Pentru cei care stau liniștiți fără să fi întreprins vreo acțiune de conformare GDPR, sau cu o implementare mioritică pe criteriul că ‘pe noi oricum nu ne caută nimeni’ iată că de la intrarea în vigoare a GDPR, apar tot mai multe semnale a faptului că noul Regulament de protecția datelor personale este mai serios decât ar fi crezut cineva la început. Acest lucru se reflectă în numărul crescător de amenzi GDPR.
Conținut
Conform site-ului Autorității Naționale de Supraveghere, în România, au fost aplicate zeci de amenzi ca urmare a sute de investigații și mii de plângeri. Astfel, putem vorbi despre următoarele rapoarte ale ANSPDCP:
I. RAPORTUL ANSPDCP aferent perioadei 25 mai 2018 – 24 mai 2019 (1 an de GDPR):
Conform site-ului Autorității Naționale de Supraveghere, în România, din 25 mai 2018 până la 24 mai 2019:
- s-au înregistrat 398 de notificări de încălcări de securitate a datelor cu caracter personal;
- s-au primit 5260 plângeri și sesizări; cu cca 50% mai mult decât în 2017 – semn că lumea conștientizează tot mai bine drepturile pe care le are în acest sens.
- s-au efectuat 485 investigații din oficiu;
- s-au efectuat 496 investigații la plângerile persoanelor vizate.
- s-au emis 57 de măsuri corective, adică recomandări făcute de către Autoritate organizațiilor în cauză pentru a se conforma.
- au fost acordate 23 avertismente
În cele din urmă, până acum au fost amendate 28 companii. Cuvântul cheie aici este până acum. Având în vedere numărul de 23 de avertismente este foarte posibil ca să auzim și de alte amenzi pentru încălcarea regulamentul GDPR în curând.
II. RAPORTUL din data de 05.02.2020, sinteză a activității pentru anul 2019
Făcând o comparație cu raportul anterior, observăm o creștere a activității din partea Autorității, dar și un interes mai mare din partea persoanelor vizate privind protecția datelor cu caracter personal.
În continuare ANSPDCP se focusează pe îndrumare și consiliere. Acest aspect este unul pozitiv, având în vedere că, încă, operatorii de date cu caracter personal sunt nepregătiți.
O privire de ansamblu arată așa:
- 6193 plângeri și sesizări care au condus la 912 investigații – 16 %
- Din numărul de 912 investigații doar 28 s-au finalizat cu amendă – 2,8 %
- Cuantumul amenzilor fiind de 2.339.291,75 lei.
- Solicitările de puncte de vedere au fost în număr de 1106.
Privind procentul de doar 0,5 % (numărul de amenzi rezultate în urma sesizărilor și a plângerilor) putem afirma cu convingere că ANSPDCP nu este o sperietoare și că nu orice prelucrare a datelor cu caracter personal este ilegală sau neconformă.
III. RAPORTUL din 11.02.2021 sinteză a activității pentru anul 2020
- S-au primit un număr de 5480 plângeri, 694 investigații și 194 notificări privind incidentele de securitate;
- Au fost aplicate 29 amenzi în cuantum de 892.115,95 lei (aprox. 183.000 euro) și 10.000 lei, o amendă aplicată în temeiul Legii nr. 506/2004.
- De asemenea, au fost aplicate 64 avertismente și au fost dispuse 65 de măsuri corective.
Spre deosebire de celelalte rapoarte, din acesta putem înțelege că Autoritatea este foarte interesată ca aspectele problematice să fie îndreptate, dispunând mai multe măsuri corective pe care le vom dezvolta mai jos.
IV. RAPORT anual al ANSPDCP pe 2021
- S-a primit un număr de 941 solicitări de emitere puncte de vedere privind diverse aspecte referitoare la modalitatea de interpretare și aplicare a Regulamentului.
- S-a primit un număr total de 5006 plângeri, sesizări și notificări privind incidente de securitate, pe baza cărora au fost deschise 691 investigații.
- Au fost aplicate 36 de amenzi în cuantum total de 371.131,95 lei,
- De asemenea, au fost aplicate 93 avertismente și au fost dispuse 56 de măsuri corective și 1 avertizare.
Iată, pe scurt, cum arată lucrurile pentru anii 2017-2021:
Număr puncte de vedere:
- 2017 – 409
- 2018 – 778
- 2019 – 1106
- 2020 – 1151
- 2021 – 941
- 2022 – 948
Număr plângeri:
- 2017 – 3543
- 2018 – 4822
- 2019 – 6193
- 2020 – 5480
- 2021 – 5006
- 2022 – 4260
Cuantum sancțiuni:
- 2017 – 870.500 lei
- 2018 – 631.500 lei
- 2019 – 2.339.291,75 lei
- 2020 – 892.115,95 lei
- 2021 – 371.131,95 lei
- 2022 – 1.058.863 lei
Care este obiectul plângerilor și sesizărilor.
În continuare vă invităm să urmăriți și care este obiectul plângerilor și sesizărilor.
A. Pentru anul 2018 – 2019, plângerile și sesizările primite de Autoritatea din România (ANSPDCP ) au avut, în principal, ca obiect:
- nerespectarea condițiilor legale ce privesc exercitarea drepturilor persoanelor vizate (de exemplu: drepturile de informare, acces, opoziție, dreptul de a fi uitat);
- primirea de mesaje comerciale nesolicitate;
- dezvăluirea de date personale pe Internet;
- încălcarea principiilor de prelucrare a datelor cu caracter personal în legătură cu prelucrarea datelor în sistemul bancar;
- condițiile de legalitate cu privire instalarea sistemelor de supraveghere video;
- încălcarea regulilor de confidențialitate și securitate a prelucrărilor de date cu caracter personal
B. Pentru ianuarie 2020 – septembrie 2020, plângerile și sesizările au avut ca obiect și s-au luat următoarele tipuri de măsuri corective:
- respectarea cererilor persoanelor vizate prin care acestea și-au exercitat drepturile în temeiul RGPD;
- asigurarea conformitatății operaţiunilor de prelucrare cu dispoziţiile RGPD;
- revizuirea şi actualizarea măsurilor tehnice şi organizatorice implementate, inclusiv a procedurilor de lucru referitoare la protecția datelor cu caracter personal, precum și implementarea unor masuri privind instruirea periodică a persoanelor care acționează sub autoritatea operatorului, referitor la obligațiile ce îi revin conform prevederilor RGPD, inclusiv cu privire la riscurile pe care le comportă prelucrarea datelor cu caracter personal, în funcţie de specificul activităţii;
- efectuarea unei evaluări privind riscul pentru drepturile și libertățile persoanelor care să cuprindă inclusiv încadrarea într-un grad de risc, ținând seama de natura, domeniul de aplicare, contextul şi scopurile prelucrării;
- revizuirea şi actualizarea măsurilor tehnice şi organizatorice implementate ca urmarea a evaluării privind riscul pentru drepturile și libertățile persoanelor, inclusiv a procedurilor de lucru referitoare la protecția datelor cu caracter personal.
Iar acum haideți să luăm lista amenzilor în ordine inversă, începând cu cea mai recentă!
Amenzi GDPR România:
202. Constanța South Container Terminal SRL – septembrie 2024 – 3.000 eur
Constanța South Container Terminal SRL a fost sancționată cu o amendă de 14.929,50 lei (aproximativ 3.000 EURO) de către Autoritatea de Supraveghere a Prelucrării Datelor, după o investigație demarată în urma unei notificări de încălcare a securității datelor. Investigația a relevat faptul că un terț a accesat neautorizat date personale ale angajaților din România (nume complet, data nașterii, adrese, numere de telefon și e-mailuri), stocate pe o platformă publică, fără măsuri adecvate de securitate. Operatorul nu a implementat măsuri tehnice și organizatorice corespunzătoare pentru a garanta confidențialitatea și securitatea datelor.
Ca măsură corectivă, operatorul trebuie să revizuiască și să actualizeze măsurile de securitate privind conectarea la serverele de date și infrastructura IT, în special pentru accesul din exteriorul rețelei.
201. SC Class IT Outsourcing SRL – septembrie 2024 – 1.000 eur
Operatorul SC Class IT Outsourcing SRL a fost amendat cu 4.976,7 lei (1.000 EURO) de către ANSPDCP, urmare a nerespectării cererii unui petent de ștergere a datelor personale. Investigația a relevat că operatorul nu a răspuns în termenul de 30 de zile prevăzut de lege la solicitarea petentului, acesta primind un răspuns doar după intervenția autorității.
Ca măsură corectivă, Class IT Outsourcing trebuie să elaboreze și să implementeze o procedură internă pentru gestionarea cererilor persoanelor vizate, să asigure respectarea termenelor legale în comunicarea răspunsurilor și să ofere instruire periodică personalului privind obligațiile de protecție a datelor.
200. Vodafone România SA – septembrie 2024 – 3.000 eur
Vodafone România SA a fost amendată cu 14.930 lei (3.000 EURO) de ANSPDCP, urmare a nerespectării drepturilor de acces și ștergere ale unui petent conform RGPD.
Investigația a dezvăluit că Vodafone nu a răspuns în termenul legal de 30 de zile la solicitările petentului, răspunsul fiind furnizat abia după intervenția autorității. Pentru această nerespectare a RGPD, s-a aplicat și o măsură corectivă: Vodafone trebuie să adopte o procedură internă eficientă pentru gestionarea cererilor persoanelor vizate, să asigure comunicarea promptă a răspunsurilor în limitele termenelor legale și să organizeze sesiuni regulate de instruire pentru personal cu privire la obligațiile legate de protecția datelor.
199. Fundația Pro Economica – septembrie 2024 – 1.000 eur
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a sancționat Fundația Pro Economica – Pro Economica Alapítvány cu o amendă de 4.976,70 lei (1.000 EURO), urmare a unei încălcări a securității datelor personale detectată în august 2024.
Încălcarea a survenit din cauza unui atac informatic care a șters date personale de pe serverul Fundației, afectând disponibilitatea acestora. Investigatia a relevat lipsa măsurilor tehnice și organizatorice adecvate pentru asigurarea securității datelor, inclusiv protecția împotriva accesului neautorizat și menținerea integrității sistemelor. Datele afectate includ informații sensibile precum CNP, adresă, email, și detalii financiare ale persoanelor vizate.
Ca măsură corectivă, s-a impus fundației actualizarea și revizuirea măsurilor de securitate pentru infrastructura IT, inclusiv îmbunătățirea procedurilor de acces la date.
198. Kaufland România SCS – august 2024 – 7.000 eur
Operatorul Kaufland România SCS a fost implicat în trei incidente diferite, pentru care a acumulat amenzi în valoare totală de 7.000 EURO:
- Prima încălcare (sancționată cu 2.000 de euro) a implicat agenții de pază care au înregistrat cu telefoane mobile imagini de pe camerele de supraveghere ale magazinului, ducând la accesul și divulgarea neautorizată a acestora.
- A doua încălcare (sancționată cu 3.000 de euro) a avut loc când un client a solicitat agentului de pază accesul la imagini video ale unui incident, iar agentul a permis clientului să fotografieze acele imagini și să le posteze pe Facebook, ceea ce a condus la divulgarea neautorizată a datelor personale ale unui alt client.
- A treia încălcare (sancționată cu 2.000 de euro) s-a produs când o angajată a transmis eronat un e-mail cu informații despre un incident de securitate la un domeniu de internet greșit, expunând astfel datele personale ale unui candidat la un job.
Pentru toate aceste încălcări, s-a constatat că Kaufland România nu a implementat măsuri adecvate de securitate pentru a preveni prelucrarea neautorizată a datelor personale și pentru a garanta confidențialitatea și integritatea datelor. Măsurile corective impuse includ revizuirea și actualizarea procedurilor de protecție a datelor, instruirea personalului despre gestionarea datelor în conformitate cu GDPR, și implementarea unor protocoale stricte pentru accesul la informații sensibile.
197. Kruk România SRL – august 2024 – 3.000 eur
Operatorul Kruk România SRL, împuternicit al unui operator, a fost sancționat cu 3.000 EURO pentru gestionarea necorespunzătoare a datelor în cazul unei cesiuni de creanțe. Erorile manuale în prelucrarea bazei de date au dus la transmiterea eronată a notificărilor de cesiune și a posibilităților de plată către destinatari greșiți. Acest lucru a permis accesul și divulgarea neautorizată a datelor cu caracter personal, inclusiv nume, prenume, adrese, și detalii financiare. Investigatia a dezvăluit că Kruk România nu a implementat măsuri tehnice și organizatorice adecvate pentru a garanta un nivel suficient de securitate, nereușind să protejeze confidențialitatea și integritatea sistemelor și serviciilor de prelucrare.
196. Ana Hotels SRL – august 2024 – 8.000 eur
Operatorul Ana Hotels SRL a fost sancționat cu amendă de 8.000 de euro întrucât nu a implementat măsuri adecvate de securitate pentru protejarea sistemelor și serviciilor de prelucrare a datelor. În urma unui atac informatic de tip ransomware a avut loc divulgarea neautorizată a datelor personale ale angajaților, un număr semnificativ de persoane vizate.
Ca măsură corectivă, operatorului i-a fost impus să dezvolte un plan care să includă testarea periodică a sistemelor IT și jurnalizarea traficului de date pe o perioadă de cel puțin 30 de zile, completat de proceduri de backup corespunzătoare.
195. BEST ELAN ONLINE SRL – august 2024 – 1.000 eur
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a impus o amendă de 1.000 de euro operatorului BEST ELAN ONLINE SRL în urma unei investigații declanșate de plângerea unei persoane care a primit mesaje comerciale nesolicitate, chiar după ce a solicitat ștergerea datelor sale personale. Operatorul nu a dat curs solicitărilor persoanei vizate și nu a furnizat Autorității informațiile cerute în timpul investigației.
Ca măsură suplimentară, operatorul trebuie să prezinte acum toate documentele și informațiile necesare, conform cerințelor legale.
194. Rețele Electrice Muntenia SA și Rețele Electrice Dobrogea SA – iunie 2024 – 3.000 eur și 1.000 eur
Rețele Electrice Muntenia SA și Rețele Electrice Dobrogea SA au fost sancționate de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal cu amendă de 14.928,60 lei (aproximativ 3000 EURO), respectiv 4.976,20 lei (aproximativ 1000 EURO) întrucât nu au implementat măsuri adecvate de securitate a datelor.
Investigațiile, declanșate după sesizările privind accesul neautorizat la date pe site-ul comun www.e.distributie.com, au relevat că din lipsa măsurilor adecvate de securitate, a fost permisă vizualizarea datelor personale ale altor clienți. Aceasta a inclus accesul neautorizat la informații sensibile precum numele, prenumele, adresa și codul numeric personal. Ca măsuri corective, s-a impus implementarea de teste periodice pentru portalul web al operatorilor, pentru a asigura confidențialitatea și integritatea datelor gestionate.
193. Corint Logistic SRL – mai 2024 – 2.000 eur
Operatorul Corint Logistic SRL a fost sancționat cu două amenzi separate de câte 4.976,3 lei fiecare (în total echivalentul a 2.000 EURO) și cu un avertisment de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal. Investigația a fost inițiată în urma unei plângeri de la un client care a primit mesaje comerciale SMS, deși solicitase anterior ștergerea datelor sale personale și primise confirmarea acestei acțiuni.
Încălcările identificate includ nerespectarea drepturilor de ștergere și opoziție, precum și transmiterea mesajelor comerciale fără consimțământ valid. A fost constatată, de asemenea, nerespectarea dreptului de acces, deoarece clientul nu a primit răspuns la solicitările sale suplimentare.
Ca măsuri corective, Corint Logistic SRL trebuie să adopte proceduri adecvate pentru respectarea regulamentului în prelucrarea datelor pentru marketing direct, inclusiv obținerea consimțământului clar și prealabil, și să îmbunătățească modul de gestionare a cererilor persoanelor vizate, asigurându-se că acestea sunt soluționate rapid și eficient, conform normelor GDPR. Operatorul este, de asemenea, îndrumat să instruiască regulat personalul privind protecția datelor și gestionarea cererilor de exercitare a drepturilor persoanelor vizate.
192. S.C. Rompetrol Downstream S.R.L. – mai 2024 – 2.000 eur
Operatorul S.C. Rompetrol Downstream S.R.L. a fost amendat cu 9.935,60 lei (aproximativ 2.000 EURO) de ANSPDCP, urmare a descoperirii unor încălcări ale securității datelor personale. Ancheta a fost inițiată după ce Rompetrol a notificat două incidente de securitate, unul implicând utilizarea aplicației WhatsApp pentru prelucrarea datelor și celălalt, dezvăluirea neautorizată pe rețele sociale a datelor personale ale clienților, incluzând imagini din stațiile de carburant și informații despre vehiculele acestora.
Investigația a relevat că Rompetrol Downstream S.R.L. nu a implementat măsuri tehnice și organizatorice adecvate pentru a preveni accesul neautorizat și divulgarea datelor, nerespectând astfel art. 29 și art. 32 din GDPR. Ca măsură corectivă, compania a fost instruită să implementeze mecanisme de verificare și monitorizare a procedurilor de protecție a datelor personale, asigurând astfel conformitatea continuă cu GDPR și prevenirea incidentelor similare în viitor.
191. Urban Home Development S.R.L.- mai 2024 – 2.000 eur
Urban Home Development S.R.L. a fost amendată cu 10.000 lei de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal pentru nerespectarea legislației privind protecția datelor personale și a comunicațiilor electronice. Investigația a fost inițiată în urma unei sesizări despre lipsa informațiilor obligatorii pe site-ul companiei legate de drepturile persoanelor vizate sub RGPD și utilizarea necorespunzătoare a cookies-urilor.
S-a constatat că societatea nu afișa pe site-ul său denumirea sau identitatea operatorului de date, încălcând art. 13 alin. (1) lit. a) din RGPD. De asemenea, site-ul instala cookies pe dispozitivele utilizatorilor fără consimțământul prealabil al acestora și înainte de a fi necesare funcționării site-ului, încălcând astfel art. 4 alin. (5) lit. a) din Legea nr. 506/2004.
Ca măsuri corective, operatorul trebuie să actualizeze politica de confidențialitate pentru a include informațiile necesare conform art. 13 RGPD și să reconfigureze modul în care modulele cookies sunt instalate pe dispozitivele utilizatorilor, pentru a se conforma cerințelor legale.
190. IRIDEX GROUP SALUBRIZARE SRL – mai 2024 – 2.000 eur
Operatorul IRIDEX GROUP SALUBRIZARE SRL a fost sancționat cu o amendă de 9.951,80 lei (aproximativ 2.000 EURO) de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal. Investigația a început în urma unei sesizări primite de la o persoană fizică și a relevat o încălcare a securității datelor personale, cauzată de transmiterea unui mesaj electronic colectiv pe adresele de e-mail ale clienților societății, vizibile tuturor destinatarilor. S-a constatat că operatorul nu a implementat măsuri adecvate pentru a se asigura că angajații prelucrează datele personale doar la cererea sa și nu a adoptat măsuri tehnice și organizatorice corespunzătoare pentru a garanta confidențialitatea, integritatea și securitatea datelor prelucrate. Această deficiență a dus la divulgarea neautorizată a adreselor de e-mail ale clienților.
189. Medicover SRL – mai 2024 – 1.000 eur
Medicover SRL a fost sancționat (pentru a 3-a oară în ultimii 3 ani) cu o amendă de 4.970,30 lei (aproximativ 1.000 EURO) de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal. Investigația a fost inițiată după ce operatorul a notificat o încălcare a securității datelor, cauzată de divulgarea neautorizată a unui raport medical către un alt pacient. Ancheta a evidențiat că Medicover SRL nu a implementat măsuri adecvate pentru a asigura că accesul la datele personale este strict controlat și realizat doar la cererea operatorului, și nu a adoptat măsuri tehnice și organizatorice suficiente pentru a garanta confidențialitatea și integritatea datelor. Această deficiență a dus la pierderea confidențialității datelor personale, inclusiv numele, prenumele, data nașterii, antecedentele medicale, diagnosticele și alte informații sensibile, prin înmânarea raportului medical către o persoană neautorizată.
188. Genpact România SRL – mai 2024 – 3.000 eur
Genpact România SRL a fost sancționat cu o amendă de 14.913,6 lei (aproximativ 3.000 EURO) de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, după ce a fost descoperită o încălcare a securității datelor personale. Incidentul a implicat trimiterea unui fișier conținând date referitoare la recrutarea personalului către o adresă de e-mail neautorizată a unui angajat. Investigația a relevat că Genpact România SRL nu a luat măsuri adecvate pentru a asigura că accesul la datele cu caracter personal se face doar la cererea operatorului și nu a implementat măsuri tehnice și organizatorice corespunzătoare pentru a asigura securitatea datelor. Aceasta a dus la accesul și divulgarea neautorizată a datelor personale, inclusiv numele, numerele de telefon și adresele de e-mail ale persoanelor vizate. În consecință, operatorului i s-a impus și măsura corectivă de a revizui și actualiza măsurile de securitate, procedurile de lucru și instruirea personalului, pentru a preveni utilizarea neautorizată a echipamentelor personale și pentru a asigura conformitatea cu RGPD.
187. Centrul Medical Unirea SRL – mai 2024 – 5.000 eur
Centrul Medical Unirea SRL a fost sancționat cu o amendă de 24.856 lei (aproximativ 5.000 EURO) de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, din cauza unei încălcări a securității datelor personale. Investigația a dezvăluit că datele personale ale unui număr semnificativ de pacienți și angajați, inclusiv numele, CNP-ul, data nașterii, informații de contact, profesie, funcție și detalii salariale, au fost divulgate neautorizat pe internet. S-a constatat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate pentru a asigura confidențialitatea și securitatea datelor, și nu a luat măsuri suficiente pentru a controla accesul la datele personale. În plus, i s-a impus măsura corectivă de revizuire și actualizare a măsurilor de securitate, inclusiv implementarea unui proces periodic de testare și evaluare a eficacității acestora.
186. ALPHA BANK ROMANIA SA – aprilie 2024 – 2.000 eur
ALPHA BANK ROMANIA SA a fost sancționată cu o amendă de 9.950,60 lei (aproximativ 2.000 EURO) de către ANSPDCP, urmare a unei încălcări semnificative a securității datelor personale. Investigația, inițiată după o notificare de încălcare a securității emisă de bancă, a relevat că un angajat a administrat incorect unul dintre sistemele de evidență ale băncii, ceea ce a dus la accesul neautorizat și divulgarea datelor personale ale clienților.
S-a constatat că ALPHA BANK nu a implementat măsuri tehnice și organizatorice adecvate pentru asigurarea unui nivel corespunzător de confidențialitate și securitate a datelor, și nu a supervizat suficient modul în care angajații care au acces la datele personale le procesează.
185. Tensa Art Design SA – aprilie 2024 – 2.000 eur
S.C. Tensa Art Design S.A., operatorul site-ului www.lensa.ro, a fost sancționat în aprilie 2024 cu o amendă de 9.941 lei (aproximativ 2.000 EURO) de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal pentru utilizarea neautorizată a numărului de telefon al unui petent în scopuri de marketing direct fără consimțământ. Aceasta marchează a 4-a amendă impusă operatorului din februarie 2023 până acum, pentru încălcări similare ale GDPR, indicând o problemă recurentă în respectarea regulamentului privind consimțământul pentru prelucrarea datelor personale.
Investigația a fost inițiată urmare a unei plângeri care acuza primirea de mesaje SMS promoționale fără acordul explicit al petentului. Constatarea lipsei de consimțământ sau a unui alt temei legal a atras sancțiunea pentru încălcarea art. 6 din GDPR. În plus, companiei i s-a impus să adopte măsuri corective pentru a asigura conformitatea operațiunilor viitoare de prelucrare a datelor cu prevederile GDPR, evitând astfel prelucrarea datelor fără un temei legal adecvat.
184. Centrul medical dr. Furtună Dan – aprilie 2024 – 1.500 eur
Centrul Medical dr. Furtună Dan a fost sancționat de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal cu o amendă de 7.455 lei (echivalentul a 1.500 EURO) și a primit avertisment pentru mai multe încălcări ale Regulamentului General privind Protecția Datelor (RGPD) identificate în cursul unei investigații declanșate în aprilie 2024.
Investigatia a pornit din cauza neîndeplinirii de către centrul medical a măsurilor corective anterioare impuse de autoritate. S-a constatat că centrul nu a respectat măsurile organizatorice necesare pentru a asigura securitatea datelor personale. Pe lângă amenda și avertismentul impuse, autoritatea a dispus și măsuri corective adiționale, inclusiv revizuirea și actualizarea măsurilor tehnice și organizatorice, și întocmirea unui registru detaliat al încălcărilor de securitate.
183. Sectorul 1 al Municipiului București – martie 2024 – 32.000 eur
Operatorul Sectorul 1 al Municipiului București a fost sancționat cu o amendă cominatorie de 159.000 lei (aproximativ 32.000 euro) pe 20.02.2024 de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, pentru nerespectarea măsurii de remediere stabilite anterior. Investigația a început pe 30.06.2023 din cauza sesizărilor despre utilizarea neautorizată a unei platforme online pentru colectarea datelor personale. După ce Sectorul 1 nu a furnizat informațiile solicitate de ANSPDCP, a fost inițial avertizat și i s-a impus un plan de remediere pe 09.11.2023. Nerespectarea acestui plan a atras o amendă de 10.000 lei pe 14.12.2023, împreună cu o nouă solicitare de furnizare a informațiilor, care, din nou, nu a fost îndeplinită. Amenda cominatorie a fost aplicată pentru nerespectarea termenului de furnizare a informațiilor, fiind calculată pentru 53 de zile de întârziere, cu o penalitate zilnică de până la 3.000 lei.
182. EURO MINI STORAGE ROMANIA SRL – martie 2024 – 5.000 eur
Operatorul EURO MINI STORAGE ROMANIA SRL a fost amendat cu aproximativ 5.000 EURO de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal ca urmare a unui atac informatic care a compromis securitatea datelor personale. Incidentul a evidențiat lipsa măsurilor tehnice și organizatorice adecvate pentru protecția datelor împotriva accesului neautorizat și a afectat disponibilitatea și confidențialitatea informațiilor clienților pentru o perioadă de timp. Autoritatea a impus măsuri corective, inclusiv implementarea unui sistem eficient de monitorizare și jurnalizare a accesului în infrastructura IT, cu o retenție a log-urilor de minim 30 de zile și proceduri de back-up adecvate.
