesc, Operatorul de date Kaufland România S.C.S. nu i-a respectat acest drept. Mai exact, nu i-a transmis, așa cum a solicitat, o copie integrală a înregistrărilor video ce o privesc, realizate în incinta unuia dintre magazinele Operatorului, chiar dacă acestea erau disponibile la momentul solicitării.

Drept urmare, pe lângă sancțiunea pecuniară, Operatorului de date Kaufland România S.C.S. i s-a aplicat și măsura coercitivă de a da curs solicitării persoanei vizate, așa cum a fost formulată, respectiv de a i se comunica imaginile solicitate, în măsura în care mai sunt disponibile la acest momement, bineînțeles cu blurarea imaginilor care duc la identificarea altor persoane.

În concluzie, din perspectiva Regulamentului General privind Protecția Datelor, a furniza sau a nu furniza, nu este o întrebare, este o certitudine, respectiv o obligație – de a furniza informațiile solicitate de către persoana vizată conform art. 15 din Regulament, ca urmarea a exercitării de către aceasta a dreptului de acces la datele cu caracter personal ce o privesc.

Gestionarea cererilor persoanelor vizate poate fi o provocare pentru operatori. Am detaliat acest subiect în articolul GDPR – drepturile persoanei vizate. Când răspundem și când nu?

75. Condor S.A. – martie 2022 – 2.000 euro

Conform Regulamentului General privind Protecția Datelor, a-ți știi măsura, înseamnă în fapt a lua măsuri tehnice și organizatorice adecvate în vederea asigurării confidențialității datelor cu caracter personal prelucrate.

În acest sens, sancțiunea aplicată de către Autoritatea Națională de Supraveghere Operatorului de date Condor S.A. reprezintă, în fapt, încă un argument privind importanța securității datelor cu caracter personal, respectiv securitatea prelucrării prevăzută la art. 32 din Regulament General privind Protecția Datelor.

Ca urmare a unei sesizări formulate de către o persoană vizată, s-a demarat o investigației privind activitatea de prelucrarea a datelor cu caracter personal a Operatorului de date Condor S.A. În acest sens, Autoritatea Națională de Supraveghere a constatat că a avut loc un acces neautorizat la unele documente neparolate care conțineau o serie de date cu caracter personal ale angajaților ori foștilor angajați, cum ar fi: locul de muncă, numele, prenumele, funcția, salariul de încadrare, suma pentru avans, contul bancar, codurile numerice personale.

Ceea ce a atras răspunderea Operatorului de date Condor S.A., din punct de vederea al Regulamentului General privind Protecția Datelor, a fost:

  • lipsa adoptării de măsuri tehnice și organizatorice adecvate și suficiente în vederea asigurării confidențialității datelor personale prelucrate ale angajaților ori foștilor angajați ai Condor S.A., și
  • lipsa instruirii persoanelor care prelucrează date cu caracter personal sub autoritatea Operatorului de date.

În acest sens, Operatorul de date a încălcat dispozițiile art. 32 alin. (1), (2) și (4) din Regulamentul General privind Protecția Datelor.

Pe lângă sancțiunea pecuniară primită, față de Condor S.A. s-au luat și măsurile coercitive aferente, respectiv: implementarea unor măsuri tehnice și organizatorice adecvate, inclusiv sub aspectul instruirii persoanelor care prelucrează date cu caracter personal sub autoritatea sa, și contactarea persoanei care a avut acces neautorizat la datele respective cu caracter personal, în vederea ștergerii sau distrugerii, după caz, a acestora.

În concluzie, a-ți știi măsura, respectiv a-ți asuma calitatea de Operator de date, te obligă prin excelență la respectarea tuturor normelor Regulamentului General privind Protecția Datelor, inclusiv luarea măsurilor tehnice și organizatorice adecvate în vederea asigurării confidențialității datelor cu caracter personal prelucrate.

Vă reamintim care sunt cele mai bune practici în materie de securitate cibernetică, recomandate de ENISA, CERT-EU & GDPR Complet.

74. Amendă Briza Land S.R.L. – februarie 2022 – 2000 euro

Oferirea unui răspuns incomplet la cererea persoanei vizate este sancționată de către ANSPDCP. Astfel, ce putem vedea este un caz clasic în care o persoană vizată solicită în baza drepturilor avute, informații despre datele care o privesc, informații cu privire la datele prelucrate, la scopul prelucrării, la posibile transferuri de date ori divulgări. Ca urmare a primului răspuns, persoana a fost nemulțumită de răspunsul oferit de operator, considerând că îi lipsesc informații esențiale precum cele referitoare la datele prelucrate, sursa acestora și destinatarii datelor.

În acest sens, ANSPDCP a aplicat operatorului Briza Land S.R.L. o sancțiune de 9892,6 lei (2000 de euro) și măsura corectivă de a comunica (în termen de 5 zile de la primirea procesului verbal de sancțune) informațiile solicitate persoanei vizate.

73. IAMSAT Muntenia SA – februarie 2022 – 3.000 euro

Existența unui drept conform legii înseamnă exercitarea acestuia … tot conform legii

Orice persoană are dreptul la siguranța obiectivelor, bunurilor și valorilor proprii împotriva oricăror acțiuni ilicite care îi lezează dreptul de proprietate, prin asigurarea pazei și securității acestora. Acest drept este garantat de Legea nr. 333 din 8.07.2003 privind paza obiectivelor, bunurilor, valorilor și protecția persoanelor, și de alte dispoziții relevante în materie. Așa cum este reglementat, dreptul nu este unul absolut, ci suportă limitări, mai ales când vine vorba de supravegherea video la locul de muncă a angajaților – o chestiune sensibilă, des întâlnită în practică.

IAMSAT Muntenia SA, deși și-a exercitat un drept prevăzut de lege, modalitatea de exercitare nu a fost conform acesteia. Mai exact, Societatea a instalat mijloace de supraveghere video la locul de muncă, fără a informa în acest sens, în mod complet și în prealabil salariații. Drept urmare, Autoritatea Națională de Supraveghere a sancționat Societatea, în calitate de Operator de date, pentru încălcarea art. 12 și 13 din Regulamentul General privind Protecția Datelor, cu amenda în valoare de 2.000 de euro și a impus în sarcina Societății, ca măsură corectivă, obligația de a asigura o informare completă a persoanelor vizate, în special a angajaților, cu privire la utilizarea sistemului de supraveghere video.

Putem, deci, trage o primă concluzie: din perspectiva Autorității de Supraveghere nu doar ,,informația costă bani’’, ci și lipsa transmiterii acesteia costă, în speță 2.000 de euro.

Pe de altă parte, persoana vizată și-a exercitat dreptul de opoziție garantat de Regulamentul General privind Protecția Datelor, conform prevederilor acestuia. Astfel, a transmis Societății, o cerere prin care a adus la cunoștința acesteia că: nu își dă consimțământul pentru utilizarea adresei sale de e-mail și se opune prelucrării datelor sale personale de către Societate și/sau de terți prin intermediul acesteia, după încetarea contractului de muncă.

Cererea a rămas fără răspuns. Drept urmare, Autoritatea Națională de Supraveghere a mai sancționat cu încă o amendă Societatea, în cuantum de 1.000 de euro pentru încălcarea dispozițiilor art. 12 alin. (3), raportate la art. 21 din Regulament, respectiv neexecutarea obligației de a răspunde în termenul legal la cererea persoanei vizate. În acest sens, pe lângă amendă, Autoritatea a impus în sarcina Societății și măsura corectivă de a transmite un răspuns persoanei vizate la cererea sa, care să cuprindă măsurile adoptate în urma exercitării dreptului de opoziție.

Așadar pentru toți cei care prelucrăm date cu caracter personal, se impune să completăm zicala: ,,E bine să fi informat’’, și din perspectiva RGPD: ,,E bine să fi informat, dar nu uita și să informezi! Te poate scuti de amenzi și măsuri corective.’’

Gestionarea cererilor persoanelor vizate poate fi o provocare pentru operatori. Am detaliat acest subiect în articolul GDPR – drepturile persoanei vizate. Când răspundem și când nu?

72. Societatea Civilă Profesională de Avocați „Sabou, Burz & Cuc” – februarie 2022 – 1.000 euro

Comunicarea pe WhatsApp: eficiența scade calitatea

Iată un alt exemplu în care eficientizarea comunicării determinată de tehnologie, nu crește, ci scade calitatea și securitatea informațiilor comunicate.

Nu e condamnabil să vrei să împărtășești din experiența ta, ci este condamnabilă neglijența de a proteja datele cu caracter personal ale clientului tău, să nu mai amintim despre încălcarea secretului profesional. În acest sens a fost poziționarea Autorității Naționale de Supraveghere, când a sancționat contravențional Societatea Civilă Profesională de Avocați „Sabou, Burz & Cuc”, cu amendă în suma de 1.000 euro.

Unul dintre apărătorii timișoreni din cadrul societății de avocatură a distribuit pe un grup de WhatsApp folosit de avocați ai baroului Timiș un document trimis de o instituție publică pe numele clientului societății (persoana vizată, în speță). Documentul a fost distribuit fără o neutralizare a datele cu caracter personal ale clientului, în prealabil. Astfel, cei 278 de membrii – avocați, aflați pe grupul de WhatsApp au aflat pe lângă alte informații sensibile (și probabil relevante pentru activitatea juridică) și următoarele: numele, prenumele, adresa de domiciliu a persoanei vizate și informații referitoare la un dosar aflat pe rolul instanței în care persoana vizată este implicat.

Se pare că nu doar acumularea experienței propriu-zise costă, ci și împărtășirea acesteia, dacă se face cu încălcarea art. 5 alin. (1) lit. a), b), c), f), alin (2), și a art. 6 din Regulamentul General privind Protecția Datelor, respectiv fără a exista un temei legal pentru transferul datelor cu caracter personal, în mod excesiv și incompatibil cu scopul inițial al colectării lor, precum și fără adoptarea unor măsuri tehnice și organizatorice pentru păstrarea confidențialității acestor date – așa cum a hotărât Autoritatea Națională de Supraveghere.

Amenda a fost însoțită și de măsuri corective impuse societății de avocatură în calitatea de operator de date, respectiv: notificarea tuturor membrilor grupului de WhatsApp în vederea ștergerii documentului distribuit și conformarea cu Regulamentul a operațiunilor de colectare și prelucrare ulterioară a datelor personale în cadrul raporturilor juridice de asistare și reprezentare a clienților societății de avocatură. În acest sens, observăm că Autoritatea Națională de Supraveghere insistă și în această speță pe importanța instruirii regulate a persoanelor ce prelucrează date sub autoritatea operatorului.

…dar cum spune un proverb român ,,Tot răul spre bine’’ … în cazul în care societatea de avocatură nu are ca arie de practică protecția datelor, experiența aceasta (chiar dacă nedorită) poate constitui un bun prilej de a începe o extindere în acest sens.

Majoritatea companiilor și instituțiilor publice folosesc astăzi WhatsApp-ul în desfășurarea activităților profesionale, însă acesta ridică probleme cu privire la protecția datelor cu caracter personal. Citește mai mult despre WhatsApp-ul în relațiile de muncă din perspectiva GDPR.

71. S.C. Grupex 2000 S.R.L. – ianuarie 2022 – 1000 euro

Nerespectarea vieții private persoanelor instituționalizate în sistemul de protecție a copilului poate costa! Operatorul S.C. Grupex 2000 S.R.L. a fost sancționată cu 4.943,60 lei pentru postarea unui material video pe websiteul deținut în care apăreau imagini (un material filmat) ale unor bolnavi instituționalizați în sistemul Direcției Județene de Asistență Socială și Protecție a Copilului.

În acest sens, vedem cum o persoană juridică (Direcția) depune plângere în numele persoanelor reprezentate (persoane fizice) pentru a atrage măsuri și a corecta comportamentul neconform.

Este bine să fim atenți la astfel de situații pentru a nu expune aspecte din viața privată a unor persoane care poate nu își pot exercita singure anumite drepturi și sunt astfel mai vulnerabile în fața abuzurilor operatorilor!

70. Kaufland România SCS – decembrie 2021 – 3000 euro

Utilizarea camerelor de supraveghere video reprezintă unul din cele mai problematice și contestate aspecte din România, întrucât este deseori foarte deranjantă pentru persoanele vizate.

Autoritatea Națională de Supraveghere a finalizat în luna decembrie 2021 o investigație la operatorul Kaufland România SCS și a constatat încălcarea dispozițiilor art. 15 alin. (3) din Regulamentul General privind Protecția Datelor, referitor la dreptul de acces.

O persoană vizată ar trebui să aibă drept de acces la datele cu caracter personal colectate care o privesc și ar trebui să își exercite acest drept cu ușurință, să poată să își primească datele să poată să facă verificări asupra acestora ș.a.

Investigația a fost demarată ca urmare a unei plângeri formulate de o persoană vizată care a reclamat faptul că operatorul nu a furnizat o copie integrală a înregistrărilor video pentru un anumit interval orar în care aceasta a fost în incinta comercială respectivă.

În cadrul investigației efectuate, s-a reținut că reprezintă o obligație a operatorului de comunicare a unei înregistrări video ce conține imagini care privesc persoana vizată, ca urmare a exercitării dreptului de acces de către acesta, iar comunicarea imaginilor se poate efectua de operator prin luarea măsurilor de obturare (”blurare”) a acelor imagini care ar putea să aducă atingere drepturilor și libertăților altor persoane fizice, dacă este cazul. Prin urmare, operatorul era obligat să adopte o serie de măsuri tehnice și organizatorice, pentru a permite deplina exercitare a dreptului de acces al persoanei vizate, cu respectarea, în același timp, a drepturilor altor persoane fizice.

Ca atare, Autoritatea Națională de Supraveghere a constatat că operatorul nu a comunicat complet respectivele înregistrări video solicitate, ceea ce constituie o încălcare a art. 15 alin. (3) din Regulamentul General privind Protecția Datelor. Ca atare, operatorul a fost sancționat contravențional cu amendă în cuantum de 14846,4 lei (echivalentul a 3000 EURO).

69. SC Nobiotic Pharma SRL – decembrie 2021 – 2.000 euro

Iar ai primit un mesaj commercial nesolicitat de tip SMS, fără ați fi dat consimțământul în acest sens? La fel a pățit și persoana fizică din speță, care s-a prevalat de drepturile sale conform Regulamentului General privind Protecția Datelor și a făcut plângere în acest sens la A.N.S.P.D.C.P.

Drept consecință, dat fiind faptul că operatorul SC Nobiotic Pharma SRL nu a dat curs solicitării de informații adresate de A.N.S.P.D.C.P., a fost sancționat contravențional cu amenda în valoare de 2.000 euro pentru neîndeplinirea obligației de furnizare a informațiilor solicitate și necesare A.N.S.P.D.C.P., conform art. 58 alin. (1) din Regulamentul General privind Protecția Datelor.

