Pentru cei care stau liniștiți fără să fi întreprins vreo acțiune de conformare GDPR, sau cu o implementare mioritică pe criteriul că ‘pe noi oricum nu ne caută nimeni’  iată că la mai bine de un an de la intrarea în vigoare a GDPR, apar tot mai multe semnale a faptului că noul Regulament de protecția datelor personale este mai serios decât ar fi crezut cineva la început. Acest lucru se reflectă în numărul crescător de amenzi GDPR.

Conținut

Plângeri, controale și în cele din urmă și amenzi GDPR

Conform site-ului Autorității Naționale de Supraveghere, în România, din 25 mai 2018 până la 24 mai 2019:

  • s-au înregistrat 398 de notificări de încălcări de securitate a datelor cu caracter personal;
  • s-au primit 5260 plângeri și sesizări; cu cca 50% mai mult decât în 2017 – semn că lumea conștientizează tot mai bine drepturile pe care le are în acest sens. 
  • s-au efectuat 485 investigații din oficiu;
  • s-au efectuat 496 investigații la plângerile persoanelor vizate.
  • s-au emis 57 de măsuri corective, adică recomandări făcute de către Autoritate organizațiilor în cauză pentru a se conforma. 
  • au fost acordate 23 avertismente

În cele din urmă, până acum au fost amendate 28 companii. Cuvântul cheie aici este până acum. Având în vedere numărul de 23 de avertismente este foarte posibil ca să auzim și de alte amenzi pentru încălcarea regulamentul GDPR în curând. 

Oricum, înainte de a trece la amenzi am vrea să scoatem în evidență ca primă lecție de învățat care sunt zonele unde s-au constatat cele mai multe nereguli vizate de măsurile corective de mai sus – tot conform raportului comunicat de ANSPDCP

În data de 05.02.2020, ANSPDCP a publicat o Sinteză a activității pentru anul 2019

Făcând o comparație cu raportul anterior, observăm o creștere a activității din partea Autorității, dar și un interes mai mare din partea persoanelor vizate privind protecția datelor cu caracter personal.

În continuare ANSPDCP se focusează pe îndrumare și consiliere. Acest aspect este unul pozitiv, având în vedere că, încă, operatorii de date cu caracter personal sunt nepregătiți.

O privire de ansamblu arată așa:

6193 plângeri și sesizări care au condus la 912 investigații – 16 %

Din numărul de 912 investigații doar 28 s-au finalizat cu amendă – 2,8 %

Cuantumul amenzilor fiind de 2.339.291,75 lei.

Solicitările de puncte de vedere au fost în număr de 1106.

Privind procentul de doar 0,5 % (numărul de amenzi rezultate în urma sesizărilor și a plângerilor) putem afirma cu convingere că ANSPDCP nu este o sperietoare și că nu orice prelucrare a datelor cu caracter personal este ilegală sau neconformă.

Plângerile și sesizările primite de ANSPDCP  România, pentru perioada Mai 2018-începutul lui 2019 au avut, în principal, ca obiect:

  • nerespectarea condițiilor legale ce privesc exercitarea drepturilor persoanelor vizate (de exemplu: drepturile de informare, acces, opoziție, dreptul de a fi uitat);
  • primirea de mesaje comerciale nesolicitate;
  • dezvăluirea de date personale pe Internet;
  • încălcarea principiilor de prelucrare a datelor cu caracter personal în legătură cu prelucrarea datelor în sistemul bancar;
  • condițiile de legalitate cu privire instalarea sistemelor de supraveghere video;
  • încălcarea regulilor de confidențialitate și securitate a prelucrărilor de date cu caracter personal.

Cele mai frecvente încălcări ale securității datelor din România au vizat:

  • accesul neautorizat la datele cu caracter personal prelucrate de operator;
  • transmiterea eronată a facturilor către clienții operatorului;
  • dezvăluirea datelor cu caracter personal/date pacienți;
  • pierderea trimiterilor poștale.
  • procesarea datelor cu caracter personal fără consimțământul persoanelor vizate
  • neinformarea privind folosirea sistemului de supraveghere CCTV
  • lipsa măsurilor de securizare a datelor cu caracter personal

Iar acum haideți să luăm lista amenzilor în ordine inversă, începând cu cea mai recentă.

35. Amendă Sănătatea Press Groul S.R.L. – Septembrie 2020 – 2000 euro

Domeniul medical a ajuns și în atenția ANSPDCP prin Sănătatea Press Groul S.R.L. care a fost sancționată cu 2000 euro = 9671,40 lei pentru că o încălcare a securității datelor.

Despre ce este vorba?

Cauza: Ca urmare a notificării operatorului, Autoritatea finalizat o investigație în luna august prin care a constatat că acesta nu a reușit să garanteze un nivel ridicat de securitate și confidențialitate a datelor.

Specific: Operatorul a organizat un eveniment online cu aproximativ 1300 de persoane vizate, pentru care a transmis în mod eronat datele de logare: email și nume utilizator. Practic s-au trimis alte adrese de email decât cele cu care își creaseră cont pe platforma electronică.

Temei legal încălcat: ANSPDCP a menționat că a fost încălcat astfel art. 5 alin. (1) lit. f) raportat la art. 32 alin. (1) și (2) din RGPD, operatorul având obligația de a prelucra datele într-un mod prin care este asigurată securitatea datelor inclusiv împotriva prelucrării neautorizate, cum a fost cazul de față.

Alte măsuri: Nu au fost recomandate măsuri care trebuie luate de către operator.

Concluzie: Eroarea este umană. Cu toate acestea Autoritatea ne spune că atunci când prelucrăm date, mai ales atunci când este vorba de baze de date este foarte important să fim extrem de atenți la felul în care le gestionăm, pentru că altfel, vom fi sancționați.

34. Asociația de proprietari Bl. FC 5, orașul Năvodari, jud. Constanța – 500 euro

Supravegherea video este deseori foarte deranjantă pentru persoanele vizate: vecini, colocatari, angajați sau clienți. De data aceasta însă, ANSPDCP a finalizat o nouă investigație la începutul lunii septembrie care va avea o rezonanță puternică în rândul operatorilor de date – asociații de proprietari.

Cauza: Deși nu este primul caz de acest fel, în luna noiembrie 2019 ANSPDCP a mai amendat o asociație de proprietari, de data aceasta, Autoritatea ne arată că prin sistemul instalat de Asociația de proprietari Bl. FC 5, orașul Năvodari, jud. Constanța s-au realizat prelucrări de date ilegale.

Specific: Ce s-a întâmplat în fapt? Unul dintre locatarii blocului a depus o plângere acuzând utilizarea și dezvăluirea către diverse persoane, fără un temei legal valid, a unor imagini cu persoana sa. Ce reiese din comunicatul Autorității este că imaginile au fost extrase din sistemul de supraveghere video instalat și au fost afișate la avizierul imobilului.

Temei legal încălcat: Constatând aceste fapte, Autoritatea a amendat Asociația de proprietari Bl. FC 5 cu 500 de euro sau 2417,5 lei pentru că a încălcat dispozițiile art. 5 și 6 ale GDPR, neexistând un temei legal valid, mai exact au fost încălcate condițiile privind consimțământul persoanei.

Alături de acest aspect, ANSPDCP a mai aplicat două avertismente:
– unul pentru neadoptarea de măsuri de securitate, tehnice și organizatorice adecvate prin raportare la asigurarea protecției datelor începând cu momentul conceperii și în mod implicit (privacy by design & privacy by default). Practic sistemul prin care s-au prelucrat datele nu au respectat aceste principii și totodată, raportându-ne la obligațiile persoanei împuternicite de operator, acestea nu au fost respectate.
– altul pentru lipsa informării complete a persoanelor vizate. Practic în acest fel au fost încălcate drepturile persoanei vizate, în mod aparte dreptul de a fi informat.

Alte măsuri:
Pentru ca lucrurile să fie remediate, ANSPDCP dispus și două măsuri corective:
– De a informa în mod corect persoanele vizate, într-un loc vizibil, în imediata apropiere a camerelor instalate.
– De a adopta măsuri tehnice și organizatorice adecvate pentru protejarea datelor cu caracter personal prelucrate, în mod specific: dezactivarea aplicației prin care se permite accesarea la distanță a imaginilor prin internet, stabilirea unui număr limitat de persoane care să aibă acces, a drepturilor alocate fiecăreia dintre acesteia, să fie oferite niște instrucțiuni clare despre persoanele care prelucrează date sub autoritatea asociației.

