Pentru cei care stau liniștiți fără să fi întreprins vreo acțiune de conformare GDPR, sau cu o implementare mioritică pe criteriul că ‘pe noi oricum nu ne caută nimeni’  iată că la mai bine de un an de la intrarea în vigoare a GDPR, apar tot mai multe semnale a faptului că noul Regulament de protecția datelor personale este mai serios decât ar fi crezut cineva la început. Acest lucru se reflectă în numărul crescător de amenzi GDPR.

Plângeri, controale și în cele din urmă și amenzi GDPR

Conform site-ului Autorității Naționale de Supraveghere, în România, din 25 mai 2018 până la 24 mai 2019:

  • s-au înregistrat 398 de notificări de încălcări de securitate a datelor cu caracter personal;
  • s-au primit 5260 plângeri și sesizări; cu cca 50% mai mult decât în 2017 – semn că lumea conștientizează tot mai bine drepturile pe care le are în acest sens. 
  • s-au efectuat 485 investigații din oficiu;
  • s-au efectuat 496 investigații la plângerile persoanelor vizate.
  • s-au emis 57 de măsuri corective, adică recomandări făcute de către Autoritate organizațiilor în cauză pentru a se conforma. 
  • au fost acordate 23 avertismente

În cele din urmă, până acum au fost amendate 7 companii. Cuvântul cheie aici este până acum. Având în vedere numărul de 23 de avertismente este foarte posibil ca să auzim și de alte amenzi pentru încălcarea regulamentul GDPR în curând. 

Oricum, înainte de a trece la amenzi am vrea să scoatem în evidență ca primă lecție de învățat care sunt zonele unde s-au constatat cele mai multe nereguli vizate de măsurile corective de mai sus – tot conform raportului comunicat de ANSPDCP

Plângerile și sesizările primite de ANSPDCP din România au avut, în principal, ca obiect:

  • nerespectarea condițiilor legale ce privesc exercitarea drepturilor persoanelor vizate (de exemplu: drepturile de informare, acces, opoziție, dreptul de a fi uitat);
  • primirea de mesaje comerciale nesolicitate;
  • dezvăluirea de date personale pe Internet;
  • încălcarea principiilor de prelucrare a datelor cu caracter personal în legătură cu prelucrarea datelor în sistemul bancar;
  • condițiile de legalitate cu privire instalarea sistemelor de supraveghere video;
  • încălcarea regulilor de confidențialitate și securitate a prelucrărilor de date cu caracter personal.

Cele mai frecvente încălcări ale securității datelor din România au vizat:

  • accesul neautorizat la datele cu caracter personal prelucrate de operator;
  • transmiterea eronată a facturilor către clienții operatorului;
  • dezvăluirea datelor cu caracter personal/date pacienți;
  • pierderea trimiterilor poștale.
  • procesarea datelor cu caracter personal fără consimțământul persoanelor vizate
  • neinformarea privind folosirea sistemului de supraveghere CCTV
  • lipsa măsurilor de securizare a datelor cu caracter personal

Iar acum haideți să luăm lista amenzilor în ordine inversă, începând cu cea mai recentă. 

6-7. Raiffeisen Bank S.A. și Vreau Credit S.R.L. – amenzi GDPR

A 6-a și a 7-a amendă aplicată de ANSPDCP cu privire la încălcarea prevederilor GDPR, au avut ca subiecți operatori de date din sistemul bancar și de creditare.

În urma transmiterii unei notificări privind încălcarea securității datelor cu caracter personal Autorității de către operatorul  Raiffeisen Bank S.A. aceasta  a demarat o investigație în care s-a constatat faptul că 2 angajați ai operatorului prin intermediul aplicației mobile WhatsApp, au efectuat interogări ale sistemului Biroului de Credit pentru a obține datele necesare în vederea determinării eligibilității la creditare a respectivelor persoane fizice, prin simulări de prescoring. În acest sens, au fost efectuate 1194 simulări, cu privire la 1177 persoane fizice. De asemenea, pentru 124 de persoane fizice s-a efectuat și consultarea bazei de date a ANAF.

Datele cu caracter personal ale persoanelor viate au fost obținute de la angajații operatorului Vreau Credit S.R.L., aceștia din urmă, primind, tot prin mijloace de comunicare de tip chat, informații cu privire la cazierul fiscal și eligibilitatea de a obține un credit.