68. Telekom Romania Communications S.A. – decembrie 2021 – 6.000 euro

Vorba din popor spune că ,,A greși e omenește’’, însă A.N.S.P.D.C.P. spune că greșeala sau eroarea unui operator în ceea ce privește punerea în executare și respectarea prevederilor Regulamentului General privind Protecția Datelor constituie contravenție și se sancționează ca atare.

Mai exact, A.N.S.P.D.C.P. a constatat și a dispus față de operatorul Telekom Romania Communications S.A., următoarele:

  • încălcarea 5 alin. (1) lit. d) și f) și alin. (2) din RGPD prin aceea că a colectat și a prelucrat în mod eronat anumite date cu caracter personal inexate și drept consecință a dezvăluit ilegal date personale ale unei persoane fizice către o altă persoană fizică – faptă pe care a sancționat-o contravențional cu amendă în suma de 5.000 euro.
  • încălcarea 17 din RGPD prin aceea că nu a adoptat măsurile necesare pentru a da curs cererii de ștergere formulate – faptă pe care a sancționat-o contravențional cu amendă în suma de 1.000 euro.

În mod surprinzător A.N.S.P.D.C.P. face trimitere la considerentul 65 din RGPD conform căruia a reținut că ,,O persoană vizată ar trebui să aibă dreptul la rectificarea datelor cu caracter personal care o privesc şi “dreptul de a fi uitată”, în cazul în care păstrarea acestor date încalcă prezentul regulament sau dreptul Uniunii sau dreptul intern sub incidenţa căruia intră operatorul. (…)’’

Cu privire la prima faptă, eroarea operatorului nu este scuzabilă, fiind determinată de lipsa metodelor eficiente de asigurare a exactității datelor și lipsa unor măsuri adecvate și eficiente de securitate, atât din punct de vedere tehnic (cum ar fi: colectare automatizată a unor date, securizarea transmiterii documentelor și mesajelor prin criptare/parolare), cât și din punct de vedere organizatoric, prin instruirea regulată a persoanelor ce prelucrează date sub autoritatea operatorului.

Cu privire la cea de-a 2-a faptă, aceasta este o consecință a lipsei unor măsuri tehnice și organizatorice adecvate care să garanteze implementarea efectivă și corectă a acestor operațiuni în baza/bazele de date folosite de operator și persoanele împuternicite de acesta, precum și instruirea corespunzătoare a persoanelor care prelucrează date sub autoritatea acestora.

Toate aceste neconformități au fost sancșionate prin dispunerea de către A.N.S.P.D.C.P. a măsurilor corective aferente.

Morala: A greși e omenește, dar a încălca RGPD este contravenție.

67. Societatea Civilă Medicală Policlinica Tommed – decembrie 2021 – 2.000 euro

Fie că a fost vorba de analize de rutină, fie că am avut nevoie de intervenții medicale mai complicate, majoritatea dintre noi, încă de la cea mai fragedă vârstă, am fost cel puțin o dată în viață pacienți. Pe lângă procedura medicală propriu-zisă de care am beneficiat, ne-am confruntat și cu cea administrativă aferentă acesteia.

Ai fost, ești sau vei fi pacient? Știi cum îți sunt prelucrate datele cu caracter personal, în special cele privitoare la sănătatea ta? Cunoști care îți sunt drepturile garantate de Regulamentul General privind Protecția Datelor?

Pacientul din speță avea cunoștiință despre principiile și condițiile prelucrării datelor cu caracter personal. Drept consecință și-a exercitat dreptul conform RGPD sesizând A.N.S.P.D.C.P. cu o plângere împotriva operatorului – Societatea Civilă Medicală Policlinica Tommed pentru dezvăluirea fără drept de către acesta a anumitor date personale (inclusiv de sănătate) ale pacientului său către un alt operator.

În acest sens, în urma investigației efectuate în luna noiembrie 2021, A.N.S.P.D.C.P. a constata încălcarea prevederilor art. 5 alin. (1) lit. a), b) și f) și alin. (2), coroborate cu art. 9 din RGPD, operatorul fiind sancționat contravențional cu amendă în valoare de 2.000 euro. În fapt, s-a reținut că operatorul a dezvăluit respectivele date cu caracter personal fără respectarea principiilor și a condițiilor de prelucrare a datelor personale (inclusiv a celor de sănătate) și fără informarea prealabilă a persoanei implicate.

Mai mult, operatorului i s-a aplicat și măsura corectivă de a asigura conformitatea cu RGPD a operațiunilor de colectare și prelucrare ulterioară a datelor personale – inclusiv, dar fără a se limita la instruirea regulată a persoanelor care prelucrează date sub autoritatea operatorului și implicarea corespunzătoare a responsabilului cu protecția datelor (art. 37-39 RGPD).

66. Valoris Center S.R.L. – noiembrie 2021 – 2000 euro

Persoanele împuternicite pot fi sancționate în mod independent de operator! Acest lucru l-am putut constata în mai multe rânduri, iar sancționarea Valoris Center S.R.L. este ca urmare a raportării operatorului a următorului incident: un angajat call center al Valoris Center S.R.L. (firma care are calitatea de persoană împuternicită față de operator), transmite din eroare un fișier excel conținând date a anumitor clienți ai operatorului (11169) către un client. În acest sens au fost divulgate în mod neautorizat date cu caracter personal precum: nume utilizator, CNP utilizator (ai platformei de Internet Banking), email, număr de telefon, numele și prenumele clientului PINul și codul acestuia.

În acest sens, deși numărul de persoane vizate este mare, probabil pentru că au existat măsuri specifice care s-au luat pentru remedierea situației s-a aplicat o amendă de 2000 euro.

65. Vodafone România S.A. – noiembrie 2021 – 1500 euro + 7000 lei

Vodafone România S.A. este sancționat din nou ca urmare a transmiterii de către acesta a unor notificări privind încălcări de securitate.

Din comunicatul ANSPDCP ce putem constata este că problema de data aceasta a venit ca urmare a accesării de date a angajaților sau a persoanelor împuternicite de Vodafone (în mod specific la contracte) dar și a transmiterii de emailuri la adrese greșite, fiind vorba de 64 de persoane vizate afectate.

Astfel operatorul se pare că nu a luat măsuri tehnice și organizatorice pentru a proteja datele ca doar persoane AUTORIZATE să aibă acces la date și DOAR în scopuri specifice reglementate de normele legale.

Amenzi aplicate: 1500 euro în baza RGPD și 7000 lei în baza Legii nr. 506/2004.

64. S.P.E.E.H. Hidroelectrica S.A. – octombrie 2021 – 5000 euro

Operatorul S.P.E.E.H. Hidroelectrica S.A. a notificat o încălcare a securității datelor în sensul accesării ori divulgării în mod nejustificat, către destinatari eronați a datelor a 325 de persoane. Din nefericire nu avem foarte multe detalii despre acest incident: este vorba de date de facturare, spre exemplu? De date de contact? În ce context au fost divulgate datele? Cu toate acestea ANSPDCP ne comunică că operatorul nu a luat măsurile tehnice și organizatorice adecvate pentru asigurarea unui nivel de securitate corespunzător riscului existent.

Totodată operatorul a fost sancționat cu avertisment deoarece a prelucrat datele a 3 clienți proprii, după ce aceștia și-au exercitat dreptul de a fi uitat (adică și-au retras consimțământul). Posibil să fie vorba de activități de marketing care astfel vedem că au fost sancționate cu avertisment.

63. IKEA ROMÂNIA S.A. – octombrie 2021 – 1000 euro

Vulnerabilitățile platformelor online ne dau bătăi de cap de multe ori. Acesta este și cazul Ikea România care în urma unui incident de securitate este sancționată de către ANSPDCP. Despre ce este vorba? Despre divulgarea neautorizată a unor date precum nume, prenume, vârsta unor minori, email, numere de membru Ikea Family, semnătura ologafă a părintelui / tutorelui legal ș.a. timp de 40 de ore prin platforma Ikea Family. Acest incident a afectat 114 persoane fizice din care jumătate erau minori (ne informează Autoritatea)!

Toată situația a fost posibilă datorită unor formulare de colectare de date pentru participare la un concurs în care se vota cel mai bun desen. Din eroare însă, datele cuprinse în formularele de participare au fost divulgate către alte persoane în mod nejustificat.

62. Glove Technology SRL – octombrie 2021 – 5000 euro

Utilizarea camerelor de supraveghere video reprezintă unul din cele mai problematice și contestate aspecte din România. Acest lucru este cu atât mai deranjant pentru persoanele vizate cu cât există cazuri în care se fac fără nici o informare înregistrări audio-video prin diverse sisteme.

Cel mai recent caz în reprezintă cel al operatorului Glove Technology SRL care a instalat camere de supraveghere audio-video în birourile angajaților (deci la locul de muncă), fără a își duce la îndeplinire obligațiile de legalitate, echitabilitate și transparență (adică nu avea temei legal – nu exista consimțământ, nu a avut un test de proporționalitate și nici nu a făcut informarea persoanelor vizate). Totodată, firma a montat aceste camere audio-video pentru a folosi informațiile colectate la o dată ulterioară, împotriva angajaților.

Astfel ANSPDCP, pe lângă aplicarea unei amenzi de 5000 de euro a pus în vedere operatorului să înceteze orice operațiune de monitorizare prin acest sistem, să șteargă orice evidențe ale înregistrărilor prin sistemul dat cât și să asigure conformitatea sa.

61. Actamedica S.R.L. – 3000 euro – august 2021

Neglijența față de datele cu caracter personal ale unei persoane vizate poate costa 3000 de euro.

Ce s-a întâmplat? Operatorul Actamedica S.R.L. din Târgu Mureș, trimite niște probe biologice printr-un furnizor de servicii de curierat și o sumă de bani către un destinatar. Coletul însă nu ajunge fără a fi deteriorat, destinatarul reclamând acest lucru operatorului. La momentul la care ia cunoștință despre aceasta, operatorul informează persoana vizată cu privire la incident care îi solicită lămuriri despre măsurile luate și dacă a fost notificată ANSPDCP. La aceste întrebări, operatorul Actamedica S.R.L. redirecționează persoana fizică spre avocatul societății și spre firma de curierat spre a își exprima doleanțele. Pe scurt, consideră că nu este vina acestuia.

Din câte ne putem da seama din comunicat, persoana vizată reclamă acest lucru Autorității care în urma investigației aplică o amendă de:

  • 2000 de euro pentru încălcarea prevederilor cu privire la selectarea persoanei împuternicite și a măsurilor de protecție și securitate a datelor garantate de aceasta
  • 1000 de euro pentru lipsa notificării incidentului și
  • Avertisment pentru lipsa de răspuns în conformitate cu obligația R.G.P.D., către persoana vizată.

Ce putem înțelege de aici? Că trebuie să fim foarte atenți ce furnizor de servicii ne alegem atunci când există date cu caracter personal prelucrate prin intermediul acestuia dar și cel mai important, că relația cu persoana vizată trebuie tratată cu cea mai mare atenție!

60. Asociația Asistenței Rutiere A-Car Vaslui – 10.000 lei – August 2021

Prelucrarea datelor minorilor dar mai ales divulgarea acestora în mediul online trebuie să fie făcută de fiecare dată cu mare atenție! Aceasta este lecția pe care o putem învăța din amenda aplicată de ANSPDCP Asociației Asistenței Rutiere A-Car Vaslui. Operatorul, a postat pe website-ul acestuia www.a-carvaslui.ro date cu caracter personal ale unor minori fără a avea temei legal. Acest lucru a fost sesizat Autorității care a emis Planul de Remediere și obligația de a furniza mai multe informații. Cu toate acestea operatorul nu a dat răspuns solicitărilor.

59. La Santrade S.R.L. – 2000 euro – iunie 2021

ANSPDCP a finalizat în luna iunie o investigație prin care sancționează din nou lipsa de răspuns a operatorilor de date.

De această dată este vorba de La Santrade S.R.L. care, în urma unei plângeri depuse de o persoană vizată cu privire la exercitarea dreptului de acces și de ștergere a datelor sale personale, a solicitat informații printr-o adresă oficială.

Cu toate acestea operatorul nu a dat curs acestei adrese iar pentru acest motiv Autoritatea a aplicat o sanțiune de 9839,4 lei (2000 euro). Totodată i s-a pus în vedere următoarele:

  • comunice persoanei vizate măsurile adoptate referitoare la ștergerea datelor cu caracter personal;
  • pună la dispoziție date de contact valabile, în concret, o adresă de email funcțională, pe website-ul său în politica de confidențialitate – la date de contact.

58. S.C. Dreamtime Call S.R.L. – 2000 euro – mai 2021

Lipsa răspunsului te poate costa! Cât? 2000 euro în cazul unora, așa cum este situația pentru S.C. Dreamtime Call  S.R.L.

Ce s-a întâmplat? O persoană vizată a depus plângere împotriva operatorului pentru că acesta a prelucrat datele sale fără un temei legal (numărul de telefon), contactând persoana de mai multe ori fără vreun acord prealabil.

Pentru clarificarea situației ANSPDCP s-a adresat operatorului care însă nu a dat nici un răspuns solicitării. Pentru acest lucru, a fost aplicată o sancțiune de 9852 lei și i s-a impus obligația să transmită toate informațiile solicitate în termen de 5 zile.

În cazul în care operatorul nu va face acest lucru, este posibil să urmeze încă o amendă.

57. Vodafone România S.A. – mai 2021 – 5000 RON

Ca urmare a unei notificări a încălcării de securitate Vodafone a fost sancționată cu 5000 RON. Despre ce este însă vorba? Din mențiunile găsite în comunicatul de presă, se pare că facturile unor persoane vizate au fost transmise unor terțe persoane, lucru care a condus în mod inevitabil la un acces neautorizat la date precum nume, prenume, nr. de telefon, cod client și adresa.

Și de data aceasta Autoritatea subliniază necesitatea instruirii persoanelor din cadrul operatorului.

56. Asociație de Proprietari Iași – mai 2021 – 500 euro

Deși există niște îndrumări date de Autoritate către operatorii – asociații de proprietari, amenzile pentru acestea nu s-au împuținat. Astfel putem vedea cum o asociație din Iași a fost sancționată cu 500 de euro ca urmare a faptului că asociația a afișat o listă de plată care conținea numele, prenumele fiecărui membru, la avizier. Persoana vizată a menționat și afișarea unui înscris defăimător  în care erau menționate datele acestuia.

Totuși vedem că sancțiunea a fost aplicată pentru că reprezentanții asociației nu au dat curs solicitărilor ANSDPCP.

55. Banca Comercială Română S.A. – aprilie 2021 – 2000 euro

Un lucru care ne atrage din nou atenția este lipsa informării persoanei vizate și lipsa obținerii consimțământului chiar și în procedurile de executare silită. Acesta este cazul unei persoane care a reclamat BCR pentru că a folosit datele sale în alte scopuri decât cele autorizate de acesta. Astfel, după cum am menționat datele au fost folosite în cadrul unei proceduri de executare silită pentru debite rezultate dintr-un contract. Ba mai mult se pare că persoanei vizate i s-a atribuit în mod eronat calitatea de garant prin extragerea unor date neactualizate iar despre contractul de credit persoana vizată nu avea nici o idee.