Concluzie: Chiar dacă am instalat un sistem de supraveghere video în spațiul administrat de noi, de operatori, în baza unui contract cu o firmă specializată, motivând instalarea sub temeiul legal al Legii 333/2003 privind paza și protecția bunurilor, este nevoie să fie luate o serie de măsuri pentru asigurarea conformității cu RGPD. Printre aceste măsuri se numără: informarea corectă a persoanei vizate, stabilirea accesului în mod concret la filmări, nedistribuirea / nepublicarea filmărilor fără un temei legal valid și asigurarea securității și confidențialității datelor.

33. Compania Națională Poșta Română – 2000 euro – iulie 2020

Securitatea datelor este o problemă des întâlnită în rândul operatorilor. În acest sens, nici companiile de stat nu fac excepție de la aplicarea amenzilor, astfel Poșta Română a primit o amendă de 2000 euro.

Cauza: Compania Națională Poșta Română a constatat că a încălcat principiul securității datelor prevăzut de art. 32 din GDPR și astfel a notificat acest lucru ANSPDCP.

Specific: Operatorul Poșta Română a fost sancționat deoarece nu a luat suficiente măsuri pentru a preveni accesul ilegal / neautorizat la date cu caracter personal, în speță este vorba de adrese de email și numere de telefon, de pe platforma AWB a poștei. (www.awb.posta-romana.ro) ceea ce a dus la compromiterea a 81 de persoane vizate.

Temei legal încălcat: Temeiul legal încălcat este art. 32 din GDPR, în concret operatorul nu a implementat măsuri tehnice și organizatorice, cum ar fi pseudonimizarea datelor, atât în momentul stabilirii mijloacelor de prelucrare cât și ulterior în momentul prelucrărilor.

Concluzie: Este foarte important ca atunci când gândim o nouă procedură, dezvoltăm un soft intern sau o aplicație să respectăm principiile prevăzute de Regulament, în mod aparte privacy by design. În acest fel ne putem asigura că evităm eventualele sancțiuni și nu vom fi nevoiți să remodelăm acea procedură, soft, sau aplicație dezvoltat.

32. S.C. Viva Credit IFN S.A. – 2000 euro – iulie 2020

ANSPDCP a finalizat o nouă investigație care s-a concretizat într-o amendă de 2000 euro pentru încălcarea unor norme aparte! Despre ce este vorba?

Cauza: Operatorul S.C. Viva Credit IFN S.A. a fost sancționat întrucât nu a dat curs cererii petentului.

Specific: Persoana vizată și-a exprimat dreptul de ștergere printr-o solicitare adresată operatorului. Acesta însă nu a dat curs, mai mult nu a transmis nici o informație referitoare la acțiunile întreprinse în urma cererii în cel mult o lună (sau maxim 3 luni, prezentând și motivele întârzierii).

Se prea poate ca operatorul să fi comunicat pe altă cale răspunsul? Tot ce se poate, însă ANSPDCP a constatat că nu a comunicat răspunsul la adresa de contact (email) sau la adresa de domiciliu existentă în evidențele sale.

Temei legal încălcat: În acest sens s-a încălcat obligația GDPR din art. 12 alin (3) și (4) – care prevede termenul de o lună (atenție, nu 28,29, 30 sau 31 zile!) și informarea care trebuie făcută.

Alte măsuri: De ce îți e frică nu scapi, zice vorba din popor. Autoritatea de supraveghere a obligat operatorul, în ciuda amenzii aplicate să ofere răspuns petentului la cererea depusă în termen de 5 zile de la comunicarea procesului verbal.

Concluzie: Atunci când avem de a face cu o solicitare din partea persoanei vizate, este recomandat să acționăm cu maximă responsabilitate și promptitudine.

31. SC CNTAR TAROM SA – 5000 euro – iulie 2020

La începutul lunii iulie 2020 ANSPDCP a finalizat o investigație demarată ca urmare a unei notificări privind încălcarea securității datelor tocmai de către operator!

Cauza: Operatorul a raportat un incident la Autoritate, incidentul privind încălcarea securității datelor.

Specific: accesul neautorizat la datele a cinci pasageri TAROM și divulgarea neautorizată a acestor date au constituit principalele cauze pentru care operatorul a fost amendat. Astfel, s-a adus atingere confidențialității datelor prin lipsa măsurilor tehnice și organizatorice adecvate din partea operatorului. În acest sens datele au fost prelucrate de către unul din angajații operatorului cu nerespectarea normelor mai sus amintite.

Temei legal încălcat: art. 32 alin. (4), art. 32 alin. (1) lit. b) și alin. (2) din Regulamentul General privind Protecția Datelor.

Alte măsuri: Ca de cele mai multe ori, Autoritatea a aplicat și alte măsuri suplimentare precum cea de actualizare și revizuire a procedurilor de lucru existente și mai mult decât atât a îndemnat spre instruirea periodică a angajaților.

Ce concluzie putem trage din această amendă? Ei bine că în ciuda faptului că numărul persoanelor vizate este mic (5 – cinci) ANSPDCP are în vedere și alte coordonate atunci când individualizează pedeapsa (precum nivelul de intruziune în viața privată a omului, măsurile luate de operator pentru limitarea riscurilor, nivelul de expunere a datelor cu caracter personal divulgate și alte asemenea.

p.s. Într-o logică naturală a lucrurilor, raportându-ne la un număr de câteva sute de mii de persoane vizate într-o pierdere de date suferită de pe urma unui atac cibernetic, putem considera că este justificată, în ochii Autorității, amenda anunțată de ICO pentru British Airways de peste 183 mld. Lire sterline.

30. Proleasing Motors – 15.000 euro – iulie 2020

În luna iunie 2020 ANSPDCP a finalizat o nouă investigație prin care a aplicat o amendă care cuprinde următoarele specificități:

Cuantum: 15.000 euro = 72.642 lei

Cauza: Investigația a fost cauzată de trimiterea de către operator a unei notificări privind încălcarea securității datelor cu caracter personal prin completarea unui formular. Practic, operatorul s-a denunțat privind acest incident, și cu toate acestea, a fost sancționat.

Specific: Operatorul a organizat un concurs online pe Facebook pentru a atrage clienții la service-ul auto. În acest context a fost postat un document cu o captură din codul sursă al website-ului în care era inclusă și parola de acces la formularele completate de participanții la concurs.
Situația a expus în acest fel un număr de 436 clienți a operatorului prin vizualizarea și accesul neautorizat la date.

Temei legal încălcat: art. 32 RGPD – Securitatea Datelor

Motivarea sancțiunii: operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului existent.

Ce mai cunoaștem este că ANSPDCP a pus în vedere operatorului să ia măsuri prin care astfel de situații să fie evitate pe viitor. În acest sens, Autoritatea a prevăzut adaptarea procedurilor de lucru interne ale operatorului, în mod specific acele proceduri care privesc comunicările în mediul online.

29. Enel Energie Muntenia SA – 4000 euro – mai 2020

După o amendă de 3000 euro în decembrie 2019, o alta tot de 3000 euro în martie 2020, ANSPDCP ne anunță că a aplicat S.C. Enel Energie Muntenia S.A. o amendă de 4000 euro (19368,4 lei) pentru că a încălcar prevederile Regulamentului General privind Protecția Datelor.

Amenda privește un caz de încălcare a securității și confidențialității datelor cu caracter personal prin transmiterea eronată unui client, a unor documente ce conțineau datele altui client. Persoana vizată care a suferit această intruziune în viața privată a depus o plângere iar ca urmare s-a demarat o investigație.

Autoritatea, a constatat gravitatea faptelor și a aplicat amenda sus meționată, iar pe lângă aceasta, a impus operatorului implementarea unor măsuri adecvate și eficiente (foarte important, deci nu doar formale) pentru a se evita pe viitor astfel de situații.