Chiar dacă, Raiffeisen Bank a notificat breșa de securitate, acesta a fost amendat cu suma de 150.000 euro, pentru nerespectarea prevederilor art. 32 din GDPR, nu a luat măsurile corespunzătoare pentru a se asigura că orice persoană fizică care acționează sub autoritatea acestuia și care are acces la date cu caracter personal, nu le prelucrează decât la cererea sa.

În ceea ce privește operatorul Vreau Credit S.R.L., acesta a fost sancționat cu o amendă de 20.000 EURO, de asemenea, pentru încălcarea securității datelor, dar și pentru faptul că până la finalizarea investigației nu a notificat autorității de supraveghere încălcarea securității datelor cu caracter personal, fără întârzieri nejustificate, deși constatase producerea acestui incident de securitate încă din luna decembrie 2018.

Citind Termenele și Condiții, precum și Politicile de Confidențialitate existente pe site-urile operatorilor, aceștia se obligă să efectueze operațiuni de prelucrare a datelor cu caracter personal, în vederea obținerii unui credit (interogări ANAF, prescoring, etc.) doar cu consimțământul persoanelor vizate și prin intermediul acordurilor de colaborare existente între cei doi.

Totuși unde au greșit?

În primul rând prin faptul că nu au luat măsuri ca datele cu caracter personal să nu fie procesate, altfel decât prin intermediul mijloacelor electronice securizate de care dispun și altfel decât prin respectare procedurile. Aplicaților domestice de tip chat, folosite de angajați, sunt invazive și nu oferă garanții de securitate. Mai mult decât atât, având în vedere că ele pot fi stocate, dezvăluirea către terți devine foarte facilă.

Putem presupune, că aceste operațiuni au fost făcute fără a îndeplini condițiile de consimțământului prevăzute de GDPR, fiind vorba de operațiuni multiple, fără ca persoana vizată să își exprime dorința / consimțământul informat prin încheierea unui acord cu operatorii.

Vreau Credit S.R.L. nu a notificat ANSPDC cu privire la breșa de securitate, cu toate că a luat act de ea.

În lipsa unei proceduri clare cu privire la breșele de securitate, a unui plan de acțiune și a Notificării ANSPDC persoana vizata poate suferii prejudicii, uneori de ne reparat, care duc la slăbirea încrederii acordată operatorilor. Evitarea unei breșe este ideală, dar atunci când ea se produce, trebuie să fim pregătiți să luăm toate măsurile care se impun, atât pentru protecția persoanei vizate cât și pentru a evita sau a minimiza amenzile.

5. Operatorul Artmark Holding SRL

În data de 10.10.2019, ANSPDCP a anunțat printr-un comunicat, aplicarea unei noi amenzi privind nerespectarea atât prevederilor GDPR cât și a legii 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice.

Obiectul amenzii îl face trimiterea de mesaje comerciale nesolicitate, fără a avea consimțământul persoanei vizate. Se menționează, de asemenea, că petentul a solicitat ștergea adresei de e-mail din baza de date a operatorului deoarece aceasta a fost obținută fără acordul lui.

Operatorul Artmark Holding SRL nu a dat curs acestei cereri, continuând să îi trimită mesaje comerciale de tip SPAM.

Autoritatea a clasificat aceste acțiuni abuzive și contrare principiilor protejării datelor cu caracter personal. Amenda de 10.000 RON a venit însoțită și cu îndrumări și recomandări către operator.

Artmark Holding SRL a fost sancționat contravențional cu amendă în cuantum de 10.000 lei.

 Chiar dacă amenda a fost aplicată pentru încălcarea 506/2004, este vorba și despre o încălcare a drepturilor prevăzute de GDPR. Mai exact vorbim de dreptul de a fi uitat.

Comunicarea prin mijloace electronice, reglementată în România prin legea 506/2004 și la nivel european prin noul Regulament General Privind Protecția Datelor, este cel mai de actualitate subiect indiferent de obiectul de activitate, al comunicărilor sau a scopului. Astfel, fie că vorbim de relații între particulari, de relații între persoane juridice, instituții ale statului, etc. marea majoritate a comunicării se efectuează prin mijloace electronice.

Pe lângă securitatea acestor mijloace, fie ele mesaje de tip e-mail, sms, chat-uri, etc., este nevoie să ne asigurăm de legalitatea lor.

Interesul legitim, necesitatea efectuării unui serviciu public și consimțământul, sunt cele 3 temeiuri legale pe care ne putem baza în astfel de cazuri.