181. VESTA CEU SRL – februarie 2024 – 3.000 eur
VESTA CEU ROMÂNIA SRL a fost amendată cu 14.928 lei (aproximativ 3.000 EURO) de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal pentru încălcarea art. 32 din RGPD, referitoare la securitatea prelucrării datelor. Investigatia a început după ce compania a notificat o încălcare a securității datelor, care a implicat divulgarea neautorizată a datelor personale ale angajaților, inclusiv informații sensibile. S-a constatat că VESTA CEU ROMÂNIA SRL nu a implementat măsuri de securitate adecvate, și i s-a impus să adopte o soluție de monitorizare pentru a preveni incidente similare în viitor.
180. Account Exchange SRL – februarie 2024 – 2.000 eur
Operatorul Account Exchange SRL a fost amendat cu 9.940,40 lei (aproximativ 2.000 EURO) și a primit avertisment de la Autoritatea Națională de Supraveghere după ce s-a constatat încălcarea art. 5 alin. (1) lit. a) și art. 6 din RGPD. Ancheta, inițiată în urma unei sesizări, a relevat utilizarea neautorizată a datelor personale ale unor persoane pentru deschiderea conturilor curente în monedă virtuală fără consimțământ sau alt temei legal. În plus, societatea nu a furnizat toate informațiile și documentele solicitate de Autoritate, încălcând astfel art. 83 alin. (5) lit. e) din RGPD.
179. Asociație de proprietari din Miercurea Ciuc – februarie 2024 – 500 eur
O Asociație de proprietari din Miercurea Ciuc a fost amendată cu 2.486,2 lei (500 EURO) de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal pentru dezvăluirea neautorizată a datelor unei persoane prin grupul de WhatsApp al Asociației. Această acțiune a încălcat principiile de bază ale RGPD, inclusiv legalitatea, limitarea scopului și transparența, precum și drepturile de acces, ștergere și opoziție ale persoanei în cauză. Asociația nu a dovedit nici că a comunicat un răspuns la cererea petentei, nici că a implementat măsuri corective cerute anterior de Autoritate, încălcând astfel și mai mult reglementările GDPR. Ca măsuri corective, Asociației i s-a impus să transmită informațiile solicitate de petentă, să asigure conformitatea cu principiile RGPD în prelucrarea datelor și să instruiască corespunzător personalul implicat în aceste procese.
178. Sectorul 1 al Municipiului București – ianuarie 2024 – 10.000 lei
Operatorul Sectorul 1 al Municipiului București a fost amendat cu 10.000 lei de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal pentru încălcarea prevederilor GDPR și ale legislației naționale. Ancheta a pornit de la sesizări privind posibile încălcări ale GDPR, legate de modul de transmitere a documentelor pentru un program de stimulente energetice. Deși Consiliul Local a prevăzut transmiterea documentelor în format fizic sau prin e-mail, Sectorul 1 a utilizat o platformă online neaprobată oficial. Refuzul repetat al furnizării informațiilor solicitate de Autoritate a dus la aplicarea inițială a unui avertisment și a unei măsuri de remediere. Nerespectarea ulterioară a acestei măsuri a rezultat în amenda menționată și impunerea reiterată a măsurii corective de a furniza informațiile necesare.
177. TECHNINK LEB SRL – ianuarie 2024 – 3.000 eur
Operatorul TECHNINK LEB SRL a fost sancționat cu o amendă de 14.904,30 lei (aproximativ 3.000 EURO) întrucât nu a nerespectat obligația de a implementa măsuri tehnice și organizatorice adecvate pentru asigurarea unui nivel de securitate corespunzător riscului prelucrării.
Investigația a fost declanșată după ce TECHNINK LEB SRL a notificat o încălcare a securității datelor cu caracter personal, conform Regulamentului General privind Protecția Datelor (RGPD). Încălcarea a constat în divulgarea neautorizată a datelor personale ale unui număr semnificativ de clienți, incluzând ID-uri, adrese, nume, prenume, adrese de e-mail și alte informații, care au devenit accesibile pe site-ul operatorului.
Totodată s-au impus și următoarele măsuri corective împotriva operatorului:
- Implementarea unui plan pentru testarea, evaluarea și aprecierea periodică a sistemelor și a modificărilor acestora, cu accent pe site-ul administrat de operator.
- Elaborarea și implementarea procedurilor de complexitate a parolelor, în special pentru conturile de administrator, incluzând cerințe privind lungimea, varietatea caracterelor, perioada de expirare și interzicerea reutilizării parolelor anterioare.
176. Alior Bank SA Varșovia Sucursala București – ianuarie 2024 – 17.000 eur
Operatorul Alior Bank SA Varșovia Sucursala București a fost sancționat contravențional cu amendă în cuantum de 84.491,7 lei (echivalentul a 17.000 EURO) pentru prelucrarea neautorizată a datelor personale ale clienților după încetarea relațiilor contractuale.
Investigația a fost inițiată după ce un fost client a reclamat primirea de corespondență electronică nesolicitată și mesaje SMS de la banca, chiar după ce solicitase ștergerea tuturor datelor personale. În urma investigației, Autoritatea a constatat că Alior Bank SA Varșovia Sucursala București a continuat să trimită mesaje clienților și să monitorizeze activitatea acestora chiar și după încetarea relațiilor contractuale fapt ce a reprezentat o prelucrare a datelor în scopuri incompatibile cu cele pentru care au fost colectate inițial.
Sistemul informatic al sucursalei din București era integrat cu cel centralizat din Polonia, ceea ce a dus la transmiterea mesajelor de către departamentul tehnic din Polonia conform cerințelor Sucursalei din București.
Având în vedere natura transfrontalieră a încălcărilor, decizia de sancționare a luat în considerare cooperarea dintre autoritățile de protecție a datelor din România și Polonia. Autoritatea a impus măsuri corective pentru a asigura conformitatea cu principiile și regulile GDPR, inclusiv reconfigurarea sistemelor și aplicațiilor de prelucrare a datelor și comunicarea acestor aspecte la sediul central din Polonia pentru implementarea corespunzătoare a regulamentului.
175. Persoană fizică – decembrie 2023 – 200 eur
Un operator, persoană fizică a fost sancționat contravențional cu amendă în cuantum de 993,84 lei, echivalentul a 200 euro întrucât nu a îndeplinit măsura corectivă impusă de Autoritate, care includea obligația de a permite accesul la datele cu caracter personal și la informațiile necesare pentru control.
Sancțiunea a fost aplicată în urma unei sesizări, având ca obiect nerespectarea unei măsuri corective anterioare.
174. Veranda Obor SA – decembrie 2023 – 3.000 eur
Operatorul Veranda Obor SA a fost sancționat contravențional cu amendă în cuantum de 14.823,60 lei (echivalentul a 3 000 EURO), pentru lipsa implementării de măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului prelucrării.
Mai exact, în urma investigației, s-a constatat că pe site-ul Veranda Obor S.A. au fost afișate date personale ale participanților la o tombolă organizată de centrul comercial, incluzând nume, prenume și adrese de e-mail. Lipsa măsurilor adecvate de protecție a datelor, a dus la divulgarea neautorizată a informațiilor personale pe site-ul companiei.
173. Hora Credit IFN SA – decembrie 2023 – 24.000 lei
Operatorul Hora Credit IFN SA a fost sancționat contravențional cu amendă în cuantum de 119.296,8 lei (echivalentul a 24.000 EURO), pentru insuficiența măsurilor de securitate pentru protecția datelor personale, nerespectarea termenului de notificare a încălcărilor de securitate și lipsa unui răspuns adecvat la cererile de acces la date.
Sancțiunea a fost aplicată după o plângere în care se reclama transmiterea greșită de către Hora Credit IFN SA a datelor personale ale unui client altui petent, precum și lipsa remedierii situației chiar și după sesizarea erorii.
Pe lângă sancțiunea cu amendă, operatorului i s-au dispus și următoarele măsuri corective:
- asigurarea conformității cu GDPR în prelucrarea datelor personale
- solicitarea petentului de a șterge sau distruge informațiile personale accesate greșit
- implementarea unei politici interne pentru identificarea și notificarea încălcărilor de securitate
- informarea clientului despre încălcarea securității datelor sale
- comunicarea unui răspuns la cererea petentului conform art. 15 alin. (1) din GDPR.
172. SC Sweat Concept One SA – noiembrie 2023 – 10.000 lei
Operatorul SC Sweat Concept One SA a fost sancționat contravențional cu amendă în cuantum de 10.000 lei, în urma unei plângeri privind nerespectarea dreptului la ștergerea datelor.
În urma investigației s-au contatat:
- utilizarea ilegală de cookies pe site-ul operatorului fără consimțământul utilizatorilor
- prelucrarea neautorizată a adresei de e-mail a petentei pentru marketing direct
- nerespectarea obligației de a răspunde la cererea de ștergere a datelor.
Pe lângă sancțiunea cu amendă, operatorului i s-au dispus și următoarele măsuri corective:
- asigurarea prelucrării legale a datelor personale pe site-ul sweat.ro
- respectarea drepturilor persoanelor vizate, inclusiv dreptul la ștergerea datelor
- implementarea efectivă a cerințelor pentru obținerea consimțământului înainte de instalarea cookie-urilor
171. Libra Internet Bank SA – noiembrie 2023 – 1.500 eur
Operatorul Libra Internet Bank SA a fost sancționat contravențional cu amendă în cuantum de 7.454,25 lei, echivalentul a 1.500 EURO în urma unei plângeri privind modul în care a răspuns la o cerere de acces la date. Mai exact, operatorul de date nu a respectat măsura corectivă anterioară și nu a furnizat toate informațiile legate de prelucrarea datelor personale ale petentului în mod corespunzător și la timp.
170. Rompetrol Downstream SRL – noiembrie 2023 – 110.000 eur
Operatorul Rompetrol Downstream SRL a fost sancționat contravențional cu amendă în cuantum de 546.073 lei (echivalentul a 110 000 de euro) întrucât nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării și nu s-a asigurat că orice persoană fizică care acționează sub autoritatea operatorului și are acces la datele cu caracter personal nu le prelucrează decât la cererea sa.
Investigația a fost demarată ca urmare a transmiterii de către operator a mai multor notificări de încălcare a securității datelor cu caracter personal, în perioada 20.07.2021 – 3.02.2022. Mai exact, datele unor clienți din programul informatic deținut de companie au fost accesate și utilizate în mod neautorizat în repetate rânduri în scopul obținerii unor credite de la societăți financiare nebancare în numele acestora. Prin incidentul produs au fost divulgate neautorizat date din cartea de identitate și date din adeverința de salariu.
169. OTP Bank România SA – noiembrie 2023 – 3000 eur
În urma unei investigații declanșate de o plângere, s-a constatat că OTP Bank România SA nu a respectat cerințele de securitate ale datelor personale prevăzute de Regulamentul General privind Protecția Datelor (RGPD), ceea ce a dus la sancționarea băncii cu o amendă de 14.889,3 lei (aproximativ 3.000 de euro) și un avertisment.
Întrucât banca nu a raportat incidentul în care datele personale ale unei persoane au fost trimise greșit prin e-mail, operatorul a primit de asemenea un avertisment pentru nerespectarea obligației de notificare a unei încălcări de securitate.
Autoritatea a impus și măsuri corective, solicitând băncii să îmbunătățească securitatea prelucrării datelor personale și să implementeze măsuri interne pentru o mai bună detectare, gestionare și raportare a eventualelor încălcări ale securității datelor. Aceste măsuri includ instruirea adecvată a personalului și automatizarea proceselor pentru a minimiza riscurile de prelucrare neautorizată sau ilegală a datelor personale.
168. Asociația de Proprietari bloc A1 din str. Mureșului, nr. 2A, municipiul Hunedoara- octombrie 2023 – 500 eur
Operatorul Asociația de Proprietari bloc A1 din str. Mureșului, nr. 2A, municipiul Hunedoara, județul Hunedoara a fost sancționat cu 2487,25 lei și un avertisment pentru încălcări ale GDPR (Regulamentul UE 2016/679).
Amenda a fost impusă deoarece asociația nu a respectat măsurile dispuse anterior de ANSPDCP și a dezvăluit ilegal numele și prenumele proprietarilor în listele de întreținere, fără consimțământul expres al persoanelor vizate și fără o bază legală alternativă pentru prelucrarea datelor. Asociația a primit un avertisment pentru nerespectarea principiilor fundamentale ale protecției datelor, inclusiv legalitatea și corectitudinea, și a fost instruită să ia măsuri corective pentru a asigura conformitatea cu regulile GDPR, prevenind astfel prelucrările neautorizate ale datelor personale în viitor.
167. SC Spark Car Sharing SRL – octombrie 2023 – 1.000 eur
Operatorul SC Spark Car Sharing SRL, o companie de închirieri auto în regim de car-sharing, a fost sancționat cu o amendă de 4,975.20 (aproximativ 1.000 EURO) și un avertisment, întrucât a prelucrat date cu caracter personal fără a avea un temei legal și fără a respecta principiile GDPR.
Investigatia, inițiată în urma unei sesizări, a relevat că compania a utilizat adresa de e-mail a unui client pentru marketing direct fără a avea consimțământul acestuia și a continuat să trimită mesaje de marketing, chiar și după ce clientul a cerut ștergerea datelor sale personale. Încălcările includeau nerespectarea principiilor fundamentale ale prelucrării datelor, cum ar fi legalitatea, corectitudinea și transparența (art. 5 și art. 6), precum și nerespectarea dreptului individului de a avea datele șterse (art. 17). Pe lângă sancțiunile aplicate, autoritatea a dispus măsuri corective, cerând companiei să se asigure că prelucrările de date bazate pe consimțământ sunt efectuate în conformitate cu cerințele GDPR.
166. Mensajero SRL – octombrie 2023 – 3.000 eur
Operatorul Mensajero SRL a fost sancționat cu o amendă de 14.925,6 lei (aproximativ 3.000 EURO), întrucât nu a implementat măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului.
Încălcarea a fost descoperită după o sesizare referitoare la o posibilă breșă de securitate pe site-ul companiei. Investigatorii au descoperit că, accesând un anumit link, era posibilă vizualizarea și descărcarea mai multor fișiere, inclusiv facturi și certificate de garanție ale clienților. Ca urmare, datele personale, cum ar fi numele, prenumele, adresa, adresa de e-mail și detalii legate de achiziții, ale clienților (persoane fizice și juridice) au fost divulgate neautorizat.
165. DANTE INTERNAȚIONAL SA. – octombrie 2023 – 1.000 eur
Operatorul DANTE INTERNAȚIONAL SA. a fost sancționat cu o amendă de 4.974,9 (aproximativ 1.000 EURO), întrucât a prelucrate date cu caracter personal fără a avea un temei legal
Investigația, inițiată în urma unei plângeri, a relevat că operatorul de date, care operează site-ul www.fashiondays.ro, a utilizat numărul de telefon al unui individ pentru marketing direct, trimițându-i mesaje comerciale SMS fără a avea consimțământul acestuia. Compania nu a putut dovedi existența unui consimțământ sau a unei baze legale pentru această prelucrare de date.
Pe lângă amendă, autoritatea a impus și măsuri corective, cerând companiei să obțină consimțământul expres prealabil al persoanelor vizate pentru prelucrările de marketing și să se asigure că prelucrările de date sunt conform cu dispozițiile GDPR.
164 – Cez Vânzare S.A. – octombrie 2023 – 1.000 eur
Operatorul Cez Vânzare S.A., a fost sancționat cu o amendă de 4.969,70 lei (aproximativ 1.000 EURO), întrucât nu a implementat măsuri adecvate pentru asigurarea securității datelor și protejarea confidențialității acestora.
Mai exact, în urma unui incident, operatorul a trimis, prin e-mail, preavize de deconectare clienților săi de gaze naturale (din cauza unor erori de transcriere) altor clienți decât cei intenționați. Prin această eroare, au fost dezvăluite date cu caracter personal, atât ale persoanelor fizice, cât și juridice, cum ar fi nume, prenume, adrese și coduri de client.
163. RESTART ENERGY ONE S.A. – septembrie 2023 – 33.000 eur
În septembrie 2023, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a finalizat o investigație asupra operatorului RESTART ENERGY ONE S.A., identificând nereguli legate de securitatea datelor și utilizarea modulelor cookie. Drept consecință, compania a fost amendată cu 124.150 lei (25.000 EURO) pentru nerespectarea anumitor articole din Regulamentul (UE) 2016/679 și cu 40.000 lei pentru încălcarea Legii nr. 506/2004. Ancheta a fost inițiată după o sesizare privind securitatea datelor pe site-ul lor, descoperindu-se că un fișier cu date personale ale a 750 de persoane a fost public timp de 2 ani și jumătate. S-a observat, de asemenea, că modulele cookie inutile se instalau fără consimțământ. Pe lângă amenzile aplicate, autoritatea a cerut companiei să implementeze un plan de securitate și evaluare periodică a sistemelor, inclusiv pentru site-ul său.
162. UAT Comuna Albeni – septembrie 2023 – 10.000 lei
În urma unei plângeri legate de monitorizarea angajaților primăriei prin camere de supraveghere, ANSPDCP a finalizat o investigație la operatorul UAT Comuna Albeni în urma căreia s-au constatat încălcarea mai multor articole din Regulamentul (UE) 2016/679 și Legea nr. 190/2018.
Operatorul a fost amendat cu 10.000 lei pentru nerespectarea unui plan de remediere anterior și pentru neinformarea cetățenilor despre drepturile lor conform GDPR. De asemenea, operatorul nu a adoptat măsuri adecvate de securitate și confidențialitate pentru datele colectate. Autoritatea a impus corecții, cerând operatorului să răspundă solicitărilor Autorității, să pună în aplicare măsuri de securitate corespunzătoare și să informeze persoanele vizate despre drepturile lor conform GDPR.
161. NN Asigurări de Viață S.A. – septembrie 2023 – 1.000 eur
Operatorul NN Asigurări de Viață S.A. a fost sancționat cu amendă în cuantum de 4,946.50 lei, echivalentul a 1000 euro întrucât nu a respectat drepturile conferite de RGPD.
Mai exact, investigația a fost demarată ca urmare a unei plângeri transmise de o persoană vizată care a reclamat faptul că operatorul NN Asigurări de Viață S.A. i-a încălcat dreptul de opoziție, prin trimiterea de mesaje în scop de marketing, prin mesageria Linkedin. Operatorul nu a luat în considerare cererile petentului, transmise prin poștă electronică, prin care și-a exprimat opțiunea de a nu mai fi contactat cu mesaje de tip marketing direct fără consimțământul său.
Pe lângă sancțiunea cu amendă, operatorului i s-a aplicat și măsura corectivă de adoptare a unor proceduri interne adecvate și eficiente de protecție a datelor privind modul de soluționare a cererilor depuse de persoanele vizate, cu respectarea dispozițiilor aplicabile privind analizarea și soluționarea fără întârziere a acestor cereri, astfel încât operatorul să se asigure că dă curs efectiv cererilor prin care se exercită drepturile persoanelor vizate, precum și instruirea regulată a personalului operatorului.
160. ISRA Center Marketing Research SRL – septembrie 2023 – 2.000 eur
Operatorul ISRA Center Marketing Research SRL a fost sancționat cu amendă în cuantum de 9898 lei, echivalentul a 2000 euro întrucât trimite pe e-mail mesaje nesolicitate fără a asigura o informare clară și completă persoanei ale cărei date personale le-a colectat, referitor la sursa de colectare a datelor.
În plus, în cadrul investigației a rezultat că operatorul nu a luat măsurile necesare pentru a da curs cererii de exercitare a dreptului de a se opune prelucrării datelor, astfel că a continuat să prelucreze datele petentului prin trimiterea unui nou mesaj.
159. Persoană fizică-medic – septembrie 2023 – 2.000 eur
Un operator persoana fizică (medic) a fost sancționat cu amendă în cuantum de 9919,2 lei, echivalentul a 2000 euro întrucât a filmat, cu telefonul personal, o pacientă a spitalului în care lucrează, fără consimțământul acesteia și ulterior a postat filmarea pe pagina sa de Facebook. Au fost dezvăluite astfel date personale ale pacientei, precum imagine, voce, nume, prenume și stare de sănătate
Deși operatorul a șters în cursul aceleiași zile înregistrarea de pe pagina sa de Facebook, aceasta a fost vizualizată de un număr foarte mare de persoane și preluată și diseminată pe diverse site-uri de internet și canale mass-media.
Amintim aici art. 20 din Legea nr. 46/2003 privind drepturile pacientului, care prevede că: ”Pacientul nu poate fi fotografiat sau filmat într-o unitate medicală fără consimţământul său, cu excepţia cazurilor în care imaginile sunt necesare diagnosticului sau tratamentului şi evitării suspectării unei culpe medicale.”
158. BODY LINE SRL – august 2023 – 10.000 eur
Operatorul BODY LINE SRL a fost sancționat cu amendă în cuantum de 49.322 lei, echivalentul a 10.000 EURO întrucât a divulgat datele personale ale unui client prin postarea unei înregistrări audio-video pe paginile de socializare și nu a dat curs cererii de ștergere a datelor clientului.
Investigația a fost demarată ca urmare a unei plângeri efectuate de un client și s-a constatat că operatorul a diseminat pe rețele de socializare datele petentului dintr-o înregistrarea audio-video și a folosit în comentarii un apelativ ce dezvăluia originea etnică a acestuia, fără a avea temei legal.
În cadrul investigației s-a constatat faptul că operatorul nu a adoptat suficiente măsuri tehnice și organizatorice adecvate în vederea asigurării confidențialității datelor personale prelucrate prin intermediul sistemului de supraveghere audio-video, situație ce a condus la accesarea și, ulterior, la diseminarea pe paginile de socializare ale operatorului a unei înregistrări audio-video cu imagini ale petentului.
Operatorului BODY LINE SRL i s-au aplicat și următoarele măsuri corective:
– de a asigura conformitatea cu GDPR a operațiunilor de prelucrare a datelor personale, inclusiv prin elaborarea de proceduri scrise, astfel încât datele personale ale persoanelor vizate să fie prelucrate cu stricta respectare a dispozițiilor legale privind protecția datelor personale, prin evitarea colectării și/sau divulgării ilegale/excesive/neautorizate a datelor personale ale acestora;
– de a da curs cererii de ștergere a datelor personale ale petentului, aferente postărilor de pe paginile de socializare ale operatorului;
– de a asigura conformitatea cu GDPR a operațiunilor de prelucrare a datelor personale, prin implementarea unor măsuri tehnice și organizatorice adecvate, în special sub aspectul instruirii persoanelor care prelucrează date sub autoritatea sa (angajați sau colaboratori), prin organizarea regulată a unor sesiuni de instruire cu acestea, în legătură cu obligațiile ce le revin privind prelucrarea datelor personale prin intermediul sistemului de supraveghere video, al stabilirii condițiilor în care pot fi accesate imaginile sau înregistrările audio-video de către un număr redus de persoane, pe baza unor credențiale individuale, al verificării periodice a accesului la înregistrările imaginilor, precum și al detectării rapide, gestionării și raportării unor situații de încălcare a securității datelor personale.
157. Uipath SRL – august 2023 – 70000 eur
Operatorul Uipath SRL a fost sancționat cu amendă în cuantum de 346.598 lei, echivalentul sumei de 70.000 EURO, întrucât nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului de prelucrare.
Mai exact, investigația a fost demarată ca urmare a transmiterii de către operator a unei notificări de încălcăre a securității datelor cu caracter personal produsă prin publicarea datelor cu caracter personal a unui număr semnificativ de utilizatori ai Platformei Academy pe un website accesibil la o adresa URL. Acest fapt a condus la divulgarea neautorizată și accesul neautorizat la datele cu caracter personal (nume și prenume utilizator, identificatorul unic al fiecărui utilizator, adresa de e-mail, numele companiei la care utilizatorul este angajat, țara și detalii despre nivelul de cunoștințe obținut în cadrul cursurilor UiPath ACADEMY) a circa 600.000 de utilizatori ai Platformei Academy aparținând operatorului UiPath, pentru o perioadă de aproximativ 10 zile.
Uipath SRL nu s-a asigurat că, în mod implicit, datele cu caracter personal nu pot fi accesate, fără intervenția persoanei, de un număr nelimitat de persoane. În plus, nu a asigurat confidențialitatea și rezistența continuă a sistemelor și serviciilor de prelucrare, precum și un proces pentru testarea, evaluarea şi aprecierea periodice ale eficacităţii măsurilor tehnice şi organizatorice pentru a garanta securitatea prelucrării.
În stabilirea cuantumului amenzii s-au ținut cont de următoarele aspecte:
- natura, gravitatea și durata încălcării – afectarea a 600.000 de persoane vizate (utilizatori ai Platformei Academy); setările tehnice ale spațiului de stocare permiteau accesul neautorizat la datele cu caracter personal ale utilizatorilor Platformei Academy; incidentul a constat în publicarea datelor cu caracter personal pe un website terț, informație adusă la cunoștința operatorului de o terță persoană;
- caracterul neglijent al vinovăției operatorului în acest caz;
- măsurile de remediere a aspectelor sesizate, adoptate de operator pe parcursul investigației întreprinse de ANSPDCP;
- gradul de cooperare cu autoritatea de supraveghere;
- categoriile de date cu caracter personal prelucrate
- caracterul transfontalier al prelucrării.
156. Med Life SA – august 2023 – 2000 eur
Operatorul Med Life SA a fost sancționat cu amendă în cuantum de 9.839,6 lei, echivalentul a 2.000 EURO, întrucât nu a respectat drepturile persoanelor vizate.
Mai exact, investigația a fost demarată ca urmare a unei plângeri prin care se reclama faptul că operatorul i-a încălcat petentei dreptul de acces, refuzând să-i comunice anumite înregistrări video din recepția unui spital al acestuia pentru intervalul orar în care petenta s-a aflat în incinta spitalului operatorului.
În plus, operatorul nu a inclus în răspunsurile transmise petentei informații cu privire la posibilitatea de a depune o plângere în fața Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal și de a introduce o cale de atac judiciară.
În acest context, amintim că operatorul are obligația „Dacă nu ia măsuri cu privire la cererea persoanei vizate, operatorul informează persoana vizată, fără întârziere şi în termen de cel mult o lună de la primirea cererii, cu privire la motivele pentru care nu ia măsuri şi la posibilitatea de a depune o plângere în faţa unei autorităţi de supraveghere şi de a introduce o cale de atac judiciară.”
155. ING BANK NV Amsterdam Sucursala București- iulie 2023 – 3000 eur
Operatorul ING BANK NV Amsterdam Sucursala București a fost sancționat cu amendă în cuantum de 14.889 lei, echivalentul a 3.000 EUR, întrucât nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului de prelucrare.
Mai exact, investigația a fost demarată ca urmare a transmiterii de către operator a unei notificări de încălcăre a securității datelor cu caracter personal produsă prin transmitere neautorizată, prin intermediul aplicației WhatsApp, a unui fișier format .pdf ce conținea date cu caracter personal, situație ce a condus la pierderea confidențialității datelor cu caracter personal ale unui număr semnificativ de clienți ai operatorului.