Una peste alta, ANSPDCP finalizând investigația a aplicat o sancțiune de 2000 euro și a impus luarea de măsuri pentru respectarea exactității datelor dar și necesitatea instruirii personalului.

54. Persoana Fizică – 200 euro – aprilie 2021

Este destul de cunoscut faptul că dezvoltarea websiteurilor a fost ușurată foarte mult în ultimii ani, astfel că mai oricine cu puține cunoștințe tehnice poate să își construiască propriul website sau un website pentru proiectele pe care le dorește.

În cazul de față, deși probabil lucrurile au plecat de la o inițiativă foarte bună și care a căutat să vină în sprijinul populației în perioada pandemiei, în cele din urmă persoana fizică care a dezvoltat website-ul https://declaratieppr.ro a fost sancționat cu 200 euro pentru nerespectarea R.G.P.D.

De ce?

Ei bine, se pare că prin completarea formularului care genera declarația pe proprie răspundere necesară părăsirii domiciliului sau locuinței persoanei, se prelucrau mai multe date după cum ne putem aminti. Între aceste date se numără: nume, prenume, prenume părinți, domiciliu, cod numeric personal, seria și numărul actului de identitate, adresa locuinței în fapt, locul deplasării, scopul deplasării și semnătura.

Ei bine, mai multe persoane s-au declarat nemulțumite de acest lucru și au adus la cunoștința ANSPDCP faptul dat, Autoritatea fiind nevoită să demareze o investigație. Din aceasta, operatorul persoană fizică nu a putut demonstra că are un temei legal pentru colectarea și prelucrarea acelor date, totodată nu a reușit să facă informarea persoanelor vizate (probabil prin politica de prelucrare a datelor necesară pe website) cu privire la prelucrări și nici nu a luat măsuri pentru securizarea datelor și diminuarea riscurilor în ceea ce privește distrugerea, pierderea sau divulgarea acelor date.

Astfel vedem cea de a doua amendă aplicată unei persoane fizice în România!

53. Telekom Romania Communications S.A. – aprilie 2021 – 2000 euro

Nu este prima amendă primită de Telekom pentru încălcarea normelor privitoare la protecția datelor cu caracter personal însă este cu siguranță o amendă mare raportată la numărul de persoane vizate afectate, natura faptelor și a incidentului.

Astfel, ce s-a întâmplat? O persoană vizată, fost client al Telekom, odată cu încetarea relației contractuale a menționat că ÎȘI RETRAGE CONSIMȚĂMÂNTUL și nu mai dorește să primească informări cu privire la serviciile operatorului.

Cu toate acestea, Telekom a contactat persoana vizată, care și-a exercitat dreptul de opoziție și a solicitat ștergerea numărului său de telefon și adresa de email din baza de date a Telekom. În mod accidental (se menționează că ar fi fost vorba de o eroare umană), din nou Telekom contactează persoana vizată în scop de marketing. Persoana vizată a făcut din nou o solicitare de a nu mai fi contactat și de a i se șterge datele din baza de date Telekom.

În cele din urmă compania a comunicat persoanei vizate că adresa de email și numărul de telefon i-au fost șterse din baza de date și că a fost contactat de către un angajat al companiei în mod  accidental (din eroare umană).

În drept Autoriatea a constatat că Telekom a prelucrat date în scop de marketing deși nu avea un temei legal în acest sens, încălcând prevederile art. 6, fapt pt care a fost sancționata cu avertisment.

Cu toate acestea, pentru că operatorul a contactat telefonic o persoană care și-a exercitat dreptul de opoziție față de astfel de prelucrări, Telekom a fost sancționată cu 2000 euro, încălcând prevederile art. 21 din Regulament.

52. World Class România S.A. – 2000 euro – aprilie 2021

În luna aprilie a acestui an ANSPDCP a finalizat una din cele mai interesante (pentru noi) investigații: operatorul World Class România S.A. a postat pe grupul de Whatsapp al angajaților săi o cerere de demisie a unui angajat (coleg), dezvăluind astfel în mod neautorizat tuturor membrilor grupului numele, prenumele, adresa, seria și numărul CI, CNPul și mai multe informații legate de încetarea raporturilor de muncă.

În acest context Autoritatea a considerat că operatorul NU a luat suficiente măsuri pentru a asigura confidențialitatea datelor persoanei în cauză și a aplicat și o măsură corectivă ca operatorul să asiure conformitatea cu RGPD-ul, a operațiunilor prin măsuri tehnice și organizatorice, subliniind necesitatea INSTRUIRII REGULATE A ANGAJAȚILOR (https://www.dataprotection.ro/?page=Comunicat_07_/_05_/_2021&lang=ro).

Astfel, de ce este această amendă mai aparte decât altele? Pentru că, spre deosebire de altele unde este de regulă vorba de o eroare de sistem, o breșă de securitate sau o altă problemă de natură tehnică, în acest caz vorbim despre o lipsă de instruire a personalului (constatată de ANSPDCP) care a dus la o dezvăluire de date neautorizată, atrăgând operatorului amenda de 2000 euro sau 9851 lei.

51. S.C. Tip Top Food Industry S.R.L. – 5000 euro – martie 2021

Poate cel mai deranjant aspect pentru persoanele vizate atunci când vine vorba de prelucrări este acela al înregistrărilor video prin sisteme de supraveghere CCTV. Astfel, nu de puține ori vedem nemulțumiri, scandaluri și plângeri adresate către ANSPDCP pe acest subiect. În cazul de față, operatorul amintit mai sus, ne spune Autoritatea, că a prelucrat în mod EXCESIV (adică nu era necesară instalarea a atât de multe camere de supraveghere video) date prin camerele instalate în VESTIARE și în zona de servire a mesei, motivând că acestea au scopul de a PROTEJA bunurile și produsele societății și să descurajeze furturile.

Ei bine, în acest context Autoritatea constată că în raport cu scopurile prelucrării – de pază și protecție, aceste prelucrări nu erau necesare, încălcându-se astfel principiul reducerii la minimum a datelor și menționând că prin măsuri mult mai puțin intruzive în viața privată a oamenilor se putea asigura la fel de bine scopul pazei și protecției bunurilor.

Pentru aceste motive, a fost aplicată o amendă de 5000 de euro = 25.362,50 lei.

Ce însă ne apare ca o situație aparte, este aceea a faptului că ANSPDCP ne menționează că operatorul Tip Top Food Industry nu a putut face dovada unui consimțământ liber exprimat și nici nu a putut face dovada vreunui alt temei legal pentru prelucrarea datelor. Cu toate acestea ne întrebăm, ar fi putut fi orice fel de consimțământ colectat de la angajați, un consimțământ liber exprimat în relația Angajator-Angajat ținând cont de „raporturile de putere”? Aceasta este o întrebare a cărui răspuns îl vom căuta în amenzile viitoare pe care le vom vedea de la Autoritate.

Toată această situație se pare că a fost generată de o sesizare a unei persoane vizate care s-a plâns de instalarea camerelor din birourile angajaților, în vestiare și în sala de mese iar Autoritatea a recomandat să fie reorientat unghiul de captare al imaginilor astfel încât acestea să NU monitorizeze activitatea angajaților în spațiile menționate – vestiare și sala de mese.

50. Lugera & Makler Broker S.R.L. – 1500 euro – martie 2021

O nouă investigație finalizată ne aduce la cunoștință o situație cu totul aparte: sancționarea unei persoane împuternicite operatorului (și nu a operatorului) pentru anumite prelucrări specifice efectuate.

Astfel putem vedea că o persoană vizată a depus o sesizare la ANSPDCP și totodată operatorul de date Raiffeisen Bank S.A. a depus o notificare de încălcare a securității datelor, din care a rezultat că persoana împuternicită Lugera & Makler Broker S.R.L. NU a predat Raiffeisen Bank documentele aferente activităților de prescoring efectuate de un angajat al persoanei împuternicite pe motiv că acestea au fost distruse.

Amenda? 1500 euro.

Care a fost neconformitatea în concret? Autoritatea constată că Lugera & Makler Broker S.R.L. (având calitatea de operator de date dar de persoană împuternicită față de Raiffeisen Bank) NU a luat măsuri pentru a se asigura că orice persoană fizică acționează sub coordonarea sa și care are acces la date cu caracter personal, nu le prelucrează decât la CEREREA acesteia și a implementat măsuri specifice pentru a asigura securitatea datelor.

Astfel în mod accidental sau ilegal au fost distruse datele fiind afectate de acest incident 1058 de persoane vizate, documentația originală fiind distrusă de agentul de vânzări, operator al Lugera & Makler Broker S.R.L.

49. Telekom – 10.000 euro + 15.000 lei – Februarie 2021

Unul din aspectele care costă cel mai mult operatorii este acela al divulgărilor de date în mod neautorizat, fie că este vorba de erori fie că vorbim de vulnerabilități ale sistemelor, platformelor sau softurilor pe care le folosim.

Acesta este cazul Telekom care în luna februarie 2021 a fost sancționată pentru că nu a luat măsuri tehnice și organizatorice adecvate pentru a garanta securitatea datelor cu caracter personal.

În concret, ce s-a întâmplat?

Un număr ridicat de adrese de facturare ale clienților (este vorba de 99.210 persoane vizate), au fost introduse eronat în baza de date, care a fost trimisă către un partener CONTRACTUAL, în baza unui contract de cesiune creanțe. Acest lucru a generat toată situația trimiterii de notificări clienților însă către adrese greșite.

Astfel clienții au primit acces / le-au fost divulgate în același timp următoarele date: client ID, cod client, nume și prenume, CNP, data nașterii, sex, număr telefon, e-mail, adresă (țară, oraș, stradă), valoarea debitelor asociate codului de client.

Pentru aceasta, ANSPDCP a sancționat operatorul cu 10.000 euro întemeindu-și sancțiunea pe prevederile R.G.P.D.

Totodată prin aceleași comunicări s-a oferit și acces neautorizat la datele de cont ale clienților (MyAccount), fiind vorba de 413 persoane vizate. Acestora li s-a divulgat: numele titularului de cont; data nașterii; numere de telefon utilizate; adresa de domiciliu; adresa e-mail; codul de abonat; serviciile contractate; extraopțiuni active pe cont; istoricul facturilor simple.

Pentru acest al doilea aspect, ANSPDCP a sancționat Telekom cu 15.000 lei în baza Legii 506/2004.

Printre măsurile corective propuse de Autoritate, se numără:

  • Revizuirea și actualizarea procedurilor și
  • Implementarea unui proces pentru testarea, evaluarea și aprecierea periodică a eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.

48. S.C. Medicover S.R.L.  – 2.000 euro – Februarie 2021

Divulgarea neautorizată și oferirea de acces neautorizat la date, reprezintă una din cele mai des întâlnite probleme atunci când vorbim de protejarea datelor cu caracter personal.

Tot în luna februarie 2021 ANSPDCP a finalizat o nouă investigație din care am fost informați că operatorul S.C. Medicover S.R.L. nu a reușit să ia suficiente măsuri tehnice și organizatorice pentru a evita situația în care persoanele care lucrează sub autoritatea sa au acces la mai multe date decât cele strict necesare și că acestea nu sunt prelucrate decât la cererea operatorului.

În fapt, din ce înțelegem, mai multe date printre care se numără nume, prenume, CNP, serie și nr. CI, adresă CI, adresă de corespondență, telefon de contact, email, date privind starea de sănătate altor persoane fizice decât destinatarii, au fost trimise prin email și la o adresă poștală diferită decât cea a destinatarului vizat. Astfel, prin aceasta au fost dezvăluite datele unor persoane neautorizate.

Fiind vorba de trimiterea a mai multor notificări, în mod succesiv, cu privire la aceeași problematică, ANSPDCP a sancționat operatorul cu 2000 euro.

O măsură aparte recomandată de Autoritate a fost ca operatorul să își stabilească un mecanism (sau proceduri) prin care să fie verificată validitatea adresei de email la momentul colectării acesteia.

47. BNP Paribas Personal Finance SA Paris Sucursala București  – 10.000 lei – Februarie 2021

Consimțământul persoanei vizate este unul din cele mai des întâlnite subiecte discutate în rândul persoanelor cu atribuții în domeniul protecției datelor. Acest lucru se întâmplă datorită naturii, felului de a fi colectat în conformitate cu GDPR-ul și a practicilor din România: foarte mulți operatori trimit comunicări în scop de marketing, așa-zisele „newsletters”, fără a avea consimțământul prealabil al persoanei vizate.

Acesta și este obiectul unei investivații finalizate în februarie 2021 asupra operatorului BNP Paribas Personal Finance SA, care a fost sancționată cu 10.000 lei pentru că nu a făcut dovada existenței consimțământului prealabil al persoanei vizate.

Ce s-a întâmplat? Plângerea a fost demarată de o persoană care a acuzat că primise pe telefon mesaje comerciale de tip SMS din partea operatorului. Cu toate că și-a exercitat în repetate rânduri dreptul de opoziție față de aceste prelucrări, în continuare le-a primit, motiv pentru care a reclamat aspectul către ANSPDCP.

Ca urmare a finalizării investigației, Autoritatea, a aplicat amenda motivând că a încălcat prevederile Dispozițiile art. 12 din Legea nr. 506/2004, modificată și completată, prevăd următoarele: (1)Este interzisă efectuarea de comunicări comerciale prin utilizarea unor sisteme automate de apelare care nu necesită intervenţia unui operator uman, prin fax ori prin poşta electronică sau prin orice altă metodă care foloseşte serviciile de comunicaţii electronice destinate publicului, cu excepţia cazului în care abonatul vizat şi-a exprimat în prealabil consimţământul expres pentru a primi asemenea comunicări.

46. Amendă Persoană Fizică – 500 euro – Februarie 2021

Prima amendă aplicată în România unei persoane fizice în calitate de operator de date, apare ca urmare a unei investigații finalizate în luna februarie 2021!

Vedem deseori abuzuri din partea persoanelor fizice în ceea ce privește postările pe rețele de socializare, fie că este vorba de publicarea de documente, liste, fotografii sau video-uri prin care se divulgă date cu caracter personal ale unor altor persoane vizate.

Ce s-a întâmplat?

O persoană vizată a reclamat faptul că pe o rețea de socializare, pe pagina personală a unei persoane fizice care deținea funcția de Secretar General în cadrul unei filiale de sector a unui partid politic, a fost PUBLICATĂ o listă cuprinzând 10 poziții de persoane semnatare / susținători pentru alegerea Consiliului General și a Primarului Municipiului București. În cadrul acestei postări au fost dezvăluite în acest sens: numele, prenumele, semnătura, cetățenia, data nașterii, adresa, seria și numărul actului de identitate și opțiunea politică a persoanelor semnatare.