28. Telekom România Communications SA – 3.000 euro – aprilie 2020

Este pentru a doua oară când Telekom este sancționată și întâmplarea face ca să fie vorba de încălcarea aceluiași principiu – al exactității datelor. Dacă la amenda trecută – cu numărul 16 în listă – a fost vorba de trimiterea unor facturi la adrese de corespondență greșite, de data aceasta lucrurile sunt mai grave.

Astfel, ca urmare a unei plângerii depuse de persoana vizată, ANSPDCP a demarat o investigație cu privire la utilizarea în mod fraudulos / ilegal a datelor cu caracter personal, la încheierea unor contracte pe numele acesteia. Se pare că persoana vizată era abonat al Telekom, exista un contract preexistent, însă datele din contract i-au fost luate (încălcând astfel normele cu privire la securitate art. 32 din GDPR), fără a fi verificate corectitudinea acestora și s-au contractat alte servicii.

Ce putea face mai mult operatorul și nu a făcut? Ei bine Autoritatea constată că nu a luat măsuri de securitate suficiente care să includă verificarea exactității datelor colectate telefonic (la distanță) atunci când s-au încheiat contractele. Practic a fost o scăpare procedurală și o eroare umană la mijloc.

Astfel, s-a aplicat o amendă de 3.000 euro = 14524.2 lei, dar două măsuri corective importante: implementarea unor proceduri eficiente de identificare la distanță a persoanelor și măsura instrurii regulate / periodice a respectării normelor aplicabile GDPR. Scopul acestor măsuri este de a împiedica ca pe viitor să se mai petreacă astfel de prelucrări ilegale și dezvăluiri neautorizate de date cu caracter personal.

27. Estee Lauder România SRL – 3.000 euro – aprilie 2020

Prelucrările de date excesive sau lipsite de temei legal au fost sancționate și în perioada pandemiei. Astfel, operatorul Estee Lauder România SRL (domeniul produselor cosmetice) a fost sancționat cu 3.000 euro = 14483,4 lei pentru că a colectat și dezvăluit în mod ilegal date printre care: numele, prenumele, numărul de telefon, data nașterii și informații privind starea de sănătate a unei persoane vizate.

Bineînțeles, la plângerea depusă de această persoană vizată, Autoritatea a demarat o investigație pentru a analiza conformitatea cu GDPR-ul și a constatat toate cele menționate mai sus.

Un aspect important care reiese din decizia Autorității, lucru valabil pentru toți operatorii din România este instruirea în mod periodic a personalului în domeniul protecției datelor și a vieții private. Instruirile după cum reiese din comunicat trebuie să aibă o componentă practică ridicată, fiind analizate / dezbătute fiecare situație de prelucrare de date pentru a se e diminua riscurile și astfel încălcările.

26. AMENDĂ BCR – WHATSAPP – 5000 euro – aprilie 2020

FINALIZARE cercetare: 14.04.2020 – APRILIE

Whatsapp-ul este de cele mai multe ori o binecuvântare pentru mulți dintre noi pentru că putem comunica mai ușor, mai eficient, mai util. Putem să ne scriem mesaje, trimite fotografii sau înregistrări vocale. Putem să îl accesăm de pe telefon sau de pe laptop sau calculator cu opțiunea Web. Astfel, Whatsapp-ul a apărut chiar și în comunicările profesionale, în mediul de afaceri luând forma a diverse grupuri de lucru. Cu toate acestea, specialiștii din protecția datelor de la ANSPDCP ne arată că nu este și un mediu sigur care să garanteze securitatea prelucrărilor. În acest sens, putem vedea o nouă amendă aplicată de Autoritate către Banca Comercială Română (BCR) în cuantum de 5.000 euro sau 24.165.50 lei.

Ce s-a întâmplat? Ei bine, o angajată a operatorului, nerespectând procedura de lucru internă, a colectat copii ale actelor de identitate ale clienților băncii (între care minori și reprezentanți legali) prin intermediul telefonului personal. Folosindu-se de aplicația WhatsApp, a trimis copii ale acestor acte către alte persoane din bancă. Pe de o parte vedem prelucrarea datelor prin intermediul telefonului personal, care ridică probleme, pe de alta, comunicarea prin WhastApp. Această situație bineînțeles a nemulțumit anumite persoane vizate, care au depus plângere la ANSPDCP.

Ce a constatat Autoritatea? Odată demarată ancheta, Autoritatea constată că responsabilitatea securității datelor o are operatorul, adică BCR și că acesta nu a implementat măsuri adecvate în vederea asigurării unui nivel de securitate corespunzător cu riscul prelucrării (folosirea telefoanelor personale + folosirea Whatsapp). Totodată, ANSPDCP a constatat că BCR nu a luat măsuri pentru a se asigura că orice angajat care acționează sub autoritatea bănncii și bineînțeles, prelucrează date, nu o face decât la cererea operatorului!

Temeiul legal? În acest sens, pentru încălcarea prevederilor art. 32 alin. (4) coroborat cu art. 32 alin. (1) și alin. (2) din Regulamentul General privind Protecția Datelor, referitoare la securitatea prelucrărilor, s-a aplicat amenda sus menționată.

25. Vodafone România – 20.000 lei – martie 2020

Unul din cele mai importante aspecte pe care trebuie să le avem în vedere atunci când prelucrăm date, este următorul: să fim atenți la ce facem! Datele cu caracter personal sunt proprietatea persoanei vizate. Cu un mic exercițiu de imaginație putem vedea lucrurile altfel: Ți-ai comandat ultimul model de Iphone, te-a costat cam două salarii lunare iar după ce l-ai ridicat din magazin, pe stradă te oprește un cetățean să te roage să îi dai telefonul să se uite cât e ceasul. I-l dai? Nu, îi spui tu cât e ceasul! Mai mergi câțiva pași și o doamnă, de la chioșcul de ziare îți spune că te roagă să îi dai telefonul să facă câteva fotografii la principalele ziare locale, pentru a și le trimite pe WhatsUp. Îl dai? Nu, faci tu pozele! În cele din urmă te oprești să îți cumperi un covrig și vrei să plătești cu noul telefon achiziționat. Cu toate acestea, angajatul covrigăriei, plin de ulei pe mâini, îți cere telefonul să atingă cu el aparatul de înregistrare plăți. Te gândești de două ori, dacă îl ia și având mâinile alunecoase de la ulei îl scapă pe jos și ți se sparge ecranul? Deci suntem atenți cu proprietatea noastră! La fel trebuie să fie fiecare angajat al operatorilor care lucrează cu date cu caracter personal în mod curent.

Lipsa atenției, simpla greșeală costă mult, după cum ne arată o sancțiune aplicată operatorului Vodafone România, în valoare de 20.000 lei. O petentă s-a adersat autorității printr-o sesizare spunând că are suspiciuni că datele sale cu caracter personal ar fi putut fi dezvăluite unei terțe persoane, lipsite de interes. Ce s-a întâmplat? Într-una din zile, tastând telefonul, a intrat pe website-ul Vodafone și a cerut o ofertă, însă, ulterior a primit pe adresa de email un contract încheiat între Vodafone și o altă persoană vizată. Acest fapt i-a ridicat întrebări dar și suspiciunea că datele sale personale ar fi fost dezvăluite unei persoane, petrecându-se la mijloc o confuzie, o eroare!

Efectuând o investigație, Autoritatea a constatat că într-adevăr, lucrurile s-au petrecut întocmai iar operatorul nu a luat măsuri suficiente de securizare și de protecție a datelor și nici de garantare a confidențialității acestor date.

24. Dante International SA (Emag) – 3000 euro – martie 2020

Dacă încă nu ne-am convins că nu putem face comunicări comerciale, spre exemplu, nu putem trimite newsletter unei persoane care s-a dezabonat de la această opțiune, ANSPDCP vine să ne confirme acest lucru! În acest sens, ca urmare a unei sesizări, operatorul Dante International SA a fost sancționat cu 3000 euro sau 14.420,4 lei pentru că nu a respectat prevederile referitoare la legalitatea prelucrării.

Despre ce e vorba?