154. Farmacia Ardealul SRL – iunie 2023 – 2500 eur
Operatorul Farmacia Ardealul SRL a fost sancționat cu amendă în cuantum de 12.424 lei, echivalentul a 2.500 EUR, întrucât nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prezentat de prelucrare.
Mai exact, investigația a fost demarată ca urmare a transmiterii de către operator a unei notificări de încălcăre a securității datelor cu caracter personal produsă prin instalarea neautorizată a unui program de tip malware pe site-ul operatorului, situație ce a condus la încălcarea confidențialității datelor cu caracter personal (date bancare) ale unui număr semnificativ de clienți. Pe site-ul operatorului a fost instalat neautorizat un formular fictiv de colectare date bancare.
În plus, operatorului i s-a aplicat și măsura corectivă de a implementa un plan care să includă un mecanism de testare, scanare, evaluare și apreciere periodică a securității tuturor sistemelor IT ale operatorului, inclusiv asupra site-ului acestuia.
153. Vodafone România SA – iunie 2023 – 1000 eur
Operatorul Vodafone România SA a fost sancționată cu amendă în cuantum de 4.961 lei, echivalentul a 1.000 EUR, întrucât nu a respectat drepturile personaelor vizate. Mai exact, operatorul i-a încălcat petentului dreptul de acces, refuzând să-i comunice anumite înregistrări ale convorbirilor cu call-center-ul acestuia.
În plus, operatorului i s-a aplicat și măsura corectivă de a adopta măsuri tehnice și organizatorice astfel încât operatorul să se asigure că dă curs efectiv cererilor prin care se exercită drepturile persoanelor vizate.
152. Dante International SA – iunie 2023 – 40.000 eur
Autoritatea Națională de Supraveghere din România a fost sesizată de autoritatea pentru protecția datelor (DPA) din Ungaria privind plângerile formulate de trei persoane împotriva Dante International SA, care operează site-ul eMAG. Pentru cele 3 cazuri investigate, Operatorul Dante International SA a fost sancționat cu amendă în cuantum de 148.830 lei (echivalentul sumei de 30.000 EURO), avertisment și cu încă o amendă în cuantum de 49.610 lei (echivalentul sumei de 10.000 EURO). Sa luăm cele 3 cazuri pe rând:
1 – un petent a solicitat ștergerea contului său creat pe platforma emag.hu prin corespondență la adresa info@emag.hu. Cu toate acestea, a primit un răspuns care i-a solicitat să trimită o cerere semnată și datată la adresa data.protection@emag.ro. În urma investigației, s-a constatat că operatorul Dante International SA, compania care deține platforma Emag, nu oferă o instruire regulată și adecvată angajaților săi cu privire la procedurile de soluționare a cererilor persoanelor vizate.
S-a observat că instruirea personalului din Ungaria se realizează doar la angajare și în situații specifice și particulare la nivel de departament, ceea ce contravine articolului 24 din RGPD, care prevede că operatorul trebuie să implementeze măsuri tehnice și organizatorice adecvate, inclusiv politici de protecție a datelor, pentru a asigura și demonstra că prelucrarea datelor se face conform RGPD. Aceste politici ar trebui să abordeze în mod adecvat gestionarea cererilor primite de la persoanele vizate și să prevadă sesiuni regulate de instruire pentru personalul implicat în prelucrarea datelor personale.
2- un alt petent a solicitat ștergerea datelor sale către mai multe adrese de e-mail ale operatorului Emag și prin intermediul formularului de contact de pe site-ul acestuia. Cu toate acestea, cererea sa a fost respinsă de serverele Emag, considerând-o ca provenind de la o adresă nesigură. Operatorul a susținut că respingerea automată a cererilor se bazează pe liste publice furnizate de o terță parte și că aceasta ar putea fi rezultatul reputației slabe a serviciului @freemail.hu în momentul în care petentul a trimis cererile.
Această situație a relevat faptul că absența unui canal unic și exclusiv de comunicare pentru persoanele vizate, precum și lipsa informării adecvate cu privire la anumite limitări tehnice, pot duce la restricționarea nejustificată a drepturilor acestora.
Investigația a relevat și faptul că informațiile furnizate pe site-ul Emag nu conțineau informații complete despre transferurile către țări terțe, scopurile și destinatarii acestora, în conformitate cu prevederile RGPD.
Ca urmare a investigației, operatorul a modificat politica sa privind prelucrarea datelor personale, oferind persoanelor vizate posibilitatea de a trimite cereri conform RGPD atât prin e-mail (la adresa data.protection@emag.hu), cât și prin poștă/curier la o adresă fizică din respectivul stat.
3- un petent a reclamat că una dintre adresele sale de e-mail continuă să fie prelucrată de Dante International SA, deși a solicitat înlocuirea acesteia cu o altă adresă de e-mail.
În urma investigației, s-a constatat că, deși cererea de rectificare a fost inițial acceptată și operatorul a confirmat petentului că adresa sa de e-mail a fost modificată, această adresă a continuat să fie prelucrată de Dante în cadrul unei corespondențe mai extinse cu petentul.
S-a observat că adresa de e-mail a petentului a fost păstrată în baza de date pentru îndeplinirea obligațiilor legale de păstrare a documentelor contabile, în legătură cu facturile electronice transmise anterior. Autoritatea de Supraveghere a considerat că acest scop al prelucrării diferă de cel asociat soluționării reclamațiilor, astfel că reactivarea adresei de e-mail și utilizarea acesteia în corespondența electronică ar fi fost posibile numai în baza consimțământului persoanei vizate.
Astfel, ținând cont de următoarele aspecte:
- nu au fost respectate condițiile de transparență în privința facilitării exercitării drepturilor persoanelor vizate
- nu a fost asigurată informarea completă pe site-ul emag.hu în legătură cu transferul datelor în state terțe
- operatorul a dovedit un caracterul neglijent al vinovăției
- existența sancțiunilor anterioare
Dante International SA a fost sancționat contravențional cu 40.000 euro și un avertisment. În plus Autoritatea a dispus față de operator următoarele măsuri corective:
- de a asigura o informare completă a persoanelor vizate pe site-urile emag administrate de operator, în versiunea lingvistică națională din fiecare stat;
- de a pune în aplicare o metodă de anonimizare prin care să fie prevenit riscul de reidentificare a persoanelor ale căror date personale sunt supuse acestei proceduri
- de a dispune măsuri de instruire regulată a personalului
151. BRD–Groupe Société Générale S.A.- iunie 2023 – 2000 eur
Operatorul BRD–Groupe Société Générale S.A. a fost sancționat contravențional cu amendă în cuantum de 9916 lei (echivalentul a 2 000 EURO) întrucât a divulgat ilegal date personale și financiare ale unui client al băncii și ale altor persoane.
Mai exact, au fost transmise date personale către o instanță de judecată, fără a exista o solicitare a acesteia și fără verificarea legitimității unei astfel de dezvăluiri a datelor personale.
Pe lângă sanctiunea cu amendă, s-au aplicat și măsuri corective de aplicarea unor măsuri adecvate de securitate și confidențialitate, cum ar fi pseudonimizarea, prin stabilirea unor proceduri clare privind transmiterea datelor personale către instanțele judecătorești, precum și instruirea regulată a persoanelor care prelucrează date sub autoritatea operatorului și implicarea corespunzătoare în aceste activități a responsabilului cu protecția datelor.
150. Artima S.A.- iunie 2023 – 8000 eur
Operatorul Artima S.A. a fost sancționat contravențional cu amendă în cuantum de 39.712 lei (echivalentul a 8 000 EURO) întrucât nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului de prelucrare.
Mai exact, membri ai echipei operatorului au accesat sistemul de supraveghere video pentru a filma, cu telefoanele mobile personale, monitorul pe care se derulau înregistrările. Mai târziu, unul dintre angajați a distribuit imaginile către o persoană externă operatorului, iar aceasta a publicat imaginile respective pe Facebook. Astfel au fost dezvăluite imaginea unei persoane fizice, numărul de înmatriculare, culoarea și marca autovehiculului, ceea ce a condus la pierderea confidențialității datelor cu caracter personal, cauzată de încălcarea procedurilor interne ale Artima S.A.
În plus, întrucât operatorul nu s-a asigurat că orice persoană fizică care acţionează sub autoritatea operatorului şi care are acces la date cu caracter personal nu le prelucrează decât la cererea sa, Autoritatea a dispus și măsura corectivă de a implementa o soluție de monitorizare a aplicării procedurilor de lucru deja puse în practică pentru evitarea unor incidente de securitate similare.
149. S.C. Apollo Salon S.R.L.- iunie 2023 – 3000 eur
Operatorul S.C. Apollo Salon S.R.L.a fost sancționat contravențional cu amendă în cuantum de 14.766,3 lei (echivalentul a 3 000 EURO) întrucât nu a respectat drepturile persoanelor vizate.
Mai exact, operatorul îi trimite petentului mesaje nesolicitate prin SMS, pe telefon, deși aceasta și-a exercitat dreptul de ștergere în repetate rânduri.
În plus s-a constatat în cadrul investigației că operatorul nu a comunicat Autorității Naționale de Supraveghere informațiile solicitate.
148. Global Baby Brands SRL- mai 2023 – 1000 eur
Operatorul Global Baby Brands SRL a fost sancționat contravențional cu amendă în cuantum de 4.929,4 lei (echivalentul a 1 000 EURO) întrucât a prelucrat date cu caracter personal fără a avea un temei legal și nu a respectat dreptul de opoziție a persoanei vizate.
Mai exact, operatorul a transmis petentului mai multe mesaje comerciale tip SMS, fără a prezenta dovezi din care să rezulte că a prelucrat numărul de telefon al petentului, pentru transmiterea mesajelor text tip SMS, cu consimțământul liber, specific, informat și lipsit de ambiguitate al acestuia.
În plus s-a constatat că operatorul a transmis petentului un mesaj comercial în scop de marketing, după exercitarea dreptului de opoziție de către acesta.
Pe lângă sancțiunile cu amendă, s-a dispus față de operator și măsurile corective:
– de a prelucra datele cu caracter personal ale persoanelor vizate în scop de marketing direct ce vizează utilizarea serviciilor de comunicații electronice (e-mail, telefon), cu obținerea consimțământului expres și prealabil al acestora,
– modificarea secțiunii ”Politica de confidențialitate” de pe site-ul operatorului astfel încât persoanelor vizate să le fie furnizate informații complete, corecte, exacte și actualizate cu privire la prelucrarea datelor cu caracter personal,
– de a respecta drepturile persoanelor vizate, inclusiv a drepturilor de opoziție și ștergere ale petentului.
147. AUTOMOBILE BAVARIA SRL – mai 2023 – 18000 eur
Operatorul AUTOMOBILE BAVARIA SRL a fost sancționat contravențional cu amendă în cuantum de 88.563,60 lei, echivalentul a 18.000 EURO întrucât nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării.
Investigația a fost demarată ca urmare a transmiterii de către operator a unei notificări de încălcare a securității datelor. Mai exact, în perioada iulie 2022 – 04.08.2022, datele personale ale unui număr de 290 clienți/potențiali clienți ai operatorului au fost accesibile public pe pagina web a operatorului. În acest fel au fost divulgate neautorizat date personale precum: nume, prenume, oraș, adresa de email, număr de telefon, model autoturism curent, an fabricație autoturism curent, opțiune buy-back, termen de achiziție, modalitate achiziție (cash, credit, leasing), buget aproximativ disponibil, opțiuni consimțământ marketing (contact telefon, contact email, contact SMS, înscriere newsletter).
De asemenea, s-a constatat că AUTOMOBILE BAVARIA SRL nu a asigurat protecția datelor cu caracter personal, începând cu momentul conceperii (privacy by design) și în mod implicit (privacy by default)
Pe lângă sancțiunile cu amendă, s-a dispus față de operator și măsura corectivă de a implementa un plan care să includă un proces de testare, evaluare și apreciere periodică ale tuturor sistemelor și modificărilor ulterioare ale acestora efectuate de operator sau furnizorii de servicii (persoane împuternicite).
146. Compania Națională Poșta Română S.A. – mai 2023 – 5000 eur
Operatorul Compania Națională Poșta Română S.A. a fost sancționat contravențional cu amendă în cuantum de 24.719,50 lei, echivalentul sumei de 5.000 EURO, întrucât a prelucrat date cu caracter personal ale propriilor angajați fără a avea un temei legal.
Mai exact, în cursul lunii ianuarie 2023, operatorul a completat parțial Formularul 230 cu date ale angajaţilor (respectiv cu nume, prenume și CNP) în vederea redirecționării procentului de 3,5% din impozitul anual pe venit al acestora către o fundație aparținând aceluiași operator, fără să existe o obligaţie legală a acestuia în acest sens și fără să facă dovada îndeplinirii vreunul alt temei legal (cum ar fi consimțământul salariaților).
Operatorul a achitat întreaga amendă aplicată.
145. NN Pensii Societate de Administrare a unui Fond de Pensii Administrat Privat S.A. și NN Asigurări de Viață S.A. – mai 2023 – 2500 eur
Două investigații la operatori din domeniul asigurărilor s-au finalizat cu sancțiuni contravenționale cu amenzi întrucât nu au implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării.
Mai exact, acești operatori au efectuat o serie de modificări la configurația echipamentului care asigură stocarea temporară a paginilor web ale aplicației NN Direct, puse la dispoziția clienților, fiind activată opțiunea de a păstra paginile web în memoria acesteia. Ca atare, această situație a determinat vizualizarea, pentru o perioadă de timp, de către unii utilizatori ai aplicației operatorului, a datelor personale care nu le aparțineau. Această situație a condus la accesul neautorizat și pierderea confidențialității datelor cu caracter personal (numele, prenumele, codul numeric personal, adresa din cartea de identitate, adresa de corespondență, adresa de e-mail și numărul de telefon) fiind afectate de incident 2 persoane vizate. În plus, în urma investigației a reieșit faptul că aceste modificări de configurație nu au fost testate de către operatori înainte de punerea la dispoziția publicului a aplicației.
Astfel, operatorul NN Pensii Societate de Administrare a unui Fond de Pensii Administrat Privat S.A. a fost sancționat contravențional cu amendă în cuantum de 7.407,00 lei (echivalentul a 1500 euro), iar operatorul NN Asigurări de Viață S.A. cu amendă în cuantum de 4.938,00 lei (echivalentul a 1000 euro).
Pe lângă sancțiunile cu amendă, s-a dispus față de operatori și măsura corectivă de a implementa un mecanism de testare procedurat și promovat la intervale regulate de timp, prin care să fie efectuate teste privind configurațiile posibile ale aplicațiilor active și disponibile clienților, respectiv documentarea rezultatelor prin aplicarea unor măsuri de remediere în sensul evitării unor incidente de securitate similare.
144. Libra Internet Bank SA – mai 2023 – 11000 eur
Operatorului Libra Internet Bank SA i s-a aplicat o sancțiune cu amendă de 54.345,5 lei ( echivalentul a 11.000 EURO) pentru nerespectarea drepturilor persoanelor vizate, mai exact, pentru nerespectarea dreptului de acces al persoanei vizate la propriile date cu caracter personal.
Investigația a fost declanșată după ce o persoană vizată a reclamat că operatorul refuză să dea curs integral cererii de exercitare a dreptului de acces. În cursul investigației s-a constatat de asemenea, că răspunsul trimis persoanei vizate prin e-mail nu conținea informații cu privire la posibilitatea de a depune o plângere în faţa unei autorităţi de supraveghere şi de a introduce o cale de atac judiciară pentru refuzul de a-i comunica o copie a înregistrării video solicitate
Pe lângă sancțiunea cu amendă, operatorului i s-au aplicat și măsurile corective de a răspunde la cererea persoanei vizate și de a adopta măsurile tehnice și organizatorice adecvate, astfel încât să faciliteze exercitarea drepturilor persoanelor vizate.
143. Tensa Art Design SA – aprilie 2023 – 1000 eur
O nouă sancțiune cu amendă de 4.947,9 lei (1.000 EURO) pentru operatorul Tensa Art Design pentru nerespectarea drepturilor persoanelor vizate.
Investigația a fost declanșată după ce o persoană vizată a reclamat că operatorul îi trimite mesaje nesolicitate, deși aceasta și-a exercitat dreptul de opoziție. În urma investigației, s-a constatat că operatorul a transmis persoanei respective, prin SMS, în repetate rânduri, mesaje comerciale nesolicitate, deși aceasta solicitase anterior, prin poșta electronică, dezabonarea de la serviciul de newsletter.
Operatorul nu a prezentat dovezi că a soluționat cererea persoanei vizate și nici nu i-a comunicat acesteia un răspuns, în termenul legal, referitor la măsurile adoptate în urma exercitării dreptului de opoziție.
În plus, operatorului i s-a aplicat o măsură corectivă de a lua măsurile necesare pentru modificarea procedurilor existente la nivelul societății și aducerea acestora la cunoștința angajaților, astfel încât să fie respectate, în toate cazurile, drepturile persoanelor vizate prevăzute de Regulamentul (UE) 679/2016.
142. Partidul Uniunea Salvați România (USR) – aprilie 2023 – 3000 eur
Partidul Uniunea Salvați România a fost sancționat de către Autoritatea Națională de Supraveghere pentru Protecția Datelor cu o amendă de 14.776,50 lei (3.000 EURO) pentru prelucrarea datelor cu caracter personal fără a avea un temei legal.
Investigația a pornit ca urmare a unei sesizări redirecționate de instituția Avocatul Poporului și a fost finalizată cu sancțiune deoarece pe site-ul partidului s-au postat date cu caracter personal ale unor persoane cu dizabilități, fără a avea un temei legal pentru acea prelucrare. Datele personale, cum ar fi nume, prenume, CNP, adresa, serie și număr act de identitate, număr certificat de expertiză medicală și grad de handicap, au fost preluate din documentele oficiale ale autorităților și instituțiilor publice și publicate ulterior pe site-ul Partidului.
În plus, Partidul Uniunea Salvați România a primit o măsură corectivă de a asigura conformitatea cu principiile RGPD prin reanalizarea documentației publicate pe site-ul lor, în vederea anonimizării datelor cu caracter personal.
141. REGENCY COMPANY SRL – aprilie 2023 – 3000 eur
Operatorul REGENCY COMPANY SRL a fost amendat cu 14.764,2 lei, echivalentul a 3.000 EURO, întrucât a prelucrat date cu caracter personal în mod excesiv, cu nerespectarea principiilor de prelucrare și în lipsa unui temei legal de prelucrare.
Investigarea s-a declanșat după sesizarea faptului că angajații și colaboratorii erau supravegheați audio/video la locul de muncă (birouri și sala de mese) fără acordul lor. Ca măsură corectivă, operatorului i s-a impus eliminarea utilizării camerelor de supraveghere video pentru care nu există un temei legal de prelucrare a datelor personale ale angajaților.
140. Tensa Art Design SRL – aprilie 2023 – 3000 eur
După sancțiunea din februarie 2023, operatorul Tensa Art Design SRL este sancționat din nou cu două amenzi totalizând 14.755,5 lei, echivalentul a 3.000 EURO întrucât nu respectă drepturile persoanelor vizate. Sancțiunile au fost aplicate ca urmare a plângerilor potrivit cărora petenții au primit mesaje comerciale pe telefon și e-mail, deși și-au exprimat opoziția. Autoritatea a constatat că operatorul nu a respectat opoziția petenților și a folosit datele lor personale pentru marketing direct.
Operatorului i s-a aplicat și măsura corectivă de a adopte proceduri interne adecvate și eficiente de protecție a datelor cu caracter personal, să respecte dispozițiile aplicabile privind soluționarea cererilor în temeiul RGPD și să instruiască personalul în acest sens.
139. Banca Transilvania SA – aprilie 2023 – 2000 eur
Operatorul Banca Transilvania SA a fost amendat cu 9.841,80 lei, echivalentul a 2.000 EURO întrucât nu a respectat prevederile GDPR privind furnizarea de informații transparente și accesibile despre destinatarii sau categoriile de destinatari ai datelor cu caracter personal. Investigația a început în urma unei plângeri în care clientul a solicitat eliberarea unui card pe numele unei rude, care să aibă acces doar la contul în euro. Cu toate acestea, ruda a putut accesa neautorizat toate conturile titularului după activarea serviciului Internet Mobile Banking pentru utilizarea noii aplicații.
Operatorul a primit și măsuri corective, precum adoptarea unor măsuri adecvate pentru respectarea prevederilor GDPR și implementarea de măsuri tehnice și organizatorice adecvate pentru a asigura protecția datelor personale în conformitate cu voința liberă, specifică și lipsită de ambiguitate a clienților.
138. Persoană fizică – martie 2023 – 450 eur
O persoană fizică a fost sancționată cu amendă în cuantum de 2.212,02 lei, echivalentul a 450 EURO, întrucât a postat în cadrul unei rețele de socializare datele cu caracter personal a numeroase persoane fizice. Deoarece date personale precum nume, prenume, localitatea de domiciliu au fost postate fără consimțământul acestora sau fără un alt temei juridic pentru prelucrarea datelor cu caracter personal, persoana fizică (operator) a încălcat principiul legalității.
137. Tehnoplus Industry SRL- martie 2023 – 5000 eur
Operatorul Tehnoplus Industry SRL a fost sancționat cu amendă în cuantum de 24.497 lei, echivalentul a 5.000 EURO întrucât nu a respectat principiile care stau la baza Regulamentului General privind Protecția Datelor.
Investigația a fost demarată ca urmare a unei plângeri prin care se reclama faptul că operatorul a prelucrat datele cu caracter personal ale angajatului prin intermediul sistemului GPS instalat pe mașina sa de serviciu, fără să fi fost informat cu privire la monitorizarea autovehiculului, scopul și temeiul legal al acestei prelucrări și durata de stocare a datelor colectate. În plus, informațiile extrase din sistemul GPS au fost utilizate de operator în alt scop decât acela de a monitoriza mașina de serviciu.
Prelucrarea în mod excesiv, în afara orelor de serviciu, a datelor colectate, stocarea lor după expirarea datei de stocare, folosirea datelor în alt scop decât cel pentru care au fost colectate, i-au adus operatorului, pe lângă sancțiunile cu amendă și măsurile corective de a asigura conformitatea cu RGPD prin reevaluarea necesității atingerii scopurilor propuse prin folosirea datelor de localizare provenite din sistemul de monitorizare prin GPS, evitarea colectării excesive a datelor și limitarea perioadei de stocare a datelor prin raportare la scopurile prelucrării datelor.
135-136 Centrul Medical dr. Furtună Dan și Med Life S.A. – martie 2023 – 1000 eur si 3000 eur
Două noi investigații la operatori din domeniul medical demarate ca urmare a unor sesizări primite din partea unor persoane fizice, s-au finalizat cu sancțiuni contravenționale cu amendă.
Operatorul Centrul Medical dr. Furtună Dan a fost sancționat contravențional cu amendă în cuantum de 4.918,50 RON, echivalentul sumei de 1000 euro iar operatorul Med Life S.A. a fost sancționat cu amendă în cuantum de 14.755,50 lei, echivalentul sumei de 3000 eur. Ambii pentru că nu au implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării.
- În cazul Centrul Medical dr. Furtună Dan, încălcarea confidențialității datelor s-a produs prin divulgarea neautorizată și accesul neautorizat la anumite date cu caracter personal (cum ar fi: numele și prenumele, CNP-ul, numărul de telefon, rezultatul testelor medicale) transmise prin aplicația WhatsApp. Ce s-a întâmplat mai exact: pe numărul de telefon al unei persoane fizice a fost transmis prin aplicația WhatsApp, un mesaj ce conținea rezultatul a două teste medicale care aparțineau altor două persoane vizate.
Pe lângă sancțiunea cu amendă, operatorului Centrul Medical dr. Furtună Dan i s-a aplicat și măsura corectivă de a revizui și actualiza măsurile tehnice și organizatorice implementate ca urmare a evaluării privind riscul pentru drepturile și libertățile persoanelor, a procedurilor de lucru referitoare la protecția datelor cu caracter personal și implementarea unui registru referitor la toate cazurile de încălcare a securității datelor cu caracter personal.
- În cazul operatorului Med Life S.A încălcarea confidențialității datelor s-a produs prin divulgarea neautorizată a datelor cu caracter personal prin email. Un pacient a primit, prin e-mail, pe lângă buletinul de investigație propriu, și o serie de fișiere atașate care conțineau rezultatele unor investigații ce aparțineau altor cinci pacienți. Documentele atașate conțineau numele, prenumele, data nașterii, data examinării, motivul examinării, rezultatul investigației (examinării), diagnostic, concluziile rezultate în urma examinării medicale.
Pe lângă sancțiunea cu amendă, operatorului Med Life S.A i s-au aplicat aceleași măsuri corective ca și operatorului Centrul Medical dr. Furtună Dan.
Vă reamintim că operatorul Med Life S.A. a mai fost sancționat contravențional cu amendă de 5000 eur anul trecut, în mai 2022, pentru lipsa măsurilor la securitatea fizică a documentelor. Citește mai multe despre amenda GDPR Med Life S.A. din luna mai 2022.
133-134. Alianța pentru Unirea Românilor și Partidul Uniunea Salvați România – martie 2023 – 10.000 eur și 4.000 eur
- Operatorul Alianța pentru Unirea Românilor a fost sancționat cu amendă în cuantum de 49.115 lei, echivalentul a 10.000 eur întrucât nu a respectat principiul responsabilității și principiul reducerii la minimum a datelor.
Investigația a pornit de la o sesizare prin care se reclama faptul că operatorul colectează date cu caracter personal prin intermediul unui site, fără a realiza informarea persoanelor vizate și fără îndeplinirea condițiilor privind legalitatea prelucrării. Date cu caracter personal precum nume, prenume, adresă, serie și număr carte de identitate, cod numeric personal, telefon, semnătură, erau colectate prin completarea și semnarea formularului on-line de pe site-ul respectiv, prin transmiterea formularului descărcat/completat/semnat prin poștă, precum și prin completarea și semnarea formularului la centrele speciale organizate de Alianța pentru Unirea Românilor.
- Operatorul Partidul Uniunea Salvați România a fost sancționat cu amendă în cuantum de 19.646 lei, echivalentul a 4.000 eur întrucât nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător prelucrării.
Investigația a fost demarată în urma transmiterii de către operator a unor notificări de încălcare a securității datelor cu caracter personal. Ca urmare a unui atac cibernetic de tip phishing asupra unui server pe care era găzduită o aplicație a operatorului, s-a produs pierderea confidențialității și integrității datelor. Întrucât datele stocate în aplicația respectivă nu au fost criptate/pseudonimizate, au putut fi accesate neautorizat date cu caracter personal cum sunt nume, prenume, cod numeric personal, e-mail, număr de telefon, date privind apartenența politică.
