Pentru cei care stau liniștiți fără să fi întreprins vreo acțiune de conformare GDPR, sau cu o implementare mioritică pe criteriul că ‘pe noi oricum nu ne caută nimeni’  iată că la mai bine de un an de la intrarea în vigoare a GDPR, apar tot mai multe semnale a faptului că noul Regulament de protecția datelor personale este mai serios decât ar fi crezut cineva la început. Acest lucru se reflectă în numărul crescător de amenzi GDPR.

Conținut

Conform site-ului Autorității Naționale de Supraveghere, în România, au fost aplicate zeci de amenzi ca urmare a sute de investigații și mii de plângeri. Astfel, putem vorbi despre următoarele rapoarte ale ANSPDCP:

I. RAPORTUL aferent perioadei 25 mai 2018 – 24 mai 2019:

Conform site-ului Autorității Naționale de Supraveghere, în România, din 25 mai 2018 până la 24 mai 2019:

  • s-au înregistrat 398 de notificări de încălcări de securitate a datelor cu caracter personal;
  • s-au primit 5260 plângeri și sesizări; cu cca 50% mai mult decât în 2017 – semn că lumea conștientizează tot mai bine drepturile pe care le are în acest sens. 
  • s-au efectuat 485 investigații din oficiu;
  • s-au efectuat 496 investigații la plângerile persoanelor vizate.
  • s-au emis 57 de măsuri corective, adică recomandări făcute de către Autoritate organizațiilor în cauză pentru a se conforma. 
  • au fost acordate 23 avertismente

În cele din urmă, până acum au fost amendate 28 companii. Cuvântul cheie aici este până acum. Având în vedere numărul de 23 de avertismente este foarte posibil ca să auzim și de alte amenzi pentru încălcarea regulamentul GDPR în curând. 

II. RAPORTUL din data de 05.02.2020, sinteză a activității pentru anul 2019

Făcând o comparație cu raportul anterior, observăm o creștere a activității din partea Autorității, dar și un interes mai mare din partea persoanelor vizate privind protecția datelor cu caracter personal.

În continuare ANSPDCP se focusează pe îndrumare și consiliere. Acest aspect este unul pozitiv, având în vedere că, încă, operatorii de date cu caracter personal sunt nepregătiți.

O privire de ansamblu arată așa:

  • 6193 plângeri și sesizări care au condus la 912 investigații – 16 %
  • Din numărul de 912 investigații doar 28 s-au finalizat cu amendă – 2,8 %
  • Cuantumul amenzilor fiind de 2.339.291,75 lei.
  • Solicitările de puncte de vedere au fost în număr de 1106.

Privind procentul de doar 0,5 % (numărul de amenzi rezultate în urma sesizărilor și a plângerilor) putem afirma cu convingere că ANSPDCP nu este o sperietoare și că nu orice prelucrare a datelor cu caracter personal este ilegală sau neconformă.

III. RAPORTUL din 11.02.2021 sinteză a activității pentru anul 2020

  • S-au primit un număr de 5480 plângeri, 694 investigații și 194 notificări privind incidentele de securitate;
  • Au fost aplicate 29 amenzi în cuantum de 892.115,95 lei (aprox. 183.000 euro) și 10.000 lei, o amendă aplicată în temeiul Legii nr. 506/2004.
  • De asemenea, au fost aplicate 64 avertismente și au fost dispuse 65 de măsuri corective.

Spre deosebire de celelalte rapoarte, din acesta putem înțelege că Autoritatea este foarte interesată ca aspectele problematice să fie îndreptate, dispunând mai multe măsuri corective pe care le vom dezvolta mai jos.

Înainte de aceasta haideți însă să vedem la o scurtă privire cum arată lucrurile pentru anii 2017-2020:

Număr puncte de vedere:

  • 2017 – 409
  • 2018 – 778
  • 2019 – 1106
  • 2020 – 1151

Număr plângeri:

  • 2017 – 3543
  • 2018 – 4822
  • 2019 – 6193
  • 2020 –  5480

Cuantum sancțiuni:

  • 2017 – 870.500 lei
  • 2018 – 631.500 lei
  • 2019 – 2.339.291,75 lei
  • 2020 – 892.115,95 lei

În continuare vă invităm să urmăriți și care este obiectul plângerilor și sesizărilor.

A. Pentru anul 2018 – 2019, plângerile și sesizările primite de Autoritatea din România (ANSPDCP ) au avut, în principal, ca obiect:

  • nerespectarea condițiilor legale ce privesc exercitarea drepturilor persoanelor vizate (de exemplu: drepturile de informare, acces, opoziție, dreptul de a fi uitat);
  • primirea de mesaje comerciale nesolicitate;
  • dezvăluirea de date personale pe Internet;
  • încălcarea principiilor de prelucrare a datelor cu caracter personal în legătură cu prelucrarea datelor în sistemul bancar;
  • condițiile de legalitate cu privire instalarea sistemelor de supraveghere video;
  • încălcarea regulilor de confidențialitate și securitate a prelucrărilor de date cu caracter personal

B. Pentru ianuarie 2020 – septembrie 2020, plângerile și sesizările au avut ca obiect și s-au luat următoarele tipuri de măsuri corective:

  • respectarea cererilor persoanelor vizate prin care acestea și-au exercitat drepturile în temeiul RGPD;
  • asigurarea conformitatății operaţiunilor de prelucrare cu dispoziţiile RGPD;
  • revizuirea şi actualizarea măsurilor tehnice şi organizatorice implementate, inclusiv a procedurilor de lucru referitoare la protecția datelor cu caracter personal, precum și implementarea unor masuri privind instruirea periodică a persoanelor care acționează sub autoritatea operatorului, referitor la obligațiile ce îi revin conform prevederilor RGPD, inclusiv cu privire la riscurile pe care le comportă prelucrarea datelor cu caracter personal, în funcţie de specificul activităţii;
  • efectuarea unei evaluări privind riscul pentru drepturile și libertățile persoanelor care să cuprindă inclusiv încadrarea într-un grad de risc, ținând seama de natura, domeniul de aplicare, contextul şi scopurile prelucrării;
  • revizuirea şi actualizarea măsurilor tehnice şi organizatorice implementate ca urmarea a evaluării privind riscul pentru drepturile și libertățile persoanelor, inclusiv a procedurilor de lucru referitoare la protecția datelor cu caracter personal.

Un aspect interesant, cele mai frecvente încălcări ale securității datelor din România au vizat:

  • accesul neautorizat la datele cu caracter personal prelucrate de operator;
  • transmiterea eronată a facturilor către clienții operatorului;
  • dezvăluirea datelor cu caracter personal/date pacienți;
  • pierderea trimiterilor poștale.
  • procesarea datelor cu caracter personal fără consimțământul persoanelor vizate
  • neinformarea privind folosirea sistemului de supraveghere CCTV
  • lipsa măsurilor de securizare a datelor cu caracter personal

Iar acum haideți să luăm lista amenzilor în ordine inversă, începând cu cea mai recentă!

49. Telekom – 10.000 euro + 15.000 lei – Februarie 2021

Unul din aspectele care costă cel mai mult operatorii este acela al divulgărilor de date în mod neautorizat, fie că este vorba de erori fie că vorbim de vulnerabilități ale sistemelor, platformelor sau softurilor pe care le folosim.

Acesta este cazul Telekom care în luna februarie 2021 a fost sancționată pentru că nu a luat măsuri tehnice și organizatorice adecvate pentru a garanta securitatea datelor cu caracter personal.

În concret, ce s-a întâmplat?

Un număr ridicat de adrese de facturare ale clienților (este vorba de 99.210 persoane vizate), au fost introduse eronat în baza de date, care a fost trimisă către un partener CONTRACTUAL, în baza unui contract de cesiune creanțe. Acest lucru a generat toată situația trimiterii de notificări clienților însă către adrese greșite.

Astfel clienții au primit acces / le-au fost divulgate în același timp următoarele date: client ID, cod client, nume și prenume, CNP, data nașterii, sex, număr telefon, e-mail, adresă (țară, oraș, stradă), valoarea debitelor asociate codului de client.

Pentru aceasta, ANSPDCP a sancționat operatorul cu 10.000 euro întemeindu-și sancțiunea pe prevederile R.G.P.D.

Totodată prin aceleași comunicări s-a oferit și acces neautorizat la datele de cont ale clienților (MyAccount), fiind vorba de 413 persoane vizate. Acestora li s-a divulgat: numele titularului de cont; data nașterii; numere de telefon utilizate; adresa de domiciliu; adresa e-mail; codul de abonat; serviciile contractate; extraopțiuni active pe cont; istoricul facturilor simple.

Pentru acest al doilea aspect, ANSPDCP a sancționat Telekom cu 15.000 lei în baza Legii 506/2004.

Printre măsurile corective propuse de Autoritate, se numără:

  • Revizuirea și actualizarea procedurilor și
  • Implementarea unui proces pentru testarea, evaluarea și aprecierea periodică a eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.

48. S.C. Medicover S.R.L.  – 2.000 euro – Februarie 2021

Divulgarea neautorizată și oferirea de acces neautorizat la date, reprezintă una din cele mai des întâlnite probleme atunci când vorbim de protejarea datelor cu caracter personal.

Tot în luna februarie 2021 ANSPDCP a finalizat o nouă investigație din care am fost informați că operatorul S.C. Medicover S.R.L. nu a reușit să ia suficiente măsuri tehnice și organizatorice pentru a evita situația în care persoanele care lucrează sub autoritatea sa au acces la mai multe date decât cele strict necesare și că acestea nu sunt prelucrate decât la cererea operatorului.

În fapt, din ce înțelegem, mai multe date printre care se numără nume, prenume, CNP, serie și nr. CI, adresă CI, adresă de corespondență, telefon de contact, email, date privind starea de sănătate altor persoane fizice decât destinatarii, au fost trimise prin email și la o adresă poștală diferită decât cea a destinatarului vizat. Astfel, prin aceasta au fost dezvăluite datele unor persoane neautorizate.

Fiind vorba de trimiterea a mai multor notificări, în mod succesiv, cu privire la aceeași problematică, ANSPDCP a sancționat operatorul cu 2000 euro.

O măsură aparte recomandată de Autoritate a fost ca operatorul să își stabilească un mecanism (sau proceduri) prin care să fie verificată validitatea adresei de email la momentul colectării acesteia.

47. BNP Paribas Personal Finance SA Paris Sucursala București  – 10.000 lei – Februarie 2021

Consimțământul persoanei vizate este unul din cele mai des întâlnite subiecte discutate în rândul persoanelor cu atribuții în domeniul protecției datelor. Acest lucru se întâmplă datorită naturii, felului de a fi colectat în conformitate cu GDPR-ul și a practicilor din România: foarte mulți operatori trimit comunicări în scop de marketing, așa-zisele „newsletters”, fără a avea consimțământul prealabil al persoanei vizate.