Ei bine, orice persoană vizată are dreptul de a se opune prelucrărilor de date cu caracter personal atunci când datele sunt prelucrate în scop de marketing direct. Astfel, nerespectarea acestei dorințe, plasează prelucrarea în sfera ilegalității, iar în cazul în care persoana vizată se decide să raporteze acest fapt, cu Autoritatea de Supraveghere va acționa prompt, aplicând amendă dar și măsuri corective!

23. Enel Energie Muntenia SA – 3000 euro – martie 2020

O situație aparte o privește comunicările electronice pe email și atenția pe care trebuie să o acordăm atunci când trimtem un email. Uneori suntem grăbiți, alteori obosiți sau pur si simplu ni se întâmplă să fim neatenți, să compunem un email și să greșim numele destinatarului sau să introducem o adresă greșită iar emailul nostru să ajungă la altcineva. Fiecăruia dintre noi ni s-a întâmplat acest lucru, însă ANSPDCP ne arată foarte clar că dacă o astfel de comunicare presupune o divulgare de date nepermisă, operatorul va fi sancționat.

Acesta este cazul operatorului Enel Energie Muntenia SA, care a fost sancționat ca urmare a unei investigații declanșate la sesizarea unui client. Clientul, vătămat în drepturile sale, depunând dovezi, adresează Autorității o plângere prin care prezintă în ce fel i s-a adus atingere drepturilor. Constatând veridicitatea lucrurilor ANSPDCP a aplicat o amendă de 3000 euro sau mai specific de 14.423,7 lei pentru că într-adevăr unul din angajații operatorului a trimis la o adresă greșită: numele și prenumele, adresa, emailul, codul de client și codul eneltel unui alt client!

22. Asociația ,,SOS Infertilitatea” – 2000 euro – martie 2020

Ceea ce știm cu toții este că dezvăluirea de date cu caracter personal este strict interzisă, atât timp cât nu avem un temei legal al acestei dezvăluiri. Așa s-a întâmmplat și în cazul Asociației ,,SOS Infertilitatea”, împotriva căreia o persoană vizată a depus o sesizare pentru că ar fi dezvăluit date cu caracter personal fără consimțământul său.

Ca urmare a obligației de verificare a informațiilor ANSPDCP a contactat telefonic președintele asociației, care a cerut ca astfel de solicitări să se facă pe o anumită adresă de email. Cu toate acestea, operatorul nu a dat nici un fel de curs solicitării!

Pentru această nerespectare, ANSPDCP a aplicat o amendă de 2000 euro, sau mai exact 9529,2 lei.

21. Vodafone S.A. – amenda 3000 Euro – Martie 2020

ANSPDCP ne informează că la data de 11.02.2020 a finalizat o nouă investigație prin care a constatat că un cunoscut operator de telefonie mobilă din România, Vodafone România S.A. a încălcat prevederile GDPR.

Care a fost încălcarea? Situația de fapt descrisă de către Autoritate arată în felul următor: o anumită persoană a depus o reclamație la Vodafone, însă datele de pe reclamație au fost preluate în mod greșit de către angajații operatorului. Ca urmare atunci când s-a căutat transmiterea răspunsului către reclamant, emailul a fost trimis către o adresă greșită. Astfel, vorbim despre o persoană vizată, o preluare greșită de informații, un email transmis la o adresă eronată.

Relevanța juridică? Ei bine, GDPR-ul ne obligă să păstrăm datele exacte, sau după caz să le actualizăm dacă se impune și în același timp să luăm măsuri de securitate împotriva prelucrărilor ilegale ale persoanei vizate. Pierderea și transmiterea eronată în acest caz este sancționabilă!

Pentru că în toate aceste situații, responsabilitatea revine operatorului de date, ca urmare a investigației, ANSPDCP a aplicat o amendă de 3.000 de euro sau 13208,8 lei operatorului Vodafone!.

Alături de această măsură, a mai fost aplicată și o măsură corectivă, în concret: de a notifica operatorul sau persoana împuternicită de operator cu privire la încălcare!

În privința soluțiilor propuse pentru a evita pe viitor astfel de situații, Autoritatea a obligat operatorul să ia măsuri suplimentare în procedurile de colectare a datelor, să ia măsurile tehnice și organizatorice potrivite scenariului și să instruiască personalul care prelucrează date la intervale de timp regulate.

În concluzie ce putem învăța din această sancțiune este că fiecare dată cu caracter personal contează, fiecare operațiune este important și orice scăpare a operatorului va fi sancționată.

20. Entirely Shipping & Trading S.R.L. – 2 amenzi a câte 5000 euro – decembrie 2019

– 2 avertismente

– 4 măsuri corective

Sancțiunile primite de operator au fost aplicate pentru încălcarea GDPR în relația cu angajații. Astfel, acesta s-a folosit de mijloace de supraveghere audio-video fără o informare corectă a persoanelor vizate. Acestea au fost instalate în birourile angajaților, în vestiare și în sala de mese, supravegherea fiind una continuă. Având în vedere că aceasta prelucrare este una invazivă, Entirely Shipping & Trading S.R.L. nu a putut face dovada unui interes legitim justificat care  să prevaleze asupra intereselor sau drepturilor și libertăților fundamentale ale persoanelor vizate.

Tot în relația cu angajații, operatorul a condiționat accesul în anumite locații prin folosirea amprentei. Prelucrarea datelor biometrice prin intermediul sistemului de control acces nu erau colectate în scopuri adecvate, relevante și limitate la ceea ce era necesar în raport cu scopurile în care erau prelucrate.

Nu au fost respectat 2 principii foarte importante ale GDPR și anume:

  • Principiul legalității – operatorul nu a avut un temei legal valid pentru prelucrările audio-video
  • Principiul transparenței – operatorul nu a informat adecvat persoanele vizate

În cazul acestor prelucrări de date era nevoie ca operatorul să facă următorii pași:

  1. Consultarea sindicatului înainte de instalarea sistemului de supraveghere audio-video
  2. Dovedirea faptului că alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența
  3. Implementarea unei politici de securitate a datelor cu caracter personal
  4. Implementarea de măsuri tehnice si organizatorice în vederea asigurării unui nivel de securitate corespunzător
  5. Evaluare de impact asupra protecției datelor
  6. Informarea corectă a persoanelor vizate prin comunicarea într-o formă concisă, transparentă, inteligibilă și ușor accesibilă a tuturor informațiilor prevăzute de art. 13 din GDPR
  7. Reducerea la minimum a prelucrărilor de date cu caracter personal

19. Hora Credit IFN S.A – 3000 euro, 10.000 euro, 1000 euro (decembrie 2019)

În urma investigațiilor făcute de ANSPDCP la operatorul Hora Credit IFN S.A. s-a constat faptul că acesta a încălcat mai multe prevederi ale Regulamentului GDPR.

Transmiterea pe e-mail a unor documente care nu aparțineau persoanei vizate a condus la un lanț de incidente (breșă de securitate, dezvăluirea neautorizată, folosirea datelor cu caracter personal inexact).

Deși persoana care a primit acel e-mail a notificat operatorul în timp util, prin 2 mijloace de comunicare, nu au fost luate măsuri pentru a remedia eroarea. Mai mult decât atât, operatorul a continuat să trimită mesaje spre căsuța de e-mail respectivă.

De asemenea, operatorul nu a notificat ANSPDCP cu privire la breșa survenită, obligație care îi revine în urma descoperii incidentului.

Neaplicarea unor mecanisme eficiente de verificare și validare a exactității datelor colectate și ulterior prelucrate, respectiv, de păstrare a confidențialității acestora, conform principiilor prevăzute la art. 5 din RGPD și faptul că nu au fost luate măsuri suficiente pentru securizarea datelor cu caracter personal .

Vă invităm să citiți articolul ”Proceduri și politici de securitate IT”, pentru conformarea la GDPR pentru o înțelegere mai exactă a principiilor de securizare a datelor cu caracter personal și a măsurilor care sunt necesare a se lua, în mediul informatizat.

18. SC Enel Energie S.A. – 2 amenzi a câte 3000 euro (decembrie 2019)

Amenzile au fost aplicate pentru prelucrarea fără consimțământ a datelor cu caracter personal și fără păstrarea principiului exactității.

Operatorul nu a dat cursul cererii de ”opt-out” (dezactivarea notificărilor) făcute de persoana vizată, deși acesta și-a exercitat dreptul în mai multe rânduri.