Pe lângă sancțiunea cu amendă, operatorului i s-a aplicat și măsura corectivă de a implementa măsuri tehnice și organizatorice adecvate, ca urmare a evaluării privind riscul pentru drepturile și libertățile persoanelor și proceduri de lucru referitoare la protecția datelor cu caracter personal.
132. Tinmar Energy SA- martie 2023 – 3000 eur
Operatorul Tinmar Energy SA a fost sancționat cu amendă în cuantum de 14.702,1 lei, echivalentul a 3.000 EURO întrucât nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării.
Investigația a fost demarată ca urmare a transmiterii de către operator a unei notificări de încălcăre a securității datelor. Cum s-a produs încălcarea securității prelucrării datelor? prin accesarea neautorizată a serverului de e-mail al Tinmar Energy SA, ceea ce a condus la accesul la anumite date cu caracter personal, cum sunt: nume, prenume, e-mail, CNP, numere de telefon și adrese de domiciliu.
131. Modaone SRL – martie 2023 – 2000 eur
Operatorul Modaone SRL a fost sancționat cu amendă în cuantum de cuantum de 9871 lei, echivalentul sumei de 2000 euro întrucât pe site-ul pe care îl deține, www.kalapod.net, nu furnizează informații complete, corecte, exacte și actualizate cu privire la prelucrarea datelor cu caracter personal ale persoanelor vizate și întrucât nu sunt respectate drepturile persoanelor vizate.
Investigația a fost demarată ca urmare a unei plângeri transmise de o persoană vizată prin care se reclama faptul că a continuat să primească mesaje comerciale pe adresa sa de e-mail de pe www.kalapod.net cu încălcarea dreptului de opoziție, deși i s-a comunicat anterior că nu i se vor mai trimite astfel de mesaje.
Pe lângă sancțiunea cu amendă, operatorului i s-au aplicat și măsurile corective:
– de a prelucra datele cu caracter personal ale persoanelor vizate în scop de marketing direct doar cu obținerea consimțământului expres și prealabil al acestora, inclusiv adoptarea unor proceduri în acest sens și modificarea corespunzătoare a secțiunilor aplicabile de pe site-ului kalapod.net;
– de a modifica secțiunea ”Termeni și condiții” de pe site-ul kalapod.net astfel încât persoanelor vizate să le fie furnizate informații complete, corecte, exacte și actualizate cu privire la prelucrarea datelor cu caracter personal; totodată, se va elimina condiția excesivă a transmiterii cererii ”scrise, datate si semnate” în cazul transmiterii acestora prin e-mail, precum și condiția excesivă a solicitării copiei actului de identitate în scopul exercitării drepturilor prevăzute de RGPD.
129-130. Finopro IFN SA și Integral Collection SRL- februarie 2023 – 2250 eur si 3000 eur
Două investigații derulate la operatorii de date Finopro IFN SA și Integral Collection SRL s-au finalizat cu sancțiuni cu amendă întrucât aceștia nu au implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării.
În cadrul investigației demarate ca urmare a transmiterii de către cei doi operatori a unor notificări de încălcăre a securității datelor cu caracter personal, s-a constatat că încălcarea securității prelucrării datelor s-a produs ca urmare a unor atacuri de tip ransomware, situație ce a condus în mod semnificativ la accesul neautorizat și pierderea integrității și disponibilității datelor cu caracter personal (date de identificare, date din cărți de identitate, adrese, numere de telefon, extrase de cont).
Operatorul Finopro IFN SA a fost sancționat cu amendă în cuantum de 11.023,42 lei, echivalentul a 2250 euro, iar operatorul Integral Collection SRL cu amendă în cuantum de 14.697,90 lei, echivalentul a 3000 euro.
128. Medijobs Platform SRL- februarie 2023 – 5000 eur
Operatorul Medijobs Platform SRL a fost sancționat cu amendă în cuantum de 24.610,5 lei, echivalentul a 5.000 euro, întrucât nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării.
În cadrul investigației demarate ca urmare a transmiterii de către operator a unei notificări de încălcăre a securității datelor cu caracter personal, s-a constatat accesarea neautorizată a infrastructurii IT gestionată de Medijobs Platform SRL, ceea ce a făcut posibilă descărcarea și ștergerea anumitor date cu caracter personal. Această situație a condus la divulgarea neautorizată sau accesul neautorizat la anumite date cu caracter personal din CV-urile candidaților, cum sunt: nume, prenume, e-mail, număr de telefon, istoric profesional/educațional, hobby-uri, stare familială.
Pe lângă sacțiunea cu amendă operatorului i s-a aplicat și măsura corectivă de a revizui și actualiza măsurile tehnice și organizatorice implementate, precum și procedurile de lucru referitoare la protecția datelor și instruirea angajaților.
127. Tensa Art Design SA – februarie 2023 – 1000 eur
Pentru că nu a dat curs cererilor prin care se exercită drepturile persoanelor vizate prevăzute de GDPR, operatorul de date Tensa Art Design SA a fost sancționat contravențional cu amendă în cuantum de 4927.3 lei (echivalentul a 1 000 EURO).
O persoană vizată a reclamat faptul că operatorul a transmis persoanei vizate prin intermediul poștei electronice, în repetate rânduri, mesaje comerciale nesolicitate, deși acesta solicitase anterior dezabonarea de la serviciul de newsletter. Astfel, operatorul a încălcat dreptul la ștergere a datelor cu caracter personal.
Întrucât operatorul Tensa Art Design SA nu a adoptat toate măsurile necesare pentru a da curs solicitării persoanei vizate de a i se șterge datele personale, acesta a fost sancționat și i s-a aplicat măsura corectivă de a lua măsuri necesare privind modificarea procedurilor existente la nivelul societății, astfel încât să fie respectate, în toate cazurile, drepturile persoanelor vizate prevăzute de RGPD.
125-126. Dent Estet Clinic SA și colaboratorul – ianuarie 2023 – 2×1000 eur
Pentru că au divulgat datele de sănătate a unei persoane vizate în mediul online, atât operatorul Dent Estet Clinic SA cât și operatorul medic stomatolog colaborator au fost sancționați contravențional fiecare cu amendă în cuantum de 4.919,2 lei (echivalentul a 1000 EURO) și măsuri corective.
Operatorii au divulgat informații medicale referitoare la tratamentul ortodontic al persoanei vizate, constând într-un set de fotografii și radiografii care se puteau corela cu numele persoanei, prin publicarea unui articol pe un blog de specialitate. Aceste informații au fost publicate atât în scop științific, cât și în scop comercial fără a fi prezentate dovezi privind obținerea consimțământului expres al persoanei implicate și fără informarea sa prealabilă.
Pe lângă amendă, celor doi operatori li s-a aplicat și măsura corectivă de a asigura conformitatea cu RGPD a operațiunilor de prelucrare a datelor personale, prin punerea în aplicare a unor măsuri de securitate tehnice și organizatorice adecvate specificului prelucrării și riscurilor identificate, pe întreg ciclul de prelucrare a datelor, sub aspectul instruirii corespunzătoare a persoanelor împuternicite și a altor persoane care prelucrează date sub autoritatea sa și a respectării condițiilor de legalitate a prelucrării și a informării complete a persoanelor vizate.
124. Dante Internațional SA – ianuarie 2023 – 1000 eur
Pentru că nu a dat curs cererilor prin care se exercită drepturile persoanelor vizate prevăzute de GDPR, operatorul de date Dante Internațional SA a fost sancționat contravențional cu amendă în cuantum de 4.9186 lei (echivalentul a 1 000 EURO).
O persoană vizată a reclamat faptul că deținătorul e-mag.ro, a transmis către numărul său de telefon un SMS prin care era informat cu privire la ofertele comerciale ale societății, deși acesta solicitase anterior ștergerea contului și a datelor nerelevante. Astfel, operatorul a încălcat dreptul la ștergere a datelor cu caracter personal.
Întrucât Dante Internațional SA nu a adoptat toate măsurile necesare pentru a da curs solicitării persoanei vizate de a i se șterge datele personale, acesta a fost sancționat.
123. BRISTOL LOGISTICS SA – ianuarie 2023 – 2000 eur
Pentru că nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării, operatorul de date BRISTOL LOGISTICS SA a fost sancționat contravențional cu amendă în cuantum de 9.828,00 lei (echivalentul a 2000 EURO).
Investigația a fost demarată ca urmare a transmiterii de către operator a două notificări de încălcare a securității datelor. Incidentul de încălcare a securității a constat în sustragerea unui biblioraft conținând dosarele de personal a 12 angajați, ceea ce a condus la accesarea de date personale de către persoane neautorizate.
Totodată s-a dispus operatorului și măsura corectivă de a revizui și actualiza măsurile tehnice și organizatorice implementate, procedurile de lucru referitoare la protecția datelor cu caracter personal, precum și realizarea unei instruiri pentru persoanele autorizate să prelucreze date asupra riscurilor și consecințele pe care le implică divulgarea datelor personale.
122. Apă Canal Ilfov SA – ianuarie 2022 – 3000 eur
Un mesaj electronic trimis în mod eronat către utilizatorii înregistrați pe portalul online al societății Apă Canal Ilfov SA a condus la divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal a unui număr semnificativ de persoane fizice.
Mai exact, operatorul a introdus eronat adresele de e-mail la secțiunea ”To”, în loc de ”BCC”. Pentru ca nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării, operatorul de date Apă Canal Ilfov SA a fost sancționat contravențional cu amendă în cuantum de 14.757,60 RON, (echivalentul a 3000 EURO).
121. Asociație de proprietari din Iași – ianuarie 2022 – 500 eur
O investigație la o Asociație de proprietari din Iași, inițiată ca umare a unei plângeri, s-a finalizat cu amendă în cuantum de 2.462,5 lei, echivalentul sumei de 500 EURO și un avertisment, întrucât operatorul de date a afișat listele de plată ce conțineau numele și prenumele fiecărui membru al Asociației de proprietari. În plus, petentul a reclamat și afișarea unui înscris cu caracter defăimător în care erau menționate datele sale personale (numele și prenumele).
Asociația de proprietari a dezvăluit datele cu caracter personal ale petentului (nume și prenume) prin afișarea la avizier a unei informări, fără consimțământul acestuia și fără existența unei alte situații în care consimțământul nu este necesar.
În plus, operatorului i s-a aplicat și măsura corectivă de a lua măsurile necesare astfel încât să se asigure conformitatea operațiunilor de prelucrare cu dispozițiile RGPD și să se evite prelucrarea (inclusiv dezvăluirea) datelor cu caracter personal fără consimțământul persoanelor vizate.
120. Kaufland România SCS – decembrie 2022 – 3.000 eur
În urma unei notificări de încălcare a securității datelor care a fost transmisă de operator, ANSPDCP a demarat o investigație la Kaufland România SCS, investigație finalizată cu sancțiune contravențională cu amendă în cuantum de 14.779,80 de lei (echivalentul a 3000 EURO).
Totul a pornit de la o sesizare făcută de o persoana vizată către operatorul Kaufland România SCS asupra faptului că o înregistrare video ce conținea imagini cu persoana sa din parcarea unuia dintre magazinele deținute de acest lanț comercial a apărut pe pagina web a unui ziar local.
În cadrul investigației, Autoritatea a constatat că managerul de magazin a permis accesul unui angajat în camera de monitorizare iar acesta și-a folosit telefonul personal mobil pentru a capta imagini ale înregistrărilor video ce rulau și le-a transmis prin WhatsApp unui terț. Apoi, aceste imagini au fost transmise prin postarea acestora de o publicație online, dezvăluindu-se astfel imaginile și numerele de înmatriculare ale mașinilor a două persoane vizate.
Reamintim, în acest context că operatorul are obligația:
- de a lua măsuri pentru a se asigura că orice persoană fizică care acționează sub autoritatea sa și care are acces la date cu caracter personal nu le prelucrează decât la cererea sa
- de a implementa măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de confidențialitate și de securitate corespunzător riscului prelucrării
- de a implementa instrucțiuni privind interzicerea utilizării echipamentului personal al angajaților (cum sunt: telefonul mobil, tabletele) pentru a filma/realiza fotografii/descărca/distribui înregistrări video prin utilizarea WhatsApp sau a rețelelor sociale.
119. SUDREZIDENȚIAL Broker S.R.L.– decembrie 2022 – 10.000 eur
Pentru neconformarea la Regulamentul General privind Protecția Datelor, operatorul de date SUDREZIDENȚIAL Broker S.R.L. a fost sancționat contravențional cu amendă cuantum de 49.418 lei, echivalentul a 10.000 EURO și cu 2 avertismente.
Amenda a fost aplicată întrucât în cadrul investigației s-a constatat că operatorul SUDREZIDENȚIAL Broker S.R.L. nu a luat măsuri adecvate pentru a asigura faptul că orice persoană fizică care acţionează sub autoritatea sa şi care are acces la date cu caracter personal nu le prelucrează decât la cererea sa.
Mai exact, administratorul societății a întocmit evidențe în format Excel care conțineau datele cu caracter personal ale clienților operatorului și ale altor persoane fizice (parteneri de viață ai clienților), evidențe care apoi au fost publicate pe o anumită pagină de internet, divulgându-se astfel către publicul larg datele personale a cel puțin 509 persoane vizate. Aceste evidențe conțineau nume, prenume, cod numeric personal, număr telefon, serie și număr carte de identitate, adresă de e-mail, date bancare, achiziții de imobile, stare civilă, sumă solicitată, bancă, observații.
În plus, operatorul nu a informat persoanele vizate cu privire la această încălcare a securității datelor cu caracter personal primind avertisment în acest sens.
Un alt avertisment a fost aplicat operatorului SUDREZIDENȚIAL Broker S.R.L. întrucât a stocat informații (module cookies care nu erau necesare din punct de vedere tehnic în funcționarea site-ului operatorului) fără obținerea acordului utilizatorilor, persoane fizice.
118. Instituție publică ANRP – decembrie 2022 – 13000 lei
În septembrie 2022 Autoritatea Națională de Supraveghere a dispus operatorului Autoritatea Națională pentru Restituirea Proprietăților (ANRP) măsuri de remediere întrucât s-a constatat încălcarea prevederilor art. 5 alin. (1) lit. b) și art. 6 din RGPD. Prin planul de remediere, operatorul era obligat ca în termen de 20 de zile să asigure conformitatea cu dispozițiile RGPD a operațiunilor de prelucrare a datelor cu caracter personal. Întrucât operatorul de date ANRP nu a comunicat măsurile luate, în luna noiembrie 2022, s-a efectuat o nouă investigație care s-a finalizat cu sancțiune contravențională cu amendă de 13.000 lei.
În cadrul investigației reprezentanții operatorului au declarat că Regulamentul de supraveghere video și Procedura de sistem privind prelucrarea datelor cu caracter personal nu au fost aprobate și ca atare nu au fost aduse la cunoștința personalului din subordinea ANRP care prelucrează date. Totodată, reprezentanții operatorului au susținut că nu au avut loc instruiri periodice ale persoanelor care acționează sub autoritatea ANRP.
În acest context atragem atenția că autorităților publice li se pot aplica avertismente însoțite de planuri de remediere, iar dacă acestea nu aduc la îndeplinire în totalitate măsurile prevăzute în planul de remediere, Autoritatea Națională de Supraveghere poate aplica sancţiunea contravenţională a amenzii.
117. Societatea Energetică Electrica S.A. – decembrie 2022 – 5000 euro
Operatorul Societatea Energetică Electrica S.A. a fost sancționat contravențional cu amendă în cuantum de 24.654,50 lei, echivalentul sumei de 5.000 EURO în urma producerii unei încălcări a confidențialității datelor cu caracter personal. Investigația a fost demarată ca urmare a transmiterii de către operator a notificării cu privire la producerea încălcării despre care încă nu s-au dat mai multe detalii.
116. Casa Rusu S.R.L. – decembrie 2022 – 2000 euro
O încălcare a securității datelor s-a produs și la operatorul de date Casa Rusu S.R.L., încălcare pentru care a fost sancționat contravențional cu amendă în cuantum de 9.883,60 RON, (echivalentul a 2000 EURO).
În cadrul investigației, s-a constatat că un formular neautorizat prin care se colectau date bancare a fost introdus în secțiunea de plăți on-line a site-ului pe care îl deține operatorul. In acest fel s-a produs accesul neautorizat la datele prelucrate prin divulgarea neautorizată și accesul neautorizat la anumite date cu caracter personal, cum ar fi: numele și prenumele deținătorului cardului bancar, numărul cardului, data și anul expirării, cod CVC.
Nici în acest caz, operatorul nu a implementat măsuri tehnice și organizatorice adecvate, atât în momentul stabilirii mijloacelor de prelucrare, cât și în cel al prelucrării în sine. De asemenea, operatorul nu a realizat testarea, evaluarea și aprecierea periodică ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.
Pentru a evita incidente similare de dezvăluire neautorizată a datelor cu caracter personal, s-a dispus operatorului și măsura corectivă de a revizui și de a actualiza măsurile tehnice și organizatorice implementate ca urmare a evaluării privind riscul pentru drepturile și libertățile persoanelor, inclusiv a procedurilor referitoare la comunicațiile electronice.
115. OTP LEASING ROMANIA IFN SA – noiembrie 2022 – 3000 euro
Lipsa unui nivel adecvat de securitate, corespunzător riscurilor prelucrării, care ar fi trebuit să fie asigurat de OTP LEASING, a permis accesul neautorizat în sistemul MyLeasing și i-a adus operatorului o amendă în cuantum de 14.675,7 lei (echivalentul sumei de 3.000 EURO).
O persoană fizică a putut accesa în mod neautorizat platforma informatică My Leasing, prin alterarea adresei de URL și crearea unui cont de administrator. Astfel, a putut accesa datele clienților operatorului, persoane juridice, care și-au creat cont pe platformă în vederea urmăririi informațiilor legate de contractele de leasing.
În plus, operatorul OTP LEASING nu a informat persoanele vizate cu privire la producerea incidentului de securitate, deși datele divulgate pot conduce la prejudicii aduse acestor persoane fizice, reprezentanți ai persoanelor juridice.
Reamintim, în acest context, că operatorul are obligația, conform RGPD, să demonstreze conformitatea cu regulamentul, prin adoptarea de politici interne şi prin punerea în aplicare de măsuri care să respecte în special principiul protecţiei datelor începând cu momentul conceperii şi cel al protecţiei implicite a datelor.
114. Medicover SRL – noiembrie 2022 – 1000 euro
În urma unei investigații demarate ca urmare a unei notificări de încălcare a securității datelor transmise de Medicover S.R.L., ANSPDCP a constatat că operatorul de date Medicover S.R.L. nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de confidențialitate și securitate corespunzător riscului prelucrării.
Ce s-a întâmplat mai exact: s-a transmis unui client un e-mail ce conținea acte adiționale ale contractelor de prestări servicii medicale care aparțineau altor clienți ai operatorului. Această încălcare a condus la pierderea confidențialității datelor prelucrate prin divulgarea neautorizată și accesul neautorizat la anumite date cu caracter personal, cum ar fi: numele și prenumele, CNP, adresa și semnătura.
Pentru aceasta, operatorul a fost sancționat contravențional cu amendă în cuantum de 4,901 RON, (echivalentul a 1000 EURO).
113. ING Bank NV Amsterdam Sucursala București – noiembrie 2022 – 20000 euro
O investigație la operatorul ING Bank NV Amsterdam Sucursala București s-a finalizat cu sancțiune contravențională cu amendă în cuantum de 98.076,00 lei (echivalentul sumei de 20.000 EURO) întrucât operatorul de date nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prezentat de prelucrare. Lipsa acestor măsuri a condus la divulgarea neautorizată și accesul neautorizat la datele cu caracter personal ale unor clienți ING Bank NV Amsterdam Sucursala București.
Potrivit informațiilor care au stat la baza notificării, au fost afectate date cu caracter personal ale unor clienți, în sensul că s-au accesat și s-au divulgat neautorizat diferite date de identificare asociate actului de identitate, date de contact, date de natură bancară, user și parolă modul Internet Banking urmate de operațiuni de plată efectuate de către terțe persoane.
Reamintim aici principiul „integritate și confidențialitate” care stă la baza Regulamentului General privind Protecția Datelor potrivit căruia operatoruli ii revine obligația de a prelucra datele cu caracter personal într-un mod care asigură securitatea adecvată a acestora, inclusiv protecţia împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare.
112. Asociația de proprietari Bld. Pipera 1-2E – noiembrie 2022 – 300 euro
Asociația de proprietari Bld. Pipera 1-2E a fost sancționată contravențional cu amendă în cuantum de 1,480.98 lei (echivalentul a 300 EURO), întrucât președintele asociației a dezvăluit pe grupul de Whatsapp al blocului, înregistrări din sistemul de supraveghere video administrat de Asociație care cuprindeau imagini cu petiționarul. În plus, operatorul nu a furnizat informațiile solicitate de ANSPDCP în termenul legal.
111. Raiffeisen Bank SA – noiembrie 2022 – 28000 euro
Operatorul Raiffeisen Bank S.A. a fost sancționat contravențional cu două avertismente și cu trei amenzi în cuantum total de 138.572 lei (echivalentul sumei de 28.000 EURO), deoarece nu a luat măsuri pentru a se asigura că orice persoană fizică care acționează sub autoritatea sa și are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului.
Investigația a fost demarată ca urmare a transmiterii de către operatorul Raiffeisen Bank SA a unui număr de 17 notificări cu privire la producerea unor încălcări a securității datelor cu caracter personal.
Principalele constatări din cadrul investigației au fost:
- S-au utilizat sistemele informatice ale operatorului Raiffeisen Bank S.A. și s-au efectuat interogări în sistemul de evidență administrat de Biroul de Credit S.A., respectiv în cel administrat de ANAF, pentru a simula decizii de creditare pentru un broker extern de credite.
- În două situaţii (care au vizat un număr de cel puțin 169 persoane fizice) s-au efectuat operațiuni de prescoring pentru clienți sau potențiali clienți, fără ca documentația aferentă interogării în Sistemul Biroului de Credite să fie semnată de solicitanții respectivi.
- S-au acordat credite unor clienți, persoane fizice, prin intermediul unei entități – persoană împuternicită a operatorului, fără ca aceștia să le fi solicitat și fără să fi semnat documentele aferente.
- S-au produs mai multe incidente prin transmiterea, prin e-mail, a unor date confidențiale către alte persoane decât persoanele vizate ca urmare a introducerii/actualizării în sistem a unor adrese de email eronate sau a atașării documentelor aferente unui client într-un email destinat altui client.
- S-au produs situații ce implică și suspiciuni de frauda internă în creditare:
- S-au efectuat operațiuni specifice pentru acordarea unui credit pentru un client persoană fizică, fără prezența solicitantului la sediul agenției.
- S-au solicitat facilități de credit de diferite tipuri (Card de Credit, credit de nevoie personale, actualizarea datelor în aplicația Băncii) prin modificarea numărului de telefon al persoanelor vizate cu numărul de telefon al angajatului băncii și prin introducerea unei adrese de email fictive.
- S-au acordat trei facilități de credit (Flexicredit, refinanțare Flexicredit respectiv Card de Cumpărături) în numele unei persoanei fizice, client al băncii, dar fără ca acesta să fi solicitat, în realitate acele credite.
- S-au divulgat neautorizat date cu caracter personal ale unor clienți din contul Smart Mobile (serviciul de mobile banking pus la dispoziție de către Raiffeisen Bank) al acestora către alți clienți ai operatorului.
Toate acestea au condus la accesul neautorizat și/sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate prin aplicațiile informatice utilizate de Raiffeisen Bank S.A. în activitatea de creditare. Datele divulgate au fost nume, prenume, adresa de domiciliu, cetățenie, naționalitate, imaginea persoanei, codul numeric personal, numărul și seria cărții de identitate, email, nr. telefon, date din Sistemul Biroului de Credit, date din sistemul de evidență administrat de ANAF, date din contul Smart Mobile.
Reamintim, cu această ocazie, obligația ce revine operatorului de a lua măsuri prin care să se asigure că orice persoană fizică care acționează sub autoritatea sa și are acces la date cu caracter personal nu le prelucrează decât la cererea lui.
110. SC Das Sense Society SRL – noiembrie 2022 – 1000 euro
Pentru că nu a furnizat informațiile solicitate de Autoritate, SC Das Sense Society SRL a fost sancționată contravențional cu amendă în cuantum de 4.950 lei, echivalentul a 1000 euro.
Investigația s-a desfășurat ca urmare a unor plângeri prin care se reclama faptul că la punctul de lucru al operatorului SC Das Sense Society SRL erau instalate camere de supraveghere care surprindeau imagini atât de pe domeniul public (trotuar și stradă), cât și de pe domeniul privat (rampa și scările de acces într-un complex de locuințe, accesul într-un supermarket).
Întrucât operatorul nu a dat curs solicitării de informații adresate de ANSPDCP necesare pentru desfășurarea investigației, s-a dispus sancționarea cu amendă.
109. SC Prestige Media PHG SRL – noiembrie 2022 – 5000 euro
Încălcarea principiilor de prelucrare a datelor cu caracter personal prevăzute de RGPD i-a adus operatorului de date SC Prestige Media PHG SRL o amendă în cuantum de 24.683,5 lei (echivalentul sumei de 5.000 euro).
În cadrul investigației s-a constatat că pe site-ul operatorului erau publicate documente confidențiale ale unor angajați ai unei alte societăți. Mai exact, pe site-ul respectiv erau afișate 23 de decizii nominale de încetare a contractelor individuale de mandate/raporturilor de muncă ce conțineau date cu caracter personal (nume, prenume, funcție, număr contract de muncă, abateri disciplinare) ale mai multor persoane fizice, deși acestea nu aveau niciun fel de raporturi juridice cu SC Prestige Media PHG SRL.
Întrucât operatorul nu a prezentat dovezi din care să rezulte că a prelucrat în mod legal datele personale din cele 23 de documente, i s-a aplicat și măsura corectivă de eliminare/anonimizare a informațiilor care permit identificarea persoanelor vizate din cuprinsul deciziilor de încetare a contractelor de mandat/raporturilor de muncă publicate pe site-ul său.
108. Compania Națională Poșta Română SA – noiembrie 2022 – 2000 euro
Compania Națională Poșta Română SA a fost sancționată contravențional cu amendă în cuantum de 9.883,80 lei, echivalentul a 2000 euro, deoarece, în calitate de persoană împuternicită, a pierdut anumite trimiteri poștale care conțineau decizii de stabilire a drepturilor de pensie, carnete de muncă și certificate de deces.