Acesta și este obiectul unei investivații finalizate în februarie 2021 asupra operatorului BNP Paribas Personal Finance SA, care a fost sancționată cu 10.000 lei pentru că nu a făcut dovada existenței consimțământului prealabil al persoanei vizate.

Ce s-a întâmplat? Plângerea a fost demarată de o persoană care a acuzat că primise pe telefon mesaje comerciale de tip SMS din partea operatorului. Cu toate că și-a exercitat în repetate rânduri dreptul de opoziție față de aceste prelucrări, în continuare le-a primit, motiv pentru care a reclamat aspectul către ANSPDCP.

Ca urmare a finalizării investigației, Autoritatea, a aplicat amenda motivând că a încălcat prevederile Dispozițiile art. 12 din Legea nr. 506/2004, modificată și completată, prevăd următoarele: (1)Este interzisă efectuarea de comunicări comerciale prin utilizarea unor sisteme automate de apelare care nu necesită intervenţia unui operator uman, prin fax ori prin poşta electronică sau prin orice altă metodă care foloseşte serviciile de comunicaţii electronice destinate publicului, cu excepţia cazului în care abonatul vizat şi-a exprimat în prealabil consimţământul expres pentru a primi asemenea comunicări.

46. Amendă Persoană Fizică – 500 euro – Februarie 2021

Prima amendă aplicată în România unei persoane fizice în calitate de operator de date, apare ca urmare a unei investigații finalizate în luna februarie 2021!

Vedem deseori abuzuri din partea persoanelor fizice în ceea ce privește postările pe rețele de socializare, fie că este vorba de publicarea de documente, liste, fotografii sau video-uri prin care se divulgă date cu caracter personal ale unor altor persoane vizate.

Ce s-a întâmplat?

O persoană vizată a reclamat faptul că pe o rețea de socializare, pe pagina personală a unei persoane fizice care deținea funcția de Secretar General în cadrul unei filiale de sector a unui partid politic, a fost PUBLICATĂ o listă cuprinzând 10 poziții de persoane semnatare / susținători pentru alegerea Consiliului General și a Primarului Municipiului București. În cadrul acestei postări au fost dezvăluite în acest sens: numele, prenumele, semnătura, cetățenia, data nașterii, adresa, seria și numărul actului de identitate și opțiunea politică a persoanelor semnatare.

Obiectul sancțiunii?

Ca urmare a desfășurării investigației, ANSPDCP a constatat că operatorul (persoana fizică) nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel corespunzător riscului prelucrării, astfel acest lucru a condus la divulgarea către publicul larg a datelor mai sus menționate a 10 persoane vizate.
În sensul prezentat mai sus, operatorul și-a încălcat obligația de a respecta principiul integrității și confidențialității datleor.

Totodată, operatorul nu a dat răspuns solicitărilor ANSPDCP, motiv pentru care a fost sancționat cu 2437,35 lei (echivalentul a 500 EURO).

În concluzie, atunci când dorim să postăm diverse informații pe rețelele de socializare, informații care ar putea include date cu caracter personal, să ne asigurăm că respectăm toate principiile impuse de R.G.P.D., în mod aparte principiul integrității și confidențialității datelor.

45. ING BANK N.V. AMSTERDAM – 1000 euro – Ianuarie 2021

O amendă aparte a fost aplicată la sfârșitul lunii ianuarie 2021 către ING Bank.

Specificul acestei amenzi nu ține atât de mult de suma pentru care s-a aplicat (1000 euro) cât pentru obiectul acesteia: banca, a trimis de două ori fișiere către un partener contractual, fișiere care conțineau date neactualizate. Transmiterea de fișiere s-a făcut prin intermediul unei societăți mandatare în scopul emiterii unor polițe de asigurare. Problema a fost că angajații departamentului de monitorizare a polițelor, NU au verificat polițele în conformitate cu procedurile interne, prelucrând astfel date neactualizate fiind afectate datele a 270 de persoane fizice.

ANSPDCP motivează că nu au fost luate suficiente măsuri tehnice și organizatorice înainte de incident, fapt care a condus la încălcarea confidențialității datelor.

44. Qualitance QBS S.A. – 1000 euro – Decembrie 2020

GDPR-ul se aplică tuturor prelucrărilor de date cu caracter personal (excepție fiind cele prevăzute de Regulament), chiar și celor din faza de recrutre a personalului. Astfel, operatorii sunt nevoiți să ia măsuri privind protejarea datelor cu caracter personal ale candidaților încă din perioada recrutării.

Lipsa unor astfel de măsuri, va atrage sancțiuni așa cum și operatorul Qualitance QBS SA a fost sancționat cu 1000 euro datorită faptului că a trimis prin email o informare către 295 de candidați (persoane care și-au oferit datele prin intermediul website-ului operatorului sau diverse aplicații online), devzăluind adresele de email și către ceilalți destintatari (atenție la CC și BCC atunci când trimitem emailuri!).

Care a fost încălcarea? Ei bine compromiterea confidențialității datelor, orice operator având obligația de a implementa măsurit tehnice și organizatorice adecvate (art. 32).

Ce este însă interesant este faptul că ANSPDCP a transmis operatorului că este obligația acestuia să instruiască în mod REGULAT persoanele care lucrează sub autoritatea acestuia, fie că vorbim de angajați fie că vorbim de colaboratori!

43. ING Bank N.V. Amsterdam – Sucursala București – decembrie – 3000 euro

De fiecare dată când avem solicitări din partea persoanelor vizate cu privire la încetarea anumitor prelucrări sau rectificarea anumitor date, este bine să le luăm foarte în serios. O astfel de situație este cea de la ING Bank – Sucursala București, care primise la data de 24.11.2017 o solicitare de închidere a contului curent.

Datorită unei erori de sistem, această cerere de închidere a contului însă, nu a avut ca efect închiderea relației de afaceri cu operatorul, păstrându-se activ statusul contului.

Sesizând autorității această situație, aceasta a constatat că a avut loc o prelucrare de date lippsită de temei legal, prelucrându-se astfel adresa de email, numele și prenumele și data de expirare a cărții de identitate.

Pentru aceasta operatorul a aplicat o amendă de 3000 euro.

42. S.C. C&V Water Control S.A. – 2000 euro – Noiembrie 2020

Lipsa comunicării informațiilor solicitate către ANSPDCP este din nou sancționată. De data aceasta este vorba de suma de 2000 de euro operatorului S.C. C&V Water Control S.A. pentru că nu a dat curs solicitării autorității.

Totodată, operatorului i-a fost aplicată și măsura corectivă de a transmite toate informațiile solicitate anterior.

41. Banca Transilvania SA – 100.000 euro – Noiembrie 2020

Poate cea mai meditatizată amendă a anului 2020 vine chiar înainte de Crăciun.

Ce s-a întâmplat? Un client, obosit de formularistica băncii, a completat într-un mod aparte, amuzant pentru angajații băncii declarația cu privire la modul în care clientul intenționează să folosească suma împrumutată (85.000 euro).

Atașat găsiți declarația clientului

Amuzându-se de această situație, unul din angajații băncii a distribuit-o pe emailul colegilor de serviciu. Ulterior altul dintre angajați a listat emailul care conținea această declarație dar și conversația internă între aganajații operatorului. Ul al treilea angajat a fotografiat cu telefonul mobil înscrisul listat și l-a distribuit prin aplicația WhatsApp cunoscuților. De aici, în foarte scurt timp înscrisul a fost postat și distribuit pe Facebook și pe un website.

Toată această situație a ajuns înapoi în fața clientului care s-a declarat foarte nemulțumit de situație întrucât a condus la dezvăluirea și accesul neautorizat al datelor sale cu caracter personal dar și a angajaților băncii : nume, prenume, email, date comportamentale, preferințe personale, valoarea tranzacției, adresa locului de muncă, funcție, număr de telefon.

Aflând despre incident, operatorul a luat imediat poziție cu privire la acest eveniment, însă, nu a fost suficient pentru a evita sancțiunea de 100.000 euro.

Sesizată ANSPDCP, a demarat o investigație la Banca Transilvania și a constatat că operatorul nu a luat suficiente măsuri pentru a se asiura că salariații acesteia, care au acces la date cu caracter personal nu prelucrează date decât la cererea băncii. Totodată, Autoritatea menționează că această dezvăluire produsă în spațiul public dovedește INEFICIENȚA instruirii angajaților privind respectarea normelor de protecție a datelor cu caracter personal!

În ceea ce privește prejudiciile produse, Autoritatea ne spune că dezvăluirea a generat o serie de prejudicii de natură morală persoanei vizate precum și alte dezavantaje semnificative de natură economică sau socială pentru eprsoana afectată de producerea acestui incident de securitate!

40. Vodafone România S.A. – noiembrie – 4000 euro

Un lucru este cert: ANSPDCP aplică tot mai multe sancțiuni pentru lipsa răspunsurilor solicitărilor – fie că este vorba de Autoritate fie că este vorba de solicitările persoanelor vizate.

Un astfel de caz este și cel al Vodafone, care deși nu este la prima amendă pe care a primit-o, în data de 04.11.20 Autoritatea a finalizat o investigație prin care a amendat operatorul cu 4000 euro sau 19468,8 lei.

Ce s-a întâmplat? Din informațiile primite aflăm că o persoană a depus plângere că nu i s-a oferit răspuns unor cereri de exercitare a drepturilor de acces și de ștergere. Acest lucru a fost probat pe parcursul investigației când Vodafone nu a putut face dovada solicitării acestor cereri.

Ce înțelegem de aici? Așa cum am menționat și în alte cazuri, este nevoie să se trateze cu maximă seriozitate toate solicitările pe care le primim, cu privire la protecția datelor cu caracter personal și a vieții private.

39. DADA CREATION S.R.L. – 5000 euro – Noiembrie 2020

Lipsa măsurilor tehnice și organizatorice pot atrase sancțiuni mari pentru un o mică afacere de tipul magazin online. Putem vedea acest lucru din investigația demarată de Autoritatea Națională de Supraveghere la operatorul DADA CREATION S.R.L.

Ce s-a întâmplat? A fost reclamat următorul fapt: prin website (magazin online https://botezdepoveste.ro/) operatorul a făcut publice o serie de înregistrări detaliate ale tranzacțiilor recepționate, astfel următoarele date ale clienților (persoane fizice) au fost expuse: e-mail, numere de telefon, nume și prenume clienți (persoane adulte și minori), vârstă minori, adrese de livrare, număr comandă, suma totală a comenzii, produsele comandate și data efectuării comenzii.

În total vorbim de 1091 de persoane vizate (persoane fizice) ale căror date au fost divulgate și expuse unui acces neautorizat!

De ce s-a ajuns la această situație? Autoritatea ne menționează că această încălcare a securității datelor a fost posibilă datorită faptului că operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării.