Pentru prima dată, ANSPDCP ne înștiințează că operatorul a achitat amenzile, asta însemnând că nu au contestate in instanță. Un semn de bună credință și de dovadă a faptului că se poate învăța din greșeli și accepta că respectarea protecției datelor cu caracter personal este o OBLIGAȚIE nu o opțiune.

Articolul ”GDPR România – importanța protecției datelor cu caracter personal” vă poate ajuta să înțelegeți mai bine importanța respectării GDPR.

 

17. Asociație de Proprietari – 500 euro (noiembrie 2019)

În urma investigației s-a constatat că Asociația de Proprietari nu a adoptat suficiente măsuri de securitate, tehnice și organizatorice, adecvate pentru protejarea datelor personale colectate prin intermediul sistemului de supraveghere video. Plângerea a venit de la o persoană fizică care a sesizat accesarea fără temei legal a imaginilor video din sistemul de supraveghere CCTV al Asociației de Proprietari.

Tot în urma acestei investigații s-a constatat că lipsea informarea prin postarea unor avertizări și note de informare în apropierea locurilor unde sunt montate camerele video.

De asemenea ANSPDC a dispus măsura de a se sigura conformitatea cu RGPD a operațiunilor de prelucrare prin adoptarea unor măsuri de securitate, tehnice și organizatorice, adecvate pentru protejarea datelor personale colectate prin intermediul sistemului de supraveghere video, inclusiv sub aspectul integrării principiilor de protecție a datelor (cum ar fi cel al stocării limitate a înregistrărilor), al stabilirii unui număr limitat de persoane care să aibă acces la acest sistem, al drepturilor ce pot fi alocate fiecăreia dintre acestea, al prevederii unor instrucțiuni clare de prelucrare pentru persoanele care prelucrează date sub autoritatea asociației, astfel încât să se evite accesarea, diseminarea sau prelucrarea în alt mod neautorizat a datelor personale prelucrate prin intermediul acestui sistem, conform art. 25 și art. 32 din RGPD, în termen de 30 zile de la data comunicării prezentului proces-verbal (art. 58 alin. (2) lit. d) din RGPD).

16. Telekom Romania Mobile Communications SA – 2000 euro (noiembrie 2019)

Operatorul de telecomunicații este primul amenda pentru nerespectarea principiului ”exactității datelor”.

Nerespectarea confidențialității datelor cu caracter personal, prin trimiterea facturilor la adrese de corespondență greșite. Astfel, eroare a dus la o breșă de securitate, prin dezvăluirea datelor cu caracter personal.

Cu toate că petentul a adus la cunoștința operatorul eroarea și a cerut remedierea, acesta din urma nu a dat curs cererii sale, continuând practica. Mai mult decât atât, în urma investigațiilor Telekom nu a putut face dovada exactității datelor cu caracter personal pe care le prelucrează.

Un model de bună practică pe care îl putem învăța de aici, este de a da curs întotdeauna solicitărilor persoanelor vizate. O cerere este și o avertizare și o oportunitate de a remedia lucrurile, pe care, uneori, operatorii nu le au în vedere.

15. Modern Barber S.R.L – 3000 euro (noiembrie 2019)

      Nicola Medical Team 17 SRL – 2000 euro (noiembrie 2019)

      Globus Score SRL – 2000 euro (noiembrie 2019)

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a amendat in cursul zilelor de 13.12.2019 si 16.12.2019 3 operatori de date cu caracter personal, în baza acelorași prevederi din Regulament și anume art. 83 (UE) 679/2016.

Cei 3 operatori nu au trimis către ANSPDCP în scris, toate informațiile solicitate, în termen de 10 zile calendaristice de la comunicarea procesului-verbal.

De asemenea nici unul din operatori nu a dus la îndeplinire masurile corective aplicate de Autoritate.

Din comunicat putem înțelege că este vorba despre investigații unde Autoritatea a dat dovadă de clemență, aplicând doar măsuri corective și indicații, oferindu-le operatorilor timp pentru a le duce la îndeplinire. Astfel, vedem că rolul ANSPDCP nu este doar de a speria și de a amenda.

Amenzile au fost aplicate operatorilor care au ignorat indicațiile și nu au luat măsurile necesare de conformare oferite în urma unor investigații.

Stimați colegi, operatori și specialiști, Autoritatea vine în ajutorul nostru. Să dăm dovadă de bună voință și profesionalism.

14. ING Bank N.V. Amsterdam – Sucursala București – 80.000 euro (noiembrie 2019)

În data de 04.11.2019, ANSPDC a finalizat o ancheta la operatorul de date ING Bank care a atras după sine o amendă în valoare de 80.000 euro.

Operatorul nu a asigurat respectarea principiului protecției datelor începând cu momentul conceperii și cel al protecției implicite a datelor (privacy by design și privacy by default), deoarece nu a adoptat măsuri tehnice și organizatorice corespunzătoare, privind integrarea de garanții adecvate în sistemul automatizat de prelucrare a datelor cu caracter personal în cadrul procesului de decontare al tranzacțiilor cu cardul, fiind afectat un număr de 225.525 de clienți ale căror operațiuni de plată au fost dublate în perioada 8-10.10.2018, raportat și la prevederile art. 32 alin. (1) lit. d) din RGPD.

Protecția datelor cu caracter personal, prelucrate electronic trebuie să fie compusă din 3 etape majore:

  1. În momentul conceperii / producerii sistemului electronic. Asta înseamnă că trebuie luate toate măsurile de protejare a datelor din prima fază a proiectului.
  2. Testarea sistemului înainte ca prelucrarea efectivă să înceapă, pentru a se asigura de eficiența protecției. Acest demers identifică eventualele erori sau slăbiciuni, care pot duce la o breșă de securitate.
  3. Update și mentenanță. Sistemul informatic este unul în continuă schimbare. Pe cât este de important să ca operatorii să țină pasul cu noile tehnologii este și mai important să se asigure că îmbunătățirile și noile funcționalități sunt adecvate pentru prelucrarea datelor cu caracter personal.

Privacy by design este o un concept prin care putem preveni breșele și incidentele de securitate. Fiindcă vorbim de sisteme automatizate prin care se prelucrează un număr mare de date cu caracter personal, prin aceleași mijloace, pierderile survenite în urma unei singure erori sunt foarte mari și de multe ori iremediabile.

13.Royal President S.R.L. – amendă 2500 EURO și un avertisment (noiembrie 2019)

Sancțiunile au fost aplicate ca urmare a unei plângeri prin care se reclama faptul că Royal President S.R.L. a refuzat soluționarea unei cereri de exercitare a dreptului de acces prevăzut de art. 15 din Regulamentul General privind Protecția Datelor, precum și faptul că acesta a dezvăluit date cu caracter personal fără acordul persoanei vizate.

De asemenea, s-a constatat că datele cu caracter personal colectate prin intermediul fișei de cazare nu au fost prelucrate într-un mod care să asigure securitatea lor, prin luarea de măsuri tehnice sau organizatorice corespunzătoare, pentru a se putea evita orice dezvăluire neautorizată încălcându-se prevederile art. 5 alin. (1) lit. f), ale art. 32 alin. (1) lit. b) și ale art. 32 alin. (2) din Regulamentul (UE) 2016/679,

Totodată, operatorului i s-a aplicat și o măsură corectivă care a constat în întocmirea și implementarea unei proceduri interne privind protecția datelor cu caracter personal ale beneficiarilor serviciilor de cazare, prin raportare la prevederile art. 32 din Regulamentul (UE) 2016/679.

În cazul operatorului din această speță lipsa de proceduri interne și lipsa de măsuri tehnice sau organizatorice a dus la o breșă de securitate și dezvăluire neautorizată a datelor cu caracter personal.

DREPTURILE persoanelor vizate sunt foarte importante, așa cum am subliniat și în alte cazuri. Refuzul de a oferi răspuns unei cereri de exercitate a drepturilor este o încălcare gravă a Regulamentului.

Sunt cazuri în care nu putem da curs solicitării persoanelor vizate, dar acest lucru trebuie transmis persoanei și argumentat.