Această lipsă a implementării de măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de confidențialitate și securitate a datelor personale ale persoanelor vizate, a condus la pierderea, divulgarea neautorizată sau accesul neautorizat la anumite date cu caracter personal, afectând 35 de persoane fizice.
De asemenea, s-a dispus față de Compania Națională Poșta Română SA și măsura corectivă de revizuire și actualizare a măsurilor tehnice și organizatorice implementate ca urmare a evaluării privind riscul pentru drepturile și libertățile persoanelor, inclusiv a procedurilor de lucru referitoare la protecția datelor cu caracter personal, în vederea asigurării protecției datelor prelucrate atât pe stațiile de lucru (PC), cât și pentru prestarea serviciilor poștale în format fizic (primirea ori livrarea trimiterilor poștale), precum și asigurarea unei protecții fizice a spațiilor de lucru unde sunt prelucrate trimiterile poștale și a măsurilor privind instruirea persoanelor care acționează sub autoritatea companiei.
În acest context, subliniem faptul că obligațiile de a asigura măsurile de confidențialitate și securitate a prelucrării datelor revin atât operatorului, cât și persoanei împuternicite de acesta.
107. Persoană fizică – octombrie 2022 – 150 euro
Încă o amendă aplicată unei persone fizice pentru folosirea neautorizată a unor date cu caracter personal.
În cursul desfășurării investigației, ANSPDCP a constatat că unei persoanei fizice i-au fost divulgate accidental anumite date cu caracter personal și aceasta le-a folosit neautorizat, fără a avea consimțământul persoanei căreia îi aparțineau datele. Pentru aceasta, a fost sancționată contravențional cu amendă în cuantum de 150 euro.
106. SC Materiale Constructii Online SRL – octombrie 2022 – 2000 euro
Nerespectarea drepturilor conferite de GDPR persoanelor vizate, precum și lipsa cooperării cu Autoritatea de Supraveghere, i-a adus operatorului de date SC Materiale Constructii Online SRL o sancțiune contravențională cu amendă în cuantum de 2000 euro.
Investigația ANSPDCP a fost demarată ca urmare a unei plângeri prin care se reclama faptul că reprezentanții site-ului www.depozit-online.ro nu au dat curs solicitărilor de ștergere a contului unui utilizator. În plus, operatorul de date nu a răspuns adreselor transmise de către Autoritate.
105. Persoană fizică – octombrie 2022 – 150 euro
Neconformarea la GDPR a site-ului i-a adus unei persoane fizice, deținător al site-ului https://centralpoint.ro/afisare-bd-general/, o sancțiune contravențională cu amendă în cuantum de 150 euro.
ANSPDCP a constatat, în cursul desfășurării investigației demarate ca urmare a primirii unei sesizări, că au fost publicate pe acest site o serie de date cu caracter personal, încălcându-se astfel securitatea prelucrării de date. A fost afectat un număr de 383 de persoane fizice iar datele publicate au fost: codul numeric personal, numărul de telefon, seria și numărul actului de identitate, adresa de e-mail, detalii bancare (achiziții de imobile), stare civilă.
104. Bitfactor SRL – septembrie 2022 – 2000 euro
Funcționarea defectuoasă a unei aplicații folosite în comunicări de marketing i-a adus operatorului Bitfactor SRL o sancțiune contravențională cu amendă în cuantum de 9.852,8 lei, echivalentul a 2000 euro.
Investigația a fost demarată ca urmare a transmiterii unei notificări de încălcare a securității datelor către Autoritate. S-a constatat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate, care să protejeze în mod continuu datele cu caracter personal ale persoanelor vizate, atât în momentul stabilirii mijloacelor de prelucrare, cât și în momentul prelucrării în sine. Această situația a condus la încălcarea confidențialității datelor a unui număr de 1757 de persoane vizate, utilizatori ai site-ului operatorului.
Reamintim, cu această ocazie, obligația ce îi revine operatorului, conform art. 25 alin. (1) din Regulamentul General privind Protecția Datelor, și anume: „operatorul, atât în momentul stabilirii mijloacelor de prelucrare, cât şi în cel al prelucrării în sine, pune în aplicare măsuri tehnice şi organizatorice adecvate, cum ar fi pseudonimizarea, care sunt destinate să pună în aplicare în mod eficient principiile de protecţie a datelor, precum reducerea la minimum a datelor, şi să integreze garanţiile necesare în cadrul prelucrării, pentru a îndeplini cerinţele prezentului regulament şi a proteja drepturile persoanelor vizate.”
De asemenea, amintim considerentul (78) din RGPD care stabilește că „operatorul ar trebui să adopte politici interne şi să pună în aplicare măsuri care să respecte în special principiul protecţiei datelor începând cu momentul conceperii şi cel al protecţiei implicite a datelor.”
103. Curtea Veche Publishing SRL – septembrie 2022 – 5000 euro
Lipsa măsurilor tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării i-a adus și operatorului Curtea Veche Publishing SRL o sancțiune contravențională cu amendă în cuantum de 24.566 lei, echivalentul sumei de 5000 euro.
Investigația a fost demarată ca urmare a unor notificări de încălcare a securității datelor, transmise de operator către autoritatea de supraveghere:
- Una dintre încălcările securității datelor, produsă ca urmare a postării pe un forum public a unui fișier care conținea baza de date a clienților operatorului din perioada 2019 – 2021, a condus la divulgarea neautorizată a anumitor date cu caracter personal ale unui număr de 10739 clienți ai operatorului. Datele cu caracter personal divulgate au fost: nume, prenume, număr de telefon, e-mail, parola sub formă criptată, adresa IP de pe care a fost creat contul de utilizator.
- Cea de-a doua încălcare a securității datelor, produsă ca urmare a unui atac de tip ransomware, a condus la accesul neautorizat și pierderea integrității și disponibilității anumitor date cu caracter personal a aproximativ 100 de persoane vizate, angajați și colaboratori ai operatorului.
În plus, pe lângă sancțiunea cu amendă aplicată, operatorului i s-a aplicat și măsura corectivă de a revizui și actualiza măsurile tehnice și organizatorice implementate și a procedurilor de lucru referitoare la protecția datelor cu caracter personal, inclusiv prin implementarea unor soluții informatice suplimentare de securizare a datelor.
102. Banca Comercială Română SA– septembrie 2022 – 2000 euro
O nouă sancțiune a fost aplicată operatorului Banca Comercială Română SA întrucât nu a luat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării.
Investigația a fost demarată ca urmare a unei notificări de încălcare a securității datelor, transmisă de Banca Comercială Română SA, încălcare produsă ca urmare a unei erori tehnice a unei aplicații IT a operatorului. S-a constat că au fost transmise e-mailuri conținând datele cu caracter personal ale unor clienți către alți clienți.
De acest incident a fost afectat un număr de 564 persoane fizice vizate, clienți ai bancii, prin divulgarea neautorizată sau accesul neautorizat la anumite date cu caracter personal, cum ar fi: nume și prenume, CNP, adresa de domiciliu, număr de telefon, adresa de e-mail, alături de informații financiare generate eronat privind câștigul cumulat, pierderea cumulate, câștigul net, pierderea netă, impozitul datorat cumulat, impozitul de plată, impozit de recuperat.
101. Vodafone România SA – septembrie 2022 – 2000 euro
Operatorul Vodafone România SA a fost sancționat deoarece nu a adoptat măsuri suficiente pentru a asigura faptul că orice persoană fizică care acționează sub autoritatea operatorului și care are acces la datele cu caracter personal nu le prelucrează decât la cererea operatorului și nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de confidențialitate și securitate corespunzător riscului prelucrării.
Mai exact, operatorul a transmis către ANSPDCP două notificări de încălcare a securității datelor cu caracter personal, acesta fiind punctul de plecare în investigație. S-a constatat că operatorul nu a verificat respectarea procedurii de identificare a persoanei apelante de către împuterniciții săi, ceea ce a permis unor terțe persoane să achiziționeze în mod fraudulos telefoane noi în numele unor clienți ai operatorului. Mai mult, această situație a permis terțelor persoane accesarea datelor din contractele încheiate de clienți cu operatorul și a datelor din conturile personale My Vodafone. Datele personale care au putut fi accesate sunt: nume, prenume, adresă, codul numeric personal, numărul de telefon de contact, codul PUK, numărul de contact al titularului contului, seria SIM a cartelei inițiale, valoarea ultimei facturi neplătite și traficul de date.
100. SC Raiffeisen Bank SA – septembrie 2022 – 2000 euro
Amenda cu numărul 100 aplicată de ANSPDCP îi revine SC Raiffeisen Bank SA, care în calitate de împuternicit al unui operator, a fost sancționată cu 2000 de euro pentru încălcarea principiului exactității datelor și cu avertisment pentru pentru încălcarea dispozițiilor art. 5 alin. (1) lit. a) și b) și ale art. 6 din Regulamentul General privind Protecția Datelor.
Un petent a reclamat faptul că un operator îi transmite pe numărul său de telefon mobil mesaje text tip SMS referitoare la transferurile unor sume de bani către anumite persoane, transferuri pe care petentul nu le-a efectuat. Mai mult decât atât, petentul nu a fost client al SC Raiffeisen Bank SA și nu a solicitat inițierea unor tranzacții prin intermediul aplicației operatorului.
În cadrul investigației s-a constatat că SC Raiffeisen Bank SA, în calitate de împuternicit, a introdus în mod eronat numărul de telefon al petentului în cadrul aplicației pusă la dispoziție de operator prin care se inițiau tranzacții la solicitarea clienților. De asemenea, s-a constatat că au fost prelucrate date inexacte (numărul de telefon) ale persoanelor, clienți ocazionali, care au realizat tranzacții de bani prin aplicația operatorului, utilizând numărul de telefon al petentului în cadrul a 44 de tranzacții, încălcându-se astfel principiul exactității datelor.
99. Realmedia Network SA (imobiliare.ro) – septembrie 2022 – 8000 euro
Societatea Realmedia Network SA a fost sancționată cu amendă de 8.000 euro întrucât nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării.
Mai exact, Autoritatea Națională de Supraveghere, în urma unor informații din mediul on-line, s-a autosesizat cu privire la o posibilă breșă de securitate a datelor cu caracter personal apărută la Realmedia Network SA.
În cadrul investigației s-a constatat încălcarea securității prelucrării datelor la nivelul unui serviciu folosit pentru operarea platformei imobiliare.ro, situație ce a condus la divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal a unui număr de 194.309 persoane fizice vizate. Datele cu caracter personal divulgate au fost: nume, prenume, număr de telefon, adresa de e-mail, adresa poștală, cod numeric personal, semnătura, copii ale cărților de identitate, inclusiv coduri de identificare, funcție/calitate, date bancare, informații incluse în extrase de carte funciară/schițe cadastrale, titluri de proprietate, imagini de profil ale utilizatorilor.
98. Alpha Bank România SA – august 2022 – 1000 euro
Încălcarea securității datelor a fost sancționată cu 1000 de euro și în cazul operatorului Alpha Bank România SA.
Mai exact, Autoritatea Națională de Supraveghere a fost notificată de către operator, în baza dispozițiilor art. 33 din Regulamentul General privind Protecția Datelor, asupra încălcării securității prelucrării datelor care s-a produs ca urmare a faptului că s-a transmis un document altui destinatar, din eroare, prin utilizarea aplicației de Whatsapp.
Această încălcare a condus, în mod evident, la divulgarea neautorizată sau accesul neautorizat la anumite date cu caracter personal. De acest incident au fost afectate un număr de 4 persoane fizice vizate cărora le-au fost divulgate date personale precum numele și prenumele, CNP, funcția și semnătura, tipul de credit, numărul și data semnării contractului, perioada de creditare și data ultimei scadențe.
Și în acest caz ANSPDCP constată că nu au fost implementate măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de confidențialitate și securitate corespunzător riscului prelucrării. De asemenea nu au fost luate măsuri suficiente pentru a se asigura că orice persoană fizică care acționează sub autoritatea operatorului și care are acces la date cu caracter personal nu le prelucrează decât la cererea sa.
Pe lângă sancțiunea de 1000 de euro s-a dispus și revizuirea și actualizarea măsurilor tehnice și organizatorice implementate precum și instruirea persoanelor care acționează sub autoritatea operatorului referitor la interzicerea utilizării echipamentului personal al angajaților în relațiile cu clienții (de ex., telefonul mobil) pentru aplicații de comunicare/servicii de chat online neautorizate de Bancă.
Reamintim cu această ocazie importanța instruirii personalului cu privire la riscurile și consecințele pe care le implică divulgarea datelor personale.
97. Enel Energie Muntenia S.A. – august 2022 – 10000 euro
Insuficiența măsurilor de securitate adoptate i-a cauzat operatorului Enel Energie Muntenia S.A. un incident de securitate pentru care a fost sancționat cu amendă de 10.000 euro și un avertisment.
Ce s-a întâmplat mai exact? În urma unei solicitări telefonice către Enel Energie Muntenia S.A., o persoană fizică a primit pe adresa sa de email un răspuns adresat altui client, persoană fizică, însoțit de anumite documente ce conțineau date cu caracter personal. În cadrul investigației s-a constatat că operatoul nu a prezentat informații clare cu privire la motivele pentru care un angajat al său a trimis răspunsul din greșeală petentului.
De asemenea, operatorul nu a prezentat dovezi din care să rezulte că a luat măsuri de remediere în scopul reducerii riscului la care i-au fost supuse datele personale și pentru a preveni pe viitor dezvăluirea sau accesarea ilegală a datelor personale.
Întrucât operatoul nu a notificat incidentul de securitate la Autoritatea de supraveghere, a primit și un avertisment.
96. CDI Transport Intern și Internațional SRL – august 2022 – 7000 euro
Lipsa informării clare, complete și corecte a persoanelor vizate asupra modului în care le sunt colectate și prelucrate datele cu caracter personal, i-a adus operatorului CDI Transport Intern și Internațional SRL o sancțiune contravențională cu amendă de 7000 de euro și un avertisment.
Printr-o sesizare la Autoritate a fost semnalat faptul că pe site-ul societății nu se regăsesc informații referitoare la modalitatea de colectare a datelor cu caracter personal, la drepturile persoanelor vizate conferite de GDPR și la modul de exercitare a acestor drepturi și nici cu privire la faptul că operatorul are obligația de a informa persoanele vizate în situația unei încălcări a securităţii datelor cu caracter personal.
În plus, operatorul nu a furnizat informațiile solicitate de ANSPDCP, în termenul legal, fiind sancționat contravențional și cu un avertisment.
95. SC Wabag Water Services SRL – august 2022 – 1000 euro
Regulamentul (UE) 2016/679 stabilește o serie de principii care se impun a fi respectate în cadrul prelucrării datelor. Printre acestea se numără principiul privind prelucrarea datelor în mod legal, echitabil și transparent față de persoana vizată. Nerespectarea acestui principiu i-a adus operatorului SC Wabag Water Services SRL o amedă de 1000 de euro.
Ce a făcut mai exact operatorul? A folosit datele cu caracter personal al unei angajate pentru a o înscrie și pentru a o programa, fără consimțământul său, pe platforma națională de vaccinare pentru efectuarea vaccinului împotriva Covid-19 în anul 2021.
[No comment]
94. Denmar Nacrut SRL – august 2022 – 2500 euro
Neconformarea sistemelor de supraveghere video la prevederile GDPR precum și lipsa informării persoanelor vizate i-a adus operatorului Denmar Nacrut SRL 2 sancțiuni contravenționale în cuantum de 2500 euro. De asemenea s-au dispus și o serie de măsuri corective.
Investigația a pornit ca urmare a unei sesizări făcute de către o persoană fizică ce a semnalat faptul că persoane vizate, clienți ai SC Denmar Nacrut SRL, erau supravegheate video în timpul prestării unor servicii cosmetice.
Într-adevăr, în timpul investigației, s-a constatat că Denmar Nacrut SRL deține sistem de supraveghere video montat atât în interiorul, cât și în exteriorul spațiului unde își desfășoară activitatea și sunt monitorizați atât angajații cât și clienții. Mai mult de atât, nu există o informare clară, completă și corectă a angajaților și a persoanelor vizate ale căror date cu caracter personal (respectiv imaginea) se prelucrează prin intermediul camerelor video de supraveghere.
Întrucât operatorul nu a făcut dovada unor incidente existente anterior care să justifice interesul său legitim care să prevaleze asupra intereselor sau drepturilor și libertăților fundamentale ale persoanelor vizate, s-a constatat că operatorul a prelucrat în mod excesiv datele clienților și angajaților săi.
93. Sephora Cosmetics România SA– august 2022 – 2000 euro
Nerespectarea drepturilor persoanelor vizate conferite de Regulamentul General privind Protecția Datelor cu caracter personal i-a adus operatorului Sephora Cosmetics România SA o sancțiune de 2000 euro. Vorbim despre nerespectarea dreptului de opoziție prin care persoanele vizate au dreptul absolut de a se opune prelucrării datelor cu caracter personal dacă acestea sunt prelucrate pentru marketing direct. Operatorul nu a respectat acest drept și a continuat să trimită mesaje comerciale tip SMS în ciuda faptului că persoana vizată a solicitat în repetate rânduri să nu-i mai fie utilizate datele în scop de marketing.
Deși, persoana vizată a fost informată de către operator că datele eu nu vor mai fi prelucrate în scop de marketing, aceasta a continuat să primească mesaje comerciale nesolicitate, de tip SMS, din partea Sephora Cosmetics România SA.
92. S.C. Delivery Solutions S.A. (Sameday) – iulie 2022 – 3000 euro
ANSPDCP a finalizat o investigație la S.C. Delivery Solutions S.A. (Sameday) și a sancționat contravențional operatorul de date cu amendă în cuantum de 3000 eur pentru că nici acesta nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării pentru drepturile și libertățile persoanelor fizice.
De la ce a pornit investigația? Investigația a fost demarată ca urmare a unor sesizări depuse de o persoană fizică în care era semnalat faptul că baza de date a S.C. Delivery Solutions S.A. (Sameday) este la vânzare pe site-ul raidforums.com.
În calitate de persoană împuternicită a două societăți pentru prelucrarea datelor cu caracter personal, S.C. Delivery Solutions S.A. era obligată să ia toate măsurile necesare pentru a proteja sistematic prelucrarea datelor cu caracter personal ale persoanelor fizice, inclusiv împotriva divulgării și/sau accesului neautorizat la date. Lipsa acestor măsuri a condus la divulgarea și/sau accesul neautorizat la datele cu caracter personal pentru 26566 persoane fizice vizate.
Datele personale disponibile spre vânzare pe forumul RaidForums și care puteau fi accesate online sunt: număr și dată AWB, indicative curieri, nume expeditor, nume și prenume destinatar, număr de telefon, adresă, status livrare, tipul serviciului, greutate colet, suma de încasat, intervalul de livrare.
91. E Software Concept SRL – iulie 2022 – 4000 euro
Lipsa măsurilor tehnice și organizatorice în vederea asigurării securității și confidențialității datelor personale precum și nefurnizarea informațiilor solicitate de Autoritatea de supraveghere, i-au adus operatorului de date E Software Concept o amendă în cuantum de 4000 euro.
Ce s-a constatat în timpul investigației?
Pe site-ul operatorului, la anumite link-uri, erau disponibile public anumite documente prin care se dezvăluiau date cu caracter personal ale clienților E SOFTWARE CONCEPT SRL. Documentele în cauză sunt facturile emise de operator către clienții săi, persoane fizice și juridice, și AWB-urile emise de solicitanții serviciilor de curierat. Datele cu caracter personal care au fost dezvăluite sunt: nume, prenume, adresă expeditor și destinatar, număr de telefon, username și parolă, adrese de e-mail.
Mai mult decât această situație care a condus la pierderea confidențialității datelor cu caracter personal ale clienților operatorului, acesta nu a dat curs solicitării de informații adresate de Autoritatea Națională de Supraveghere în exercitarea competențelor sale, astfel că a fost sancționat și pentru acest fapt.
Un site conform GDPR implică mult mai mult decât existența butonului de acceptare de cookie-uri iar aspectele de luat în calcul într-o evaluare a unui site conform GDPR sunt multiple. Poți citi mai multe despre audit GDPR pentru site-uri sau ne poți contacta pe contact@gdprcomplet.ro pentru o ofertă.
90. Continental Automotive Romania – iunie 2022 – 2000 euro
Ultima amendă a lunii iunie 2022 ne confirmă înca o dată că doar stabilirea unor proceduri de lucru nu sunt suficiente să te scape de amendă, dacă nu se evaluează periodic aplicarea acestora. Ce s-a întâmplat mai exact:
În temeiul dispozițiilor Regulamentului General privind Protecția Datelor, Operatorul Continental Automotive Romania SRL a transmis către ANSPDCP, în cursul anului 2022, o notificare de încălcare a securității datelor cu caracter personal și anume, a descoperit la sediul său din Timișoara că în afara sistemului oficial de camere mai exista un număr de 135 de camere de supraveghere neaprobate (neconfigurate conform politicilor interne) conectate la sisteme de camere neoficiale, majoritatea fiind amplasate în mijlocul zonei de producție.
În consecință, Operatorul Continental Automotive Romania SRL a fost sancționat cu amendă în cuantum de 2000 EURO pentru că nu a stabilit măsuri tehnice și organizatorice adecvate și nu a evaluat periodic măsurile tehnice și organizatorice implementate în vederea asigurării securității adecvate a prelucrării imaginilor video ale angajaților și în vederea prevenirii prelucrarării neautorizate.
Vă reamintim în acest sens că procesul de conformare la GDPR este un proces continuu.
89. SC Interactions Marketing SRL – iunie 2022 – 1000 euro
Trimiterea de mesaje comerciale către mai multe persoane reprezintă divulgare neautorizata de date personale în condițiile în care sunt dezvăluite adresele de e-mail ale acestora. Această lipsă a măsurilor tehnice și organizatorice în vederea asigurării confidențialității datelor personale, aduce pentru SC Interactions Marketing SRL, în calitate de împuternicit al unui operator, o sancțiune de 1000 EUR.
ANSPDCP a constatat, în urma investigației, că SC Interactions Marketing SRL, în calitate de împuternicit, a derulat o campanie pentru operatorul reclamat, în cadrul căreia a transmis un mesaj comercial către adresele de email aparținând unui număr de 27 de persoane, fără ascunderea acestora, permițând astfel divulgarea neautorizată a adreselor de e-mail către ceilalți destinatari.
În consecință, încălcând prevederile art. 32 alin. (1) lit. b), SC Interactions Marketing SRL a fost sancționată deoarece, în calitate de persoană împuternicită, avea obligația de a adopta măsuri tehnice și organizatorice adecvate în vederea asigurării confidențialității datelor personale prelucrate.
88. Asociația de Proprietari Aviației Park – iunie 2022 – 7000 euro
O nouă investigație ANSPDCP s-a finalizat cu amendă pentru operatorul Asociația de Proprietari Aviației Park. Acesta a fost sancționat contravențional cu amendă pentru 2 încălcări ale prevederilor GDPR după cum urmează:
- 2000 EURO pentru prelucrarea în mod excesiv a datele cu caracter personal ale livratorilor și/sau curierilor în calitate de persoane vizate, fără un temei legal justificat raportat la scopul prelucrării (controlul accesului în complexul rezidențial) și fără să prezinte dovezi că asigură informarea corectă și completă a persoanelor vizate, precum și că datele prelucrate sunt adecvate, relevante și limitate la ceea ce este necesar în raport cu scopul prelucrării; S-a constatat că reprezentanții societății de pază (în calitate de împuternicit) colectau și prelucrau datele cu caracter personal în scopul accesului persoanelor la intrarea în complexul rezidențial, sens în care solicitauo serie de date persoanelor care intrau în complex și le notau într-un registru intern, deși instrucțiunile primite de la operator erau exclusiv pentru serviciile de livrări și/sau curierat.
- 5000 EURO pentru că nu a stabilit o perioadă de stocare a imaginilor prelucrate prin intermediul sistemului de supraveghere video și le-a stocat pe o perioadă mai mare decât cea necesară îndeplinirii scopului în care sunt prelucrate, respectiv controlul accesului în condominiu, deși avea obligația de a păstra imaginile într-o formă care să permită identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele. Astfel, s-a constatat existența de imagini stocate cu o vechime de aproximativ un an și jumătate.
În acest context, reamintim faptul că potrivit art. 4 pct. 7 din RGPD operatorul stabilește scopul și mijloacele de prelucrare, iar conform art. 28 alin. (3) lit. a) din RGPD împuternicitul prelucrează datele numai pe baza unor instrucțiuni documentate din partea operatorului.
De asemenea, reamintim faptul că potrivit art. 5 din RGPD, operatorul trebuie să respecte principiile de prelucrare a datelor, printre care cele privind ”legalitatea, echitatea şi transparenţa”, ”reducerea la minimum a datelor” și ”limitarea legată de stocare”. În același timp, operatorul este responsabil de respectarea principiilor şi trebuie să demonstreze această respectare (”principiul responsabilității”).
87. S.C. Wine Point S.R.L.– iunie 2022 – 3000 euro
Lipsa măsurilor tehnice și organizatorice în vederea asigurării confidențialității datelor personale, îi aduce operatorului S.C. Wine Point S.R.L. o sancțiune de 3000 EUR.
Investigația ANSPDCP a fost demarată ca urmare a unei sesizări prin care o persoană vizată a semnalat faptul că a primit din partea operatorului, prin e-mail, un mesaj comercial, care era adresat și altor persoane, adresele acestora de e-mail fiind vizibile tuturor celor 810 de destinatari.
În consecință, prin divulgarea neautorizata de date personale, S.C. Wine Point S.R.L. încalcă dispozițiile art. 32 alin. (1) lit. b) din Regulamentul General privind Protecția Datelor
Eroare umană sau rea intenție, trimiterea unui email care divulgă emailurile tuturor destinatarilor reprezintă o breșă de securitate.
Gestionarea breșelor de securitate poate fi o adevărată provocare pentru operatorii de date, astfel că vă recomandăm să citiți mai multe despre gestionarea breșelor de securitate GDPR.
86. Wens Experience SRL – iunie 2022 – 1500 euro
Nerespectarea (sau neînțelegerea) obligațiilor ce îi revin ca și persoană împuternicită i-a adus societății Wens Experience SRL o sancțiune de 1500 eur.
Cu ce a greșit aceasta? Societatea Wens Experience SRL, în calitate de împuternicit al unui operator, a recrutat o altă persoană împuternicită pentru prelucrarea datelor angajaților operatorului fără a primi în prealabil o autorizație scrisă, specifică sau generală din partea operatorului.