Obiectul sancțiunii?

Ca urmare a desfășurării investigației, ANSPDCP a constatat că operatorul (persoana fizică) nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel corespunzător riscului prelucrării, astfel acest lucru a condus la divulgarea către publicul larg a datelor mai sus menționate a 10 persoane vizate.
În sensul prezentat mai sus, operatorul și-a încălcat obligația de a respecta principiul integrității și confidențialității datleor.

Totodată, operatorul nu a dat răspuns solicitărilor ANSPDCP, motiv pentru care a fost sancționat cu 2437,35 lei (echivalentul a 500 EURO).

În concluzie, atunci când dorim să postăm diverse informații pe rețelele de socializare, informații care ar putea include date cu caracter personal, să ne asigurăm că respectăm toate principiile impuse de R.G.P.D., în mod aparte principiul integrității și confidențialității datelor.

45. ING BANK N.V. AMSTERDAM – 1000 euro – Ianuarie 2021

O amendă aparte a fost aplicată la sfârșitul lunii ianuarie 2021 către ING Bank.

Specificul acestei amenzi nu ține atât de mult de suma pentru care s-a aplicat (1000 euro) cât pentru obiectul acesteia: banca, a trimis de două ori fișiere către un partener contractual, fișiere care conțineau date neactualizate. Transmiterea de fișiere s-a făcut prin intermediul unei societăți mandatare în scopul emiterii unor polițe de asigurare. Problema a fost că angajații departamentului de monitorizare a polițelor, NU au verificat polițele în conformitate cu procedurile interne, prelucrând astfel date neactualizate fiind afectate datele a 270 de persoane fizice.

ANSPDCP motivează că nu au fost luate suficiente măsuri tehnice și organizatorice înainte de incident, fapt care a condus la încălcarea confidențialității datelor.

44. Qualitance QBS S.A. – 1000 euro – Decembrie 2020

GDPR-ul se aplică tuturor prelucrărilor de date cu caracter personal (excepție fiind cele prevăzute de Regulament), chiar și celor din faza de recrutre a personalului. Astfel, operatorii sunt nevoiți să ia măsuri privind protejarea datelor cu caracter personal ale candidaților încă din perioada recrutării.

Lipsa unor astfel de măsuri, va atrage sancțiuni așa cum și operatorul Qualitance QBS SA a fost sancționat cu 1000 euro datorită faptului că a trimis prin email o informare către 295 de candidați (persoane care și-au oferit datele prin intermediul website-ului operatorului sau diverse aplicații online), devzăluind adresele de email și către ceilalți destintatari (atenție la CC și BCC atunci când trimitem emailuri!).

Care a fost încălcarea? Ei bine compromiterea confidențialității datelor, orice operator având obligația de a implementa măsurit tehnice și organizatorice adecvate (art. 32).

Ce este însă interesant este faptul că ANSPDCP a transmis operatorului că este obligația acestuia să instruiască în mod REGULAT persoanele care lucrează sub autoritatea acestuia, fie că vorbim de angajați fie că vorbim de colaboratori!

43. ING Bank N.V. Amsterdam – Sucursala București – decembrie – 3000 euro

De fiecare dată când avem solicitări din partea persoanelor vizate cu privire la încetarea anumitor prelucrări sau rectificarea anumitor date, este bine să le luăm foarte în serios. O astfel de situație este cea de la ING Bank – Sucursala București, care primise la data de 24.11.2017 o solicitare de închidere a contului curent.

Datorită unei erori de sistem, această cerere de închidere a contului însă, nu a avut ca efect închiderea relației de afaceri cu operatorul, păstrându-se activ statusul contului.

Sesizând autorității această situație, aceasta a constatat că a avut loc o prelucrare de date lippsită de temei legal, prelucrându-se astfel adresa de email, numele și prenumele și data de expirare a cărții de identitate.

Pentru aceasta operatorul a aplicat o amendă de 3000 euro.

42. S.C. C&V Water Control S.A. – 2000 euro – Noiembrie 2020

Lipsa comunicării informațiilor solicitate către ANSPDCP este din nou sancționată. De data aceasta este vorba de suma de 2000 de euro operatorului S.C. C&V Water Control S.A. pentru că nu a dat curs solicitării autorității.

Totodată, operatorului i-a fost aplicată și măsura corectivă de a transmite toate informațiile solicitate anterior.

41. Banca Transilvania SA – 100.000 euro – Noiembrie 2020

Poate cea mai meditatizată amendă a anului 2020 vine chiar înainte de Crăciun.

Ce s-a întâmplat? Un client, obosit de formularistica băncii, a completat într-un mod aparte, amuzant pentru angajații băncii declarația cu privire la modul în care clientul intenționează să folosească suma împrumutată (85.000 euro).

Atașat găsiți declarația clientului

Amuzându-se de această situație, unul din angajații băncii a distribuit-o pe emailul colegilor de serviciu. Ulterior altul dintre angajați a listat emailul care conținea această declarație dar și conversația internă între aganajații operatorului. Un al treilea angajat a fotografiat cu telefonul mobil înscrisul listat și l-a distribuit prin aplicația WhatsApp cunoscuților. De aici, în foarte scurt timp înscrisul a fost postat și distribuit pe Facebook și pe un website.

Toată această situație a ajuns înapoi în fața clientului care s-a declarat foarte nemulțumit de situație întrucât a condus la dezvăluirea și accesul neautorizat al datelor sale cu caracter personal dar și a angajaților băncii : nume, prenume, email, date comportamentale, preferințe personale, valoarea tranzacției, adresa locului de muncă, funcție, număr de telefon.

Aflând despre incident, operatorul a luat imediat poziție cu privire la acest eveniment, însă, nu a fost suficient pentru a evita sancțiunea de 100.000 euro.

Sesizată ANSPDCP, a demarat o investigație la Banca Transilvania și a constatat că operatorul nu a luat suficiente măsuri pentru a se asiura că salariații acesteia, care au acces la date cu caracter personal nu prelucrează date decât la cererea băncii. Totodată, Autoritatea menționează că această dezvăluire produsă în spațiul public dovedește INEFICIENȚA instruirii angajaților privind respectarea normelor de protecție a datelor cu caracter personal!

În ceea ce privește prejudiciile produse, Autoritatea ne spune că dezvăluirea a generat o serie de prejudicii de natură morală persoanei vizate precum și alte dezavantaje semnificative de natură economică sau socială pentru eprsoana afectată de producerea acestui incident de securitate!

40. Vodafone România S.A. – noiembrie – 4000 euro

Un lucru este cert: ANSPDCP aplică tot mai multe sancțiuni pentru lipsa răspunsurilor solicitărilor – fie că este vorba de Autoritate fie că este vorba de solicitările persoanelor vizate.

Un astfel de caz este și cel al Vodafone, care deși nu este la prima amendă pe care a primit-o, în data de 04.11.20 Autoritatea a finalizat o investigație prin care a amendat operatorul cu 4000 euro sau 19468,8 lei.

Ce s-a întâmplat? Din informațiile primite aflăm că o persoană a depus plângere că nu i s-a oferit răspuns unor cereri de exercitare a drepturilor de acces și de ștergere. Acest lucru a fost probat pe parcursul investigației când Vodafone nu a putut face dovada solicitării acestor cereri.

Ce înțelegem de aici? Așa cum am menționat și în alte cazuri, este nevoie să se trateze cu maximă seriozitate toate solicitările pe care le primim, cu privire la protecția datelor cu caracter personal și a vieții private.

39. DADA CREATION S.R.L. – 5000 euro – Noiembrie 2020

Lipsa măsurilor tehnice și organizatorice pot atrase sancțiuni mari pentru un o mică afacere de tipul magazin online. Putem vedea acest lucru din investigația demarată de Autoritatea Națională de Supraveghere la operatorul DADA CREATION S.R.L.

Ce s-a întâmplat? A fost reclamat următorul fapt: prin website (magazin online https://botezdepoveste.ro/) operatorul a făcut publice o serie de înregistrări detaliate ale tranzacțiilor recepționate, astfel următoarele date ale clienților (persoane fizice) au fost expuse: e-mail, numere de telefon, nume și prenume clienți (persoane adulte și minori), vârstă minori, adrese de livrare, număr comandă, suma totală a comenzii, produsele comandate și data efectuării comenzii.

În total vorbim de 1091 de persoane vizate (persoane fizice) ale căror date au fost divulgate și expuse unui acces neautorizat!

De ce s-a ajuns la această situație? Autoritatea ne menționează că această încălcare a securității datelor a fost posibilă datorită faptului că operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării.

Ce sancțiuni au fost aplicate? Pentru cele menționate mai sus ANSPDCP a aplicat o amendă în cuantum de 24.272,50 lei echivalentul a 5.000 euro, în baza art. 32 alin. (1) și (2). Poate ne gândim că nu este o amendă uriașă însă, raportată la cifra de afaceri pe anul 2019 (103.494 euro) și la profitul net de 7.317 euro (conform https://www.risco.ro/en/verifica-firma/dada-creation-cui-36446498), vorbim de o amendă aplicată pe o sumă de 5,1% din cifra de afaceri!

Totodată operatorului i-a fost aplicat un avertisment întrucât nu a notificat Autoritatea acest incident de securitate (aceasta aflând de el dintr-o altă sursă), încălcând prevederile art. 33 din RGPD.

Nu în ultimul rând, așa cum era de așteptat, operatorului i s-a aplicat și măsura corectivă de revizuire și actualizare a măsurilor tehnice și organizatorice pentru a fi evitate evenimente similare pe viitor.

38. Amendă Globus Score SRL – Septembrie 2020

Dacă ne gândim că poate odată amendată o companie, este mică probabilitatea ca acest lucru să se întâmple (afară de cazul în care este vorba de o companie foarte mare), ei bine ANSPDCP ne arată că acest lucru se poate întâmpla:

Compania de publicitate Globus Score SRL (doi anajați conform informațiilor publice), a fost amendată în toamna anului trecut – noiembrie 2019, pentru că nu au transmis în scris toate informațiile solicitate ANSPDCP.

Același lucru însă se întâmplă și anul acesta când operatorul, din nou nu a dus la îndeplinire măsura corectivă dispusă de a furniza informațiile cerute de ANSPDCP.

Pentru aceasta Autoritatea a sancționat compania cu 2000 euro și a făcut menționea că se aplică și măsura corectivă de a transmite toate informațiile solicitate cu mențiunea că se poate aplica o amendă de până la 4% din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior (art. 83 alin. 5 lit. e).

În concluzie, recomandăm tratarea cu cea mai mare seriozitate a solicitărilor venite atât din partea persoanelor vizate cât și din partea ANSPDCP.

38. S.C. Marsorom S.R.L. – 3000 euro – Octombrie 2020

Poate avem o mică afacere, într-o localitate mică și ne gândim că mai putem amâna implementarea standardului R.G.P.D. în firmă, ori că ne permitem scăpări pentru că Autoritatea e din București și are suficienți operatori mari de care să se ocupe, ei bine o nouă investigație ne arată contrariul.

Este vorba de o investigație finalizată de ANSPDCP la S.C. MARSOROM S.R.L., un operator care comercializează anvelope. Ce s-a întâmplat? O persoană vizată a sesizat către Autoritate că pe website-ul operatorului puteau fi văzute unele date cu caracter personal de ale clienților acestuia. În mod evident, o astfel de divulgare neautorizată de date (a persoanelor care au plasat comenzi), nu corespunde normelor prevăzute de Regulament.

Pentru acest motiv, cu ocazia investigației, Autoritatea a constatat că operatorul nu a luat suficiente măsuri de securitate care să prevină accesarea și divulgarea datelor. Pentru acest motiv a aplicat o amendă de 14574,9 lei (3.000 euro).

Totodată, Autoritatea a recomandat următoarele: să stabilească o perioadă de stocare mai scurtă a datelor personale aferente conturilor clienților pentru respectarea principiului limitării stocării.

37. Asociația de proprietari Militari R – 2000 euro – Octombrie 2020

Asociațiile de proprietari sunt în vizorul Autorității și alte aspecte decât cele întâlnite până acum: utilizarea neconformă a sistemelor de supraveghere CCTV, lipsa informării etc. De data aceasta, Asociația de proprietari Militari R a fost sancționată pentru că nu a oferit răspuns solicitărilor A.N.S.P.D.C.P.

Cazul de față, privește o plângere depusă de persoana vizată care a reclamat faptul că nu i s-a răspuns la cererea trimisă asociației de proprietari. Ca urmare a solicitărilor de clarificări venite din partea Autorității, asociația nu a oferit răspuns nici de această dată.
Pentru acest motiv, a fost aplicată o amendă de 9.659 lei (2000 euro) operatorului și obligația de a da răspuns adreselor în termen de 5 zile.

36. Megareduceri TV S.R.L. – Octombrie 2020 – 3000 euro

La data de 01.10.2020 ANSPDCP ne anunță că a finalizat încă o investigație asupra operatorului MEGAREDUCERI TV S.R.L. care a avut ca obiect cercetarea faptului că operatorul a trimis mai multe sms-uri pe telefon cu privire la serviciile website-ului www.reducereazi.ro unor persoane care nu și-au exprimat consimțământul în acest sens.

Totul a început de la plângerile depuse de mai mulți petenți în sensul precizat mai sus, Autoritatea a demarat investigația, a solicitat o serie de clarificări cărora nu li s-a dat curs (nu a răspuns adreselor)! Pentru acest fapt, s-a aplicat o amendă de 14.519 lei (3000 euro) dar și măsura corectivă de a oferi răspuns în termen de 5 zile calendaristice.

35. Amendă Sănătatea Press Groul S.R.L. – Septembrie 2020 – 2000 euro

Domeniul medical a ajuns și în atenția ANSPDCP prin Sănătatea Press Groul S.R.L. care a fost sancționată cu 2000 euro = 9671,40 lei pentru că o încălcare a securității datelor.

Despre ce este vorba?

Cauza: Ca urmare a notificării operatorului, Autoritatea finalizat o investigație în luna august prin care a constatat că acesta nu a reușit să garanteze un nivel ridicat de securitate și confidențialitate a datelor.

Specific: Operatorul a organizat un eveniment online cu aproximativ 1300 de persoane vizate, pentru care a transmis în mod eronat datele de logare: email și nume utilizator. Practic s-au trimis alte adrese de email decât cele cu care își creaseră cont pe platforma electronică.

Temei legal încălcat: ANSPDCP a menționat că a fost încălcat astfel art. 5 alin. (1) lit. f) raportat la art. 32 alin. (1) și (2) din RGPD, operatorul având obligația de a prelucra datele într-un mod prin care este asigurată securitatea datelor inclusiv împotriva prelucrării neautorizate, cum a fost cazul de față.

Alte măsuri: Nu au fost recomandate măsuri care trebuie luate de către operator.