Consimțământul, este cel mai sensibil dintre ele. Astfel, pentru ca acesta să poată fi folosit, este nevoie să îndeplinească mai multe condiții concomitent:

  • Explicit
  • Liber exprimat
  • Individual / separat pe scopuri
  • Documentat
  • Revocabil

Când suntem siguri că îndeplinim aceste condiții, comunicarea de tip marketing/newsletter, poate fi efectuată. Asta până în momentul în care persoana vizată, face uz de dreptul de a fi șters, prevăzut de art. 17 din GDPR. Astfel din momentul în care, am luat act de dorința destinatarului de a nu mai primi astfel de comunicări, avem obligația de a da curs ștergerii tuturor informațiilor pe care le deținem, în calitatea de operator, despre persoana vizată.

Orice comunicare, de tip comercial, marketing, newsletter, după solicitarea de ștergere, devine ilegală.

Sfatul nostru, este să vă asigurați că aveți o procedură privind exercitarea drepturilor persoanelor vizate, în speciale când vine vorba de mediul electronic.

4. UTTIS INDUSTRIES SRL, amendată cu 2 500 euro

Operatorul UTTIS INDUSTRIES SRL se adaugă listei companiilor amendate în baza GDPR de către ANSPDCP, fiind al 4-lea la număr.

După cum era de așteptat, în contextul ultimelor ghiduri și discuții pe marginea subiectului CCTV –  supraveghere video, amenda a fost una care vizează nerespectarea Regulamentului cu privire la informarea persoanelor vizate de supraveghere video.

Astfel, nu faptul că Operatorul folosește un sistem CCTV pentru pază și protecție, având ca temei legal Legea 333/2003 – privind paza obiectivelor, bunurilor, valorilor și protecția persoanelor, a condus la sancționare ci lipsa informării adecvate.

În această situație, pentru ca normele GDPR să fie urmate, trebuia făcută o informare a angajaților cu privire la scopul, durata, locul etc. supravegherii video chiar și prin simpla afișare a unor pictograme în punctele cheie.

Aveți mai jos o serie de exemple care vă ajută să identificați dacă vă aflați într-o situație asemănătoare și dacă este nevoie să luați măsuri:

Tot în urma aceleiași investigații s-a constata că Operatorul UTTIS INDUSTRIES SRL a efectuat o prelucrare nelegală a CNP-urilor angajaților, prelucrare care a dus la o scurgere de date prin afișarea Referatului pentru instruirea personalului autorizat ISCIR aferent anului 2018 la avizier societății.

Este foarte important ca pentru fiecare prelucrare de date cu caracter personal să vă asigurați că aveți o bază legală și că minimizați folosirea datelor cu caracter personal.

Cuantumul amenzilor primite Operatorul UTTIS INDUSTRIES SRL este de 11.834,25 lei (echivalentul sumei de 2500 euro).

3. Legal Company & Tax Hub SRL, amendată cu 3000 de EURO

Ironia sorții face ca Legal Company & Tax Hub SRL să fie chiar o companie de consultanță în domeniul GDPR. Problema în cazul lor a fost un link public către un fișier neprotejat suficient care conținea și datele cu caracter personal ale clienților companiei respective. 

Oricât de tentante ar fi pentru unii comentariile răutăcioase pe tema amenzii luate de un furnizor de servicii GDPR, aceasta amendă este probabil cea mai clară dovadă că i se poate întâmpla oricui, compania în cauză fiind la urma urmei:

  • O firmă mică
  • Cu un site relativ mic
  • Cel mai probabil fără un buget extraordinar
  • Cu un proprietar/manager fără cunoștințe deosebite în IT,  
  • Și un furnizor care face o eroare umană, greu spre imposibil de detectat, atunci când nu ai cunoștințele tehnice necesare.

Oare câte mii, (zeci de mii?) de astfel de cazuri nedescoperite și neamendate or mai fi în România? 

2. Hotelul World Trade Center, amendat cu 15.000 de EURO

Încălcarea a constat în faptul că o listă printată pe suport de hârtie, utilizată pentru verificarea clienților care serveau micul dejun și care conținea date cu caracter personal ale unui număr de 46 de clienți,  a fost fotografiată de către persoane neautorizate din afara societății, ceea ce a condus la dezvăluirea în mediul on-line a datelor cu caracter personal ale unor clienți, prin publicare.