Reamintim în acest sens art. 28 alin. (2) din RGPD care spune că „Persoana împuternicită de operator nu recrutează o altă persoană împuternicită de operator fără a primi în prealabil o autorizaţie scrisă, specifică sau generală, din partea operatorului. În cazul unei autorizaţii generale scrise, persoana împuternicită de operator informează operatorul cu privire la orice modificări preconizate privind adăugarea sau înlocuirea altor persoane împuternicite de operator, oferind astfel posibilitatea operatorului de a formula obiecţii faţă de aceste modificări.”
85. Kaufland România SCS – iunie 2022 – 2000 euro
ANSPDCP a finalizat o nouă investigație prin care sancționează din nou lipsa măsurilor tehnice și organizatorice adecvate pentru a asigura securitatea informațiilor. De această dată, operatorul de date Kaufland România SCS a fost sancționat cu amendă în cuantum de 9.893,2 lei (echivalentul sumei de 2000 EURO) pentru încălcarea dispozițiilor art. 29 și art. 32 alin. (1) lit. b), alin. (2) și alin. (4) din Regulamentul General privind Protecția Datelor.
Este vorba de două notificări de încălcare a securității datelor cu caracter personal și anume accesul neautorizat al unor angajați ai operatorului la datele cu caracter personal ale clienților Kaufland și transmiterea eronată către un alt destinatar a unor date personale ale unui client.
În prima încălcare a securității, angajatul operatorului care a preluat plângerea unei petente nu a respectat procedura internă de soluționare a unei reclamații și a permis vizualizarea documentului de către agentul de pază. Acesta, ulterior a utilizat necorespunzător aceste date și astfel s-a ajuns la încălcarea confidențialității datelor personale ale petentei.
Cea de-a doua încălcare a securității datelor are la bază tot nerespectarea procedurii de lucru și a constat în transmiterea eronată către un alt destinatar a unei foi de comandă a unui client prin intermediul unor platforme de livrare. Această situație a condus la divulgarea și accesul neautorizat la datele cu caracter personal (nume, prenume, adresa de e-mail, număr de telefon) ale clientului Kaufland.
În acest context, reamintim că orice persoană fizică care acționează sub autoritatea operatorului și care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului.
84. Med Life S.A. – mai 2022 – 5000 euro
Lipsa măsurilor la securitatea fizică a documentelor ne aduce în atenție o amendă aplicată Med Life S.A., cu totul aparte. Este vorba de divulgarea ilicită ale datelor clienților proprii a operatorului, date precum: nume, prenume, CNP, serviciul medical de care a beneficiat, analiza medicală efectuată, suma achitată, cont bancar dar și ale angajaților: salariu în avans, pentru două luni la rând. În acest sens, documente care conțineau aceste date au fost aruncate la coșul de gunoi al unei unități administrativ-teritoriale.
Sesizarea a fost făcută de către o persoană care a identificat aceste documente, aspect care a dus la demararea investigației.
Astfel, a fost aplicată o amendă de 5000 de euro și actualizarea măsurilor tehnice și organizatorice implementate.
O recomandare mereu prezentă este aceea a instruirii periodice a persoanelor care acționează sub autoritatea Med Life S.A., în mod specific cu privire la riscurile pe care le comportă prelucrările de date cu caracter personal.
83. Kredyt Inkaso Investments RO S.A. – mai 2022 – 5000 euro
Dezvăluirea datelor medicale sunt printre cele mai sensibile aspecte și cel mai des reclamate de către persoanele vizate. În cazul Kredyt Inkaso Investments RO S.A., aceștia au dezvăluit date precum: adresa de domiciliu, cod numeric personal, funcția deținută, date privind contractul de muncă, date din certificatele de concediu medical către medici și unități medicale cu care firma nu avea contract (sau nu existau raporturi juridice).
Una din problemele menționate de ANSPDCP este prelucrarea datelor cu privire la starea de sănătate care s-a realizat cu încălcarea principiului legalității.
Nu în ultimul rând, operatorul nu a respectat termenele indicate pentru notificarea incidentului de securitate, încălcându-se prevederile art. 33 (pentru aceasta s-a aplicat un avertisment).
Amenda aplicată este echivalentul a 5000 de euro.
82. Mayr Melnhof Packaging Romania S.R.L – mai 2022 – 1500 euro
Spațiul destinat servirii mesei și locul destinat fumătorilor sunt considerate spații în care nivelul de viață privată al angajaților este unul mai ridicat în comparație cu alte spații care pot fi monitorizate. În acest sens, societatea amintită a montat un sistem de camere de supraveghere video în sala de mese și la locul de fumat, aspect care a fost raportat de către angajați. Aceștia au raportat faptul că această monitorizare este excesivă, situație cu privire la care ANSPDCP a concluzionat că este într-adevăr încălcat principiul minimizării datelor.
81. Loris Fuel Shop SRL – mai 2022 – 1000 euro
Divulgarea de date pe Facebook este din nou sancționată! De data aceasta operatorul Loris Fuel Shop SRL este sancționat cu o amendă de 1000 de euro pentru divulgarea pe rețeaua de socializare a unor capturi video cu persoana vizată, înregistrată la stația de alimentare cu carburant. Deseori aceste imagini sunt postate cu scopul de a stârni amuzamentul, însă acestea, nefiind anonimizate atrag după cum se pare și sancțiuni. Astfel, vedem cum din nou instruirea personalului duce la o dezvăluire neautorizată de date și la atragerea unei sancțiuni asupra operatorului.
Un aspect pe care ANSPDCP îl recomandă, pe lângă instruirea angajaților este acela al procedurării modalităților de acces la imagini dar și a raportării situațiilor de încălcare a securității datelor.
80. Concordia Capital IFN S.A. – mai 2022 – 4.000 euro
Interesul poartă fesul!
Trebuie să admitem actualitatea zicalei, căci cu toții acționăm în baza unui interes, acesta fiind temeiul majorității covârșitoare a acțiunilor noastre.
Zicala este la fel de actuală și în materia protecției datelor. În acest sens, există anumite condiționări de care Operatorii de date trebuie să țină cont: în primul rând, interesul trebuie să fie legitim, să aibă aptitudinea de a legitima acțiunea principală. Apoi acțiunea principală trebuie însoțită/completată de acțiuni secundare care îi confirmă sau dezvăluie caracterul legitim față de persoanele vizate.
În sancțiunea dispusă, Autoritatea Națională de Supraveghere face un examen al legitimității interesului Operatorului de date – Concordia Capital IFN S.A., în ceea ce privește acțiunea acestuia de a instala camere audio-vizuale în birourile angajaților săi.
În acest sens, a constatat o încălcare a art. 5 și 6 din Regulamentul General privind Protecția Datelor, stabilind că Operatorul nu a respectat următoarele condiții imperative:
- Acțiunea să fie luată în subsidiar, doar în cazul în care au fost folosite alte mijloace mai puțin intruzive pentru atingerea acestuia care nu și-au dovedit eficiența.
- Acțiunea și scopul acesteia să fie aduse la cunoștința persoanei vizate în mod concret și eficient (în speță, informarea s-a realizat prin Regulamentul Intern).
- Scopul invocat în legitimarea acțiunii, respectiv asigurarea protecției persoanelor, bunurilor și valorilor angajatorului și ale angajaților, să fie unul justificat.
- În realizarea acțiunii, Operatorul să respecte principiile de prelucrare reglementate de art. 5 alin. (1) lit. a), b), c) și alin. (2) și a condițiilor de legalitate prevăzute de art. 6 din Regulamentul General privind Protecția Datelor.
- Operatorul să respecte garanțiile art. 5 din Legea 190 din 18.07.2018 privind măsurile de punere în aplicare a Regulamentului General privind Protecția Datelor:
- interesele legitime urmărite de angajator să fie temeinic justificate şi să prevaleze asupra intereselor sau drepturilor şi libertăţilor persoanelor vizate;
- angajatorul să realizeze informarea prealabilă obligatorie, completă şi în mod explicit a angajaţilor;
- angajatorul să consulte sindicatul sau, după caz, reprezentanţii angajaţilor înainte de introducerea sistemelor de monitorizare;
- acțiunea să fie luată, doar dacă alte forme şi modalităţi mai puţin intruzive pentru atingerea scopului urmărit de angajator nu şi-au dovedit anterior eficienţa; şi
- durata de stocare a datelor cu caracter personal să fie proporţională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepţia situaţiilor expres reglementate de lege sau a cazurilor temeinic justificate.
În concluzie, interesul poartă fesul, dar în materia protecției datelor personale, dacă interesul nu este unul legitim și nu sunt îndeplinite condițiile legale pentru a putea legitima acțiunea în baza acestuia, nu-ți vei mai permite nici un fes datorită amenzii luate.
79. Megareduceri TV S.R.L. – mai 2022 – 4.000 euro
Nu orice reducere înseamnă un câștig! Cu atât mai mult pentru Operatorul de date Megareduceri TV S.R.L. care primește a 2-a amendă pentru neconformare la GDPR. Citește despre sancțiunea aplicată operatorului Megareduceri TV S.R.L. din octombrie 2020.
Pe de-o parte, din punct de vedere comercial, pentru orice operator economic, a reduce din preț înseamnă dinamizarea vânzărilor, creșterea vizibilității în rândul consumatorilor și bineînțeles creșterea profitului.
Pe de altă parte, din punct de vedere al protecției datelor cu caracter personal, a reduce din garanțiile impuse de Regulamentul General privind Protecția Datelor reprezintă un risc iminent de sancțiune din partea Autorității Național de Supraveghere.
În speță, pentru Operatorul de date, Megareduceri TV S.R.L., riscul s-a concretizat: în urma investigației efectuate, Autoritatea Națională de Supraveghere a constat încălcarea prevederilor art. 83 alin. (5) lit. e) corelate cu dispozițiile art. 58 alin. (1) din Regulamentul General privind Protecția Datelor. Investigația a fost demarată ca urmare a plângerilor formulate de clienți/potențiali clienți, care, fără a-și da consimțământul în acest sens, au primit mesaje comerciale tip sms (pe numerele personale de telefon) prin care se promovau ofertele promoționale de pe website-ul Operatorului: www.reduceriazi.ro.
Cu privire la acuzațiile aduse, Megareduceri TV S.R.L. nu a dat curs solicitărilor Autorității de furnizare de informații, deși a confirmat primirea acestor solicitări. În consecință, i s-a aplicat sancțiunea pecuniară în valoare de aprox. 4.000 de euro – una dintre cele mai mari sancțiuni dispuse de Autoritate pentru lipsa unui răspuns din partea Operatorului de date.
Pe lângă aceasta, i s-au aplicat și măsuri corective de intrare în legalitate, respectiv de conformare a activității Operatorului de date cu normele Regulamentului General privind Protecția Datelor:
- să fie evitate situațiile de prelucrare a datelor cu caracter personal fără consimțământul persoanelor vizate și fără existența unei alte situații în care consimțământul nu este necesar;
- să fie luate măsurilor necesare privind evaluarea datelor cu caracter personal prelucrate, astfel încât date precum numărul de telefon să nu mai fie prelucrat în scop de marketing direct sau de transmiterea de comunicări comerciale prin servicii de comunicații electronice destinate publicului, fără consimțământul prealabil expres al persoanelor vizate.
În concluzie, atât pentru consumatori cât și pentru operatorii economici, sunt binevenite reducerile … de preț, nicidecum cele referitoare la îndeplinirea obligațiilor legale în materia protecției datelor cu caracter personal.
Reamintim faptul că operatorul a mai fost sancționat pentru încălcarea acelorași prevederi ale Regulamentului General privind Protecția Datelor în octombrie 2020 și se pare că nu și-a învățat lecția.
78. IKEA România S.R.L. – aprilie 2022 – 1.000 euro
Atât activitatea, cât și pasivitatea neconformă se pedepsește.
IKEA România S.R.L., operatorul economic care face parte din grupul IKEA – unul dintre cei mai mari producători de mobilă din lume, a fost sancționată de Autoritatea Națională de Supraveghere pentru lipsa formulării și comunicării unui răspuns în termen de o lună de la primirea cererii persoanei vizate.
În speță, persoana vizată și-a exercitat dreptul de ștergere a datelor sale personale dintr-un cont de utilizator IKEA, conform art. 17 din Regulamentul General privind Protecția Datelor. În acest sens, persoana vizată a formulat mai multe cereri către operatorul economic, care au rămas fără răspuns.
Autoritatea Națională de Supraveghere a constatat că IKEA România S.R.L., în calitate de Operator de date nu a făcut dovadă că a transmis în termenul legal un răspuns la cererile formulate de persoana vizată, încălcând în acest sens art. 12 alin. (3) din Regulamentul General privind Protecția Datelor.
Pe lângă sancțiunea pecuniară, în valoare de 1.000 de euro, operatorului economic i s-a aplicat și măsura corectivă de a depune toate diligențele și de a lua toate măsurile necesare astfel încât să se respecte efectiv drepturile persoanei vizate prevăzute de Regulamentul General privind Protecția Datelor.
În concluzie, adaptăm un proverb românesc la speța noastră: ,,Din greșeli, operatorul învață’’ – drepturile persoanei vizate prevăzute de Regulamentul General privind Protecția Datelor trebuie garantate efectiv de către Operatorul de date. În acest sens, termenul de răspuns de o lună la orice solicitare a persoanei vizate are caracter imperativ.
77. ASOCIAȚIA DE PROPRIETARI din Str. Soporului 17, municipiul Cluj-Napoca – aprilie 2022 – 500 euro
Se pare că nu doar în credința populară, luna Aprilie este ,,Prier’’ – denumire care vine de la timpul prielnic de lucrat, ci și în practica Autorității Naționale de Supraveghere. În acest sens, când există o plângere din partea persoanei vizate cu privire la încălcarea drepturilor sale garantate de Regulamentul General privind Protecția Datelor, este prin excelență timpul ,,prielnic’’ de a demara o investigație cu privire la pretinsa încălcare.
În speță, în vederea desfășurării investigației, Autoritatea Națională de Supraveghere a solicitat informații de la Operatorul de date, ASOCIAȚIA DE PROPRIETARI din Str. Soporului 17, municipiul Cluj-Napoca, acuzat de către persoana vizată că a dezvăluit pe grupul de Facebook al blocului în care domiciliază acesta, imagini cu persoana sa din sistemul de supraveghere video gestionat de Operatorul de date.
Deși a confirmat primirea solicitărilor, Operatorul de date, nu a dat curs acestora, lăsându-le fără răspuns. Drept urmare, fapta Asociației, a constituit situația ,,prielnică’’ acordării unei amenzi în valoare de 500 euro pentru inacțiunea sa. Chiar dacă a fost dispusă o sancțiune, obligația de a furniza Autorității Naționale de Supraveghere informațiile solicitate, rămâne valabilă, Asociația fiind obligată să o îndeplinească în termen de 5 zile de la comunicarea procesului-verbal de sancționare.
Având în vedere cele expuse, putem concluziona că în situația Operatorului se respectă o altă credință populară cu privire la luna Aprilie: aceea de a fi luna păcălelilor. Din păcate, și păcăliciul și cel păcălit este Asociația.
76. Kaufland România S.C.S. – martie 2022 – 2.000 euro
A furniza sau a nu furniza… – Pentru Kaufland România S.C.S. nu este o întrebare, ci o certitudine, fiind în același timp un drept și o obligație.
Astfel, pe de-o parte, în calitatea de comerciant, unul dintre cei mai puternici pe piața românească, Kaufland România S.C.S. are dreptul de a furniza diferite produse alimentare și diferite bunuri de larg consum prin intermediul hipermarketurilor sale. Pe de altă parte, în calitate de Operator de date, are obligația de a furniza informații persoanei vizate conform Regulamentului General privind Protecția Datelor.
În urma investigației demarate de Autoritatea Națională de Supraveghere, s-a constatat că Operatorul de date Kaufland România S.C.S., nu și-a executat obligația de a furniza persoanei vizate o copie a tuturor înregistrărilor din sistemul de supraveghere video ce o privesc. În acest sens, s-a încălcat art. 15 alin. (3) din Regulamentul General privind Protecția Datelor.
Deși persoana vizată și-a exercitat un drept garantat de Regulamentul General privind Protecția Datelor, respectiv dreptul de acces la datele cu caracter personal care o privesc, Operatorul de date Kaufland România S.C.S. nu i-a respectat acest drept. Mai exact, nu i-a transmis, așa cum a solicitat, o copie integrală a înregistrărilor video ce o privesc, realizate în incinta unuia dintre magazinele Operatorului, chiar dacă acestea erau disponibile la momentul solicitării.
Drept urmare, pe lângă sancțiunea pecuniară, Operatorului de date Kaufland România S.C.S. i s-a aplicat și măsura coercitivă de a da curs solicitării persoanei vizate, așa cum a fost formulată, respectiv de a i se comunica imaginile solicitate, în măsura în care mai sunt disponibile la acest momement, bineînțeles cu blurarea imaginilor care duc la identificarea altor persoane.
În concluzie, din perspectiva Regulamentului General privind Protecția Datelor, a furniza sau a nu furniza, nu este o întrebare, este o certitudine, respectiv o obligație – de a furniza informațiile solicitate de către persoana vizată conform art. 15 din Regulament, ca urmarea a exercitării de către aceasta a dreptului de acces la datele cu caracter personal ce o privesc.
Gestionarea cererilor persoanelor vizate poate fi o provocare pentru operatori. Am detaliat acest subiect în articolul GDPR – drepturile persoanei vizate. Când răspundem și când nu?
75. Condor S.A. – martie 2022 – 2.000 euro
Conform Regulamentului General privind Protecția Datelor, a-ți știi măsura, înseamnă în fapt a lua măsuri tehnice și organizatorice adecvate în vederea asigurării confidențialității datelor cu caracter personal prelucrate.
În acest sens, sancțiunea aplicată de către Autoritatea Națională de Supraveghere Operatorului de date Condor S.A. reprezintă, în fapt, încă un argument privind importanța securității datelor cu caracter personal, respectiv securitatea prelucrării prevăzută la art. 32 din Regulament General privind Protecția Datelor.
Ca urmare a unei sesizări formulate de către o persoană vizată, s-a demarat o investigației privind activitatea de prelucrarea a datelor cu caracter personal a Operatorului de date Condor S.A. În acest sens, Autoritatea Națională de Supraveghere a constatat că a avut loc un acces neautorizat la unele documente neparolate care conțineau o serie de date cu caracter personal ale angajaților ori foștilor angajați, cum ar fi: locul de muncă, numele, prenumele, funcția, salariul de încadrare, suma pentru avans, contul bancar, codurile numerice personale.
Ceea ce a atras răspunderea Operatorului de date Condor S.A., din punct de vederea al Regulamentului General privind Protecția Datelor, a fost:
- lipsa adoptării de măsuri tehnice și organizatorice adecvate și suficiente în vederea asigurării confidențialității datelor personale prelucrate ale angajaților ori foștilor angajați ai Condor S.A., și
- lipsa instruirii persoanelor care prelucrează date cu caracter personal sub autoritatea Operatorului de date.
În acest sens, Operatorul de date a încălcat dispozițiile art. 32 alin. (1), (2) și (4) din Regulamentul General privind Protecția Datelor.
Pe lângă sancțiunea pecuniară primită, față de Condor S.A. s-au luat și măsurile coercitive aferente, respectiv: implementarea unor măsuri tehnice și organizatorice adecvate, inclusiv sub aspectul instruirii persoanelor care prelucrează date cu caracter personal sub autoritatea sa, și contactarea persoanei care a avut acces neautorizat la datele respective cu caracter personal, în vederea ștergerii sau distrugerii, după caz, a acestora.
În concluzie, a-ți știi măsura, respectiv a-ți asuma calitatea de Operator de date, te obligă prin excelență la respectarea tuturor normelor Regulamentului General privind Protecția Datelor, inclusiv luarea măsurilor tehnice și organizatorice adecvate în vederea asigurării confidențialității datelor cu caracter personal prelucrate.
Vă reamintim care sunt cele mai bune practici în materie de securitate cibernetică, recomandate de ENISA, CERT-EU & GDPR Complet.
74. Amendă Briza Land S.R.L. – februarie 2022 – 2000 euro
Oferirea unui răspuns incomplet la cererea persoanei vizate este sancționată de către ANSPDCP. Astfel, ce putem vedea este un caz clasic în care o persoană vizată solicită în baza drepturilor avute, informații despre datele care o privesc, informații cu privire la datele prelucrate, la scopul prelucrării, la posibile transferuri de date ori divulgări. Ca urmare a primului răspuns, persoana a fost nemulțumită de răspunsul oferit de operator, considerând că îi lipsesc informații esențiale precum cele referitoare la datele prelucrate, sursa acestora și destinatarii datelor.
În acest sens, ANSPDCP a aplicat operatorului Briza Land S.R.L. o sancțiune de 9892,6 lei (2000 de euro) și măsura corectivă de a comunica (în termen de 5 zile de la primirea procesului verbal de sancțune) informațiile solicitate persoanei vizate.
73. IAMSAT Muntenia SA – februarie 2022 – 3.000 euro
Existența unui drept conform legii înseamnă exercitarea acestuia … tot conform legii
Orice persoană are dreptul la siguranța obiectivelor, bunurilor și valorilor proprii împotriva oricăror acțiuni ilicite care îi lezează dreptul de proprietate, prin asigurarea pazei și securității acestora. Acest drept este garantat de Legea nr. 333 din 8.07.2003 privind paza obiectivelor, bunurilor, valorilor și protecția persoanelor, și de alte dispoziții relevante în materie. Așa cum este reglementat, dreptul nu este unul absolut, ci suportă limitări, mai ales când vine vorba de supravegherea video la locul de muncă a angajaților – o chestiune sensibilă, des întâlnită în practică.
IAMSAT Muntenia SA, deși și-a exercitat un drept prevăzut de lege, modalitatea de exercitare nu a fost conform acesteia. Mai exact, Societatea a instalat mijloace de supraveghere video la locul de muncă, fără a informa în acest sens, în mod complet și în prealabil salariații. Drept urmare, Autoritatea Națională de Supraveghere a sancționat Societatea, în calitate de Operator de date, pentru încălcarea art. 12 și 13 din Regulamentul General privind Protecția Datelor, cu amenda în valoare de 2.000 de euro și a impus în sarcina Societății, ca măsură corectivă, obligația de a asigura o informare completă a persoanelor vizate, în special a angajaților, cu privire la utilizarea sistemului de supraveghere video.
Putem, deci, trage o primă concluzie: din perspectiva Autorității de Supraveghere nu doar ,,informația costă bani’’, ci și lipsa transmiterii acesteia costă, în speță 2.000 de euro.
Pe de altă parte, persoana vizată și-a exercitat dreptul de opoziție garantat de Regulamentul General privind Protecția Datelor, conform prevederilor acestuia. Astfel, a transmis Societății, o cerere prin care a adus la cunoștința acesteia că: nu își dă consimțământul pentru utilizarea adresei sale de e-mail și se opune prelucrării datelor sale personale de către Societate și/sau de terți prin intermediul acesteia, după încetarea contractului de muncă.
Cererea a rămas fără răspuns. Drept urmare, Autoritatea Națională de Supraveghere a mai sancționat cu încă o amendă Societatea, în cuantum de 1.000 de euro pentru încălcarea dispozițiilor art. 12 alin. (3), raportate la art. 21 din Regulament, respectiv neexecutarea obligației de a răspunde în termenul legal la cererea persoanei vizate. În acest sens, pe lângă amendă, Autoritatea a impus în sarcina Societății și măsura corectivă de a transmite un răspuns persoanei vizate la cererea sa, care să cuprindă măsurile adoptate în urma exercitării dreptului de opoziție.
Așadar pentru toți cei care prelucrăm date cu caracter personal, se impune să completăm zicala: ,,E bine să fi informat’’, și din perspectiva RGPD: ,,E bine să fi informat, dar nu uita și să informezi! Te poate scuti de amenzi și măsuri corective.’’
Gestionarea cererilor persoanelor vizate poate fi o provocare pentru operatori. Am detaliat acest subiect în articolul GDPR – drepturile persoanei vizate. Când răspundem și când nu?
72. Societatea Civilă Profesională de Avocați „Sabou, Burz & Cuc” – februarie 2022 – 1.000 euro
Comunicarea pe WhatsApp: eficiența scade calitatea
Iată un alt exemplu în care eficientizarea comunicării determinată de tehnologie, nu crește, ci scade calitatea și securitatea informațiilor comunicate.
Nu e condamnabil să vrei să împărtășești din experiența ta, ci este condamnabilă neglijența de a proteja datele cu caracter personal ale clientului tău, să nu mai amintim despre încălcarea secretului profesional. În acest sens a fost poziționarea Autorității Naționale de Supraveghere, când a sancționat contravențional Societatea Civilă Profesională de Avocați „Sabou, Burz & Cuc”, cu amendă în suma de 1.000 euro.
Unul dintre apărătorii timișoreni din cadrul societății de avocatură a distribuit pe un grup de WhatsApp folosit de avocați ai baroului Timiș un document trimis de o instituție publică pe numele clientului societății (persoana vizată, în speță). Documentul a fost distribuit fără o neutralizare a datele cu caracter personal ale clientului, în prealabil. Astfel, cei 278 de membrii – avocați, aflați pe grupul de WhatsApp au aflat pe lângă alte informații sensibile (și probabil relevante pentru activitatea juridică) și următoarele: numele, prenumele, adresa de domiciliu a persoanei vizate și informații referitoare la un dosar aflat pe rolul instanței în care persoana vizată este implicat.
Se pare că nu doar acumularea experienței propriu-zise costă, ci și împărtășirea acesteia, dacă se face cu încălcarea art. 5 alin. (1) lit. a), b), c), f), alin (2), și a art. 6 din Regulamentul General privind Protecția Datelor, respectiv fără a exista un temei legal pentru transferul datelor cu caracter personal, în mod excesiv și incompatibil cu scopul inițial al colectării lor, precum și fără adoptarea unor măsuri tehnice și organizatorice pentru păstrarea confidențialității acestor date – așa cum a hotărât Autoritatea Națională de Supraveghere.
Amenda a fost însoțită și de măsuri corective impuse societății de avocatură în calitatea de operator de date, respectiv: notificarea tuturor membrilor grupului de WhatsApp în vederea ștergerii documentului distribuit și conformarea cu Regulamentul a operațiunilor de colectare și prelucrare ulterioară a datelor personale în cadrul raporturilor juridice de asistare și reprezentare a clienților societății de avocatură. În acest sens, observăm că Autoritatea Națională de Supraveghere insistă și în această speță pe importanța instruirii regulate a persoanelor ce prelucrează date sub autoritatea operatorului.