Ce sancțiuni au fost aplicate? Pentru cele menționate mai sus ANSPDCP a aplicat o amendă în cuantum de 24.272,50 lei echivalentul a 5.000 euro, în baza art. 32 alin. (1) și (2). Poate ne gândim că nu este o amendă uriașă însă, raportată la cifra de afaceri pe anul 2019 (103.494 euro) și la profitul net de 7.317 euro (conform https://www.risco.ro/en/verifica-firma/dada-creation-cui-36446498), vorbim de o amendă aplicată pe o sumă de 5,1% din cifra de afaceri!

Totodată operatorului i-a fost aplicat un avertisment întrucât nu a notificat Autoritatea acest incident de securitate (aceasta aflând de el dintr-o altă sursă), încălcând prevederile art. 33 din RGPD.

Nu în ultimul rând, așa cum era de așteptat, operatorului i s-a aplicat și măsura corectivă de revizuire și actualizare a măsurilor tehnice și organizatorice pentru a fi evitate evenimente similare pe viitor.

38. Amendă Globus Score SRL – Septembrie 2020

Dacă ne gândim că poate odată amendată o companie, este mică probabilitatea ca acest lucru să se întâmple (afară de cazul în care este vorba de o companie foarte mare), ei bine ANSPDCP ne arată că acest lucru se poate întâmpla:

Compania de publicitate Globus Score SRL (doi anajați conform informațiilor publice), a fost amendată în toamna anului trecut – noiembrie 2019, pentru că nu au transmis în scris toate informațiile solicitate ANSPDCP.

Același lucru însă se întâmplă și anul acesta când operatorul, din nou nu a dus la îndeplinire măsura corectivă dispusă de a furniza informațiile cerute de ANSPDCP.

Pentru aceasta Autoritatea a sancționat compania cu 2000 euro și a făcut menționea că se aplică și măsura corectivă de a transmite toate informațiile solicitate cu mențiunea că se poate aplica o amendă de până la 4% din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior (art. 83 alin. 5 lit. e).

În concluzie, recomandăm tratarea cu cea mai mare seriozitate a solicitărilor venite atât din partea persoanelor vizate cât și din partea ANSPDCP.

38. S.C. Marsorom S.R.L. – 3000 euro – Octombrie 2020

Poate avem o mică afacere, într-o localitate mică și ne gândim că mai putem amâna implementarea standardului R.G.P.D. în firmă, ori că ne permitem scăpări pentru că Autoritatea e din București și are suficienți operatori mari de care să se ocupe, ei bine o nouă investigație ne arată contrariul.

Este vorba de o investigație finalizată de ANSPDCP la S.C. MARSOROM S.R.L., un operator care comercializează anvelope. Ce s-a întâmplat? O persoană vizată a sesizat către Autoritate că pe website-ul operatorului puteau fi văzute unele date cu caracter personal de ale clienților acestuia. În mod evident, o astfel de divulgare neautorizată de date (a persoanelor care au plasat comenzi), nu corespunde normelor prevăzute de Regulament.

Pentru acest motiv, cu ocazia investigației, Autoritatea a constatat că operatorul nu a luat suficiente măsuri de securitate care să prevină accesarea și divulgarea datelor. Pentru acest motiv a aplicat o amendă de 14574,9 lei (3.000 euro).

Totodată, Autoritatea a recomandat următoarele: să stabilească o perioadă de stocare mai scurtă a datelor personale aferente conturilor clienților pentru respectarea principiului limitării stocării.

37. Asociația de proprietari Militari R – 2000 euro – Octombrie 2020

Asociațiile de proprietari sunt în vizorul Autorității și alte aspecte decât cele întâlnite până acum: utilizarea neconformă a sistemelor de supraveghere CCTV, lipsa informării etc. De data aceasta, Asociația de proprietari Militari R a fost sancționată pentru că nu a oferit răspuns solicitărilor A.N.S.P.D.C.P.

Cazul de față, privește o plângere depusă de persoana vizată care a reclamat faptul că nu i s-a răspuns la cererea trimisă asociației de proprietari. Ca urmare a solicitărilor de clarificări venite din partea Autorității, asociația nu a oferit răspuns nici de această dată.
Pentru acest motiv, a fost aplicată o amendă de 9.659 lei (2000 euro) operatorului și obligația de a da răspuns adreselor în termen de 5 zile.

36. Megareduceri TV S.R.L. – Octombrie 2020 – 3000 euro

La data de 01.10.2020 ANSPDCP ne anunță că a finalizat încă o investigație asupra operatorului MEGAREDUCERI TV S.R.L. care a avut ca obiect cercetarea faptului că operatorul a trimis mai multe sms-uri pe telefon cu privire la serviciile website-ului www.reducereazi.ro unor persoane care nu și-au exprimat consimțământul în acest sens.

Totul a început de la plângerile depuse de mai mulți petenți în sensul precizat mai sus, Autoritatea a demarat investigația, a solicitat o serie de clarificări cărora nu li s-a dat curs (nu a răspuns adreselor)! Pentru acest fapt, s-a aplicat o amendă de 14.519 lei (3000 euro) dar și măsura corectivă de a oferi răspuns în termen de 5 zile calendaristice.

35. Amendă Sănătatea Press Groul S.R.L. – Septembrie 2020 – 2000 euro

Domeniul medical a ajuns și în atenția ANSPDCP prin Sănătatea Press Groul S.R.L. care a fost sancționată cu 2000 euro = 9671,40 lei pentru că o încălcare a securității datelor.

Despre ce este vorba?

Cauza: Ca urmare a notificării operatorului, Autoritatea finalizat o investigație în luna august prin care a constatat că acesta nu a reușit să garanteze un nivel ridicat de securitate și confidențialitate a datelor.

Specific: Operatorul a organizat un eveniment online cu aproximativ 1300 de persoane vizate, pentru care a transmis în mod eronat datele de logare: email și nume utilizator. Practic s-au trimis alte adrese de email decât cele cu care își creaseră cont pe platforma electronică.

Temei legal încălcat: ANSPDCP a menționat că a fost încălcat astfel art. 5 alin. (1) lit. f) raportat la art. 32 alin. (1) și (2) din RGPD, operatorul având obligația de a prelucra datele într-un mod prin care este asigurată securitatea datelor inclusiv împotriva prelucrării neautorizate, cum a fost cazul de față.

Alte măsuri: Nu au fost recomandate măsuri care trebuie luate de către operator.

Concluzie: Eroarea este umană. Cu toate acestea Autoritatea ne spune că atunci când prelucrăm date, mai ales atunci când este vorba de baze de date este foarte important să fim extrem de atenți la felul în care le gestionăm, pentru că altfel, vom fi sancționați.

34. Asociația de proprietari Bl. FC 5, orașul Năvodari, jud. Constanța – 500 euro – Noiembrie 2019

Supravegherea video este deseori foarte deranjantă pentru persoanele vizate: vecini, colocatari, angajați sau clienți. De data aceasta însă, ANSPDCP a finalizat o nouă investigație la începutul lunii septembrie care va avea o rezonanță puternică în rândul operatorilor de date – asociații de proprietari.

Cauza: Deși nu este primul caz de acest fel, în luna noiembrie 2019 ANSPDCP a mai amendat o asociație de proprietari, de data aceasta, Autoritatea ne arată că prin sistemul instalat de Asociația de proprietari Bl. FC 5, orașul Năvodari, jud. Constanța s-au realizat prelucrări de date ilegale.

Specific: Ce s-a întâmplat în fapt? Unul dintre locatarii blocului a depus o plângere acuzând utilizarea și dezvăluirea către diverse persoane, fără un temei legal valid, a unor imagini cu persoana sa. Ce reiese din comunicatul Autorității este că imaginile au fost extrase din sistemul de supraveghere video instalat și au fost afișate la avizierul imobilului.

Temei legal încălcat: Constatând aceste fapte, Autoritatea a amendat Asociația de proprietari Bl. FC 5 cu 500 de euro sau 2417,5 lei pentru că a încălcat dispozițiile art. 5 și 6 ale GDPR, neexistând un temei legal valid, mai exact au fost încălcate condițiile privind consimțământul persoanei.

Alături de acest aspect, ANSPDCP a mai aplicat două avertismente:
– unul pentru neadoptarea de măsuri de securitate, tehnice și organizatorice adecvate prin raportare la asigurarea protecției datelor începând cu momentul conceperii și în mod implicit (privacy by design & privacy by default). Practic sistemul prin care s-au prelucrat datele nu au respectat aceste principii și totodată, raportându-ne la obligațiile persoanei împuternicite de operator, acestea nu au fost respectate.
– altul pentru lipsa informării complete a persoanelor vizate. Practic în acest fel au fost încălcate drepturile persoanei vizate, în mod aparte dreptul de a fi informat.

Alte măsuri:
Pentru ca lucrurile să fie remediate, ANSPDCP dispus și două măsuri corective:
– De a informa în mod corect persoanele vizate, într-un loc vizibil, în imediata apropiere a camerelor instalate.
– De a adopta măsuri tehnice și organizatorice adecvate pentru protejarea datelor cu caracter personal prelucrate, în mod specific: dezactivarea aplicației prin care se permite accesarea la distanță a imaginilor prin internet, stabilirea unui număr limitat de persoane care să aibă acces, a drepturilor alocate fiecăreia dintre acesteia, să fie oferite niște instrucțiuni clare despre persoanele care prelucrează date sub autoritatea asociației.

Concluzie: Chiar dacă am instalat un sistem de supraveghere video în spațiul administrat de noi, de operatori, în baza unui contract cu o firmă specializată, motivând instalarea sub temeiul legal al Legii 333/2003 privind paza și protecția bunurilor, este nevoie să fie luate o serie de măsuri pentru asigurarea conformității cu RGPD. Printre aceste măsuri se numără: informarea corectă a persoanei vizate, stabilirea accesului în mod concret la filmări, nedistribuirea / nepublicarea filmărilor fără un temei legal valid și asigurarea securității și confidențialității datelor.

33. Compania Națională Poșta Română – 2000 euro – iulie 2020

Securitatea datelor este o problemă des întâlnită în rândul operatorilor. În acest sens, nici companiile de stat nu fac excepție de la aplicarea amenzilor, astfel Poșta Română a primit o amendă de 2000 euro.

Cauza: Compania Națională Poșta Română a constatat că a încălcat principiul securității datelor prevăzut de art. 32 din GDPR și astfel a notificat acest lucru ANSPDCP.

Specific: Operatorul Poșta Română a fost sancționat deoarece nu a luat suficiente măsuri pentru a preveni accesul ilegal / neautorizat la date cu caracter personal, în speță este vorba de adrese de email și numere de telefon, de pe platforma AWB a poștei. (www.awb.posta-romana.ro) ceea ce a dus la compromiterea a 81 de persoane vizate.

Temei legal încălcat: Temeiul legal încălcat este art. 32 din GDPR, în concret operatorul nu a implementat măsuri tehnice și organizatorice, cum ar fi pseudonimizarea datelor, atât în momentul stabilirii mijloacelor de prelucrare cât și ulterior în momentul prelucrărilor.