Implementarea greșită a Regulamentului atrage aceleași sancțiuni ca și neaplicarea lui.

12. SC CNTAR TAROM SA – amendă 20.000 EURO (noiembrie 2019)

Investigația a fost efectuată ca urmare a notificării autorității de supraveghere de către SC CNTAR TAROM SA din data de 13.09.2019 cu privire la încălcarea securității datelor cu caracter personal. Ca urmare a faptului că acesta nu a implementat măsuri tehnice și organizatorice adecvate pentru a se asigura că orice persoană fizică care acționează sub autoritatea acestuia și care are acces la date cu caracter personal, nu le prelucrează decât la cererea sa. Corelat cu acest aspect, operatorul nu a luat nici măsuri adecvate pentru a asigura un nivel de securitate corespunzător riscului generat de divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.

Această situație a condus la accesarea neautorizată, de către un angajat propriu, a aplicației de rezervări și fotografierea unei liste conținând datele cu caracter personal a 22 pasageri/clienți TAROM și la divulgarea neautorizată în mediul on-line a acestei liste.

Sunt câteva aspecte de importante de reținut din această speță cu privire la relația operatorului cu angajații:

  1. Instruire – operatorii nu se pot baza pe o instruire verbală sumară sau transmiterea de informații generale către angajați. Aceștia trebuie să fi instruiți atât din punctul de vedere a prelucrării datelor cu caracter personal care le revin prin fișa postului cât și asupra datelor cu caracter personal cu care intră în contact accidental sau neautorizat.
  2. Actualizarea fișei postului – este ă măsură legală pe care fiecare operator trebuie să o implementeze, în special angajaților care prelucrează date cu caracter personal.
  3. Regulamentul de Ordine Interioară – acesta trebuie să conțină atât indicații cu privire la prelucrare cât și sancțiunile aplicate în caz de abateri
  4. Politica de prelucrare a datelor cu caracter personal – o astfel de politică poate reduce semnificativ riscul unei dezvăluiri neautorizate și reprezintă o diligență de conformare care va reduce șansele de amendare.

Foarte important  de reținut! După cum am putut observa din ultimele amenzi aplicate de ANSPDC, aceasta a dat dovadă de ”blândețe” în stabilirea sumelor din amenzi. Chiar dacă conformarea și implementarea GDPR nu reduce total riscul unei abateri sau breșe, scade semnificativ suma cu care un operator este amendat. Buna credință în respectarea regulamentului se poate dovedii doar prin proceduri și implementare adecvată.

11. FAN COURIER EXPRESS SRL (octombrie 2019)

Operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării generat în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod, ceea ce a condus la pierderea datelor cu caracter personal (nume, prenume, număr card, cod siguranță card (cvv), adresa titular card, cod numeric personal, serie si număr card identitate, număr cont IBAN, limita credit aprobat, adresa de corespondenta) și la divulgarea/accesarea neautorizată a datelor cu caracter personal, fiind afectate de incidentele de securitate un număr de aproximativ 1100 persoane fizice vizate. Fan Courier a primit o amendă în cuantum de 52.325,9 lei, echivalentul a 11.000 EURO.

În speță, fiind vorba de o companie de curierat care operează date cu caracter personal la scară largă, aceasta are desemnată un DPO. Cu siguranță operatorul a făcut demersuri în vederea alinierii și conformării la noul Regulament GDPR. Incidentul prin care s-au pierdut plicurile cu date personale, chiar sensibile, a fost unul independent de voința operatorului și cel mai probabil s-a datorat unei erori umane.

Este foarte important să existe o procedură de răspuns la incidente. Mai important de atât este ca acea procedură să se respecte.

Având în vedere că cifra de afaceri a operatorului Fan Courier este de peste 100 de milioane de euro, amenda aplicată de ANSPDCP este una mică. Acesta se datorează, după părerea noastră, măsurilor de conformare aplicate de operator anterior incidentului.

De asemenea un aspect interesant de reținut este faptul ca expeditorul acelor plicuri nu a fost sancționat in acest caz. In general firmele de curierat propun clienților acorduri de prelucrare in care ambele entități au calitatea de operator. In acest sens se poate presupune ca expeditorul informațiilor – nu a fost sancționat pentru ca si-a luat masurile necesare in vederea asigurării securității prelucrării: semnarea acordurilor de prelucrare, alegerea unui furnizor de servicii care oferta garanțiile necesare din punct de vedere al GDPR (cel puțin la nivel declarativ in cadrul acordurilor semnate) etc.

Un aspect de reținut este că Operatorul a respectat procedura de răspuns la incidente, anunțând ANSPDCP în timp util și luând măsurile care se impun.

10. Operatorul BNP Paribas Personal Finance SA (noiembrie 2019)

În urma unei plângeri, ANSPDCP a fost sancționat operatorul CETELEM IFN S.A. cu amendă în cuantum de 9508 lei, echivalentul sumei de 2000 EURO.

Operatorul nu a răspuns petentului în termenul prevăzut de art. 12 alin. (3) din Regulamentul General privind Protecția Datelor, deși acesta solicitase ștergerea anumitor date personale raportate în sistemul de evidență al Biroului de Credit.

În conformitate cu art. 12 alin. (3) din Regulamentul General privind Protecția Datelor, operatorul are obligația de a răspunde cererilor persoanelor vizate fără întârzieri nejustificate și cel târziu în termen de o lună de la primirea cererii.

GDPR prevede obligația operatorilor de date de a răspunde cererilor persoanelor vizate în termen de 30 de zile. Regulamentul nu prevede ca trebuie să dea curs cererii în termen de 30 de zile ci doar să ofere un răspuns solicitantului. Astfel, operatorul poate solicita lămuriri sau informații suplimentare care să îi ajute în soluționarea cererii.

În cazul în care cererea este nejustificată sau există o prevedere legală care îl împiedică pe operatorul să ia măsurile solicitate de persoana vizată, operatorul are obligația de a răspunde, tot în termen de 30 de zile, cu motivarea.

9. INTELIGO MEDIA S.A. (denumire comercială avocatnet.ro) (octombrie 2019)

ANSPDCP a finalizat în luna august a anului în curs o investigație, din care a rezultat faptul că operatorul a folosit o metodă abuzivă de obținere a consimțământului prin folosirea unei căsuțe nebifate ” Nu vreau să primesc „Personal Update”. Astfel abonarea se făcea prin omisiune.

Operatorul nu a putut face dovada obținerii unui consimțământ valabil din punct de vedere GPDR pentru prelucrarea datelor cu caracter personal ale unui număr de 4357 abonați. De asemenea avocatnet.ro s-a folosit pentru transmiterea prin e-mail a informării zilnice, de un temei legal neadecvat scopului, respectiv ”executarea unui contract”.

Amenda aplicată în acest caz este de 9 000 euro.

În expunerea viziunii noastre asupra speței, vom folosi un extras din considerentul (32) al RGPD ” Consimţământul ar trebui acordat printr-o acţiune neechivocă care să constituie o manifestare liber exprimată (…)Prin urmare, absenţa unui răspuns, căsuţele bifate în prealabil sau absenţa unei acţiuni nu ar trebui să constituie un consimţământ.(…)

Metoda de abonare la newsletter pentru persoanele fizice folosită de operatorul INTELIGO MEDIA S.A. este una prin omisiune (absența unei acțiuni). Astfel folosind această abordare, este practic imposibil să colectezi un consimțământ valid.

Pornind de la textul aflat pe site-ul operatorului vom oferi un exemplu care să îndeplinească criteriile prelucrării pe bază de consimțământ:

Explicit

Liber

Separat

Documentat

Revocabil

Nu vreau să primesc „Personal Update”, informarea trimisă zilnic, gratuit, pe email, de avocatnet.ro”

Explicit – acest text nu conține tipul de informații pe care le voi primi: comercial, distractiv, legal, privitoare la numărul de vizualizări ale site-ului, etc.

Liber – Oferirea unui serviciu nu este condiționată de abonarea la ”informare zilnică”.

Separat – În acest text nu sunt incluse și alte prelucrări

Documentat – Fiind vorba de o inacțiune, este mai greu să poți dovedi că o persoană a fost de acord ”pentru că nu a făcut nimic.”