…dar cum spune un proverb român ,,Tot răul spre bine’’ … în cazul în care societatea de avocatură nu are ca arie de practică protecția datelor, experiența aceasta (chiar dacă nedorită) poate constitui un bun prilej de a începe o extindere în acest sens.
Majoritatea companiilor și instituțiilor publice folosesc astăzi WhatsApp-ul în desfășurarea activităților profesionale, însă acesta ridică probleme cu privire la protecția datelor cu caracter personal. Citește mai mult despre WhatsApp-ul în relațiile de muncă din perspectiva GDPR.
71. S.C. Grupex 2000 S.R.L. – ianuarie 2022 – 1000 euro
Nerespectarea vieții private persoanelor instituționalizate în sistemul de protecție a copilului poate costa! Operatorul S.C. Grupex 2000 S.R.L. a fost sancționată cu 4.943,60 lei pentru postarea unui material video pe websiteul deținut în care apăreau imagini (un material filmat) ale unor bolnavi instituționalizați în sistemul Direcției Județene de Asistență Socială și Protecție a Copilului.
În acest sens, vedem cum o persoană juridică (Direcția) depune plângere în numele persoanelor reprezentate (persoane fizice) pentru a atrage măsuri și a corecta comportamentul neconform.
Este bine să fim atenți la astfel de situații pentru a nu expune aspecte din viața privată a unor persoane care poate nu își pot exercita singure anumite drepturi și sunt astfel mai vulnerabile în fața abuzurilor operatorilor!
70. Kaufland România SCS – decembrie 2021 – 3000 euro
Utilizarea camerelor de supraveghere video reprezintă unul din cele mai problematice și contestate aspecte din România, întrucât este deseori foarte deranjantă pentru persoanele vizate.
Autoritatea Națională de Supraveghere a finalizat în luna decembrie 2021 o investigație la operatorul Kaufland România SCS și a constatat încălcarea dispozițiilor art. 15 alin. (3) din Regulamentul General privind Protecția Datelor, referitor la dreptul de acces.
O persoană vizată ar trebui să aibă drept de acces la datele cu caracter personal colectate care o privesc și ar trebui să își exercite acest drept cu ușurință, să poată să își primească datele să poată să facă verificări asupra acestora ș.a.
Investigația a fost demarată ca urmare a unei plângeri formulate de o persoană vizată care a reclamat faptul că operatorul nu a furnizat o copie integrală a înregistrărilor video pentru un anumit interval orar în care aceasta a fost în incinta comercială respectivă.
În cadrul investigației efectuate, s-a reținut că reprezintă o obligație a operatorului de comunicare a unei înregistrări video ce conține imagini care privesc persoana vizată, ca urmare a exercitării dreptului de acces de către acesta, iar comunicarea imaginilor se poate efectua de operator prin luarea măsurilor de obturare (”blurare”) a acelor imagini care ar putea să aducă atingere drepturilor și libertăților altor persoane fizice, dacă este cazul. Prin urmare, operatorul era obligat să adopte o serie de măsuri tehnice și organizatorice, pentru a permite deplina exercitare a dreptului de acces al persoanei vizate, cu respectarea, în același timp, a drepturilor altor persoane fizice.
Ca atare, Autoritatea Națională de Supraveghere a constatat că operatorul nu a comunicat complet respectivele înregistrări video solicitate, ceea ce constituie o încălcare a art. 15 alin. (3) din Regulamentul General privind Protecția Datelor. Ca atare, operatorul a fost sancționat contravențional cu amendă în cuantum de 14846,4 lei (echivalentul a 3000 EURO).
69. SC Nobiotic Pharma SRL – decembrie 2021 – 2.000 euro
Iar ai primit un mesaj commercial nesolicitat de tip SMS, fără ați fi dat consimțământul în acest sens? La fel a pățit și persoana fizică din speță, care s-a prevalat de drepturile sale conform Regulamentului General privind Protecția Datelor și a făcut plângere în acest sens la A.N.S.P.D.C.P.
Drept consecință, dat fiind faptul că operatorul SC Nobiotic Pharma SRL nu a dat curs solicitării de informații adresate de A.N.S.P.D.C.P., a fost sancționat contravențional cu amenda în valoare de 2.000 euro pentru neîndeplinirea obligației de furnizare a informațiilor solicitate și necesare A.N.S.P.D.C.P., conform art. 58 alin. (1) din Regulamentul General privind Protecția Datelor.
68. Telekom Romania Communications S.A. – decembrie 2021 – 6.000 euro
Vorba din popor spune că ,,A greși e omenește’’, însă A.N.S.P.D.C.P. spune că greșeala sau eroarea unui operator în ceea ce privește punerea în executare și respectarea prevederilor Regulamentului General privind Protecția Datelor constituie contravenție și se sancționează ca atare.
Mai exact, A.N.S.P.D.C.P. a constatat și a dispus față de operatorul Telekom Romania Communications S.A., următoarele:
- încălcarea 5 alin. (1) lit. d) și f) și alin. (2) din RGPD prin aceea că a colectat și a prelucrat în mod eronat anumite date cu caracter personal inexate și drept consecință a dezvăluit ilegal date personale ale unei persoane fizice către o altă persoană fizică – faptă pe care a sancționat-o contravențional cu amendă în suma de 5.000 euro.
- încălcarea 17 din RGPD prin aceea că nu a adoptat măsurile necesare pentru a da curs cererii de ștergere formulate – faptă pe care a sancționat-o contravențional cu amendă în suma de 1.000 euro.
În mod surprinzător A.N.S.P.D.C.P. face trimitere la considerentul 65 din RGPD conform căruia a reținut că ,,O persoană vizată ar trebui să aibă dreptul la rectificarea datelor cu caracter personal care o privesc şi „dreptul de a fi uitată”, în cazul în care păstrarea acestor date încalcă prezentul regulament sau dreptul Uniunii sau dreptul intern sub incidenţa căruia intră operatorul. (…)’’
Cu privire la prima faptă, eroarea operatorului nu este scuzabilă, fiind determinată de lipsa metodelor eficiente de asigurare a exactității datelor și lipsa unor măsuri adecvate și eficiente de securitate, atât din punct de vedere tehnic (cum ar fi: colectare automatizată a unor date, securizarea transmiterii documentelor și mesajelor prin criptare/parolare), cât și din punct de vedere organizatoric, prin instruirea regulată a persoanelor ce prelucrează date sub autoritatea operatorului.
Cu privire la cea de-a 2-a faptă, aceasta este o consecință a lipsei unor măsuri tehnice și organizatorice adecvate care să garanteze implementarea efectivă și corectă a acestor operațiuni în baza/bazele de date folosite de operator și persoanele împuternicite de acesta, precum și instruirea corespunzătoare a persoanelor care prelucrează date sub autoritatea acestora.
Toate aceste neconformități au fost sancșionate prin dispunerea de către A.N.S.P.D.C.P. a măsurilor corective aferente.
Morala: A greși e omenește, dar a încălca RGPD este contravenție.
67. Societatea Civilă Medicală Policlinica Tommed – decembrie 2021 – 2.000 euro
Fie că a fost vorba de analize de rutină, fie că am avut nevoie de intervenții medicale mai complicate, majoritatea dintre noi, încă de la cea mai fragedă vârstă, am fost cel puțin o dată în viață pacienți. Pe lângă procedura medicală propriu-zisă de care am beneficiat, ne-am confruntat și cu cea administrativă aferentă acesteia.
Ai fost, ești sau vei fi pacient? Știi cum îți sunt prelucrate datele cu caracter personal, în special cele privitoare la sănătatea ta? Cunoști care îți sunt drepturile garantate de Regulamentul General privind Protecția Datelor?
Pacientul din speță avea cunoștiință despre principiile și condițiile prelucrării datelor cu caracter personal. Drept consecință și-a exercitat dreptul conform RGPD sesizând A.N.S.P.D.C.P. cu o plângere împotriva operatorului – Societatea Civilă Medicală Policlinica Tommed pentru dezvăluirea fără drept de către acesta a anumitor date personale (inclusiv de sănătate) ale pacientului său către un alt operator.
În acest sens, în urma investigației efectuate în luna noiembrie 2021, A.N.S.P.D.C.P. a constata încălcarea prevederilor art. 5 alin. (1) lit. a), b) și f) și alin. (2), coroborate cu art. 9 din RGPD, operatorul fiind sancționat contravențional cu amendă în valoare de 2.000 euro. În fapt, s-a reținut că operatorul a dezvăluit respectivele date cu caracter personal fără respectarea principiilor și a condițiilor de prelucrare a datelor personale (inclusiv a celor de sănătate) și fără informarea prealabilă a persoanei implicate.
Mai mult, operatorului i s-a aplicat și măsura corectivă de a asigura conformitatea cu RGPD a operațiunilor de colectare și prelucrare ulterioară a datelor personale – inclusiv, dar fără a se limita la instruirea regulată a persoanelor care prelucrează date sub autoritatea operatorului și implicarea corespunzătoare a responsabilului cu protecția datelor (art. 37-39 RGPD).
66. Valoris Center S.R.L. – noiembrie 2021 – 2000 euro
Persoanele împuternicite pot fi sancționate în mod independent de operator! Acest lucru l-am putut constata în mai multe rânduri, iar sancționarea Valoris Center S.R.L. este ca urmare a raportării operatorului a următorului incident: un angajat call center al Valoris Center S.R.L. (firma care are calitatea de persoană împuternicită față de operator), transmite din eroare un fișier excel conținând date a anumitor clienți ai operatorului (11169) către un client. În acest sens au fost divulgate în mod neautorizat date cu caracter personal precum: nume utilizator, CNP utilizator (ai platformei de Internet Banking), email, număr de telefon, numele și prenumele clientului PINul și codul acestuia.
În acest sens, deși numărul de persoane vizate este mare, probabil pentru că au existat măsuri specifice care s-au luat pentru remedierea situației s-a aplicat o amendă de 2000 euro.
65. Vodafone România S.A. – noiembrie 2021 – 1500 euro + 7000 lei
Vodafone România S.A. este sancționat din nou ca urmare a transmiterii de către acesta a unor notificări privind încălcări de securitate.
Din comunicatul ANSPDCP ce putem constata este că problema de data aceasta a venit ca urmare a accesării de date a angajaților sau a persoanelor împuternicite de Vodafone (în mod specific la contracte) dar și a transmiterii de emailuri la adrese greșite, fiind vorba de 64 de persoane vizate afectate.
Astfel operatorul se pare că nu a luat măsuri tehnice și organizatorice pentru a proteja datele ca doar persoane AUTORIZATE să aibă acces la date și DOAR în scopuri specifice reglementate de normele legale.
Amenzi aplicate: 1500 euro în baza RGPD și 7000 lei în baza Legii nr. 506/2004.
64. S.P.E.E.H. Hidroelectrica S.A. – octombrie 2021 – 5000 euro
Operatorul S.P.E.E.H. Hidroelectrica S.A. a notificat o încălcare a securității datelor în sensul accesării ori divulgării în mod nejustificat, către destinatari eronați a datelor a 325 de persoane. Din nefericire nu avem foarte multe detalii despre acest incident: este vorba de date de facturare, spre exemplu? De date de contact? În ce context au fost divulgate datele? Cu toate acestea ANSPDCP ne comunică că operatorul nu a luat măsurile tehnice și organizatorice adecvate pentru asigurarea unui nivel de securitate corespunzător riscului existent.
Totodată operatorul a fost sancționat cu avertisment deoarece a prelucrat datele a 3 clienți proprii, după ce aceștia și-au exercitat dreptul de a fi uitat (adică și-au retras consimțământul). Posibil să fie vorba de activități de marketing care astfel vedem că au fost sancționate cu avertisment.
63. IKEA ROMÂNIA S.A. – octombrie 2021 – 1000 euro
Vulnerabilitățile platformelor online ne dau bătăi de cap de multe ori. Acesta este și cazul Ikea România care în urma unui incident de securitate este sancționată de către ANSPDCP. Despre ce este vorba? Despre divulgarea neautorizată a unor date precum nume, prenume, vârsta unor minori, email, numere de membru Ikea Family, semnătura ologafă a părintelui / tutorelui legal ș.a. timp de 40 de ore prin platforma Ikea Family. Acest incident a afectat 114 persoane fizice din care jumătate erau minori (ne informează Autoritatea)!
Toată situația a fost posibilă datorită unor formulare de colectare de date pentru participare la un concurs în care se vota cel mai bun desen. Din eroare însă, datele cuprinse în formularele de participare au fost divulgate către alte persoane în mod nejustificat.
62. Glove Technology SRL – octombrie 2021 – 5000 euro
Utilizarea camerelor de supraveghere video reprezintă unul din cele mai problematice și contestate aspecte din România. Acest lucru este cu atât mai deranjant pentru persoanele vizate cu cât există cazuri în care se fac fără nici o informare înregistrări audio-video prin diverse sisteme.
Cel mai recent caz în reprezintă cel al operatorului Glove Technology SRL care a instalat camere de supraveghere audio-video în birourile angajaților (deci la locul de muncă), fără a își duce la îndeplinire obligațiile de legalitate, echitabilitate și transparență (adică nu avea temei legal – nu exista consimțământ, nu a avut un test de proporționalitate și nici nu a făcut informarea persoanelor vizate). Totodată, firma a montat aceste camere audio-video pentru a folosi informațiile colectate la o dată ulterioară, împotriva angajaților.
Astfel ANSPDCP, pe lângă aplicarea unei amenzi de 5000 de euro a pus în vedere operatorului să înceteze orice operațiune de monitorizare prin acest sistem, să șteargă orice evidențe ale înregistrărilor prin sistemul dat cât și să asigure conformitatea sa.
61. Actamedica S.R.L. – 3000 euro – august 2021
Neglijența față de datele cu caracter personal ale unei persoane vizate poate costa 3000 de euro.
Ce s-a întâmplat? Operatorul Actamedica S.R.L. din Târgu Mureș, trimite niște probe biologice printr-un furnizor de servicii de curierat și o sumă de bani către un destinatar. Coletul însă nu ajunge fără a fi deteriorat, destinatarul reclamând acest lucru operatorului. La momentul la care ia cunoștință despre aceasta, operatorul informează persoana vizată cu privire la incident care îi solicită lămuriri despre măsurile luate și dacă a fost notificată ANSPDCP. La aceste întrebări, operatorul Actamedica S.R.L. redirecționează persoana fizică spre avocatul societății și spre firma de curierat spre a își exprima doleanțele. Pe scurt, consideră că nu este vina acestuia.
Din câte ne putem da seama din comunicat, persoana vizată reclamă acest lucru Autorității care în urma investigației aplică o amendă de:
- 2000 de euro pentru încălcarea prevederilor cu privire la selectarea persoanei împuternicite și a măsurilor de protecție și securitate a datelor garantate de aceasta
- 1000 de euro pentru lipsa notificării incidentului și
- Avertisment pentru lipsa de răspuns în conformitate cu obligația R.G.P.D., către persoana vizată.
Ce putem înțelege de aici? Că trebuie să fim foarte atenți ce furnizor de servicii ne alegem atunci când există date cu caracter personal prelucrate prin intermediul acestuia dar și cel mai important, că relația cu persoana vizată trebuie tratată cu cea mai mare atenție!
60. Asociația Asistenței Rutiere A-Car Vaslui – 10.000 lei – August 2021
Prelucrarea datelor minorilor dar mai ales divulgarea acestora în mediul online trebuie să fie făcută de fiecare dată cu mare atenție! Aceasta este lecția pe care o putem învăța din amenda aplicată de ANSPDCP Asociației Asistenței Rutiere A-Car Vaslui. Operatorul, a postat pe website-ul acestuia www.a-carvaslui.ro date cu caracter personal ale unor minori fără a avea temei legal. Acest lucru a fost sesizat Autorității care a emis Planul de Remediere și obligația de a furniza mai multe informații. Cu toate acestea operatorul nu a dat răspuns solicitărilor.
59. La Santrade S.R.L. – 2000 euro – iunie 2021
ANSPDCP a finalizat în luna iunie o investigație prin care sancționează din nou lipsa de răspuns a operatorilor de date.
De această dată este vorba de La Santrade S.R.L. care, în urma unei plângeri depuse de o persoană vizată cu privire la exercitarea dreptului de acces și de ștergere a datelor sale personale, a solicitat informații printr-o adresă oficială.
Cu toate acestea operatorul nu a dat curs acestei adrese iar pentru acest motiv Autoritatea a aplicat o sanțiune de 9839,4 lei (2000 euro). Totodată i s-a pus în vedere următoarele:
- Să comunice persoanei vizate măsurile adoptate referitoare la ștergerea datelor cu caracter personal;
- Să pună la dispoziție date de contact valabile, în concret, o adresă de email funcțională, pe website-ul său în politica de confidențialitate – la date de contact.
58. S.C. Dreamtime Call S.R.L. – 2000 euro – mai 2021
Lipsa răspunsului te poate costa! Cât? 2000 euro în cazul unora, așa cum este situația pentru S.C. Dreamtime Call S.R.L.
Ce s-a întâmplat? O persoană vizată a depus plângere împotriva operatorului pentru că acesta a prelucrat datele sale fără un temei legal (numărul de telefon), contactând persoana de mai multe ori fără vreun acord prealabil.
Pentru clarificarea situației ANSPDCP s-a adresat operatorului care însă nu a dat nici un răspuns solicitării. Pentru acest lucru, a fost aplicată o sancțiune de 9852 lei și i s-a impus obligația să transmită toate informațiile solicitate în termen de 5 zile.
În cazul în care operatorul nu va face acest lucru, este posibil să urmeze încă o amendă.
57. Vodafone România S.A. – mai 2021 – 5000 RON
Ca urmare a unei notificări a încălcării de securitate Vodafone a fost sancționată cu 5000 RON. Despre ce este însă vorba? Din mențiunile găsite în comunicatul de presă, se pare că facturile unor persoane vizate au fost transmise unor terțe persoane, lucru care a condus în mod inevitabil la un acces neautorizat la date precum nume, prenume, nr. de telefon, cod client și adresa.
Și de data aceasta Autoritatea subliniază necesitatea instruirii persoanelor din cadrul operatorului.
56. Asociație de Proprietari Iași – mai 2021 – 500 euro
Deși există niște îndrumări date de Autoritate către operatorii – asociații de proprietari, amenzile pentru acestea nu s-au împuținat. Astfel putem vedea cum o asociație din Iași a fost sancționată cu 500 de euro ca urmare a faptului că asociația a afișat o listă de plată care conținea numele, prenumele fiecărui membru, la avizier. Persoana vizată a menționat și afișarea unui înscris defăimător în care erau menționate datele acestuia.
Totuși vedem că sancțiunea a fost aplicată pentru că reprezentanții asociației nu au dat curs solicitărilor ANSDPCP.
55. Banca Comercială Română S.A. – aprilie 2021 – 2000 euro
Un lucru care ne atrage din nou atenția este lipsa informării persoanei vizate și lipsa obținerii consimțământului chiar și în procedurile de executare silită. Acesta este cazul unei persoane care a reclamat BCR pentru că a folosit datele sale în alte scopuri decât cele autorizate de acesta. Astfel, după cum am menționat datele au fost folosite în cadrul unei proceduri de executare silită pentru debite rezultate dintr-un contract. Ba mai mult se pare că persoanei vizate i s-a atribuit în mod eronat calitatea de garant prin extragerea unor date neactualizate iar despre contractul de credit persoana vizată nu avea nici o idee.
Una peste alta, ANSPDCP finalizând investigația a aplicat o sancțiune de 2000 euro și a impus luarea de măsuri pentru respectarea exactității datelor dar și necesitatea instruirii personalului.
54. Persoana Fizică – 200 euro – aprilie 2021
Este destul de cunoscut faptul că dezvoltarea websiteurilor a fost ușurată foarte mult în ultimii ani, astfel că mai oricine cu puține cunoștințe tehnice poate să își construiască propriul website sau un website pentru proiectele pe care le dorește.
În cazul de față, deși probabil lucrurile au plecat de la o inițiativă foarte bună și care a căutat să vină în sprijinul populației în perioada pandemiei, în cele din urmă persoana fizică care a dezvoltat website-ul https://declaratieppr.ro a fost sancționat cu 200 euro pentru nerespectarea R.G.P.D.
De ce?
Ei bine, se pare că prin completarea formularului care genera declarația pe proprie răspundere necesară părăsirii domiciliului sau locuinței persoanei, se prelucrau mai multe date după cum ne putem aminti. Între aceste date se numără: nume, prenume, prenume părinți, domiciliu, cod numeric personal, seria și numărul actului de identitate, adresa locuinței în fapt, locul deplasării, scopul deplasării și semnătura.
Ei bine, mai multe persoane s-au declarat nemulțumite de acest lucru și au adus la cunoștința ANSPDCP faptul dat, Autoritatea fiind nevoită să demareze o investigație. Din aceasta, operatorul persoană fizică nu a putut demonstra că are un temei legal pentru colectarea și prelucrarea acelor date, totodată nu a reușit să facă informarea persoanelor vizate (probabil prin politica de prelucrare a datelor necesară pe website) cu privire la prelucrări și nici nu a luat măsuri pentru securizarea datelor și diminuarea riscurilor în ceea ce privește distrugerea, pierderea sau divulgarea acelor date.
Astfel vedem cea de a doua amendă aplicată unei persoane fizice în România!
53. Telekom Romania Communications S.A. – aprilie 2021 – 2000 euro
Nu este prima amendă primită de Telekom pentru încălcarea normelor privitoare la protecția datelor cu caracter personal însă este cu siguranță o amendă mare raportată la numărul de persoane vizate afectate, natura faptelor și a incidentului.
Astfel, ce s-a întâmplat? O persoană vizată, fost client al Telekom, odată cu încetarea relației contractuale a menționat că ÎȘI RETRAGE CONSIMȚĂMÂNTUL și nu mai dorește să primească informări cu privire la serviciile operatorului.
Cu toate acestea, Telekom a contactat persoana vizată, care și-a exercitat dreptul de opoziție și a solicitat ștergerea numărului său de telefon și adresa de email din baza de date a Telekom. În mod accidental (se menționează că ar fi fost vorba de o eroare umană), din nou Telekom contactează persoana vizată în scop de marketing. Persoana vizată a făcut din nou o solicitare de a nu mai fi contactat și de a i se șterge datele din baza de date Telekom.
În cele din urmă compania a comunicat persoanei vizate că adresa de email și numărul de telefon i-au fost șterse din baza de date și că a fost contactat de către un angajat al companiei în mod accidental (din eroare umană).
În drept Autoriatea a constatat că Telekom a prelucrat date în scop de marketing deși nu avea un temei legal în acest sens, încălcând prevederile art. 6, fapt pt care a fost sancționata cu avertisment.
Cu toate acestea, pentru că operatorul a contactat telefonic o persoană care și-a exercitat dreptul de opoziție față de astfel de prelucrări, Telekom a fost sancționată cu 2000 euro, încălcând prevederile art. 21 din Regulament.
52. World Class România S.A. – 2000 euro – aprilie 2021
În luna aprilie a acestui an ANSPDCP a finalizat una din cele mai interesante (pentru noi) investigații: operatorul World Class România S.A. a postat pe grupul de Whatsapp al angajaților săi o cerere de demisie a unui angajat (coleg), dezvăluind astfel în mod neautorizat tuturor membrilor grupului numele, prenumele, adresa, seria și numărul CI, CNPul și mai multe informații legate de încetarea raporturilor de muncă.
În acest context Autoritatea a considerat că operatorul NU a luat suficiente măsuri pentru a asigura confidențialitatea datelor persoanei în cauză și a aplicat și o măsură corectivă ca operatorul să asiure conformitatea cu RGPD-ul, a operațiunilor prin măsuri tehnice și organizatorice, subliniind necesitatea INSTRUIRII REGULATE A ANGAJAȚILOR (https://www.dataprotection.ro/?page=Comunicat_07_/_05_/_2021&lang=ro).
Astfel, de ce este această amendă mai aparte decât altele? Pentru că, spre deosebire de altele unde este de regulă vorba de o eroare de sistem, o breșă de securitate sau o altă problemă de natură tehnică, în acest caz vorbim despre o lipsă de instruire a personalului (constatată de ANSPDCP) care a dus la o dezvăluire de date neautorizată, atrăgând operatorului amenda de 2000 euro sau 9851 lei.
51. S.C. Tip Top Food Industry S.R.L. – 5000 euro – martie 2021
Poate cel mai deranjant aspect pentru persoanele vizate atunci când vine vorba de prelucrări este acela al înregistrărilor video prin sisteme de supraveghere CCTV. Astfel, nu de puține ori vedem nemulțumiri, scandaluri și plângeri adresate către ANSPDCP pe acest subiect. În cazul de față, operatorul amintit mai sus, ne spune Autoritatea, că a prelucrat în mod EXCESIV (adică nu era necesară instalarea a atât de multe camere de supraveghere video) date prin camerele instalate în VESTIARE și în zona de servire a mesei, motivând că acestea au scopul de a PROTEJA bunurile și produsele societății și să descurajeze furturile.
Ei bine, în acest context Autoritatea constată că în raport cu scopurile prelucrării – de pază și protecție, aceste prelucrări nu erau necesare, încălcându-se astfel principiul reducerii la minimum a datelor și menționând că prin măsuri mult mai puțin intruzive în viața privată a oamenilor se putea asigura la fel de bine scopul pazei și protecției bunurilor.
Pentru aceste motive, a fost aplicată o amendă de 5000 de euro = 25.362,50 lei.
Ce însă ne apare ca o situație aparte, este aceea a faptului că ANSPDCP ne menționează că operatorul Tip Top Food Industry nu a putut face dovada unui consimțământ liber exprimat și nici nu a putut face dovada vreunui alt temei legal pentru prelucrarea datelor. Cu toate acestea ne întrebăm, ar fi putut fi orice fel de consimțământ colectat de la angajați, un consimțământ liber exprimat în relația Angajator-Angajat ținând cont de „raporturile de putere”? Aceasta este o întrebare a cărui răspuns îl vom căuta în amenzile viitoare pe care le vom vedea de la Autoritate.
Toată această situație se pare că a fost generată de o sesizare a unei persoane vizate care s-a plâns de instalarea camerelor din birourile angajaților, în vestiare și în sala de mese iar Autoritatea a recomandat să fie reorientat unghiul de captare al imaginilor astfel încât acestea să NU monitorizeze activitatea angajaților în spațiile menționate – vestiare și sala de mese.
50. Lugera & Makler Broker S.R.L. – 1500 euro – martie 2021
O nouă investigație finalizată ne aduce la cunoștință o situație cu totul aparte: sancționarea unei persoane împuternicite operatorului (și nu a operatorului) pentru anumite prelucrări specifice efectuate.