Cel mai interesant lucru de reținut în comunicatul Autorității despre această amendă este faptul că operatorul a fost sancționat pentru că nu a luat măsuri pentru a se asigura că angajații săi care au acces la date cu caracter personal nu le prelucrează decât la cererea sa, potrivit legii.

Mai pe românește, amenda nu pare să fi fost pentru scurgerea de date în sine. Oricine poate intra într-un hotel, să pozeze o listă cu numele de la micul dejun și să o pună pe Facebook de exemplu. Problema a fost faptul că operatorul nu a luat măsuri ca să prevină astfel de incidente

Așadar iată de ce este important ca fiecare companie să facă eforturi și să ia măsuri de conformare la GDPR, chiar dacă erori și scurgeri de date pot apărea oriunde.

Ceva ne spune că în cazul acesta, dacă hotelul ar fi putut demonstra existența măsurilor în cauză, să nu mai fi încasat amenda.  

Păi ce măsuri ar fi putut lua?

De exemplu operatorul trebuia să se asigure că acea listă este securizată, că există o procedură conformă cu GDPR pentru a identifica persoanele care au acces la micul-dejun sau orice alt serviciu oferit de Hotel.

Orice dată cu caracter personal care este pe suport de hârtie reprezintă un risc crescut de dezvăluire spre persoane neautorizate: poate fi uitată undeva, poate fi aruncată la coșul de gunoi fără a fi distrusă, poate fi citită si memorată, poate fi fotografiată și de ce nu, furată.

Concret, alternative mai sigure ar fi fost

  • Minim, instruirea angajaților cu privire la ce au și ce nu au voie să facă cu lista respectivă (ex. să nu o lase ‘nesupravegheată’, la intrarea în restaurant)
  • Ideal, sistemele de oferire a micului dejun care nu necesită scrierea numelor oaspeților, gen brățări sau cupoane oferite la momentul cazării special în acest sens.

1. Unicredit Bank, amendă de 130.000 de EURO pe 27 iunie 2019

În acest caz principala problemă reieșită din comunicatul Autorității din România este faptul că în situația în care o persoană efectua o plată online prin Unicredit, beneficiarul plății primea și CNP-ul și adresa plătitorului în cazul plăților spre conturi din alte bănci, respectiv adresa plătitorului în cazul plăților interne.

Aceste informații apăreau în ‘documentele ce conțin detaliile tranzacțiilor şi care sunt puse on-line la dispoziţia clienţilor beneficiari ai plăţilor’ – adică în extrasele de cont/detalii.

Deși Unicredit, are categoric dreptul să colecteze CNP-urile respective, aspectele problematice au fost că:

  • informațiile divulgate reprezentau o scurgere de date cu caracter personal
  • plătitorul nu a fost informat cu privire la transmiterea datelor sale spre persoanele spre care făcea plățile. 
  • nu s-a respectat principiul privacy by design și privacy by default în direcția conformării aplicațiilor / platformei de plăți a operatorului vizat de sancțiune. O posibilă soluție ar fi fost ca în loc să apară CNP-ul complet să apară doar ultimele 6 cifre. 

În concluzie, merită reținute următoarele:

  • GDPR este real. Consumatorii sunt tot mai educați despre drepturile lor, reclamă tot mai des probleme semnalate la operatorii cu care intră în contact iar Autoritatea chiar face controale și chiar dă amenzi.
  • Amenzile acestea nu se dau doar pentru breșele sau incidentele de securitate în sine, ci și pentru lipsa unor proceduri menite să asigure conformarea. 
  • Nu colecta / nu prelucra mai multe date decât ai nevoie.
  • Atenție la conformarea la GDPR a furnizorilor cu care lucrați.

Iar ca o concluzie mai generală, deși interpretările Regulamentului GDPR pot fi multiple și uneori specificul complicat, până la urmă ceea ce se dorește prin GDPR este până la urmă grija firească față de datele personale ale celor care apelează la serviciile / produsele tale.

Când această grijă există este firesc să fii transparent cu clienții despre ce date și pentru ce anume le colectezi, este firesc să te asiguri că ele nu ajung unde nu trebuie, este firesc să îți instruiești angajații să protejeze datele cu caracter personal cu care intră în contact și este firesc ca până la urmă să depui eforturile necesare unei conformări pe bune la GDPR, și nu a unei implementări de fațadă.