Concluzie: Eroarea este umană. Cu toate acestea Autoritatea ne spune că atunci când prelucrăm date, mai ales atunci când este vorba de baze de date este foarte important să fim extrem de atenți la felul în care le gestionăm, pentru că altfel, vom fi sancționați.

34. Asociația de proprietari Bl. FC 5, orașul Năvodari, jud. Constanța – 500 euro – Noiembrie 2019

Supravegherea video este deseori foarte deranjantă pentru persoanele vizate: vecini, colocatari, angajați sau clienți. De data aceasta însă, ANSPDCP a finalizat o nouă investigație la începutul lunii septembrie care va avea o rezonanță puternică în rândul operatorilor de date – asociații de proprietari.

Cauza: Deși nu este primul caz de acest fel, în luna noiembrie 2019 ANSPDCP a mai amendat o asociație de proprietari, de data aceasta, Autoritatea ne arată că prin sistemul instalat de Asociația de proprietari Bl. FC 5, orașul Năvodari, jud. Constanța s-au realizat prelucrări de date ilegale.

Specific: Ce s-a întâmplat în fapt? Unul dintre locatarii blocului a depus o plângere acuzând utilizarea și dezvăluirea către diverse persoane, fără un temei legal valid, a unor imagini cu persoana sa. Ce reiese din comunicatul Autorității este că imaginile au fost extrase din sistemul de supraveghere video instalat și au fost afișate la avizierul imobilului.

Temei legal încălcat: Constatând aceste fapte, Autoritatea a amendat Asociația de proprietari Bl. FC 5 cu 500 de euro sau 2417,5 lei pentru că a încălcat dispozițiile art. 5 și 6 ale GDPR, neexistând un temei legal valid, mai exact au fost încălcate condițiile privind consimțământul persoanei.

Alături de acest aspect, ANSPDCP a mai aplicat două avertismente:
– unul pentru neadoptarea de măsuri de securitate, tehnice și organizatorice adecvate prin raportare la asigurarea protecției datelor începând cu momentul conceperii și în mod implicit (privacy by design & privacy by default). Practic sistemul prin care s-au prelucrat datele nu au respectat aceste principii și totodată, raportându-ne la obligațiile persoanei împuternicite de operator, acestea nu au fost respectate.
– altul pentru lipsa informării complete a persoanelor vizate. Practic în acest fel au fost încălcate drepturile persoanei vizate, în mod aparte dreptul de a fi informat.

Alte măsuri:
Pentru ca lucrurile să fie remediate, ANSPDCP dispus și două măsuri corective:
– De a informa în mod corect persoanele vizate, într-un loc vizibil, în imediata apropiere a camerelor instalate.
– De a adopta măsuri tehnice și organizatorice adecvate pentru protejarea datelor cu caracter personal prelucrate, în mod specific: dezactivarea aplicației prin care se permite accesarea la distanță a imaginilor prin internet, stabilirea unui număr limitat de persoane care să aibă acces, a drepturilor alocate fiecăreia dintre acesteia, să fie oferite niște instrucțiuni clare despre persoanele care prelucrează date sub autoritatea asociației.

Concluzie: Chiar dacă am instalat un sistem de supraveghere video în spațiul administrat de noi, de operatori, în baza unui contract cu o firmă specializată, motivând instalarea sub temeiul legal al Legii 333/2003 privind paza și protecția bunurilor, este nevoie să fie luate o serie de măsuri pentru asigurarea conformității cu RGPD. Printre aceste măsuri se numără: informarea corectă a persoanei vizate, stabilirea accesului în mod concret la filmări, nedistribuirea / nepublicarea filmărilor fără un temei legal valid și asigurarea securității și confidențialității datelor.

33. Compania Națională Poșta Română – 2000 euro – iulie 2020

Securitatea datelor este o problemă des întâlnită în rândul operatorilor. În acest sens, nici companiile de stat nu fac excepție de la aplicarea amenzilor, astfel Poșta Română a primit o amendă de 2000 euro.

Cauza: Compania Națională Poșta Română a constatat că a încălcat principiul securității datelor prevăzut de art. 32 din GDPR și astfel a notificat acest lucru ANSPDCP.

Specific: Operatorul Poșta Română a fost sancționat deoarece nu a luat suficiente măsuri pentru a preveni accesul ilegal / neautorizat la date cu caracter personal, în speță este vorba de adrese de email și numere de telefon, de pe platforma AWB a poștei. (www.awb.posta-romana.ro) ceea ce a dus la compromiterea a 81 de persoane vizate.

Temei legal încălcat: Temeiul legal încălcat este art. 32 din GDPR, în concret operatorul nu a implementat măsuri tehnice și organizatorice, cum ar fi pseudonimizarea datelor, atât în momentul stabilirii mijloacelor de prelucrare cât și ulterior în momentul prelucrărilor.

Concluzie: Este foarte important ca atunci când gândim o nouă procedură, dezvoltăm un soft intern sau o aplicație să respectăm principiile prevăzute de Regulament, în mod aparte privacy by design. În acest fel ne putem asigura că evităm eventualele sancțiuni și nu vom fi nevoiți să remodelăm acea procedură, soft, sau aplicație dezvoltat.

32. S.C. Viva Credit IFN S.A. – 2000 euro – iulie 2020

ANSPDCP a finalizat o nouă investigație care s-a concretizat într-o amendă de 2000 euro pentru încălcarea unor norme aparte! Despre ce este vorba?

Cauza: Operatorul S.C. Viva Credit IFN S.A. a fost sancționat întrucât nu a dat curs cererii petentului.

Specific: Persoana vizată și-a exprimat dreptul de ștergere printr-o solicitare adresată operatorului. Acesta însă nu a dat curs, mai mult nu a transmis nici o informație referitoare la acțiunile întreprinse în urma cererii în cel mult o lună (sau maxim 3 luni, prezentând și motivele întârzierii).

Se prea poate ca operatorul să fi comunicat pe altă cale răspunsul? Tot ce se poate, însă ANSPDCP a constatat că nu a comunicat răspunsul la adresa de contact (email) sau la adresa de domiciliu existentă în evidențele sale.

Temei legal încălcat: În acest sens s-a încălcat obligația GDPR din art. 12 alin (3) și (4) – care prevede termenul de o lună (atenție, nu 28,29, 30 sau 31 zile!) și informarea care trebuie făcută.

Alte măsuri: De ce îți e frică nu scapi, zice vorba din popor. Autoritatea de supraveghere a obligat operatorul, în ciuda amenzii aplicate să ofere răspuns petentului la cererea depusă în termen de 5 zile de la comunicarea procesului verbal.

Concluzie: Atunci când avem de a face cu o solicitare din partea persoanei vizate, este recomandat să acționăm cu maximă responsabilitate și promptitudine.

31. SC CNTAR TAROM SA – 5000 euro – iulie 2020

La începutul lunii iulie 2020 ANSPDCP a finalizat o investigație demarată ca urmare a unei notificări privind încălcarea securității datelor tocmai de către operator!

Cauza: Operatorul a raportat un incident la Autoritate, incidentul privind încălcarea securității datelor.

Specific: accesul neautorizat la datele a cinci pasageri TAROM și divulgarea neautorizată a acestor date au constituit principalele cauze pentru care operatorul a fost amendat. Astfel, s-a adus atingere confidențialității datelor prin lipsa măsurilor tehnice și organizatorice adecvate din partea operatorului. În acest sens datele au fost prelucrate de către unul din angajații operatorului cu nerespectarea normelor mai sus amintite.

Temei legal încălcat: art. 32 alin. (4), art. 32 alin. (1) lit. b) și alin. (2) din Regulamentul General privind Protecția Datelor.

Alte măsuri: Ca de cele mai multe ori, Autoritatea a aplicat și alte măsuri suplimentare precum cea de actualizare și revizuire a procedurilor de lucru existente și mai mult decât atât a îndemnat spre instruirea periodică a angajaților.

Ce concluzie putem trage din această amendă? Ei bine că în ciuda faptului că numărul persoanelor vizate este mic (5 – cinci) ANSPDCP are în vedere și alte coordonate atunci când individualizează pedeapsa (precum nivelul de intruziune în viața privată a omului, măsurile luate de operator pentru limitarea riscurilor, nivelul de expunere a datelor cu caracter personal divulgate și alte asemenea.

p.s. Într-o logică naturală a lucrurilor, raportându-ne la un număr de câteva sute de mii de persoane vizate într-o pierdere de date suferită de pe urma unui atac cibernetic, putem considera că este justificată, în ochii Autorității, amenda anunțată de ICO pentru British Airways de peste 183 mld. Lire sterline.

30. Proleasing Motors – 15.000 euro – iulie 2020

În luna iunie 2020 ANSPDCP a finalizat o nouă investigație prin care a aplicat o amendă care cuprinde următoarele specificități:

Cuantum: 15.000 euro = 72.642 lei

Cauza: Investigația a fost cauzată de trimiterea de către operator a unei notificări privind încălcarea securității datelor cu caracter personal prin completarea unui formular. Practic, operatorul s-a denunțat privind acest incident, și cu toate acestea, a fost sancționat.

Specific: Operatorul a organizat un concurs online pe Facebook pentru a atrage clienții la service-ul auto. În acest context a fost postat un document cu o captură din codul sursă al website-ului în care era inclusă și parola de acces la formularele completate de participanții la concurs.
Situația a expus în acest fel un număr de 436 clienți a operatorului prin vizualizarea și accesul neautorizat la date.

Temei legal încălcat: art. 32 RGPD – Securitatea Datelor

Motivarea sancțiunii: operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului existent.

Ce mai cunoaștem este că ANSPDCP a pus în vedere operatorului să ia măsuri prin care astfel de situații să fie evitate pe viitor. În acest sens, Autoritatea a prevăzut adaptarea procedurilor de lucru interne ale operatorului, în mod specific acele proceduri care privesc comunicările în mediul online.

29. Enel Energie Muntenia SA – 4000 euro – mai 2020

După o amendă de 3000 euro în decembrie 2019, o alta tot de 3000 euro în martie 2020, ANSPDCP ne anunță că a aplicat S.C. Enel Energie Muntenia S.A. o amendă de 4000 euro (19368,4 lei) pentru că a încălcar prevederile Regulamentului General privind Protecția Datelor.

Amenda privește un caz de încălcare a securității și confidențialității datelor cu caracter personal prin transmiterea eronată unui client, a unor documente ce conțineau datele altui client. Persoana vizată care a suferit această intruziune în viața privată a depus o plângere iar ca urmare s-a demarat o investigație.

Autoritatea, a constatat gravitatea faptelor și a aplicat amenda sus meționată, iar pe lângă aceasta, a impus operatorului implementarea unor măsuri adecvate și eficiente (foarte important, deci nu doar formale) pentru a se evita pe viitor astfel de situații.

28. Telekom România Communications SA – 3.000 euro – aprilie 2020

Este pentru a doua oară când Telekom este sancționată și întâmplarea face ca să fie vorba de încălcarea aceluiași principiu – al exactității datelor. Dacă la amenda trecută – cu numărul 16 în listă – a fost vorba de trimiterea unor facturi la adrese de corespondență greșite, de data aceasta lucrurile sunt mai grave.

Astfel, ca urmare a unei plângerii depuse de persoana vizată, ANSPDCP a demarat o investigație cu privire la utilizarea în mod fraudulos / ilegal a datelor cu caracter personal, la încheierea unor contracte pe numele acesteia. Se pare că persoana vizată era abonat al Telekom, exista un contract preexistent, însă datele din contract i-au fost luate (încălcând astfel normele cu privire la securitate art. 32 din GDPR), fără a fi verificate corectitudinea acestora și s-au contractat alte servicii.

Ce putea face mai mult operatorul și nu a făcut? Ei bine Autoritatea constată că nu a luat măsuri de securitate suficiente care să includă verificarea exactității datelor colectate telefonic (la distanță) atunci când s-au încheiat contractele. Practic a fost o scăpare procedurală și o eroare umană la mijloc.

Astfel, s-a aplicat o amendă de 3.000 euro = 14524.2 lei, dar două măsuri corective importante: implementarea unor proceduri eficiente de identificare la distanță a persoanelor și măsura instrurii regulate / periodice a respectării normelor aplicabile GDPR. Scopul acestor măsuri este de a împiedica ca pe viitor să se mai petreacă astfel de prelucrări ilegale și dezvăluiri neautorizate de date cu caracter personal.

27. Estee Lauder România SRL – 3.000 euro – aprilie 2020

Prelucrările de date excesive sau lipsite de temei legal au fost sancționate și în perioada pandemiei. Astfel, operatorul Estee Lauder România SRL (domeniul produselor cosmetice) a fost sancționat cu 3.000 euro = 14483,4 lei pentru că a colectat și dezvăluit în mod ilegal date printre care: numele, prenumele, numărul de telefon, data nașterii și informații privind starea de sănătate a unei persoane vizate.

Bineînțeles, la plângerea depusă de această persoană vizată, Autoritatea a demarat o investigație pentru a analiza conformitatea cu GDPR-ul și a constatat toate cele menționate mai sus.

Un aspect important care reiese din decizia Autorității, lucru valabil pentru toți operatorii din România este instruirea în mod periodic a personalului în domeniul protecției datelor și a vieții private. Instruirile după cum reiese din comunicat trebuie să aibă o componentă practică ridicată, fiind analizate / dezbătute fiecare situație de prelucrare de date pentru a se e diminua riscurile și astfel încălcările.

26. AMENDĂ BCR – WHATSAPP – 5000 euro – aprilie 2020

FINALIZARE cercetare: 14.04.2020 – APRILIE

Whatsapp-ul este de cele mai multe ori o binecuvântare pentru mulți dintre noi pentru că putem comunica mai ușor, mai eficient, mai util. Putem să ne scriem mesaje, trimite fotografii sau înregistrări vocale. Putem să îl accesăm de pe telefon sau de pe laptop sau calculator cu opțiunea Web. Astfel, Whatsapp-ul a apărut chiar și în comunicările profesionale, în mediul de afaceri luând forma a diverse grupuri de lucru. Cu toate acestea, specialiștii din protecția datelor de la ANSPDCP ne arată că nu este și un mediu sigur care să garanteze securitatea prelucrărilor. În acest sens, putem vedea o nouă amendă aplicată de Autoritate către Banca Comercială Română (BCR) în cuantum de 5.000 euro sau 24.165.50 lei.

Ce s-a întâmplat? Ei bine, o angajată a operatorului, nerespectând procedura de lucru internă, a colectat copii ale actelor de identitate ale clienților băncii (între care minori și reprezentanți legali) prin intermediul telefonului personal. Folosindu-se de aplicația WhatsApp, a trimis copii ale acestor acte către alte persoane din bancă. Pe de o parte vedem prelucrarea datelor prin intermediul telefonului personal, care ridică probleme, pe de alta, comunicarea prin WhastApp. Această situație bineînțeles a nemulțumit anumite persoane vizate, care au depus plângere la ANSPDCP.