Revocabil – Din nou, pentru că vorbim de o inacțiune, nu putem să ne retragem ceva ce nu am făcut.

După cum putem vedea sunt îndeplinite doar 2 din cele 5 criterii, cu toate că ele trebuie să fie îndeplinite concomitent, pentru ca prelucrarea să fie valabilă.

Exemplul nostru:

”Doresc să primesc, zilnic, pe adresa de e-mail informații legate de articolele nou apărute pe site-ul avocatnet.ro”. (cu posibilitatea de a bifa o căsuță).

Ca și concluzie, chiar dacă operatorul stabilește ca și temei de prelucrare consimțământul, dacă acesta nu este obținut valabil, prelucrarea este abuzivă și va atrage după ea amendarea.

8.Elefant Online S.A. (octombrie 2019)

Amenda aplicată în acest caz de către ANSPDCP este de 10.000 RON.

Având în vedere că operatorul este un magazin exclusiv online, acesta trimite mesaje comerciale si de tip newsletter către persoanele ale căror adrese de e-mail le dețin.

Sancțiunea a fost aplicată pentru încălcarea legii nr. 506/2004, privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice.

Astfel Elefant Online S.A. nu a putut face dovada obținerii consimțământului prealabil expres și neechivoc pentru transmiterea de mesaje comerciale prin e-mail. Mai mult decât atât petentul a continuat să primească astfel de mesaje și după dezabonarea (prin 2 metode) de la astfel de servicii.

Vedem astfel, că Autoritatea ne oferă indicii foarte importante cu privire la folosirea în mod abuziv a adresei de e-mail și importanța respectării drepturilor persoanelor vizate. În această situație, chiar dacă putem bănui că operatorul a intrat în posesia adresei de e-mail printr-o metoda adecvată (plasarea unei comenzi, înscriere la newsletter, etc.) acesta a continuat să trimită mesaje cu caracter comercial și după ce petentul s-a dezabonat. Un comportament abuziv atât din punct de vedere al legislației interne cât și din punct de vedere a GDPR.

6-7. Raiffeisen Bank S.A. și Vreau Credit S.R.L. – amenzi GDPR (octombrie 2019)

A 6-a și a 7-a amendă aplicată de ANSPDCP cu privire la încălcarea prevederilor GDPR, au avut ca subiecți operatori de date din sistemul bancar și de creditare.

În urma transmiterii unei notificări privind încălcarea securității datelor cu caracter personal Autorității de către operatorul  Raiffeisen Bank S.A. aceasta  a demarat o investigație în care s-a constatat faptul că 2 angajați ai operatorului prin intermediul aplicației mobile WhatsApp, au efectuat interogări ale sistemului Biroului de Credit pentru a obține datele necesare în vederea determinării eligibilității la creditare a respectivelor persoane fizice, prin simulări de prescoring. În acest sens, au fost efectuate 1194 simulări, cu privire la 1177 persoane fizice. De asemenea, pentru 124 de persoane fizice s-a efectuat și consultarea bazei de date a ANAF.

Datele cu caracter personal ale persoanelor viate au fost obținute de la angajații operatorului Vreau Credit S.R.L., aceștia din urmă, primind, tot prin mijloace de comunicare de tip chat, informații cu privire la cazierul fiscal și eligibilitatea de a obține un credit.

Chiar dacă, Raiffeisen Bank a notificat breșa de securitate, acesta a fost amendat cu suma de 150.000 euro, pentru nerespectarea prevederilor art. 32 din GDPR, nu a luat măsurile corespunzătoare pentru a se asigura că orice persoană fizică care acționează sub autoritatea acestuia și care are acces la date cu caracter personal, nu le prelucrează decât la cererea sa.

În ceea ce privește operatorul Vreau Credit S.R.L., acesta a fost sancționat cu o amendă de 20.000 EURO, de asemenea, pentru încălcarea securității datelor, dar și pentru faptul că până la finalizarea investigației nu a notificat autorității de supraveghere încălcarea securității datelor cu caracter personal, fără întârzieri nejustificate, deși constatase producerea acestui incident de securitate încă din luna decembrie 2018.

Citind Termenele și Condiții, precum și Politicile de Confidențialitate existente pe site-urile operatorilor, aceștia se obligă să efectueze operațiuni de prelucrare a datelor cu caracter personal, în vederea obținerii unui credit (interogări ANAF, prescoring, etc.) doar cu consimțământul persoanelor vizate și prin intermediul acordurilor de colaborare existente între cei doi.

Totuși unde au greșit?

În primul rând prin faptul că nu au luat măsuri ca datele cu caracter personal să nu fie procesate, altfel decât prin intermediul mijloacelor electronice securizate de care dispun și altfel decât prin respectare procedurile. Aplicaților domestice de tip chat, folosite de angajați, sunt invazive și nu oferă garanții de securitate. Mai mult decât atât, având în vedere că ele pot fi stocate, dezvăluirea către terți devine foarte facilă.

Putem presupune, că aceste operațiuni au fost făcute fără a îndeplini condițiile de consimțământului prevăzute de GDPR, fiind vorba de operațiuni multiple, fără ca persoana vizată să își exprime dorința / consimțământul informat prin încheierea unui acord cu operatorii.

Vreau Credit S.R.L. nu a notificat ANSPDC cu privire la breșa de securitate, cu toate că a luat act de ea.

În lipsa unei proceduri clare cu privire la breșele de securitate, a unui plan de acțiune și a Notificării ANSPDC persoana vizata poate suferii prejudicii, uneori de ne reparat, care duc la slăbirea încrederii acordată operatorilor. Evitarea unei breșe este ideală, dar atunci când ea se produce, trebuie să fim pregătiți să luăm toate măsurile care se impun, atât pentru protecția persoanei vizate cât și pentru a evita sau a minimiza amenzile.

5. Operatorul Artmark Holding SRL (august 2019)

În data de 10.10.2019, ANSPDCP a anunțat printr-un comunicat, aplicarea unei noi amenzi privind nerespectarea atât prevederilor GDPR cât și a legii 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice.

Obiectul amenzii îl face trimiterea de mesaje comerciale nesolicitate, fără a avea consimțământul persoanei vizate. Se menționează, de asemenea, că petentul a solicitat ștergea adresei de e-mail din baza de date a operatorului deoarece aceasta a fost obținută fără acordul lui.

Operatorul Artmark Holding SRL nu a dat curs acestei cereri, continuând să îi trimită mesaje comerciale de tip SPAM.

Autoritatea a clasificat aceste acțiuni abuzive și contrare principiilor protejării datelor cu caracter personal. Amenda de 10.000 RON a venit însoțită și cu îndrumări și recomandări către operator.

Artmark Holding SRL a fost sancționat contravențional cu amendă în cuantum de 10.000 lei.

 Chiar dacă amenda a fost aplicată pentru încălcarea 506/2004, este vorba și despre o încălcare a drepturilor prevăzute de GDPR. Mai exact vorbim de dreptul de a fi uitat.

Comunicarea prin mijloace electronice, reglementată în România prin legea 506/2004 și la nivel european prin noul Regulament General Privind Protecția Datelor, este cel mai de actualitate subiect indiferent de obiectul de activitate, al comunicărilor sau a scopului. Astfel, fie că vorbim de relații între particulari, de relații între persoane juridice, instituții ale statului, etc. marea majoritate a comunicării se efectuează prin mijloace electronice.

Pe lângă securitatea acestor mijloace, fie ele mesaje de tip e-mail, sms, chat-uri, etc., este nevoie să ne asigurăm de legalitatea lor.

Interesul legitim, necesitatea efectuării unui serviciu public și consimțământul, sunt cele 3 temeiuri legale pe care ne putem baza în astfel de cazuri.

Consimțământul, este cel mai sensibil dintre ele. Astfel, pentru ca acesta să poată fi folosit, este nevoie să îndeplinească mai multe condiții concomitent:

  • Explicit
  • Liber exprimat
  • Individual / separat pe scopuri
  • Documentat
  • Revocabil

Când suntem siguri că îndeplinim aceste condiții, comunicarea de tip marketing/newsletter, poate fi efectuată. Asta până în momentul în care persoana vizată, face uz de dreptul de a fi șters, prevăzut de art. 17 din GDPR. Astfel din momentul în care, am luat act de dorința destinatarului de a nu mai primi astfel de comunicări, avem obligația de a da curs ștergerii tuturor informațiilor pe care le deținem, în calitatea de operator, despre persoana vizată.