Concluzie: Este foarte important ca atunci când gândim o nouă procedură, dezvoltăm un soft intern sau o aplicație să respectăm principiile prevăzute de Regulament, în mod aparte privacy by design. În acest fel ne putem asigura că evităm eventualele sancțiuni și nu vom fi nevoiți să remodelăm acea procedură, soft, sau aplicație dezvoltat.

32. S.C. Viva Credit IFN S.A. – 2000 euro – iulie 2020

ANSPDCP a finalizat o nouă investigație care s-a concretizat într-o amendă de 2000 euro pentru încălcarea unor norme aparte! Despre ce este vorba?

Cauza: Operatorul S.C. Viva Credit IFN S.A. a fost sancționat întrucât nu a dat curs cererii petentului.

Specific: Persoana vizată și-a exprimat dreptul de ștergere printr-o solicitare adresată operatorului. Acesta însă nu a dat curs, mai mult nu a transmis nici o informație referitoare la acțiunile întreprinse în urma cererii în cel mult o lună (sau maxim 3 luni, prezentând și motivele întârzierii).

Se prea poate ca operatorul să fi comunicat pe altă cale răspunsul? Tot ce se poate, însă ANSPDCP a constatat că nu a comunicat răspunsul la adresa de contact (email) sau la adresa de domiciliu existentă în evidențele sale.

Temei legal încălcat: În acest sens s-a încălcat obligația GDPR din art. 12 alin (3) și (4) – care prevede termenul de o lună (atenție, nu 28,29, 30 sau 31 zile!) și informarea care trebuie făcută.

Alte măsuri: De ce îți e frică nu scapi, zice vorba din popor. Autoritatea de supraveghere a obligat operatorul, în ciuda amenzii aplicate să ofere răspuns petentului la cererea depusă în termen de 5 zile de la comunicarea procesului verbal.

Concluzie: Atunci când avem de a face cu o solicitare din partea persoanei vizate, este recomandat să acționăm cu maximă responsabilitate și promptitudine.

31. SC CNTAR TAROM SA – 5000 euro – iulie 2020

La începutul lunii iulie 2020 ANSPDCP a finalizat o investigație demarată ca urmare a unei notificări privind încălcarea securității datelor tocmai de către operator!

Cauza: Operatorul a raportat un incident la Autoritate, incidentul privind încălcarea securității datelor.

Specific: accesul neautorizat la datele a cinci pasageri TAROM și divulgarea neautorizată a acestor date au constituit principalele cauze pentru care operatorul a fost amendat. Astfel, s-a adus atingere confidențialității datelor prin lipsa măsurilor tehnice și organizatorice adecvate din partea operatorului. În acest sens datele au fost prelucrate de către unul din angajații operatorului cu nerespectarea normelor mai sus amintite.

Temei legal încălcat: art. 32 alin. (4), art. 32 alin. (1) lit. b) și alin. (2) din Regulamentul General privind Protecția Datelor.

Alte măsuri: Ca de cele mai multe ori, Autoritatea a aplicat și alte măsuri suplimentare precum cea de actualizare și revizuire a procedurilor de lucru existente și mai mult decât atât a îndemnat spre instruirea periodică a angajaților.

Ce concluzie putem trage din această amendă? Ei bine că în ciuda faptului că numărul persoanelor vizate este mic (5 – cinci) ANSPDCP are în vedere și alte coordonate atunci când individualizează pedeapsa (precum nivelul de intruziune în viața privată a omului, măsurile luate de operator pentru limitarea riscurilor, nivelul de expunere a datelor cu caracter personal divulgate și alte asemenea.

p.s. Într-o logică naturală a lucrurilor, raportându-ne la un număr de câteva sute de mii de persoane vizate într-o pierdere de date suferită de pe urma unui atac cibernetic, putem considera că este justificată, în ochii Autorității, amenda anunțată de ICO pentru British Airways de peste 183 mld. Lire sterline.

30. Proleasing Motors – 15.000 euro – iulie 2020

În luna iunie 2020 ANSPDCP a finalizat o nouă investigație prin care a aplicat o amendă care cuprinde următoarele specificități:

Cuantum: 15.000 euro = 72.642 lei

Cauza: Investigația a fost cauzată de trimiterea de către operator a unei notificări privind încălcarea securității datelor cu caracter personal prin completarea unui formular. Practic, operatorul s-a denunțat privind acest incident, și cu toate acestea, a fost sancționat.

Specific: Operatorul a organizat un concurs online pe Facebook pentru a atrage clienții la service-ul auto. În acest context a fost postat un document cu o captură din codul sursă al website-ului în care era inclusă și parola de acces la formularele completate de participanții la concurs.
Situația a expus în acest fel un număr de 436 clienți a operatorului prin vizualizarea și accesul neautorizat la date.

Temei legal încălcat: art. 32 RGPD – Securitatea Datelor

Motivarea sancțiunii: operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului existent.

Ce mai cunoaștem este că ANSPDCP a pus în vedere operatorului să ia măsuri prin care astfel de situații să fie evitate pe viitor. În acest sens, Autoritatea a prevăzut adaptarea procedurilor de lucru interne ale operatorului, în mod specific acele proceduri care privesc comunicările în mediul online.

29. Enel Energie Muntenia SA – 4000 euro – mai 2020

După o amendă de 3000 euro în decembrie 2019, o alta tot de 3000 euro în martie 2020, ANSPDCP ne anunță că a aplicat S.C. Enel Energie Muntenia S.A. o amendă de 4000 euro (19368,4 lei) pentru că a încălcar prevederile Regulamentului General privind Protecția Datelor.

Amenda privește un caz de încălcare a securității și confidențialității datelor cu caracter personal prin transmiterea eronată unui client, a unor documente ce conțineau datele altui client. Persoana vizată care a suferit această intruziune în viața privată a depus o plângere iar ca urmare s-a demarat o investigație.

Autoritatea, a constatat gravitatea faptelor și a aplicat amenda sus meționată, iar pe lângă aceasta, a impus operatorului implementarea unor măsuri adecvate și eficiente (foarte important, deci nu doar formale) pentru a se evita pe viitor astfel de situații.

28. Telekom România Communications SA – 3.000 euro – aprilie 2020

Este pentru a doua oară când Telekom este sancționată și întâmplarea face ca să fie vorba de încălcarea aceluiași principiu – al exactității datelor. Dacă la amenda trecută – cu numărul 16 în listă – a fost vorba de trimiterea unor facturi la adrese de corespondență greșite, de data aceasta lucrurile sunt mai grave.

Astfel, ca urmare a unei plângerii depuse de persoana vizată, ANSPDCP a demarat o investigație cu privire la utilizarea în mod fraudulos / ilegal a datelor cu caracter personal, la încheierea unor contracte pe numele acesteia. Se pare că persoana vizată era abonat al Telekom, exista un contract preexistent, însă datele din contract i-au fost luate (încălcând astfel normele cu privire la securitate art. 32 din GDPR), fără a fi verificate corectitudinea acestora și s-au contractat alte servicii.

Ce putea face mai mult operatorul și nu a făcut? Ei bine Autoritatea constată că nu a luat măsuri de securitate suficiente care să includă verificarea exactității datelor colectate telefonic (la distanță) atunci când s-au încheiat contractele. Practic a fost o scăpare procedurală și o eroare umană la mijloc.

Astfel, s-a aplicat o amendă de 3.000 euro = 14524.2 lei, dar două măsuri corective importante: implementarea unor proceduri eficiente de identificare la distanță a persoanelor și măsura instrurii regulate / periodice a respectării normelor aplicabile GDPR. Scopul acestor măsuri este de a împiedica ca pe viitor să se mai petreacă astfel de prelucrări ilegale și dezvăluiri neautorizate de date cu caracter personal.

27. Estee Lauder România SRL – 3.000 euro – aprilie 2020

Prelucrările de date excesive sau lipsite de temei legal au fost sancționate și în perioada pandemiei. Astfel, operatorul Estee Lauder România SRL (domeniul produselor cosmetice) a fost sancționat cu 3.000 euro = 14483,4 lei pentru că a colectat și dezvăluit în mod ilegal date printre care: numele, prenumele, numărul de telefon, data nașterii și informații privind starea de sănătate a unei persoane vizate.

Bineînțeles, la plângerea depusă de această persoană vizată, Autoritatea a demarat o investigație pentru a analiza conformitatea cu GDPR-ul și a constatat toate cele menționate mai sus.

Un aspect important care reiese din decizia Autorității, lucru valabil pentru toți operatorii din România este instruirea în mod periodic a personalului în domeniul protecției datelor și a vieții private. Instruirile după cum reiese din comunicat trebuie să aibă o componentă practică ridicată, fiind analizate / dezbătute fiecare situație de prelucrare de date pentru a se e diminua riscurile și astfel încălcările.

26. AMENDĂ BCR – WHATSAPP – 5000 euro – aprilie 2020

FINALIZARE cercetare: 14.04.2020 – APRILIE

Whatsapp-ul este de cele mai multe ori o binecuvântare pentru mulți dintre noi pentru că putem comunica mai ușor, mai eficient, mai util. Putem să ne scriem mesaje, trimite fotografii sau înregistrări vocale. Putem să îl accesăm de pe telefon sau de pe laptop sau calculator cu opțiunea Web. Astfel, Whatsapp-ul a apărut chiar și în comunicările profesionale, în mediul de afaceri luând forma a diverse grupuri de lucru. Cu toate acestea, specialiștii din protecția datelor de la ANSPDCP ne arată că nu este și un mediu sigur care să garanteze securitatea prelucrărilor. În acest sens, putem vedea o nouă amendă aplicată de Autoritate către Banca Comercială Română (BCR) în cuantum de 5.000 euro sau 24.165.50 lei.

Ce s-a întâmplat? Ei bine, o angajată a operatorului, nerespectând procedura de lucru internă, a colectat copii ale actelor de identitate ale clienților băncii (între care minori și reprezentanți legali) prin intermediul telefonului personal. Folosindu-se de aplicația WhatsApp, a trimis copii ale acestor acte către alte persoane din bancă. Pe de o parte vedem prelucrarea datelor prin intermediul telefonului personal, care ridică probleme, pe de alta, comunicarea prin WhastApp. Această situație bineînțeles a nemulțumit anumite persoane vizate, care au depus plângere la ANSPDCP.

Ce a constatat Autoritatea? Odată demarată ancheta, Autoritatea constată că responsabilitatea securității datelor o are operatorul, adică BCR și că acesta nu a implementat măsuri adecvate în vederea asigurării unui nivel de securitate corespunzător cu riscul prelucrării (folosirea telefoanelor personale + folosirea Whatsapp). Totodată, ANSPDCP a constatat că BCR nu a luat măsuri pentru a se asigura că orice angajat care acționează sub autoritatea bănncii și bineînțeles, prelucrează date, nu o face decât la cererea operatorului!

Temeiul legal? În acest sens, pentru încălcarea prevederilor art. 32 alin. (4) coroborat cu art. 32 alin. (1) și alin. (2) din Regulamentul General privind Protecția Datelor, referitoare la securitatea prelucrărilor, s-a aplicat amenda sus menționată.