Ce a constatat Autoritatea? Odată demarată ancheta, Autoritatea constată că responsabilitatea securității datelor o are operatorul, adică BCR și că acesta nu a implementat măsuri adecvate în vederea asigurării unui nivel de securitate corespunzător cu riscul prelucrării (folosirea telefoanelor personale + folosirea Whatsapp). Totodată, ANSPDCP a constatat că BCR nu a luat măsuri pentru a se asigura că orice angajat care acționează sub autoritatea bănncii și bineînțeles, prelucrează date, nu o face decât la cererea operatorului!

Temeiul legal? În acest sens, pentru încălcarea prevederilor art. 32 alin. (4) coroborat cu art. 32 alin. (1) și alin. (2) din Regulamentul General privind Protecția Datelor, referitoare la securitatea prelucrărilor, s-a aplicat amenda sus menționată.

25. Vodafone România – 20.000 lei – martie 2020

Unul din cele mai importante aspecte pe care trebuie să le avem în vedere atunci când prelucrăm date, este următorul: să fim atenți la ce facem! Datele cu caracter personal sunt proprietatea persoanei vizate. Cu un mic exercițiu de imaginație putem vedea lucrurile altfel: Ți-ai comandat ultimul model de Iphone, te-a costat cam două salarii lunare iar după ce l-ai ridicat din magazin, pe stradă te oprește un cetățean să te roage să îi dai telefonul să se uite cât e ceasul. I-l dai? Nu, îi spui tu cât e ceasul! Mai mergi câțiva pași și o doamnă, de la chioșcul de ziare îți spune că te roagă să îi dai telefonul să facă câteva fotografii la principalele ziare locale, pentru a și le trimite pe WhatsUp. Îl dai? Nu, faci tu pozele! În cele din urmă te oprești să îți cumperi un covrig și vrei să plătești cu noul telefon achiziționat. Cu toate acestea, angajatul covrigăriei, plin de ulei pe mâini, îți cere telefonul să atingă cu el aparatul de înregistrare plăți. Te gândești de două ori, dacă îl ia și având mâinile alunecoase de la ulei îl scapă pe jos și ți se sparge ecranul? Deci suntem atenți cu proprietatea noastră! La fel trebuie să fie fiecare angajat al operatorilor care lucrează cu date cu caracter personal în mod curent.

Lipsa atenției, simpla greșeală costă mult, după cum ne arată o sancțiune aplicată operatorului Vodafone România, în valoare de 20.000 lei. O petentă s-a adersat autorității printr-o sesizare spunând că are suspiciuni că datele sale cu caracter personal ar fi putut fi dezvăluite unei terțe persoane, lipsite de interes. Ce s-a întâmplat? Într-una din zile, tastând telefonul, a intrat pe website-ul Vodafone și a cerut o ofertă, însă, ulterior a primit pe adresa de email un contract încheiat între Vodafone și o altă persoană vizată. Acest fapt i-a ridicat întrebări dar și suspiciunea că datele sale personale ar fi fost dezvăluite unei persoane, petrecându-se la mijloc o confuzie, o eroare!

Efectuând o investigație, Autoritatea a constatat că într-adevăr, lucrurile s-au petrecut întocmai iar operatorul nu a luat măsuri suficiente de securizare și de protecție a datelor și nici de garantare a confidențialității acestor date.

24. Dante International SA (Emag) – 3000 euro – martie 2020

Dacă încă nu ne-am convins că nu putem face comunicări comerciale, spre exemplu, nu putem trimite newsletter unei persoane care s-a dezabonat de la această opțiune, ANSPDCP vine să ne confirme acest lucru! În acest sens, ca urmare a unei sesizări, operatorul Dante International SA a fost sancționat cu 3000 euro sau 14.420,4 lei pentru că nu a respectat prevederile referitoare la legalitatea prelucrării.

Despre ce e vorba?

Ei bine, orice persoană vizată are dreptul de a se opune prelucrărilor de date cu caracter personal atunci când datele sunt prelucrate în scop de marketing direct. Astfel, nerespectarea acestei dorințe, plasează prelucrarea în sfera ilegalității, iar în cazul în care persoana vizată se decide să raporteze acest fapt, cu Autoritatea de Supraveghere va acționa prompt, aplicând amendă dar și măsuri corective!

23. Enel Energie Muntenia SA – 3000 euro – martie 2020

O situație aparte o privește comunicările electronice pe email și atenția pe care trebuie să o acordăm atunci când trimtem un email. Uneori suntem grăbiți, alteori obosiți sau pur si simplu ni se întâmplă să fim neatenți, să compunem un email și să greșim numele destinatarului sau să introducem o adresă greșită iar emailul nostru să ajungă la altcineva. Fiecăruia dintre noi ni s-a întâmplat acest lucru, însă ANSPDCP ne arată foarte clar că dacă o astfel de comunicare presupune o divulgare de date nepermisă, operatorul va fi sancționat.

Acesta este cazul operatorului Enel Energie Muntenia SA, care a fost sancționat ca urmare a unei investigații declanșate la sesizarea unui client. Clientul, vătămat în drepturile sale, depunând dovezi, adresează Autorității o plângere prin care prezintă în ce fel i s-a adus atingere drepturilor. Constatând veridicitatea lucrurilor ANSPDCP a aplicat o amendă de 3000 euro sau mai specific de 14.423,7 lei pentru că într-adevăr unul din angajații operatorului a trimis la o adresă greșită: numele și prenumele, adresa, emailul, codul de client și codul eneltel unui alt client!

22. Asociația ,,SOS Infertilitatea” – 2000 euro – martie 2020

Ceea ce știm cu toții este că dezvăluirea de date cu caracter personal este strict interzisă, atât timp cât nu avem un temei legal al acestei dezvăluiri. Așa s-a întâmmplat și în cazul Asociației ,,SOS Infertilitatea”, împotriva căreia o persoană vizată a depus o sesizare pentru că ar fi dezvăluit date cu caracter personal fără consimțământul său.

Ca urmare a obligației de verificare a informațiilor ANSPDCP a contactat telefonic președintele asociației, care a cerut ca astfel de solicitări să se facă pe o anumită adresă de email. Cu toate acestea, operatorul nu a dat nici un fel de curs solicitării!

Pentru această nerespectare, ANSPDCP a aplicat o amendă de 2000 euro, sau mai exact 9529,2 lei.

21. Vodafone S.A. – amenda 3000 Euro – Martie 2020

ANSPDCP ne informează că la data de 11.02.2020 a finalizat o nouă investigație prin care a constatat că un cunoscut operator de telefonie mobilă din România, Vodafone România S.A. a încălcat prevederile GDPR.

Care a fost încălcarea? Situația de fapt descrisă de către Autoritate arată în felul următor: o anumită persoană a depus o reclamație la Vodafone, însă datele de pe reclamație au fost preluate în mod greșit de către angajații operatorului. Ca urmare atunci când s-a căutat transmiterea răspunsului către reclamant, emailul a fost trimis către o adresă greșită. Astfel, vorbim despre o persoană vizată, o preluare greșită de informații, un email transmis la o adresă eronată.

Relevanța juridică? Ei bine, GDPR-ul ne obligă să păstrăm datele exacte, sau după caz să le actualizăm dacă se impune și în același timp să luăm măsuri de securitate împotriva prelucrărilor ilegale ale persoanei vizate. Pierderea și transmiterea eronată în acest caz este sancționabilă!

Pentru că în toate aceste situații, responsabilitatea revine operatorului de date, ca urmare a investigației, ANSPDCP a aplicat o amendă de 3.000 de euro sau 13208,8 lei operatorului Vodafone!.

Alături de această măsură, a mai fost aplicată și o măsură corectivă, în concret: de a notifica operatorul sau persoana împuternicită de operator cu privire la încălcare!

În privința soluțiilor propuse pentru a evita pe viitor astfel de situații, Autoritatea a obligat operatorul să ia măsuri suplimentare în procedurile de colectare a datelor, să ia măsurile tehnice și organizatorice potrivite scenariului și să instruiască personalul care prelucrează date la intervale de timp regulate.

În concluzie ce putem învăța din această sancțiune este că fiecare dată cu caracter personal contează, fiecare operațiune este important și orice scăpare a operatorului va fi sancționată.

20. Entirely Shipping & Trading S.R.L. – 2 amenzi a câte 5000 euro – decembrie 2019

– 2 avertismente

– 4 măsuri corective

Sancțiunile primite de operator au fost aplicate pentru încălcarea GDPR în relația cu angajații. Astfel, acesta s-a folosit de mijloace de supraveghere audio-video fără o informare corectă a persoanelor vizate. Acestea au fost instalate în birourile angajaților, în vestiare și în sala de mese, supravegherea fiind una continuă. Având în vedere că aceasta prelucrare este una invazivă, Entirely Shipping & Trading S.R.L. nu a putut face dovada unui interes legitim justificat care  să prevaleze asupra intereselor sau drepturilor și libertăților fundamentale ale persoanelor vizate.

Tot în relația cu angajații, operatorul a condiționat accesul în anumite locații prin folosirea amprentei. Prelucrarea datelor biometrice prin intermediul sistemului de control acces nu erau colectate în scopuri adecvate, relevante și limitate la ceea ce era necesar în raport cu scopurile în care erau prelucrate.

Nu au fost respectat 2 principii foarte importante ale GDPR și anume:

  • Principiul legalității – operatorul nu a avut un temei legal valid pentru prelucrările audio-video
  • Principiul transparenței – operatorul nu a informat adecvat persoanele vizate

În cazul acestor prelucrări de date era nevoie ca operatorul să facă următorii pași:

  1. Consultarea sindicatului înainte de instalarea sistemului de supraveghere audio-video
  2. Dovedirea faptului că alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența
  3. Implementarea unei politici de securitate a datelor cu caracter personal
  4. Implementarea de măsuri tehnice si organizatorice în vederea asigurării unui nivel de securitate corespunzător
  5. Evaluare de impact asupra protecției datelor
  6. Informarea corectă a persoanelor vizate prin comunicarea într-o formă concisă, transparentă, inteligibilă și ușor accesibilă a tuturor informațiilor prevăzute de art. 13 din GDPR
  7. Reducerea la minimum a prelucrărilor de date cu caracter personal

19. Hora Credit IFN S.A – 3000 euro, 10.000 euro, 1000 euro (decembrie 2019)

În urma investigațiilor făcute de ANSPDCP la operatorul Hora Credit IFN S.A. s-a constat faptul că acesta a încălcat mai multe prevederi ale Regulamentului GDPR.

Transmiterea pe e-mail a unor documente care nu aparțineau persoanei vizate a condus la un lanț de incidente (breșă de securitate, dezvăluirea neautorizată, folosirea datelor cu caracter personal inexact).

Deși persoana care a primit acel e-mail a notificat operatorul în timp util, prin 2 mijloace de comunicare, nu au fost luate măsuri pentru a remedia eroarea. Mai mult decât atât, operatorul a continuat să trimită mesaje spre căsuța de e-mail respectivă.

De asemenea, operatorul nu a notificat ANSPDCP cu privire la breșa survenită, obligație care îi revine în urma descoperii incidentului.

Neaplicarea unor mecanisme eficiente de verificare și validare a exactității datelor colectate și ulterior prelucrate, respectiv, de păstrare a confidențialității acestora, conform principiilor prevăzute la art. 5 din RGPD și faptul că nu au fost luate măsuri suficiente pentru securizarea datelor cu caracter personal .

Vă invităm să citiți articolul ”Proceduri și politici de securitate IT”, pentru conformarea la GDPR pentru o înțelegere mai exactă a principiilor de securizare a datelor cu caracter personal și a măsurilor care sunt necesare a se lua, în mediul informatizat.

18. SC Enel Energie S.A. – 2 amenzi a câte 3000 euro (decembrie 2019)

Amenzile au fost aplicate pentru prelucrarea fără consimțământ a datelor cu caracter personal și fără păstrarea principiului exactității.

Operatorul nu a dat cursul cererii de ”opt-out” (dezactivarea notificărilor) făcute de persoana vizată, deși acesta și-a exercitat dreptul în mai multe rânduri.

Pentru prima dată, ANSPDCP ne înștiințează că operatorul a achitat amenzile, asta însemnând că nu au contestate in instanță. Un semn de bună credință și de dovadă a faptului că se poate învăța din greșeli și accepta că respectarea protecției datelor cu caracter personal este o OBLIGAȚIE nu o opțiune.

Articolul ”GDPR România – importanța protecției datelor cu caracter personal” vă poate ajuta să înțelegeți mai bine importanța respectării GDPR.

17. Asociație de Proprietari – 500 euro (noiembrie 2019)

În urma investigației s-a constatat că Asociația de Proprietari nu a adoptat suficiente măsuri de securitate, tehnice și organizatorice, adecvate pentru protejarea datelor personale colectate prin intermediul sistemului de supraveghere video. Plângerea a venit de la o persoană fizică care a sesizat accesarea fără temei legal a imaginilor video din sistemul de supraveghere CCTV al Asociației de Proprietari.

Tot în urma acestei investigații s-a constatat că lipsea informarea prin postarea unor avertizări și note de informare în apropierea locurilor unde sunt montate camerele video.

De asemenea ANSPDC a dispus măsura de a se sigura conformitatea cu RGPD a operațiunilor de prelucrare prin adoptarea unor măsuri de securitate, tehnice și organizatorice, adecvate pentru protejarea datelor personale colectate prin intermediul sistemului de supraveghere video, inclusiv sub aspectul integrării principiilor de protecție a datelor (cum ar fi cel al stocării limitate a înregistrărilor), al stabilirii unui număr limitat de persoane care să aibă acces la acest sistem, al drepturilor ce pot fi alocate fiecăreia dintre acestea, al prevederii unor instrucțiuni clare de prelucrare pentru persoanele care prelucrează date sub autoritatea asociației, astfel încât să se evite accesarea, diseminarea sau prelucrarea în alt mod neautorizat a datelor personale prelucrate prin intermediul acestui sistem, conform art. 25 și art. 32 din RGPD, în termen de 30 zile de la data comunicării prezentului proces-verbal (art. 58 alin. (2) lit. d) din RGPD).

16. Telekom Romania Mobile Communications SA – 2000 euro (noiembrie 2019)

Operatorul de telecomunicații este primul amenda pentru nerespectarea principiului ”exactității datelor”.

Nerespectarea confidențialității datelor cu caracter personal, prin trimiterea facturilor la adrese de corespondență greșite. Astfel, eroare a dus la o breșă de securitate, prin dezvăluirea datelor cu caracter personal.

Cu toate că petentul a adus la cunoștința operatorul eroarea și a cerut remedierea, acesta din urma nu a dat curs cererii sale, continuând practica. Mai mult decât atât, în urma investigațiilor Telekom nu a putut face dovada exactității datelor cu caracter personal pe care le prelucrează.