Orice comunicare, de tip comercial, marketing, newsletter, după solicitarea de ștergere, devine ilegală.

Sfatul nostru, este să vă asigurați că aveți o procedură privind exercitarea drepturilor persoanelor vizate, în speciale când vine vorba de mediul electronic.

4. UTTIS INDUSTRIES SRL, amendată cu 2 500 euro (iulie 2019)

Operatorul UTTIS INDUSTRIES SRL se adaugă listei companiilor amendate în baza GDPR de către ANSPDCP, fiind al 4-lea la număr.

După cum era de așteptat, în contextul ultimelor ghiduri și discuții pe marginea subiectului CCTV –  supraveghere video, amenda a fost una care vizează nerespectarea Regulamentului cu privire la informarea persoanelor vizate de supraveghere video.

Astfel, nu faptul că Operatorul folosește un sistem CCTV pentru pază și protecție, având ca temei legal Legea 333/2003 – privind paza obiectivelor, bunurilor, valorilor și protecția persoanelor, a condus la sancționare ci lipsa informării adecvate.

În această situație, pentru ca normele GDPR să fie urmate, trebuia făcută o informare a angajaților cu privire la scopul, durata, locul etc. supravegherii video chiar și prin simpla afișare a unor pictograme în punctele cheie.

Aveți mai jos o serie de exemple care vă ajută să identificați dacă vă aflați într-o situație asemănătoare și dacă este nevoie să luați măsuri:

Tot în urma aceleiași investigații s-a constata că Operatorul UTTIS INDUSTRIES SRL a efectuat o prelucrare nelegală a CNP-urilor angajaților, prelucrare care a dus la o scurgere de date prin afișarea Referatului pentru instruirea personalului autorizat ISCIR aferent anului 2018 la avizier societății.

Este foarte important ca pentru fiecare prelucrare de date cu caracter personal să vă asigurați că aveți o bază legală și că minimizați folosirea datelor cu caracter personal.

Cuantumul amenzilor primite Operatorul UTTIS INDUSTRIES SRL este de 11.834,25 lei (echivalentul sumei de 2500 euro).

3. Legal Company & Tax Hub SRL, amendată cu 3000 de EURO (iulie 2019)

Ironia sorții face ca Legal Company & Tax Hub SRL să fie chiar o companie de consultanță în domeniul GDPR. Problema în cazul lor a fost un link public către un fișier neprotejat suficient care conținea și datele cu caracter personal ale clienților companiei respective. 

Oricât de tentante ar fi pentru unii comentariile răutăcioase pe tema amenzii luate de un furnizor de servicii GDPR, aceasta amendă este probabil cea mai clară dovadă că i se poate întâmpla oricui, compania în cauză fiind la urma urmei:

  • O firmă mică
  • Cu un site relativ mic
  • Cel mai probabil fără un buget extraordinar
  • Cu un proprietar/manager fără cunoștințe deosebite în IT,  
  • Și un furnizor care face o eroare umană, greu spre imposibil de detectat, atunci când nu ai cunoștințele tehnice necesare.

Oare câte mii, (zeci de mii?) de astfel de cazuri nedescoperite și neamendate or mai fi în România? 

2. Hotelul World Trade Center, amendat cu 15.000 de EURO (iulie 2019)

Încălcarea a constat în faptul că o listă printată pe suport de hârtie, utilizată pentru verificarea clienților care serveau micul dejun și care conținea date cu caracter personal ale unui număr de 46 de clienți,  a fost fotografiată de către persoane neautorizate din afara societății, ceea ce a condus la dezvăluirea în mediul on-line a datelor cu caracter personal ale unor clienți, prin publicare.

Cel mai interesant lucru de reținut în comunicatul Autorității despre această amendă este faptul că operatorul a fost sancționat pentru că nu a luat măsuri pentru a se asigura că angajații săi care au acces la date cu caracter personal nu le prelucrează decât la cererea sa, potrivit legii.

Mai pe românește, amenda nu pare să fi fost pentru scurgerea de date în sine. Oricine poate intra într-un hotel, să pozeze o listă cu numele de la micul dejun și să o pună pe Facebook de exemplu. Problema a fost faptul că operatorul nu a luat măsuri ca să prevină astfel de incidente

Așadar iată de ce este important ca fiecare companie să facă eforturi și să ia măsuri de conformare la GDPR, chiar dacă erori și scurgeri de date pot apărea oriunde.

Ceva ne spune că în cazul acesta, dacă hotelul ar fi putut demonstra existența măsurilor în cauză, să nu mai fi încasat amenda.  

Păi ce măsuri ar fi putut lua?

De exemplu operatorul trebuia să se asigure că acea listă este securizată, că există o procedură conformă cu GDPR pentru a identifica persoanele care au acces la micul-dejun sau orice alt serviciu oferit de Hotel.

Orice dată cu caracter personal care este pe suport de hârtie reprezintă un risc crescut de dezvăluire spre persoane neautorizate: poate fi uitată undeva, poate fi aruncată la coșul de gunoi fără a fi distrusă, poate fi citită si memorată, poate fi fotografiată și de ce nu, furată.

Concret, alternative mai sigure ar fi fost

  • Minim, instruirea angajaților cu privire la ce au și ce nu au voie să facă cu lista respectivă (ex. să nu o lase ‘nesupravegheată’, la intrarea în restaurant)
  • Ideal, sistemele de oferire a micului dejun care nu necesită scrierea numelor oaspeților, gen brățări sau cupoane oferite la momentul cazării special în acest sens.

1. Unicredit Bank, amendă de 130.000 de EURO pe 27 iunie 2019 (iunie 2019)

În acest caz principala problemă reieșită din comunicatul Autorității din România este faptul că în situația în care o persoană efectua o plată online prin Unicredit, beneficiarul plății primea și CNP-ul și adresa plătitorului în cazul plăților spre conturi din alte bănci, respectiv adresa plătitorului în cazul plăților interne.

Aceste informații apăreau în ‘documentele ce conțin detaliile tranzacțiilor şi care sunt puse on-line la dispoziţia clienţilor beneficiari ai plăţilor’ – adică în extrasele de cont/detalii.

Deși Unicredit, are categoric dreptul să colecteze CNP-urile respective, aspectele problematice au fost că:

  • informațiile divulgate reprezentau o scurgere de date cu caracter personal
  • plătitorul nu a fost informat cu privire la transmiterea datelor sale spre persoanele spre care făcea plățile. 
  • nu s-a respectat principiul privacy by design și privacy by default în direcția conformării aplicațiilor / platformei de plăți a operatorului vizat de sancțiune. O posibilă soluție ar fi fost ca în loc să apară CNP-ul complet să apară doar ultimele 6 cifre. 

În concluzie, merită reținute următoarele:

  • GDPR este real. Consumatorii sunt tot mai educați despre drepturile lor, reclamă tot mai des probleme semnalate la operatorii cu care intră în contact iar Autoritatea chiar face controale și chiar dă amenzi.
  • Amenzile acestea nu se dau doar pentru breșele sau incidentele de securitate în sine, ci și pentru lipsa unor proceduri menite să asigure conformarea. 
  • Nu colecta / nu prelucra mai multe date decât ai nevoie.
  • Atenție la conformarea la GDPR a furnizorilor cu care lucrați.

Iar ca o concluzie mai generală, deși interpretările Regulamentului GDPR pot fi multiple și uneori specificul complicat, până la urmă ceea ce se dorește prin GDPR este până la urmă grija firească față de datele personale ale celor care apelează la serviciile / produsele tale.

Când această grijă există este firesc să fii transparent cu clienții despre ce date și pentru ce anume le colectezi, este firesc să te asiguri că ele nu ajung unde nu trebuie, este firesc să îți instruiești angajații să protejeze datele cu caracter personal cu care intră în contact și este firesc ca până la urmă să depui eforturile necesare unei conformări pe bune la GDPR, și nu a unei implementări de fațadă.