25. Vodafone România – 20.000 lei – martie 2020

Unul din cele mai importante aspecte pe care trebuie să le avem în vedere atunci când prelucrăm date, este următorul: să fim atenți la ce facem! Datele cu caracter personal sunt proprietatea persoanei vizate. Cu un mic exercițiu de imaginație putem vedea lucrurile altfel: Ți-ai comandat ultimul model de Iphone, te-a costat cam două salarii lunare iar după ce l-ai ridicat din magazin, pe stradă te oprește un cetățean să te roage să îi dai telefonul să se uite cât e ceasul. I-l dai? Nu, îi spui tu cât e ceasul! Mai mergi câțiva pași și o doamnă, de la chioșcul de ziare îți spune că te roagă să îi dai telefonul să facă câteva fotografii la principalele ziare locale, pentru a și le trimite pe WhatsUp. Îl dai? Nu, faci tu pozele! În cele din urmă te oprești să îți cumperi un covrig și vrei să plătești cu noul telefon achiziționat. Cu toate acestea, angajatul covrigăriei, plin de ulei pe mâini, îți cere telefonul să atingă cu el aparatul de înregistrare plăți. Te gândești de două ori, dacă îl ia și având mâinile alunecoase de la ulei îl scapă pe jos și ți se sparge ecranul? Deci suntem atenți cu proprietatea noastră! La fel trebuie să fie fiecare angajat al operatorilor care lucrează cu date cu caracter personal în mod curent.

Lipsa atenției, simpla greșeală costă mult, după cum ne arată o sancțiune aplicată operatorului Vodafone România, în valoare de 20.000 lei. O petentă s-a adersat autorității printr-o sesizare spunând că are suspiciuni că datele sale cu caracter personal ar fi putut fi dezvăluite unei terțe persoane, lipsite de interes. Ce s-a întâmplat? Într-una din zile, tastând telefonul, a intrat pe website-ul Vodafone și a cerut o ofertă, însă, ulterior a primit pe adresa de email un contract încheiat între Vodafone și o altă persoană vizată. Acest fapt i-a ridicat întrebări dar și suspiciunea că datele sale personale ar fi fost dezvăluite unei persoane, petrecându-se la mijloc o confuzie, o eroare!

Efectuând o investigație, Autoritatea a constatat că într-adevăr, lucrurile s-au petrecut întocmai iar operatorul nu a luat măsuri suficiente de securizare și de protecție a datelor și nici de garantare a confidențialității acestor date.

24. Dante International SA (Emag) – 3000 euro – martie 2020

Dacă încă nu ne-am convins că nu putem face comunicări comerciale, spre exemplu, nu putem trimite newsletter unei persoane care s-a dezabonat de la această opțiune, ANSPDCP vine să ne confirme acest lucru! În acest sens, ca urmare a unei sesizări, operatorul Dante International SA a fost sancționat cu 3000 euro sau 14.420,4 lei pentru că nu a respectat prevederile referitoare la legalitatea prelucrării.

Despre ce e vorba?

Ei bine, orice persoană vizată are dreptul de a se opune prelucrărilor de date cu caracter personal atunci când datele sunt prelucrate în scop de marketing direct. Astfel, nerespectarea acestei dorințe, plasează prelucrarea în sfera ilegalității, iar în cazul în care persoana vizată se decide să raporteze acest fapt, cu Autoritatea de Supraveghere va acționa prompt, aplicând amendă dar și măsuri corective!

23. Enel Energie Muntenia SA – 3000 euro – martie 2020

O situație aparte o privește comunicările electronice pe email și atenția pe care trebuie să o acordăm atunci când trimtem un email. Uneori suntem grăbiți, alteori obosiți sau pur si simplu ni se întâmplă să fim neatenți, să compunem un email și să greșim numele destinatarului sau să introducem o adresă greșită iar emailul nostru să ajungă la altcineva. Fiecăruia dintre noi ni s-a întâmplat acest lucru, însă ANSPDCP ne arată foarte clar că dacă o astfel de comunicare presupune o divulgare de date nepermisă, operatorul va fi sancționat.

Acesta este cazul operatorului Enel Energie Muntenia SA, care a fost sancționat ca urmare a unei investigații declanșate la sesizarea unui client. Clientul, vătămat în drepturile sale, depunând dovezi, adresează Autorității o plângere prin care prezintă în ce fel i s-a adus atingere drepturilor. Constatând veridicitatea lucrurilor ANSPDCP a aplicat o amendă de 3000 euro sau mai specific de 14.423,7 lei pentru că într-adevăr unul din angajații operatorului a trimis la o adresă greșită: numele și prenumele, adresa, emailul, codul de client și codul eneltel unui alt client!

22. Asociația ,,SOS Infertilitatea” – 2000 euro – martie 2020

Ceea ce știm cu toții este că dezvăluirea de date cu caracter personal este strict interzisă, atât timp cât nu avem un temei legal al acestei dezvăluiri. Așa s-a întâmmplat și în cazul Asociației ,,SOS Infertilitatea”, împotriva căreia o persoană vizată a depus o sesizare pentru că ar fi dezvăluit date cu caracter personal fără consimțământul său.

Ca urmare a obligației de verificare a informațiilor ANSPDCP a contactat telefonic președintele asociației, care a cerut ca astfel de solicitări să se facă pe o anumită adresă de email. Cu toate acestea, operatorul nu a dat nici un fel de curs solicitării!

Pentru această nerespectare, ANSPDCP a aplicat o amendă de 2000 euro, sau mai exact 9529,2 lei.

21. Vodafone S.A. – amenda 3000 Euro – Martie 2020

ANSPDCP ne informează că la data de 11.02.2020 a finalizat o nouă investigație prin care a constatat că un cunoscut operator de telefonie mobilă din România, Vodafone România S.A. a încălcat prevederile GDPR.

Care a fost încălcarea? Situația de fapt descrisă de către Autoritate arată în felul următor: o anumită persoană a depus o reclamație la Vodafone, însă datele de pe reclamație au fost preluate în mod greșit de către angajații operatorului. Ca urmare atunci când s-a căutat transmiterea răspunsului către reclamant, emailul a fost trimis către o adresă greșită. Astfel, vorbim despre o persoană vizată, o preluare greșită de informații, un email transmis la o adresă eronată.

Relevanța juridică? Ei bine, GDPR-ul ne obligă să păstrăm datele exacte, sau după caz să le actualizăm dacă se impune și în același timp să luăm măsuri de securitate împotriva prelucrărilor ilegale ale persoanei vizate. Pierderea și transmiterea eronată în acest caz este sancționabilă!

Pentru că în toate aceste situații, responsabilitatea revine operatorului de date, ca urmare a investigației, ANSPDCP a aplicat o amendă de 3.000 de euro sau 13208,8 lei operatorului Vodafone!.

Alături de această măsură, a mai fost aplicată și o măsură corectivă, în concret: de a notifica operatorul sau persoana împuternicită de operator cu privire la încălcare!

În privința soluțiilor propuse pentru a evita pe viitor astfel de situații, Autoritatea a obligat operatorul să ia măsuri suplimentare în procedurile de colectare a datelor, să ia măsurile tehnice și organizatorice potrivite scenariului și să instruiască personalul care prelucrează date la intervale de timp regulate.

În concluzie ce putem învăța din această sancțiune este că fiecare dată cu caracter personal contează, fiecare operațiune este important și orice scăpare a operatorului va fi sancționată.

20. Entirely Shipping & Trading S.R.L. – 2 amenzi a câte 5000 euro – decembrie 2019

– 2 avertismente

– 4 măsuri corective

Sancțiunile primite de operator au fost aplicate pentru încălcarea GDPR în relația cu angajații. Astfel, acesta s-a folosit de mijloace de supraveghere audio-video fără o informare corectă a persoanelor vizate. Acestea au fost instalate în birourile angajaților, în vestiare și în sala de mese, supravegherea fiind una continuă. Având în vedere că aceasta prelucrare este una invazivă, Entirely Shipping & Trading S.R.L. nu a putut face dovada unui interes legitim justificat care  să prevaleze asupra intereselor sau drepturilor și libertăților fundamentale ale persoanelor vizate.

Tot în relația cu angajații, operatorul a condiționat accesul în anumite locații prin folosirea amprentei. Prelucrarea datelor biometrice prin intermediul sistemului de control acces nu erau colectate în scopuri adecvate, relevante și limitate la ceea ce era necesar în raport cu scopurile în care erau prelucrate.

Nu au fost respectat 2 principii foarte importante ale GDPR și anume:

  • Principiul legalității – operatorul nu a avut un temei legal valid pentru prelucrările audio-video
  • Principiul transparenței – operatorul nu a informat adecvat persoanele vizate

În cazul acestor prelucrări de date era nevoie ca operatorul să facă următorii pași:

  1. Consultarea sindicatului înainte de instalarea sistemului de supraveghere audio-video
  2. Dovedirea faptului că alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența
  3. Implementarea unei politici de securitate a datelor cu caracter personal
  4. Implementarea de măsuri tehnice si organizatorice în vederea asigurării unui nivel de securitate corespunzător
  5. Evaluare de impact asupra protecției datelor
  6. Informarea corectă a persoanelor vizate prin comunicarea într-o formă concisă, transparentă, inteligibilă și ușor accesibilă a tuturor informațiilor prevăzute de art. 13 din GDPR
  7. Reducerea la minimum a prelucrărilor de date cu caracter personal

19. Hora Credit IFN S.A – 3000 euro, 10.000 euro, 1000 euro (decembrie 2019)

În urma investigațiilor făcute de ANSPDCP la operatorul Hora Credit IFN S.A. s-a constat faptul că acesta a încălcat mai multe prevederi ale Regulamentului GDPR.

Transmiterea pe e-mail a unor documente care nu aparțineau persoanei vizate a condus la un lanț de incidente (breșă de securitate, dezvăluirea neautorizată, folosirea datelor cu caracter personal inexact).

Deși persoana care a primit acel e-mail a notificat operatorul în timp util, prin 2 mijloace de comunicare, nu au fost luate măsuri pentru a remedia eroarea. Mai mult decât atât, operatorul a continuat să trimită mesaje spre căsuța de e-mail respectivă.

De asemenea, operatorul nu a notificat ANSPDCP cu privire la breșa survenită, obligație care îi revine în urma descoperii incidentului.

Neaplicarea unor mecanisme eficiente de verificare și validare a exactității datelor colectate și ulterior prelucrate, respectiv, de păstrare a confidențialității acestora, conform principiilor prevăzute la art. 5 din RGPD și faptul că nu au fost luate măsuri suficiente pentru securizarea datelor cu caracter personal .

Vă invităm să citiți articolul ”Proceduri și politici de securitate IT”, pentru conformarea la GDPR pentru o înțelegere mai exactă a principiilor de securizare a datelor cu caracter personal și a măsurilor care sunt necesare a se lua, în mediul informatizat.