Un model de bună practică pe care îl putem învăța de aici, este de a da curs întotdeauna solicitărilor persoanelor vizate. O cerere este și o avertizare și o oportunitate de a remedia lucrurile, pe care, uneori, operatorii nu le au în vedere.

15. Modern Barber S.R.L – 3000 euro (noiembrie 2019)

      Nicola Medical Team 17 SRL – 2000 euro (noiembrie 2019)

      Globus Score SRL – 2000 euro (noiembrie 2019)

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a amendat in cursul zilelor de 13.12.2019 si 16.12.2019 3 operatori de date cu caracter personal, în baza acelorași prevederi din Regulament și anume art. 83 (UE) 679/2016.

Cei 3 operatori nu au trimis către ANSPDCP în scris, toate informațiile solicitate, în termen de 10 zile calendaristice de la comunicarea procesului-verbal.

De asemenea nici unul din operatori nu a dus la îndeplinire masurile corective aplicate de Autoritate.

Din comunicat putem înțelege că este vorba despre investigații unde Autoritatea a dat dovadă de clemență, aplicând doar măsuri corective și indicații, oferindu-le operatorilor timp pentru a le duce la îndeplinire. Astfel, vedem că rolul ANSPDCP nu este doar de a speria și de a amenda.

Amenzile au fost aplicate operatorilor care au ignorat indicațiile și nu au luat măsurile necesare de conformare oferite în urma unor investigații.

Stimați colegi, operatori și specialiști, Autoritatea vine în ajutorul nostru. Să dăm dovadă de bună voință și profesionalism.

14. ING Bank N.V. Amsterdam – Sucursala București – 80.000 euro (noiembrie 2019)

În data de 04.11.2019, ANSPDC a finalizat o ancheta la operatorul de date ING Bank care a atras după sine o amendă în valoare de 80.000 euro.

Operatorul nu a asigurat respectarea principiului protecției datelor începând cu momentul conceperii și cel al protecției implicite a datelor (privacy by design și privacy by default), deoarece nu a adoptat măsuri tehnice și organizatorice corespunzătoare, privind integrarea de garanții adecvate în sistemul automatizat de prelucrare a datelor cu caracter personal în cadrul procesului de decontare al tranzacțiilor cu cardul, fiind afectat un număr de 225.525 de clienți ale căror operațiuni de plată au fost dublate în perioada 8-10.10.2018, raportat și la prevederile art. 32 alin. (1) lit. d) din RGPD.

Protecția datelor cu caracter personal, prelucrate electronic trebuie să fie compusă din 3 etape majore:

  1. În momentul conceperii / producerii sistemului electronic. Asta înseamnă că trebuie luate toate măsurile de protejare a datelor din prima fază a proiectului.
  2. Testarea sistemului înainte ca prelucrarea efectivă să înceapă, pentru a se asigura de eficiența protecției. Acest demers identifică eventualele erori sau slăbiciuni, care pot duce la o breșă de securitate.
  3. Update și mentenanță. Sistemul informatic este unul în continuă schimbare. Pe cât este de important să ca operatorii să țină pasul cu noile tehnologii este și mai important să se asigure că îmbunătățirile și noile funcționalități sunt adecvate pentru prelucrarea datelor cu caracter personal.

Privacy by design este o un concept prin care putem preveni breșele și incidentele de securitate. Fiindcă vorbim de sisteme automatizate prin care se prelucrează un număr mare de date cu caracter personal, prin aceleași mijloace, pierderile survenite în urma unei singure erori sunt foarte mari și de multe ori iremediabile.

13.Royal President S.R.L. – amendă 2500 EURO și un avertisment (noiembrie 2019)

Sancțiunile au fost aplicate ca urmare a unei plângeri prin care se reclama faptul că Royal President S.R.L. a refuzat soluționarea unei cereri de exercitare a dreptului de acces prevăzut de art. 15 din Regulamentul General privind Protecția Datelor, precum și faptul că acesta a dezvăluit date cu caracter personal fără acordul persoanei vizate.

De asemenea, s-a constatat că datele cu caracter personal colectate prin intermediul fișei de cazare nu au fost prelucrate într-un mod care să asigure securitatea lor, prin luarea de măsuri tehnice sau organizatorice corespunzătoare, pentru a se putea evita orice dezvăluire neautorizată încălcându-se prevederile art. 5 alin. (1) lit. f), ale art. 32 alin. (1) lit. b) și ale art. 32 alin. (2) din Regulamentul (UE) 2016/679,

Totodată, operatorului i s-a aplicat și o măsură corectivă care a constat în întocmirea și implementarea unei proceduri interne privind protecția datelor cu caracter personal ale beneficiarilor serviciilor de cazare, prin raportare la prevederile art. 32 din Regulamentul (UE) 2016/679.

În cazul operatorului din această speță lipsa de proceduri interne și lipsa de măsuri tehnice sau organizatorice a dus la o breșă de securitate și dezvăluire neautorizată a datelor cu caracter personal.

DREPTURILE persoanelor vizate sunt foarte importante, așa cum am subliniat și în alte cazuri. Refuzul de a oferi răspuns unei cereri de exercitate a drepturilor este o încălcare gravă a Regulamentului.

Sunt cazuri în care nu putem da curs solicitării persoanelor vizate, dar acest lucru trebuie transmis persoanei și argumentat.

Implementarea greșită a Regulamentului atrage aceleași sancțiuni ca și neaplicarea lui.

12. SC CNTAR TAROM SA – amendă 20.000 EURO (noiembrie 2019)

Investigația a fost efectuată ca urmare a notificării autorității de supraveghere de către SC CNTAR TAROM SA din data de 13.09.2019 cu privire la încălcarea securității datelor cu caracter personal. Ca urmare a faptului că acesta nu a implementat măsuri tehnice și organizatorice adecvate pentru a se asigura că orice persoană fizică care acționează sub autoritatea acestuia și care are acces la date cu caracter personal, nu le prelucrează decât la cererea sa. Corelat cu acest aspect, operatorul nu a luat nici măsuri adecvate pentru a asigura un nivel de securitate corespunzător riscului generat de divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.

Această situație a condus la accesarea neautorizată, de către un angajat propriu, a aplicației de rezervări și fotografierea unei liste conținând datele cu caracter personal a 22 pasageri/clienți TAROM și la divulgarea neautorizată în mediul on-line a acestei liste.

Sunt câteva aspecte de importante de reținut din această speță cu privire la relația operatorului cu angajații:

  1. Instruire – operatorii nu se pot baza pe o instruire verbală sumară sau transmiterea de informații generale către angajați. Aceștia trebuie să fi instruiți atât din punctul de vedere a prelucrării datelor cu caracter personal care le revin prin fișa postului cât și asupra datelor cu caracter personal cu care intră în contact accidental sau neautorizat.
  2. Actualizarea fișei postului – este ă măsură legală pe care fiecare operator trebuie să o implementeze, în special angajaților care prelucrează date cu caracter personal.
  3. Regulamentul de Ordine Interioară – acesta trebuie să conțină atât indicații cu privire la prelucrare cât și sancțiunile aplicate în caz de abateri
  4. Politica de prelucrare a datelor cu caracter personal – o astfel de politică poate reduce semnificativ riscul unei dezvăluiri neautorizate și reprezintă o diligență de conformare care va reduce șansele de amendare.

Foarte important  de reținut! După cum am putut observa din ultimele amenzi aplicate de ANSPDC, aceasta a dat dovadă de ”blândețe” în stabilirea sumelor din amenzi. Chiar dacă conformarea și implementarea GDPR nu reduce total riscul unei abateri sau breșe, scade semnificativ suma cu care un operator este amendat. Buna credință în respectarea regulamentului se poate dovedii doar prin proceduri și implementare adecvată.

11. FAN COURIER EXPRESS SRL (octombrie 2019)

Operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării generat în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod, ceea ce a condus la pierderea datelor cu caracter personal (nume, prenume, număr card, cod siguranță card (cvv), adresa titular card, cod numeric personal, serie si număr card identitate, număr cont IBAN, limita credit aprobat, adresa de corespondenta) și la divulgarea/accesarea neautorizată a datelor cu caracter personal, fiind afectate de incidentele de securitate un număr de aproximativ 1100 persoane fizice vizate. Fan Courier a primit o amendă în cuantum de 52.325,9 lei, echivalentul a 11.000 EURO.

În speță, fiind vorba de o companie de curierat care operează date cu caracter personal la scară largă, aceasta are desemnată un DPO. Cu siguranță operatorul a făcut demersuri în vederea alinierii și conformării la noul Regulament GDPR. Incidentul prin care s-au pierdut plicurile cu date personale, chiar sensibile, a fost unul independent de voința operatorului și cel mai probabil s-a datorat unei erori umane.

Este foarte important să existe o procedură de răspuns la incidente. Mai important de atât este ca acea procedură să se respecte.

Având în vedere că cifra de afaceri a operatorului Fan Courier este de peste 100 de milioane de euro, amenda aplicată de ANSPDCP este una mică. Acesta se datorează, după părerea noastră, măsurilor de conformare aplicate de operator anterior incidentului.

De asemenea un aspect interesant de reținut este faptul ca expeditorul acelor plicuri nu a fost sancționat in acest caz. In general firmele de curierat propun clienților acorduri de prelucrare in care ambele entități au calitatea de operator. In acest sens se poate presupune ca expeditorul informațiilor – nu a fost sancționat pentru ca si-a luat masurile necesare in vederea asigurării securității prelucrării: semnarea acordurilor de prelucrare, alegerea unui furnizor de servicii care oferta garanțiile necesare din punct de vedere al GDPR (cel puțin la nivel declarativ in cadrul acordurilor semnate) etc.

Un aspect de reținut este că Operatorul a respectat procedura de răspuns la incidente, anunțând ANSPDCP în timp util și luând măsurile care se impun.

10. Operatorul BNP Paribas Personal Finance SA (noiembrie 2019)

În urma unei plângeri, ANSPDCP a fost sancționat operatorul CETELEM IFN S.A. cu amendă în cuantum de 9508 lei, echivalentul sumei de 2000 EURO.

Operatorul nu a răspuns petentului în termenul prevăzut de art. 12 alin. (3) din Regulamentul General privind Protecția Datelor, deși acesta solicitase ștergerea anumitor date personale raportate în sistemul de evidență al Biroului de Credit.

În conformitate cu art. 12 alin. (3) din Regulamentul General privind Protecția Datelor, operatorul are obligația de a răspunde cererilor persoanelor vizate fără întârzieri nejustificate și cel târziu în termen de o lună de la primirea cererii.

GDPR prevede obligația operatorilor de date de a răspunde cererilor persoanelor vizate în termen de 30 de zile. Regulamentul nu prevede ca trebuie să dea curs cererii în termen de 30 de zile ci doar să ofere un răspuns solicitantului. Astfel, operatorul poate solicita lămuriri sau informații suplimentare care să îi ajute în soluționarea cererii.

În cazul în care cererea este nejustificată sau există o prevedere legală care îl împiedică pe operatorul să ia măsurile solicitate de persoana vizată, operatorul are obligația de a răspunde, tot în termen de 30 de zile, cu motivarea.

9. INTELIGO MEDIA S.A. (denumire comercială avocatnet.ro) (octombrie 2019)

ANSPDCP a finalizat în luna august a anului în curs o investigație, din care a rezultat faptul că operatorul a folosit o metodă abuzivă de obținere a consimțământului prin folosirea unei căsuțe nebifate ” Nu vreau să primesc “Personal Update”. Astfel abonarea se făcea prin omisiune.

Operatorul nu a putut face dovada obținerii unui consimțământ valabil din punct de vedere GPDR pentru prelucrarea datelor cu caracter personal ale unui număr de 4357 abonați. De asemenea avocatnet.ro s-a folosit pentru transmiterea prin e-mail a informării zilnice, de un temei legal neadecvat scopului, respectiv ”executarea unui contract”.

Amenda aplicată în acest caz este de 9 000 euro.

În expunerea viziunii noastre asupra speței, vom folosi un extras din considerentul (32) al RGPD ” Consimţământul ar trebui acordat printr-o acţiune neechivocă care să constituie o manifestare liber exprimată (…)Prin urmare, absenţa unui răspuns, căsuţele bifate în prealabil sau absenţa unei acţiuni nu ar trebui să constituie un consimţământ.(…)

Metoda de abonare la newsletter pentru persoanele fizice folosită de operatorul INTELIGO MEDIA S.A. este una prin omisiune (absența unei acțiuni). Astfel folosind această abordare, este practic imposibil să colectezi un consimțământ valid.

Pornind de la textul aflat pe site-ul operatorului vom oferi un exemplu care să îndeplinească criteriile prelucrării pe bază de consimțământ:

Explicit

Liber

Separat

Documentat

Revocabil

Nu vreau să primesc “Personal Update”, informarea trimisă zilnic, gratuit, pe email, de avocatnet.ro”

Explicit – acest text nu conține tipul de informații pe care le voi primi: comercial, distractiv, legal, privitoare la numărul de vizualizări ale site-ului, etc.

Liber – Oferirea unui serviciu nu este condiționată de abonarea la ”informare zilnică”.

Separat – În acest text nu sunt incluse și alte prelucrări

Documentat – Fiind vorba de o inacțiune, este mai greu să poți dovedi că o persoană a fost de acord ”pentru că nu a făcut nimic.”

Revocabil – Din nou, pentru că vorbim de o inacțiune, nu putem să ne retragem ceva ce nu am făcut.

După cum putem vedea sunt îndeplinite doar 2 din cele 5 criterii, cu toate că ele trebuie să fie îndeplinite concomitent, pentru ca prelucrarea să fie valabilă.

Exemplul nostru:

”Doresc să primesc, zilnic, pe adresa de e-mail informații legate de articolele nou apărute pe site-ul avocatnet.ro”. (cu posibilitatea de a bifa o căsuță).

Ca și concluzie, chiar dacă operatorul stabilește ca și temei de prelucrare consimțământul, dacă acesta nu este obținut valabil, prelucrarea este abuzivă și va atrage după ea amendarea.

8.Elefant Online S.A. (octombrie 2019)

Amenda aplicată în acest caz de către ANSPDCP este de 10.000 RON.

Având în vedere că operatorul este un magazin exclusiv online, acesta trimite mesaje comerciale si de tip newsletter către persoanele ale căror adrese de e-mail le dețin.

Sancțiunea a fost aplicată pentru încălcarea legii nr. 506/2004, privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice.

Astfel Elefant Online S.A. nu a putut face dovada obținerii consimțământului prealabil expres și neechivoc pentru transmiterea de mesaje comerciale prin e-mail. Mai mult decât atât petentul a continuat să primească astfel de mesaje și după dezabonarea (prin 2 metode) de la astfel de servicii.

Vedem astfel, că Autoritatea ne oferă indicii foarte importante cu privire la folosirea în mod abuziv a adresei de e-mail și importanța respectării drepturilor persoanelor vizate. În această situație, chiar dacă putem bănui că operatorul a intrat în posesia adresei de e-mail printr-o metoda adecvată (plasarea unei comenzi, înscriere la newsletter, etc.) acesta a continuat să trimită mesaje cu caracter comercial și după ce petentul s-a dezabonat. Un comportament abuziv atât din punct de vedere al legislației interne cât și din punct de vedere a GDPR.