18. SC Enel Energie S.A. – 2 amenzi a câte 3000 euro (decembrie 2019)

Amenzile au fost aplicate pentru prelucrarea fără consimțământ a datelor cu caracter personal și fără păstrarea principiului exactității.

Operatorul nu a dat cursul cererii de ”opt-out” (dezactivarea notificărilor) făcute de persoana vizată, deși acesta și-a exercitat dreptul în mai multe rânduri.

Pentru prima dată, ANSPDCP ne înștiințează că operatorul a achitat amenzile, asta însemnând că nu au contestate in instanță. Un semn de bună credință și de dovadă a faptului că se poate învăța din greșeli și accepta că respectarea protecției datelor cu caracter personal este o OBLIGAȚIE nu o opțiune.

Articolul ”GDPR România – importanța protecției datelor cu caracter personal” vă poate ajuta să înțelegeți mai bine importanța respectării GDPR.

 

17. Asociație de Proprietari – 500 euro (noiembrie 2019)

În urma investigației s-a constatat că Asociația de Proprietari nu a adoptat suficiente măsuri de securitate, tehnice și organizatorice, adecvate pentru protejarea datelor personale colectate prin intermediul sistemului de supraveghere video. Plângerea a venit de la o persoană fizică care a sesizat accesarea fără temei legal a imaginilor video din sistemul de supraveghere CCTV al Asociației de Proprietari.

Tot în urma acestei investigații s-a constatat că lipsea informarea prin postarea unor avertizări și note de informare în apropierea locurilor unde sunt montate camerele video.

De asemenea ANSPDC a dispus măsura de a se sigura conformitatea cu RGPD a operațiunilor de prelucrare prin adoptarea unor măsuri de securitate, tehnice și organizatorice, adecvate pentru protejarea datelor personale colectate prin intermediul sistemului de supraveghere video, inclusiv sub aspectul integrării principiilor de protecție a datelor (cum ar fi cel al stocării limitate a înregistrărilor), al stabilirii unui număr limitat de persoane care să aibă acces la acest sistem, al drepturilor ce pot fi alocate fiecăreia dintre acestea, al prevederii unor instrucțiuni clare de prelucrare pentru persoanele care prelucrează date sub autoritatea asociației, astfel încât să se evite accesarea, diseminarea sau prelucrarea în alt mod neautorizat a datelor personale prelucrate prin intermediul acestui sistem, conform art. 25 și art. 32 din RGPD, în termen de 30 zile de la data comunicării prezentului proces-verbal (art. 58 alin. (2) lit. d) din RGPD).

16. Telekom Romania Mobile Communications SA – 2000 euro (noiembrie 2019)

Operatorul de telecomunicații este primul amenda pentru nerespectarea principiului ”exactității datelor”.

Nerespectarea confidențialității datelor cu caracter personal, prin trimiterea facturilor la adrese de corespondență greșite. Astfel, eroare a dus la o breșă de securitate, prin dezvăluirea datelor cu caracter personal.

Cu toate că petentul a adus la cunoștința operatorul eroarea și a cerut remedierea, acesta din urma nu a dat curs cererii sale, continuând practica. Mai mult decât atât, în urma investigațiilor Telekom nu a putut face dovada exactității datelor cu caracter personal pe care le prelucrează.

Un model de bună practică pe care îl putem învăța de aici, este de a da curs întotdeauna solicitărilor persoanelor vizate. O cerere este și o avertizare și o oportunitate de a remedia lucrurile, pe care, uneori, operatorii nu le au în vedere.

15. Modern Barber S.R.L – 3000 euro (noiembrie 2019)

      Nicola Medical Team 17 SRL – 2000 euro (noiembrie 2019)

      Globus Score SRL – 2000 euro (noiembrie 2019)

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a amendat in cursul zilelor de 13.12.2019 si 16.12.2019 3 operatori de date cu caracter personal, în baza acelorași prevederi din Regulament și anume art. 83 (UE) 679/2016.

Cei 3 operatori nu au trimis către ANSPDCP în scris, toate informațiile solicitate, în termen de 10 zile calendaristice de la comunicarea procesului-verbal.

De asemenea nici unul din operatori nu a dus la îndeplinire masurile corective aplicate de Autoritate.

Din comunicat putem înțelege că este vorba despre investigații unde Autoritatea a dat dovadă de clemență, aplicând doar măsuri corective și indicații, oferindu-le operatorilor timp pentru a le duce la îndeplinire. Astfel, vedem că rolul ANSPDCP nu este doar de a speria și de a amenda.

Amenzile au fost aplicate operatorilor care au ignorat indicațiile și nu au luat măsurile necesare de conformare oferite în urma unor investigații.

Stimați colegi, operatori și specialiști, Autoritatea vine în ajutorul nostru. Să dăm dovadă de bună voință și profesionalism.

14. ING Bank N.V. Amsterdam – Sucursala București – 80.000 euro (noiembrie 2019)

În data de 04.11.2019, ANSPDC a finalizat o ancheta la operatorul de date ING Bank care a atras după sine o amendă în valoare de 80.000 euro.

Operatorul nu a asigurat respectarea principiului protecției datelor începând cu momentul conceperii și cel al protecției implicite a datelor (privacy by design și privacy by default), deoarece nu a adoptat măsuri tehnice și organizatorice corespunzătoare, privind integrarea de garanții adecvate în sistemul automatizat de prelucrare a datelor cu caracter personal în cadrul procesului de decontare al tranzacțiilor cu cardul, fiind afectat un număr de 225.525 de clienți ale căror operațiuni de plată au fost dublate în perioada 8-10.10.2018, raportat și la prevederile art. 32 alin. (1) lit. d) din RGPD.

Protecția datelor cu caracter personal, prelucrate electronic trebuie să fie compusă din 3 etape majore:

  1. În momentul conceperii / producerii sistemului electronic. Asta înseamnă că trebuie luate toate măsurile de protejare a datelor din prima fază a proiectului.
  2. Testarea sistemului înainte ca prelucrarea efectivă să înceapă, pentru a se asigura de eficiența protecției. Acest demers identifică eventualele erori sau slăbiciuni, care pot duce la o breșă de securitate.
  3. Update și mentenanță. Sistemul informatic este unul în continuă schimbare. Pe cât este de important să ca operatorii să țină pasul cu noile tehnologii este și mai important să se asigure că îmbunătățirile și noile funcționalități sunt adecvate pentru prelucrarea datelor cu caracter personal.

Privacy by design este o un concept prin care putem preveni breșele și incidentele de securitate. Fiindcă vorbim de sisteme automatizate prin care se prelucrează un număr mare de date cu caracter personal, prin aceleași mijloace, pierderile survenite în urma unei singure erori sunt foarte mari și de multe ori iremediabile.

13.Royal President S.R.L. – amendă 2500 EURO și un avertisment (noiembrie 2019)

Sancțiunile au fost aplicate ca urmare a unei plângeri prin care se reclama faptul că Royal President S.R.L. a refuzat soluționarea unei cereri de exercitare a dreptului de acces prevăzut de art. 15 din Regulamentul General privind Protecția Datelor, precum și faptul că acesta a dezvăluit date cu caracter personal fără acordul persoanei vizate.

De asemenea, s-a constatat că datele cu caracter personal colectate prin intermediul fișei de cazare nu au fost prelucrate într-un mod care să asigure securitatea lor, prin luarea de măsuri tehnice sau organizatorice corespunzătoare, pentru a se putea evita orice dezvăluire neautorizată încălcându-se prevederile art. 5 alin. (1) lit. f), ale art. 32 alin. (1) lit. b) și ale art. 32 alin. (2) din Regulamentul (UE) 2016/679,

Totodată, operatorului i s-a aplicat și o măsură corectivă care a constat în întocmirea și implementarea unei proceduri interne privind protecția datelor cu caracter personal ale beneficiarilor serviciilor de cazare, prin raportare la prevederile art. 32 din Regulamentul (UE) 2016/679.

În cazul operatorului din această speță lipsa de proceduri interne și lipsa de măsuri tehnice sau organizatorice a dus la o breșă de securitate și dezvăluire neautorizată a datelor cu caracter personal.

DREPTURILE persoanelor vizate sunt foarte importante, așa cum am subliniat și în alte cazuri. Refuzul de a oferi răspuns unei cereri de exercitate a drepturilor este o încălcare gravă a Regulamentului.

Sunt cazuri în care nu putem da curs solicitării persoanelor vizate, dar acest lucru trebuie transmis persoanei și argumentat.

Implementarea greșită a Regulamentului atrage aceleași sancțiuni ca și neaplicarea lui.

12. SC CNTAR TAROM SA – amendă 20.000 EURO (noiembrie 2019)

Investigația a fost efectuată ca urmare a notificării autorității de supraveghere de către SC CNTAR TAROM SA din data de 13.09.2019 cu privire la încălcarea securității datelor cu caracter personal. Ca urmare a faptului că acesta nu a implementat măsuri tehnice și organizatorice adecvate pentru a se asigura că orice persoană fizică care acționează sub autoritatea acestuia și care are acces la date cu caracter personal, nu le prelucrează decât la cererea sa. Corelat cu acest aspect, operatorul nu a luat nici măsuri adecvate pentru a asigura un nivel de securitate corespunzător riscului generat de divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.

Această situație a condus la accesarea neautorizată, de către un angajat propriu, a aplicației de rezervări și fotografierea unei liste conținând datele cu caracter personal a 22 pasageri/clienți TAROM și la divulgarea neautorizată în mediul on-line a acestei liste.

Sunt câteva aspecte de importante de reținut din această speță cu privire la relația operatorului cu angajații:

  1. Instruire – operatorii nu se pot baza pe o instruire verbală sumară sau transmiterea de informații generale către angajați. Aceștia trebuie să fi instruiți atât din punctul de vedere a prelucrării datelor cu caracter personal care le revin prin fișa postului cât și asupra datelor cu caracter personal cu care intră în contact accidental sau neautorizat.
  2. Actualizarea fișei postului – este ă măsură legală pe care fiecare operator trebuie să o implementeze, în special angajaților care prelucrează date cu caracter personal.
  3. Regulamentul de Ordine Interioară – acesta trebuie să conțină atât indicații cu privire la prelucrare cât și sancțiunile aplicate în caz de abateri
  4. Politica de prelucrare a datelor cu caracter personal – o astfel de politică poate reduce semnificativ riscul unei dezvăluiri neautorizate și reprezintă o diligență de conformare care va reduce șansele de amendare.

Foarte important  de reținut! După cum am putut observa din ultimele amenzi aplicate de ANSPDC, aceasta a dat dovadă de ”blândețe” în stabilirea sumelor din amenzi. Chiar dacă conformarea și implementarea GDPR nu reduce total riscul unei abateri sau breșe, scade semnificativ suma cu care un operator este amendat. Buna credință în respectarea regulamentului se poate dovedii doar prin proceduri și implementare adecvată.

11. FAN COURIER EXPRESS SRL (octombrie 2019)

Operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării generat în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod, ceea ce a condus la pierderea datelor cu caracter personal (nume, prenume, număr card, cod siguranță card (cvv), adresa titular card, cod numeric personal, serie si număr card identitate, număr cont IBAN, limita credit aprobat, adresa de corespondenta) și la divulgarea/accesarea neautorizată a datelor cu caracter personal, fiind afectate de incidentele de securitate un număr de aproximativ 1100 persoane fizice vizate. Fan Courier a primit o amendă în cuantum de 52.325,9 lei, echivalentul a 11.000 EURO.

În speță, fiind vorba de o companie de curierat care operează date cu caracter personal la scară largă, aceasta are desemnată un DPO. Cu siguranță operatorul a făcut demersuri în vederea alinierii și conformării la noul Regulament GDPR. Incidentul prin care s-au pierdut plicurile cu date personale, chiar sensibile, a fost unul independent de voința operatorului și cel mai probabil s-a datorat unei erori umane.

Este foarte important să existe o procedură de răspuns la incidente. Mai important de atât este ca acea procedură să se respecte.

Având în vedere că cifra de afaceri a operatorului Fan Courier este de peste 100 de milioane de euro, amenda aplicată de ANSPDCP este una mică. Acesta se datorează, după părerea noastră, măsurilor de conformare aplicate de operator anterior incidentului.

De asemenea un aspect interesant de reținut este faptul ca expeditorul acelor plicuri nu a fost sancționat in acest caz. In general firmele de curierat propun clienților acorduri de prelucrare in care ambele entități au calitatea de operator. In acest sens se poate presupune ca expeditorul informațiilor – nu a fost sancționat pentru ca si-a luat masurile necesare in vederea asigurării securității prelucrării: semnarea acordurilor de prelucrare, alegerea unui furnizor de servicii care oferta garanțiile necesare din punct de vedere al GDPR (cel puțin la nivel declarativ in cadrul acordurilor semnate) etc.

Un aspect de reținut este că Operatorul a respectat procedura de răspuns la incidente, anunțând ANSPDCP în timp util și luând măsurile care se impun.

10. Operatorul BNP Paribas Personal Finance SA (noiembrie 2019)

În urma unei plângeri, ANSPDCP a fost sancționat operatorul CETELEM IFN S.A. cu amendă în cuantum de 9508 lei, echivalentul sumei de 2000 EURO.

Operatorul nu a răspuns petentului în termenul prevăzut de art. 12 alin. (3) din Regulamentul General privind Protecția Datelor, deși acesta solicitase ștergerea anumitor date personale raportate în sistemul de evidență al Biroului de Credit.

În conformitate cu art. 12 alin. (3) din Regulamentul General privind Protecția Datelor, operatorul are obligația de a răspunde cererilor persoanelor vizate fără întârzieri nejustificate și cel târziu în termen de o lună de la primirea cererii.

GDPR prevede obligația operatorilor de date de a răspunde cererilor persoanelor vizate în termen de 30 de zile. Regulamentul nu prevede ca trebuie să dea curs cererii în termen de 30 de zile ci doar să ofere un răspuns solicitantului. Astfel, operatorul poate solicita lămuriri sau informații suplimentare care să îi ajute în soluționarea cererii.

În cazul în care cererea este nejustificată sau există o prevedere legală care îl împiedică pe operatorul să ia măsurile solicitate de persoana vizată, operatorul are obligația de a răspunde, tot în termen de 30 de zile, cu motivarea.

9. INTELIGO MEDIA S.A. (denumire comercială avocatnet.ro) (octombrie 2019)

ANSPDCP a finalizat în luna august a anului în curs o investigație, din care a rezultat faptul că operatorul a folosit o metodă abuzivă de obținere a consimțământului prin folosirea unei căsuțe nebifate ” Nu vreau să primesc „Personal Update”. Astfel abonarea se făcea prin omisiune.

Operatorul nu a putut face dovada obținerii unui consimțământ valabil din punct de vedere GPDR pentru prelucrarea datelor cu caracter personal ale unui număr de 4357 abonați. De asemenea avocatnet.ro s-a folosit pentru transmiterea prin e-mail a informării zilnice, de un temei legal neadecvat scopului, respectiv ”executarea unui contract”.

Amenda aplicată în acest caz este de 9 000 euro.

În expunerea viziunii noastre asupra speței, vom folosi un extras din considerentul (32) al RGPD ” Consimţământul ar trebui acordat printr-o acţiune neechivocă care să constituie o manifestare liber exprimată (…)Prin urmare, absenţa unui răspuns, căsuţele bifate în prealabil sau absenţa unei acţiuni nu ar trebui să constituie un consimţământ.(…)

Metoda de abonare la newsletter pentru persoanele fizice folosită de operatorul INTELIGO MEDIA S.A. este una prin omisiune (absența unei acțiuni). Astfel folosind această abordare, este practic imposibil să colectezi un consimțământ valid.

Pornind de la textul aflat pe site-ul operatorului vom oferi un exemplu care să îndeplinească criteriile prelucrării pe bază de consimțământ:

Explicit

Liber

Separat

Documentat

Revocabil

Nu vreau să primesc „Personal Update”, informarea trimisă zilnic, gratuit, pe email, de avocatnet.ro”

Explicit – acest text nu conține tipul de informații pe care le voi primi: comercial, distractiv, legal, privitoare la numărul de vizualizări ale site-ului, etc.

Liber – Oferirea unui serviciu nu este condiționată de abonarea la ”informare zilnică”.

Separat – În acest text nu sunt incluse și alte prelucrări

Documentat – Fiind vorba de o inacțiune, este mai greu să poți dovedi că o persoană a fost de acord ”pentru că nu a făcut nimic.”

Revocabil – Din nou, pentru că vorbim de o inacțiune, nu putem să ne retragem ceva ce nu am făcut.

După cum putem vedea sunt îndeplinite doar 2 din cele 5 criterii, cu toate că ele trebuie să fie îndeplinite concomitent, pentru ca prelucrarea să fie valabilă.

Exemplul nostru:

”Doresc să primesc, zilnic, pe adresa de e-mail informații legate de articolele nou apărute pe site-ul avocatnet.ro”. (cu posibilitatea de a bifa o căsuță).

Ca și concluzie, chiar dacă operatorul stabilește ca și temei de prelucrare consimțământul, dacă acesta nu este obținut valabil, prelucrarea este abuzivă și va atrage după ea amendarea.

8.Elefant Online S.A. (octombrie 2019)

Amenda aplicată în acest caz de către ANSPDCP este de 10.000 RON.

Având în vedere că operatorul este un magazin exclusiv online, acesta trimite mesaje comerciale si de tip newsletter către persoanele ale căror adrese de e-mail le dețin.

Sancțiunea a fost aplicată pentru încălcarea legii nr. 506/2004, privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice.

Astfel Elefant Online S.A. nu a putut face dovada obținerii consimțământului prealabil expres și neechivoc pentru transmiterea de mesaje comerciale prin e-mail. Mai mult decât atât petentul a continuat să primească astfel de mesaje și după dezabonarea (prin 2 metode) de la astfel de servicii.

Vedem astfel, că Autoritatea ne oferă indicii foarte importante cu privire la folosirea în mod abuziv a adresei de e-mail și importanța respectării drepturilor persoanelor vizate. În această situație, chiar dacă putem bănui că operatorul a intrat în posesia adresei de e-mail printr-o metoda adecvată (plasarea unei comenzi, înscriere la newsletter, etc.) acesta a continuat să trimită mesaje cu caracter comercial și după ce petentul s-a dezabonat. Un comportament abuziv atât din punct de vedere al legislației interne cât și din punct de vedere a GDPR.

6-7. Raiffeisen Bank S.A. și Vreau Credit S.R.L. – amenzi GDPR (octombrie 2019)

A 6-a și a 7-a amendă aplicată de ANSPDCP cu privire la încălcarea prevederilor GDPR, au avut ca subiecți operatori de date din sistemul bancar și de creditare.

În urma transmiterii unei notificări privind încălcarea securității datelor cu caracter personal Autorității de către operatorul  Raiffeisen Bank S.A. aceasta  a demarat o investigație în care s-a constatat faptul că 2 angajați ai operatorului prin intermediul aplicației mobile WhatsApp, au efectuat interogări ale sistemului Biroului de Credit pentru a obține datele necesare în vederea determinării eligibilității la creditare a respectivelor persoane fizice, prin simulări de prescoring. În acest sens, au fost efectuate 1194 simulări, cu privire la 1177 persoane fizice. De asemenea, pentru 124 de persoane fizice s-a efectuat și consultarea bazei de date a ANAF.

Datele cu caracter personal ale persoanelor viate au fost obținute de la angajații operatorului Vreau Credit S.R.L., aceștia din urmă, primind, tot prin mijloace de comunicare de tip chat, informații cu privire la cazierul fiscal și eligibilitatea de a obține un credit.

Chiar dacă, Raiffeisen Bank a notificat breșa de securitate, acesta a fost amendat cu suma de 150.000 euro, pentru nerespectarea prevederilor art. 32 din GDPR, nu a luat măsurile corespunzătoare pentru a se asigura că orice persoană fizică care acționează sub autoritatea acestuia și care are acces la date cu caracter personal, nu le prelucrează decât la cererea sa.

În ceea ce privește operatorul Vreau Credit S.R.L., acesta a fost sancționat cu o amendă de 20.000 EURO, de asemenea, pentru încălcarea securității datelor, dar și pentru faptul că până la finalizarea investigației nu a notificat autorității de supraveghere încălcarea securității datelor cu caracter personal, fără întârzieri nejustificate, deși constatase producerea acestui incident de securitate încă din luna decembrie 2018.

Citind Termenele și Condiții, precum și Politicile de Confidențialitate existente pe site-urile operatorilor, aceștia se obligă să efectueze operațiuni de prelucrare a datelor cu caracter personal, în vederea obținerii unui credit (interogări ANAF, prescoring, etc.) doar cu consimțământul persoanelor vizate și prin intermediul acordurilor de colaborare existente între cei doi.

Totuși unde au greșit?

În primul rând prin faptul că nu au luat măsuri ca datele cu caracter personal să nu fie procesate, altfel decât prin intermediul mijloacelor electronice securizate de care dispun și altfel decât prin respectare procedurile. Aplicaților domestice de tip chat, folosite de angajați, sunt invazive și nu oferă garanții de securitate. Mai mult decât atât, având în vedere că ele pot fi stocate, dezvăluirea către terți devine foarte facilă.

Putem presupune, că aceste operațiuni au fost făcute fără a îndeplini condițiile de consimțământului prevăzute de GDPR, fiind vorba de operațiuni multiple, fără ca persoana vizată să își exprime dorința / consimțământul informat prin încheierea unui acord cu operatorii.

Vreau Credit S.R.L. nu a notificat ANSPDC cu privire la breșa de securitate, cu toate că a luat act de ea.