6-7. Raiffeisen Bank S.A. și Vreau Credit S.R.L. – amenzi GDPR (octombrie 2019)

A 6-a și a 7-a amendă aplicată de ANSPDCP cu privire la încălcarea prevederilor GDPR, au avut ca subiecți operatori de date din sistemul bancar și de creditare.

În urma transmiterii unei notificări privind încălcarea securității datelor cu caracter personal Autorității de către operatorul  Raiffeisen Bank S.A. aceasta  a demarat o investigație în care s-a constatat faptul că 2 angajați ai operatorului prin intermediul aplicației mobile WhatsApp, au efectuat interogări ale sistemului Biroului de Credit pentru a obține datele necesare în vederea determinării eligibilității la creditare a respectivelor persoane fizice, prin simulări de prescoring. În acest sens, au fost efectuate 1194 simulări, cu privire la 1177 persoane fizice. De asemenea, pentru 124 de persoane fizice s-a efectuat și consultarea bazei de date a ANAF.

Datele cu caracter personal ale persoanelor viate au fost obținute de la angajații operatorului Vreau Credit S.R.L., aceștia din urmă, primind, tot prin mijloace de comunicare de tip chat, informații cu privire la cazierul fiscal și eligibilitatea de a obține un credit.

Chiar dacă, Raiffeisen Bank a notificat breșa de securitate, acesta a fost amendat cu suma de 150.000 euro, pentru nerespectarea prevederilor art. 32 din GDPR, nu a luat măsurile corespunzătoare pentru a se asigura că orice persoană fizică care acționează sub autoritatea acestuia și care are acces la date cu caracter personal, nu le prelucrează decât la cererea sa.

În ceea ce privește operatorul Vreau Credit S.R.L., acesta a fost sancționat cu o amendă de 20.000 EURO, de asemenea, pentru încălcarea securității datelor, dar și pentru faptul că până la finalizarea investigației nu a notificat autorității de supraveghere încălcarea securității datelor cu caracter personal, fără întârzieri nejustificate, deși constatase producerea acestui incident de securitate încă din luna decembrie 2018.

Citind Termenele și Condiții, precum și Politicile de Confidențialitate existente pe site-urile operatorilor, aceștia se obligă să efectueze operațiuni de prelucrare a datelor cu caracter personal, în vederea obținerii unui credit (interogări ANAF, prescoring, etc.) doar cu consimțământul persoanelor vizate și prin intermediul acordurilor de colaborare existente între cei doi.

Totuși unde au greșit?

În primul rând prin faptul că nu au luat măsuri ca datele cu caracter personal să nu fie procesate, altfel decât prin intermediul mijloacelor electronice securizate de care dispun și altfel decât prin respectare procedurile. Aplicaților domestice de tip chat, folosite de angajați, sunt invazive și nu oferă garanții de securitate. Mai mult decât atât, având în vedere că ele pot fi stocate, dezvăluirea către terți devine foarte facilă.

Putem presupune, că aceste operațiuni au fost făcute fără a îndeplini condițiile de consimțământului prevăzute de GDPR, fiind vorba de operațiuni multiple, fără ca persoana vizată să își exprime dorința / consimțământul informat prin încheierea unui acord cu operatorii.

Vreau Credit S.R.L. nu a notificat ANSPDC cu privire la breșa de securitate, cu toate că a luat act de ea.

În lipsa unei proceduri clare cu privire la breșele de securitate, a unui plan de acțiune și a Notificării ANSPDC persoana vizata poate suferii prejudicii, uneori de ne reparat, care duc la slăbirea încrederii acordată operatorilor. Evitarea unei breșe este ideală, dar atunci când ea se produce, trebuie să fim pregătiți să luăm toate măsurile care se impun, atât pentru protecția persoanei vizate cât și pentru a evita sau a minimiza amenzile.

5. Operatorul Artmark Holding SRL (august 2019)

În data de 10.10.2019, ANSPDCP a anunțat printr-un comunicat, aplicarea unei noi amenzi privind nerespectarea atât prevederilor GDPR cât și a legii 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice.

Obiectul amenzii îl face trimiterea de mesaje comerciale nesolicitate, fără a avea consimțământul persoanei vizate. Se menționează, de asemenea, că petentul a solicitat ștergea adresei de e-mail din baza de date a operatorului deoarece aceasta a fost obținută fără acordul lui.

Operatorul Artmark Holding SRL nu a dat curs acestei cereri, continuând să îi trimită mesaje comerciale de tip SPAM.

Autoritatea a clasificat aceste acțiuni abuzive și contrare principiilor protejării datelor cu caracter personal. Amenda de 10.000 RON a venit însoțită și cu îndrumări și recomandări către operator.

Artmark Holding SRL a fost sancționat contravențional cu amendă în cuantum de 10.000 lei.

 Chiar dacă amenda a fost aplicată pentru încălcarea 506/2004, este vorba și despre o încălcare a drepturilor prevăzute de GDPR. Mai exact vorbim de dreptul de a fi uitat.

Comunicarea prin mijloace electronice, reglementată în România prin legea 506/2004 și la nivel european prin noul Regulament General Privind Protecția Datelor, este cel mai de actualitate subiect indiferent de obiectul de activitate, al comunicărilor sau a scopului. Astfel, fie că vorbim de relații între particulari, de relații între persoane juridice, instituții ale statului, etc. marea majoritate a comunicării se efectuează prin mijloace electronice.

Pe lângă securitatea acestor mijloace, fie ele mesaje de tip e-mail, sms, chat-uri, etc., este nevoie să ne asigurăm de legalitatea lor.

Interesul legitim, necesitatea efectuării unui serviciu public și consimțământul, sunt cele 3 temeiuri legale pe care ne putem baza în astfel de cazuri.

Consimțământul, este cel mai sensibil dintre ele. Astfel, pentru ca acesta să poată fi folosit, este nevoie să îndeplinească mai multe condiții concomitent:

  • Explicit
  • Liber exprimat
  • Individual / separat pe scopuri
  • Documentat
  • Revocabil

Când suntem siguri că îndeplinim aceste condiții, comunicarea de tip marketing/newsletter, poate fi efectuată. Asta până în momentul în care persoana vizată, face uz de dreptul de a fi șters, prevăzut de art. 17 din GDPR. Astfel din momentul în care, am luat act de dorința destinatarului de a nu mai primi astfel de comunicări, avem obligația de a da curs ștergerii tuturor informațiilor pe care le deținem, în calitatea de operator, despre persoana vizată.

Orice comunicare, de tip comercial, marketing, newsletter, după solicitarea de ștergere, devine ilegală.

Sfatul nostru, este să vă asigurați că aveți o procedură privind exercitarea drepturilor persoanelor vizate, în speciale când vine vorba de mediul electronic.

4. UTTIS INDUSTRIES SRL, amendată cu 2 500 euro (iulie 2019)

Operatorul UTTIS INDUSTRIES SRL se adaugă listei companiilor amendate în baza GDPR de către ANSPDCP, fiind al 4-lea la număr.

După cum era de așteptat, în contextul ultimelor ghiduri și discuții pe marginea subiectului CCTV –  supraveghere video, amenda a fost una care vizează nerespectarea Regulamentului cu privire la informarea persoanelor vizate de supraveghere video.

Astfel, nu faptul că Operatorul folosește un sistem CCTV pentru pază și protecție, având ca temei legal Legea 333/2003 – privind paza obiectivelor, bunurilor, valorilor și protecția persoanelor, a condus la sancționare ci lipsa informării adecvate.

În această situație, pentru ca normele GDPR să fie urmate, trebuia făcută o informare a angajaților cu privire la scopul, durata, locul etc. supravegherii video chiar și prin simpla afișare a unor pictograme în punctele cheie.

Aveți mai jos o serie de exemple care vă ajută să identificați dacă vă aflați într-o situație asemănătoare și dacă este nevoie să luați măsuri:

https://gdprcomplet.ro/monitorizarea-video-prin-sisteme-cctv-conform-gdpr-situatii-si-exemple-detaliate/

Tot în urma aceleiași investigații s-a constata că Operatorul UTTIS INDUSTRIES SRL a efectuat o prelucrare nelegală a CNP-urilor angajaților, prelucrare care a dus la o scurgere de date prin afișarea Referatului pentru instruirea personalului autorizat ISCIR aferent anului 2018 la avizier societății.

Este foarte important ca pentru fiecare prelucrare de date cu caracter personal să vă asigurați că aveți o bază legală și că minimizați folosirea datelor cu caracter personal.

Cuantumul amenzilor primite Operatorul UTTIS INDUSTRIES SRL este de 11.834,25 lei (echivalentul sumei de 2500 euro).

3. Legal Company & Tax Hub SRL, amendată cu 3000 de EURO (iulie 2019)

Ironia sorții face ca Legal Company & Tax Hub SRL să fie chiar o companie de consultanță în domeniul GDPR. Problema în cazul lor a fost un link public către un fișier neprotejat suficient care conținea și datele cu caracter personal ale clienților companiei respective. 

Oricât de tentante ar fi pentru unii comentariile răutăcioase pe tema amenzii luate de un furnizor de servicii GDPR, aceasta amendă este probabil cea mai clară dovadă că i se poate întâmpla oricui, compania în cauză fiind la urma urmei:

  • O firmă mică
  • Cu un site relativ mic
  • Cel mai probabil fără un buget extraordinar
  • Cu un proprietar/manager fără cunoștințe deosebite în IT,  
  • Și un furnizor care face o eroare umană, greu spre imposibil de detectat, atunci când nu ai cunoștințele tehnice necesare.

Oare câte mii, (zeci de mii?) de astfel de cazuri nedescoperite și neamendate or mai fi în România? 

2. Hotelul World Trade Center, amendat cu 15.000 de EURO (iulie 2019)

Încălcarea a constat în faptul că o listă printată pe suport de hârtie, utilizată pentru verificarea clienților care serveau micul dejun și care conținea date cu caracter personal ale unui număr de 46 de clienți,  a fost fotografiată de către persoane neautorizate din afara societății, ceea ce a condus la dezvăluirea în mediul on-line a datelor cu caracter personal ale unor clienți, prin publicare.

Cel mai interesant lucru de reținut în comunicatul Autorității despre această amendă este faptul că operatorul a fost sancționat pentru că nu a luat măsuri pentru a se asigura că angajații săi care au acces la date cu caracter personal nu le prelucrează decât la cererea sa, potrivit legii.

Mai pe românește, amenda nu pare să fi fost pentru scurgerea de date în sine. Oricine poate intra într-un hotel, să pozeze o listă cu numele de la micul dejun și să o pună pe Facebook de exemplu. Problema a fost faptul că operatorul nu a luat măsuri ca să prevină astfel de incidente

Așadar iată de ce este important ca fiecare companie să facă eforturi și să ia măsuri de conformare la GDPR, chiar dacă erori și scurgeri de date pot apărea oriunde.

Ceva ne spune că în cazul acesta, dacă hotelul ar fi putut demonstra existența măsurilor în cauză, să nu mai fi încasat amenda.  

Păi ce măsuri ar fi putut lua?

De exemplu operatorul trebuia să se asigure că acea listă este securizată, că există o procedură conformă cu GDPR pentru a identifica persoanele care au acces la micul-dejun sau orice alt serviciu oferit de Hotel.

Orice dată cu caracter personal care este pe suport de hârtie reprezintă un risc crescut de dezvăluire spre persoane neautorizate: poate fi uitată undeva, poate fi aruncată la coșul de gunoi fără a fi distrusă, poate fi citită si memorată, poate fi fotografiată și de ce nu, furată.

Concret, alternative mai sigure ar fi fost

  • Minim, instruirea angajaților cu privire la ce au și ce nu au voie să facă cu lista respectivă (ex. să nu o lase ‘nesupravegheată’, la intrarea în restaurant)
  • Ideal, sistemele de oferire a micului dejun care nu necesită scrierea numelor oaspeților, gen brățări sau cupoane oferite la momentul cazării special în acest sens.

1. Unicredit Bank, amendă de 130.000 de EURO pe 27 iunie 2019 (iunie 2019)

În acest caz principala problemă reieșită din comunicatul Autorității din România este faptul că în situația în care o persoană efectua o plată online prin Unicredit, beneficiarul plății primea și CNP-ul și adresa plătitorului în cazul plăților spre conturi din alte bănci, respectiv adresa plătitorului în cazul plăților interne.

Aceste informații apăreau în ‘documentele ce conțin detaliile tranzacțiilor şi care sunt puse on-line la dispoziţia clienţilor beneficiari ai plăţilor’ – adică în extrasele de cont/detalii.

Deși Unicredit, are categoric dreptul să colecteze CNP-urile respective, aspectele problematice au fost că:

  • informațiile divulgate reprezentau o scurgere de date cu caracter personal
  • plătitorul nu a fost informat cu privire la transmiterea datelor sale spre persoanele spre care făcea plățile. 
  • nu s-a respectat principiul privacy by design și privacy by default în direcția conformării aplicațiilor / platformei de plăți a operatorului vizat de sancțiune. O posibilă soluție ar fi fost ca în loc să apară CNP-ul complet să apară doar ultimele 6 cifre. 

Concluzii

În concluzie, merită reținute următoarele:

  • GDPR este real. Consumatorii sunt tot mai educați despre drepturile lor, reclamă tot mai des probleme semnalate la operatorii cu care intră în contact iar Autoritatea chiar face controale și chiar dă amenzi.
  • Amenzile acestea nu se dau doar pentru breșele sau incidentele de securitate în sine, ci și pentru lipsa unor proceduri menite să asigure conformarea. 
  • Nu colecta / nu prelucra mai multe date decât ai nevoie.
  • Atenție la conformarea la GDPR a furnizorilor cu care lucrați.

Iar ca o concluzie mai generală, deși interpretările Regulamentului GDPR pot fi multiple și uneori specificul complicat, până la urmă ceea ce se dorește prin GDPR este grija firească față de datele personale ale celor care apelează la serviciile / produsele tale.

Când această grijă există este firesc să fii transparent cu clienții despre ce date și pentru ce anume le colectezi, este firesc să te asiguri că ele nu ajung unde nu trebuie, este firesc să îți instruiești angajații să protejeze datele cu caracter personal cu care intră în contact și este firesc ca până la urmă să depui eforturile necesare unei conformări pe bune la GDPR, și nu a unei implementări de fațadă.

Dacă îți respecti cu adevărat clienții, angajații și colaboratorii, îți place lucrul bine făcut și vrei sa scapi de grija amenzilor GDPR, contactează-ne pe contact@gdprcomplet.ro pentru servicii de consultanță GDPR, DPO externalizat, cursuri GDPR sau software pentru conformare GDPR.