În lipsa unei proceduri clare cu privire la breșele de securitate, a unui plan de acțiune și a Notificării ANSPDC persoana vizata poate suferii prejudicii, uneori de ne reparat, care duc la slăbirea încrederii acordată operatorilor. Evitarea unei breșe este ideală, dar atunci când ea se produce, trebuie să fim pregătiți să luăm toate măsurile care se impun, atât pentru protecția persoanei vizate cât și pentru a evita sau a minimiza amenzile.

5. Operatorul Artmark Holding SRL (august 2019)

În data de 10.10.2019, ANSPDCP a anunțat printr-un comunicat, aplicarea unei noi amenzi privind nerespectarea atât prevederilor GDPR cât și a legii 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice.

Obiectul amenzii îl face trimiterea de mesaje comerciale nesolicitate, fără a avea consimțământul persoanei vizate. Se menționează, de asemenea, că petentul a solicitat ștergea adresei de e-mail din baza de date a operatorului deoarece aceasta a fost obținută fără acordul lui.

Operatorul Artmark Holding SRL nu a dat curs acestei cereri, continuând să îi trimită mesaje comerciale de tip SPAM.

Autoritatea a clasificat aceste acțiuni abuzive și contrare principiilor protejării datelor cu caracter personal. Amenda de 10.000 RON a venit însoțită și cu îndrumări și recomandări către operator.

Artmark Holding SRL a fost sancționat contravențional cu amendă în cuantum de 10.000 lei.

 Chiar dacă amenda a fost aplicată pentru încălcarea 506/2004, este vorba și despre o încălcare a drepturilor prevăzute de GDPR. Mai exact vorbim de dreptul de a fi uitat.

Comunicarea prin mijloace electronice, reglementată în România prin legea 506/2004 și la nivel european prin noul Regulament General Privind Protecția Datelor, este cel mai de actualitate subiect indiferent de obiectul de activitate, al comunicărilor sau a scopului. Astfel, fie că vorbim de relații între particulari, de relații între persoane juridice, instituții ale statului, etc. marea majoritate a comunicării se efectuează prin mijloace electronice.

Pe lângă securitatea acestor mijloace, fie ele mesaje de tip e-mail, sms, chat-uri, etc., este nevoie să ne asigurăm de legalitatea lor.

Interesul legitim, necesitatea efectuării unui serviciu public și consimțământul, sunt cele 3 temeiuri legale pe care ne putem baza în astfel de cazuri.

Consimțământul, este cel mai sensibil dintre ele. Astfel, pentru ca acesta să poată fi folosit, este nevoie să îndeplinească mai multe condiții concomitent:

  • Explicit
  • Liber exprimat
  • Individual / separat pe scopuri
  • Documentat
  • Revocabil

Când suntem siguri că îndeplinim aceste condiții, comunicarea de tip marketing/newsletter, poate fi efectuată. Asta până în momentul în care persoana vizată, face uz de dreptul de a fi șters, prevăzut de art. 17 din GDPR. Astfel din momentul în care, am luat act de dorința destinatarului de a nu mai primi astfel de comunicări, avem obligația de a da curs ștergerii tuturor informațiilor pe care le deținem, în calitatea de operator, despre persoana vizată.

Orice comunicare, de tip comercial, marketing, newsletter, după solicitarea de ștergere, devine ilegală.

Sfatul nostru, este să vă asigurați că aveți o procedură privind exercitarea drepturilor persoanelor vizate, în speciale când vine vorba de mediul electronic.

4. UTTIS INDUSTRIES SRL, amendată cu 2 500 euro (iulie 2019)

Operatorul UTTIS INDUSTRIES SRL se adaugă listei companiilor amendate în baza GDPR de către ANSPDCP, fiind al 4-lea la număr.

După cum era de așteptat, în contextul ultimelor ghiduri și discuții pe marginea subiectului CCTV –  supraveghere video, amenda a fost una care vizează nerespectarea Regulamentului cu privire la informarea persoanelor vizate de supraveghere video.

Astfel, nu faptul că Operatorul folosește un sistem CCTV pentru pază și protecție, având ca temei legal Legea 333/2003 – privind paza obiectivelor, bunurilor, valorilor și protecția persoanelor, a condus la sancționare ci lipsa informării adecvate.

În această situație, pentru ca normele GDPR să fie urmate, trebuia făcută o informare a angajaților cu privire la scopul, durata, locul etc. supravegherii video chiar și prin simpla afișare a unor pictograme în punctele cheie.

Aveți mai jos o serie de exemple care vă ajută să identificați dacă vă aflați într-o situație asemănătoare și dacă este nevoie să luați măsuri:

Tot în urma aceleiași investigații s-a constata că Operatorul UTTIS INDUSTRIES SRL a efectuat o prelucrare nelegală a CNP-urilor angajaților, prelucrare care a dus la o scurgere de date prin afișarea Referatului pentru instruirea personalului autorizat ISCIR aferent anului 2018 la avizier societății.

Este foarte important ca pentru fiecare prelucrare de date cu caracter personal să vă asigurați că aveți o bază legală și că minimizați folosirea datelor cu caracter personal.

Cuantumul amenzilor primite Operatorul UTTIS INDUSTRIES SRL este de 11.834,25 lei (echivalentul sumei de 2500 euro).

3. Legal Company & Tax Hub SRL, amendată cu 3000 de EURO (iulie 2019)

Ironia sorții face ca Legal Company & Tax Hub SRL să fie chiar o companie de consultanță în domeniul GDPR. Problema în cazul lor a fost un link public către un fișier neprotejat suficient care conținea și datele cu caracter personal ale clienților companiei respective. 

Oricât de tentante ar fi pentru unii comentariile răutăcioase pe tema amenzii luate de un furnizor de servicii GDPR, aceasta amendă este probabil cea mai clară dovadă că i se poate întâmpla oricui, compania în cauză fiind la urma urmei:

  • O firmă mică
  • Cu un site relativ mic
  • Cel mai probabil fără un buget extraordinar
  • Cu un proprietar/manager fără cunoștințe deosebite în IT,  
  • Și un furnizor care face o eroare umană, greu spre imposibil de detectat, atunci când nu ai cunoștințele tehnice necesare.

Oare câte mii, (zeci de mii?) de astfel de cazuri nedescoperite și neamendate or mai fi în România? 

2. Hotelul World Trade Center, amendat cu 15.000 de EURO (iulie 2019)

Încălcarea a constat în faptul că o listă printată pe suport de hârtie, utilizată pentru verificarea clienților care serveau micul dejun și care conținea date cu caracter personal ale unui număr de 46 de clienți,  a fost fotografiată de către persoane neautorizate din afara societății, ceea ce a condus la dezvăluirea în mediul on-line a datelor cu caracter personal ale unor clienți, prin publicare.

Cel mai interesant lucru de reținut în comunicatul Autorității despre această amendă este faptul că operatorul a fost sancționat pentru că nu a luat măsuri pentru a se asigura că angajații săi care au acces la date cu caracter personal nu le prelucrează decât la cererea sa, potrivit legii.

Mai pe românește, amenda nu pare să fi fost pentru scurgerea de date în sine. Oricine poate intra într-un hotel, să pozeze o listă cu numele de la micul dejun și să o pună pe Facebook de exemplu. Problema a fost faptul că operatorul nu a luat măsuri ca să prevină astfel de incidente

Așadar iată de ce este important ca fiecare companie să facă eforturi și să ia măsuri de conformare la GDPR, chiar dacă erori și scurgeri de date pot apărea oriunde.

Ceva ne spune că în cazul acesta, dacă hotelul ar fi putut demonstra existența măsurilor în cauză, să nu mai fi încasat amenda.  

Păi ce măsuri ar fi putut lua?

De exemplu operatorul trebuia să se asigure că acea listă este securizată, că există o procedură conformă cu GDPR pentru a identifica persoanele care au acces la micul-dejun sau orice alt serviciu oferit de Hotel.

Orice dată cu caracter personal care este pe suport de hârtie reprezintă un risc crescut de dezvăluire spre persoane neautorizate: poate fi uitată undeva, poate fi aruncată la coșul de gunoi fără a fi distrusă, poate fi citită si memorată, poate fi fotografiată și de ce nu, furată.

Concret, alternative mai sigure ar fi fost

  • Minim, instruirea angajaților cu privire la ce au și ce nu au voie să facă cu lista respectivă (ex. să nu o lase ‘nesupravegheată’, la intrarea în restaurant)
  • Ideal, sistemele de oferire a micului dejun care nu necesită scrierea numelor oaspeților, gen brățări sau cupoane oferite la momentul cazării special în acest sens.

1. Unicredit Bank, amendă de 130.000 de EURO pe 27 iunie 2019 (iunie 2019)

În acest caz principala problemă reieșită din comunicatul Autorității din România este faptul că în situația în care o persoană efectua o plată online prin Unicredit, beneficiarul plății primea și CNP-ul și adresa plătitorului în cazul plăților spre conturi din alte bănci, respectiv adresa plătitorului în cazul plăților interne.

Aceste informații apăreau în ‘documentele ce conțin detaliile tranzacțiilor şi care sunt puse on-line la dispoziţia clienţilor beneficiari ai plăţilor’ – adică în extrasele de cont/detalii.

Deși Unicredit, are categoric dreptul să colecteze CNP-urile respective, aspectele problematice au fost că:

  • informațiile divulgate reprezentau o scurgere de date cu caracter personal
  • plătitorul nu a fost informat cu privire la transmiterea datelor sale spre persoanele spre care făcea plățile. 
  • nu s-a respectat principiul privacy by design și privacy by default în direcția conformării aplicațiilor / platformei de plăți a operatorului vizat de sancțiune. O posibilă soluție ar fi fost ca în loc să apară CNP-ul complet să apară doar ultimele 6 cifre. 

În concluzie, merită reținute următoarele:

  • GDPR este real. Consumatorii sunt tot mai educați despre drepturile lor, reclamă tot mai des probleme semnalate la operatorii cu care intră în contact iar Autoritatea chiar face controale și chiar dă amenzi.
  • Amenzile acestea nu se dau doar pentru breșele sau incidentele de securitate în sine, ci și pentru lipsa unor proceduri menite să asigure conformarea. 
  • Nu colecta / nu prelucra mai multe date decât ai nevoie.
  • Atenție la conformarea la GDPR a furnizorilor cu care lucrați.

Iar ca o concluzie mai generală, deși interpretările Regulamentului GDPR pot fi multiple și uneori specificul complicat, până la urmă ceea ce se dorește prin GDPR este până la urmă grija firească față de datele personale ale celor care apelează la serviciile / produsele tale.

Când această grijă există este firesc să fii transparent cu clienții despre ce date și pentru ce anume le colectezi, este firesc să te asiguri că ele nu ajung unde nu trebuie, este firesc să îți instruiești angajații să protejeze datele cu caracter personal cu care intră în contact și este firesc ca până la urmă să depui eforturile necesare unei conformări pe bune la GDPR, și nu a unei implementări de fațadă.