Astfel putem vedea că o persoană vizată a depus o sesizare la ANSPDCP și totodată operatorul de date Raiffeisen Bank S.A. a depus o notificare de încălcare a securității datelor, din care a rezultat că persoana împuternicită Lugera & Makler Broker S.R.L. NU a predat Raiffeisen Bank documentele aferente activităților de prescoring efectuate de un angajat al persoanei împuternicite pe motiv că acestea au fost distruse.
Amenda? 1500 euro.
Care a fost neconformitatea în concret? Autoritatea constată că Lugera & Makler Broker S.R.L. (având calitatea de operator de date dar de persoană împuternicită față de Raiffeisen Bank) NU a luat măsuri pentru a se asigura că orice persoană fizică acționează sub coordonarea sa și care are acces la date cu caracter personal, nu le prelucrează decât la CEREREA acesteia și a implementat măsuri specifice pentru a asigura securitatea datelor.
Astfel în mod accidental sau ilegal au fost distruse datele fiind afectate de acest incident 1058 de persoane vizate, documentația originală fiind distrusă de agentul de vânzări, operator al Lugera & Makler Broker S.R.L.
49. Telekom – 10.000 euro + 15.000 lei – Februarie 2021
Unul din aspectele care costă cel mai mult operatorii este acela al divulgărilor de date în mod neautorizat, fie că este vorba de erori fie că vorbim de vulnerabilități ale sistemelor, platformelor sau softurilor pe care le folosim.
Acesta este cazul Telekom care în luna februarie 2021 a fost sancționată pentru că nu a luat măsuri tehnice și organizatorice adecvate pentru a garanta securitatea datelor cu caracter personal.
În concret, ce s-a întâmplat?
Un număr ridicat de adrese de facturare ale clienților (este vorba de 99.210 persoane vizate), au fost introduse eronat în baza de date, care a fost trimisă către un partener CONTRACTUAL, în baza unui contract de cesiune creanțe. Acest lucru a generat toată situația trimiterii de notificări clienților însă către adrese greșite.
Astfel clienții au primit acces / le-au fost divulgate în același timp următoarele date: client ID, cod client, nume și prenume, CNP, data nașterii, sex, număr telefon, e-mail, adresă (țară, oraș, stradă), valoarea debitelor asociate codului de client.
Pentru aceasta, ANSPDCP a sancționat operatorul cu 10.000 euro întemeindu-și sancțiunea pe prevederile R.G.P.D.
Totodată prin aceleași comunicări s-a oferit și acces neautorizat la datele de cont ale clienților (MyAccount), fiind vorba de 413 persoane vizate. Acestora li s-a divulgat: numele titularului de cont; data nașterii; numere de telefon utilizate; adresa de domiciliu; adresa e-mail; codul de abonat; serviciile contractate; extraopțiuni active pe cont; istoricul facturilor simple.
Pentru acest al doilea aspect, ANSPDCP a sancționat Telekom cu 15.000 lei în baza Legii 506/2004.
Printre măsurile corective propuse de Autoritate, se numără:
- Revizuirea și actualizarea procedurilor și
- Implementarea unui proces pentru testarea, evaluarea și aprecierea periodică a eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.
48. S.C. Medicover S.R.L. – 2.000 euro – Februarie 2021
Divulgarea neautorizată și oferirea de acces neautorizat la date, reprezintă una din cele mai des întâlnite probleme atunci când vorbim de protejarea datelor cu caracter personal.
Tot în luna februarie 2021 ANSPDCP a finalizat o nouă investigație din care am fost informați că operatorul S.C. Medicover S.R.L. nu a reușit să ia suficiente măsuri tehnice și organizatorice pentru a evita situația în care persoanele care lucrează sub autoritatea sa au acces la mai multe date decât cele strict necesare și că acestea nu sunt prelucrate decât la cererea operatorului.
În fapt, din ce înțelegem, mai multe date printre care se numără nume, prenume, CNP, serie și nr. CI, adresă CI, adresă de corespondență, telefon de contact, email, date privind starea de sănătate altor persoane fizice decât destinatarii, au fost trimise prin email și la o adresă poștală diferită decât cea a destinatarului vizat. Astfel, prin aceasta au fost dezvăluite datele unor persoane neautorizate.
Fiind vorba de trimiterea a mai multor notificări, în mod succesiv, cu privire la aceeași problematică, ANSPDCP a sancționat operatorul cu 2000 euro.
O măsură aparte recomandată de Autoritate a fost ca operatorul să își stabilească un mecanism (sau proceduri) prin care să fie verificată validitatea adresei de email la momentul colectării acesteia.
47. BNP Paribas Personal Finance SA Paris Sucursala București – 10.000 lei – Februarie 2021
Consimțământul persoanei vizate este unul din cele mai des întâlnite subiecte discutate în rândul persoanelor cu atribuții în domeniul protecției datelor. Acest lucru se întâmplă datorită naturii, felului de a fi colectat în conformitate cu GDPR-ul și a practicilor din România: foarte mulți operatori trimit comunicări în scop de marketing, așa-zisele „newsletters”, fără a avea consimțământul prealabil al persoanei vizate.
Acesta și este obiectul unei investivații finalizate în februarie 2021 asupra operatorului BNP Paribas Personal Finance SA, care a fost sancționată cu 10.000 lei pentru că nu a făcut dovada existenței consimțământului prealabil al persoanei vizate.
Ce s-a întâmplat? Plângerea a fost demarată de o persoană care a acuzat că primise pe telefon mesaje comerciale de tip SMS din partea operatorului. Cu toate că și-a exercitat în repetate rânduri dreptul de opoziție față de aceste prelucrări, în continuare le-a primit, motiv pentru care a reclamat aspectul către ANSPDCP.
Ca urmare a finalizării investigației, Autoritatea, a aplicat amenda motivând că a încălcat prevederile Dispozițiile art. 12 din Legea nr. 506/2004, modificată și completată, prevăd următoarele: (1)Este interzisă efectuarea de comunicări comerciale prin utilizarea unor sisteme automate de apelare care nu necesită intervenţia unui operator uman, prin fax ori prin poşta electronică sau prin orice altă metodă care foloseşte serviciile de comunicaţii electronice destinate publicului, cu excepţia cazului în care abonatul vizat şi-a exprimat în prealabil consimţământul expres pentru a primi asemenea comunicări.
46. Amendă Persoană Fizică – 500 euro – Februarie 2021
Prima amendă aplicată în România unei persoane fizice în calitate de operator de date, apare ca urmare a unei investigații finalizate în luna februarie 2021!
Vedem deseori abuzuri din partea persoanelor fizice în ceea ce privește postările pe rețele de socializare, fie că este vorba de publicarea de documente, liste, fotografii sau video-uri prin care se divulgă date cu caracter personal ale unor altor persoane vizate.
Ce s-a întâmplat?
O persoană vizată a reclamat faptul că pe o rețea de socializare, pe pagina personală a unei persoane fizice care deținea funcția de Secretar General în cadrul unei filiale de sector a unui partid politic, a fost PUBLICATĂ o listă cuprinzând 10 poziții de persoane semnatare / susținători pentru alegerea Consiliului General și a Primarului Municipiului București. În cadrul acestei postări au fost dezvăluite în acest sens: numele, prenumele, semnătura, cetățenia, data nașterii, adresa, seria și numărul actului de identitate și opțiunea politică a persoanelor semnatare.
Obiectul sancțiunii?
Ca urmare a desfășurării investigației, ANSPDCP a constatat că operatorul (persoana fizică) nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel corespunzător riscului prelucrării, astfel acest lucru a condus la divulgarea către publicul larg a datelor mai sus menționate a 10 persoane vizate.
În sensul prezentat mai sus, operatorul și-a încălcat obligația de a respecta principiul integrității și confidențialității datleor.
Totodată, operatorul nu a dat răspuns solicitărilor ANSPDCP, motiv pentru care a fost sancționat cu 2437,35 lei (echivalentul a 500 EURO).
În concluzie, atunci când dorim să postăm diverse informații pe rețelele de socializare, informații care ar putea include date cu caracter personal, să ne asigurăm că respectăm toate principiile impuse de R.G.P.D., în mod aparte principiul integrității și confidențialității datelor.
45. ING BANK N.V. AMSTERDAM – 1000 euro – Ianuarie 2021
O amendă aparte a fost aplicată la sfârșitul lunii ianuarie 2021 către ING Bank.
Specificul acestei amenzi nu ține atât de mult de suma pentru care s-a aplicat (1000 euro) cât pentru obiectul acesteia: banca, a trimis de două ori fișiere către un partener contractual, fișiere care conțineau date neactualizate. Transmiterea de fișiere s-a făcut prin intermediul unei societăți mandatare în scopul emiterii unor polițe de asigurare. Problema a fost că angajații departamentului de monitorizare a polițelor, NU au verificat polițele în conformitate cu procedurile interne, prelucrând astfel date neactualizate fiind afectate datele a 270 de persoane fizice.
ANSPDCP motivează că nu au fost luate suficiente măsuri tehnice și organizatorice înainte de incident, fapt care a condus la încălcarea confidențialității datelor.
44. Qualitance QBS S.A. – 1000 euro – Decembrie 2020
GDPR-ul se aplică tuturor prelucrărilor de date cu caracter personal (excepție fiind cele prevăzute de Regulament), chiar și celor din faza de recrutre a personalului. Astfel, operatorii sunt nevoiți să ia măsuri privind protejarea datelor cu caracter personal ale candidaților încă din perioada recrutării.
Lipsa unor astfel de măsuri, va atrage sancțiuni așa cum și operatorul Qualitance QBS SA a fost sancționat cu 1000 euro datorită faptului că a trimis prin email o informare către 295 de candidați (persoane care și-au oferit datele prin intermediul website-ului operatorului sau diverse aplicații online), devzăluind adresele de email și către ceilalți destintatari (atenție la CC și BCC atunci când trimitem emailuri!).
Care a fost încălcarea? Ei bine compromiterea confidențialității datelor, orice operator având obligația de a implementa măsurit tehnice și organizatorice adecvate (art. 32).
Ce este însă interesant este faptul că ANSPDCP a transmis operatorului că este obligația acestuia să instruiască în mod REGULAT persoanele care lucrează sub autoritatea acestuia, fie că vorbim de angajați fie că vorbim de colaboratori!
43. ING Bank N.V. Amsterdam – Sucursala București – decembrie – 3000 euro
De fiecare dată când avem solicitări din partea persoanelor vizate cu privire la încetarea anumitor prelucrări sau rectificarea anumitor date, este bine să le luăm foarte în serios. O astfel de situație este cea de la ING Bank – Sucursala București, care primise la data de 24.11.2017 o solicitare de închidere a contului curent.
Datorită unei erori de sistem, această cerere de închidere a contului însă, nu a avut ca efect închiderea relației de afaceri cu operatorul, păstrându-se activ statusul contului.
Sesizând autorității această situație, aceasta a constatat că a avut loc o prelucrare de date lippsită de temei legal, prelucrându-se astfel adresa de email, numele și prenumele și data de expirare a cărții de identitate.
Pentru aceasta operatorul a aplicat o amendă de 3000 euro.
42. S.C. C&V Water Control S.A. – 2000 euro – Noiembrie 2020
Lipsa comunicării informațiilor solicitate către ANSPDCP este din nou sancționată. De data aceasta este vorba de suma de 2000 de euro operatorului S.C. C&V Water Control S.A. pentru că nu a dat curs solicitării autorității.
Totodată, operatorului i-a fost aplicată și măsura corectivă de a transmite toate informațiile solicitate anterior.
41. Banca Transilvania SA – 100.000 euro – Noiembrie 2020
Poate cea mai meditatizată amendă a anului 2020 vine chiar înainte de Crăciun.
Ce s-a întâmplat? Un client, obosit de formularistica băncii, a completat într-un mod aparte, amuzant pentru angajații băncii declarația cu privire la modul în care clientul intenționează să folosească suma împrumutată (85.000 euro).
Atașat găsiți declarația clientului
Amuzându-se de această situație, unul din angajații băncii a distribuit-o pe emailul colegilor de serviciu. Ulterior altul dintre angajați a listat emailul care conținea această declarație dar și conversația internă între aganajații operatorului. Un al treilea angajat a fotografiat cu telefonul mobil înscrisul listat și l-a distribuit prin aplicația WhatsApp cunoscuților. De aici, în foarte scurt timp înscrisul a fost postat și distribuit pe Facebook și pe un website.
Toată această situație a ajuns înapoi în fața clientului care s-a declarat foarte nemulțumit de situație întrucât a condus la dezvăluirea și accesul neautorizat al datelor sale cu caracter personal dar și a angajaților băncii : nume, prenume, email, date comportamentale, preferințe personale, valoarea tranzacției, adresa locului de muncă, funcție, număr de telefon.
Aflând despre incident, operatorul a luat imediat poziție cu privire la acest eveniment, însă, nu a fost suficient pentru a evita sancțiunea de 100.000 euro.
Sesizată ANSPDCP, a demarat o investigație la Banca Transilvania și a constatat că operatorul nu a luat suficiente măsuri pentru a se asiura că salariații acesteia, care au acces la date cu caracter personal nu prelucrează date decât la cererea băncii. Totodată, Autoritatea menționează că această dezvăluire produsă în spațiul public dovedește INEFICIENȚA instruirii angajaților privind respectarea normelor de protecție a datelor cu caracter personal!
În ceea ce privește prejudiciile produse, Autoritatea ne spune că dezvăluirea a generat o serie de prejudicii de natură morală persoanei vizate precum și alte dezavantaje semnificative de natură economică sau socială pentru eprsoana afectată de producerea acestui incident de securitate!
40. Vodafone România S.A. – noiembrie – 4000 euro
Un lucru este cert: ANSPDCP aplică tot mai multe sancțiuni pentru lipsa răspunsurilor solicitărilor – fie că este vorba de Autoritate fie că este vorba de solicitările persoanelor vizate.
Un astfel de caz este și cel al Vodafone, care deși nu este la prima amendă pe care a primit-o, în data de 04.11.20 Autoritatea a finalizat o investigație prin care a amendat operatorul cu 4000 euro sau 19468,8 lei.
Ce s-a întâmplat? Din informațiile primite aflăm că o persoană a depus plângere că nu i s-a oferit răspuns unor cereri de exercitare a drepturilor de acces și de ștergere. Acest lucru a fost probat pe parcursul investigației când Vodafone nu a putut face dovada solicitării acestor cereri.
Ce înțelegem de aici? Așa cum am menționat și în alte cazuri, este nevoie să se trateze cu maximă seriozitate toate solicitările pe care le primim, cu privire la protecția datelor cu caracter personal și a vieții private.
39. DADA CREATION S.R.L. – 5000 euro – Noiembrie 2020
Lipsa măsurilor tehnice și organizatorice pot atrase sancțiuni mari pentru un o mică afacere de tipul magazin online. Putem vedea acest lucru din investigația demarată de Autoritatea Națională de Supraveghere la operatorul DADA CREATION S.R.L.
Ce s-a întâmplat? A fost reclamat următorul fapt: prin website (magazin online https://botezdepoveste.ro/) operatorul a făcut publice o serie de înregistrări detaliate ale tranzacțiilor recepționate, astfel următoarele date ale clienților (persoane fizice) au fost expuse: e-mail, numere de telefon, nume și prenume clienți (persoane adulte și minori), vârstă minori, adrese de livrare, număr comandă, suma totală a comenzii, produsele comandate și data efectuării comenzii.
În total vorbim de 1091 de persoane vizate (persoane fizice) ale căror date au fost divulgate și expuse unui acces neautorizat!
De ce s-a ajuns la această situație? Autoritatea ne menționează că această încălcare a securității datelor a fost posibilă datorită faptului că operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării.
Ce sancțiuni au fost aplicate? Pentru cele menționate mai sus ANSPDCP a aplicat o amendă în cuantum de 24.272,50 lei echivalentul a 5.000 euro, în baza art. 32 alin. (1) și (2). Poate ne gândim că nu este o amendă uriașă însă, raportată la cifra de afaceri pe anul 2019 (103.494 euro) și la profitul net de 7.317 euro (conform https://www.risco.ro/en/verifica-firma/dada-creation-cui-36446498), vorbim de o amendă aplicată pe o sumă de 5,1% din cifra de afaceri!
Totodată operatorului i-a fost aplicat un avertisment întrucât nu a notificat Autoritatea acest incident de securitate (aceasta aflând de el dintr-o altă sursă), încălcând prevederile art. 33 din RGPD.
Nu în ultimul rând, așa cum era de așteptat, operatorului i s-a aplicat și măsura corectivă de revizuire și actualizare a măsurilor tehnice și organizatorice pentru a fi evitate evenimente similare pe viitor.
38. Amendă Globus Score SRL – Septembrie 2020
Dacă ne gândim că poate odată amendată o companie, este mică probabilitatea ca acest lucru să se întâmple (afară de cazul în care este vorba de o companie foarte mare), ei bine ANSPDCP ne arată că acest lucru se poate întâmpla:
Compania de publicitate Globus Score SRL (doi anajați conform informațiilor publice), a fost amendată în toamna anului trecut – noiembrie 2019, pentru că nu au transmis în scris toate informațiile solicitate ANSPDCP.
Același lucru însă se întâmplă și anul acesta când operatorul, din nou nu a dus la îndeplinire măsura corectivă dispusă de a furniza informațiile cerute de ANSPDCP.
Pentru aceasta Autoritatea a sancționat compania cu 2000 euro și a făcut menționea că se aplică și măsura corectivă de a transmite toate informațiile solicitate cu mențiunea că se poate aplica o amendă de până la 4% din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior (art. 83 alin. 5 lit. e).
În concluzie, recomandăm tratarea cu cea mai mare seriozitate a solicitărilor venite atât din partea persoanelor vizate cât și din partea ANSPDCP.
38. S.C. Marsorom S.R.L. – 3000 euro – Octombrie 2020
Poate avem o mică afacere, într-o localitate mică și ne gândim că mai putem amâna implementarea standardului R.G.P.D. în firmă, ori că ne permitem scăpări pentru că Autoritatea e din București și are suficienți operatori mari de care să se ocupe, ei bine o nouă investigație ne arată contrariul.
Este vorba de o investigație finalizată de ANSPDCP la S.C. MARSOROM S.R.L., un operator care comercializează anvelope. Ce s-a întâmplat? O persoană vizată a sesizat către Autoritate că pe website-ul operatorului puteau fi văzute unele date cu caracter personal de ale clienților acestuia. În mod evident, o astfel de divulgare neautorizată de date (a persoanelor care au plasat comenzi), nu corespunde normelor prevăzute de Regulament.
Pentru acest motiv, cu ocazia investigației, Autoritatea a constatat că operatorul nu a luat suficiente măsuri de securitate care să prevină accesarea și divulgarea datelor. Pentru acest motiv a aplicat o amendă de 14574,9 lei (3.000 euro).
Totodată, Autoritatea a recomandat următoarele: să stabilească o perioadă de stocare mai scurtă a datelor personale aferente conturilor clienților pentru respectarea principiului limitării stocării.
37. Asociația de proprietari Militari R – 2000 euro – Octombrie 2020
Asociațiile de proprietari sunt în vizorul Autorității și alte aspecte decât cele întâlnite până acum: utilizarea neconformă a sistemelor de supraveghere CCTV, lipsa informării etc. De data aceasta, Asociația de proprietari Militari R a fost sancționată pentru că nu a oferit răspuns solicitărilor A.N.S.P.D.C.P.
Cazul de față, privește o plângere depusă de persoana vizată care a reclamat faptul că nu i s-a răspuns la cererea trimisă asociației de proprietari. Ca urmare a solicitărilor de clarificări venite din partea Autorității, asociația nu a oferit răspuns nici de această dată.
Pentru acest motiv, a fost aplicată o amendă de 9.659 lei (2000 euro) operatorului și obligația de a da răspuns adreselor în termen de 5 zile.
36. Megareduceri TV S.R.L. – Octombrie 2020 – 3000 euro
La data de 01.10.2020 ANSPDCP ne anunță că a finalizat încă o investigație asupra operatorului MEGAREDUCERI TV S.R.L. care a avut ca obiect cercetarea faptului că operatorul a trimis mai multe sms-uri pe telefon cu privire la serviciile website-ului www.reducereazi.ro unor persoane care nu și-au exprimat consimțământul în acest sens.
Totul a început de la plângerile depuse de mai mulți petenți în sensul precizat mai sus, Autoritatea a demarat investigația, a solicitat o serie de clarificări cărora nu li s-a dat curs (nu a răspuns adreselor)! Pentru acest fapt, s-a aplicat o amendă de 14.519 lei (3000 euro) dar și măsura corectivă de a oferi răspuns în termen de 5 zile calendaristice.
35. Amendă Sănătatea Press Groul S.R.L. – Septembrie 2020 – 2000 euro
Domeniul medical a ajuns și în atenția ANSPDCP prin Sănătatea Press Groul S.R.L. care a fost sancționată cu 2000 euro = 9671,40 lei pentru că o încălcare a securității datelor.
Despre ce este vorba?
Cauza: Ca urmare a notificării operatorului, Autoritatea finalizat o investigație în luna august prin care a constatat că acesta nu a reușit să garanteze un nivel ridicat de securitate și confidențialitate a datelor.
Specific: Operatorul a organizat un eveniment online cu aproximativ 1300 de persoane vizate, pentru care a transmis în mod eronat datele de logare: email și nume utilizator. Practic s-au trimis alte adrese de email decât cele cu care își creaseră cont pe platforma electronică.
Temei legal încălcat: ANSPDCP a menționat că a fost încălcat astfel art. 5 alin. (1) lit. f) raportat la art. 32 alin. (1) și (2) din RGPD, operatorul având obligația de a prelucra datele într-un mod prin care este asigurată securitatea datelor inclusiv împotriva prelucrării neautorizate, cum a fost cazul de față.
Alte măsuri: Nu au fost recomandate măsuri care trebuie luate de către operator.
Concluzie: Eroarea este umană. Cu toate acestea Autoritatea ne spune că atunci când prelucrăm date, mai ales atunci când este vorba de baze de date este foarte important să fim extrem de atenți la felul în care le gestionăm, pentru că altfel, vom fi sancționați.
34. Asociația de proprietari Bl. FC 5, orașul Năvodari, jud. Constanța – 500 euro – Noiembrie 2019
Supravegherea video este deseori foarte deranjantă pentru persoanele vizate: vecini, colocatari, angajați sau clienți. De data aceasta însă, ANSPDCP a finalizat o nouă investigație la începutul lunii septembrie care va avea o rezonanță puternică în rândul operatorilor de date – asociații de proprietari.
Cauza: Deși nu este primul caz de acest fel, în luna noiembrie 2019 ANSPDCP a mai amendat o asociație de proprietari, de data aceasta, Autoritatea ne arată că prin sistemul instalat de Asociația de proprietari Bl. FC 5, orașul Năvodari, jud. Constanța s-au realizat prelucrări de date ilegale.
Specific: Ce s-a întâmplat în fapt? Unul dintre locatarii blocului a depus o plângere acuzând utilizarea și dezvăluirea către diverse persoane, fără un temei legal valid, a unor imagini cu persoana sa. Ce reiese din comunicatul Autorității este că imaginile au fost extrase din sistemul de supraveghere video instalat și au fost afișate la avizierul imobilului.
Temei legal încălcat: Constatând aceste fapte, Autoritatea a amendat Asociația de proprietari Bl. FC 5 cu 500 de euro sau 2417,5 lei pentru că a încălcat dispozițiile art. 5 și 6 ale GDPR, neexistând un temei legal valid, mai exact au fost încălcate condițiile privind consimțământul persoanei.
Alături de acest aspect, ANSPDCP a mai aplicat două avertismente:
– unul pentru neadoptarea de măsuri de securitate, tehnice și organizatorice adecvate prin raportare la asigurarea protecției datelor începând cu momentul conceperii și în mod implicit (privacy by design & privacy by default). Practic sistemul prin care s-au prelucrat datele nu au respectat aceste principii și totodată, raportându-ne la obligațiile persoanei împuternicite de operator, acestea nu au fost respectate.
– altul pentru lipsa informării complete a persoanelor vizate. Practic în acest fel au fost încălcate drepturile persoanei vizate, în mod aparte dreptul de a fi informat.
Alte măsuri:
Pentru ca lucrurile să fie remediate, ANSPDCP dispus și două măsuri corective:
– De a informa în mod corect persoanele vizate, într-un loc vizibil, în imediata apropiere a camerelor instalate.
– De a adopta măsuri tehnice și organizatorice adecvate pentru protejarea datelor cu caracter personal prelucrate, în mod specific: dezactivarea aplicației prin care se permite accesarea la distanță a imaginilor prin internet, stabilirea unui număr limitat de persoane care să aibă acces, a drepturilor alocate fiecăreia dintre acesteia, să fie oferite niște instrucțiuni clare despre persoanele care prelucrează date sub autoritatea asociației.
Concluzie: Chiar dacă am instalat un sistem de supraveghere video în spațiul administrat de noi, de operatori, în baza unui contract cu o firmă specializată, motivând instalarea sub temeiul legal al Legii 333/2003 privind paza și protecția bunurilor, este nevoie să fie luate o serie de măsuri pentru asigurarea conformității cu RGPD. Printre aceste măsuri se numără: informarea corectă a persoanei vizate, stabilirea accesului în mod concret la filmări, nedistribuirea / nepublicarea filmărilor fără un temei legal valid și asigurarea securității și confidențialității datelor.
33. Compania Națională Poșta Română – 2000 euro – iulie 2020
Securitatea datelor este o problemă des întâlnită în rândul operatorilor. În acest sens, nici companiile de stat nu fac excepție de la aplicarea amenzilor, astfel Poșta Română a primit o amendă de 2000 euro.
Cauza: Compania Națională Poșta Română a constatat că a încălcat principiul securității datelor prevăzut de art. 32 din GDPR și astfel a notificat acest lucru ANSPDCP.
Specific: Operatorul Poșta Română a fost sancționat deoarece nu a luat suficiente măsuri pentru a preveni accesul ilegal / neautorizat la date cu caracter personal, în speță este vorba de adrese de email și numere de telefon, de pe platforma AWB a poștei. (www.awb.posta-romana.ro) ceea ce a dus la compromiterea a 81 de persoane vizate.
Temei legal încălcat: Temeiul legal încălcat este art. 32 din GDPR, în concret operatorul nu a implementat măsuri tehnice și organizatorice, cum ar fi pseudonimizarea datelor, atât în momentul stabilirii mijloacelor de prelucrare cât și ulterior în momentul prelucrărilor.
Concluzie: Este foarte important ca atunci când gândim o nouă procedură, dezvoltăm un soft intern sau o aplicație să respectăm principiile prevăzute de Regulament, în mod aparte privacy by design. În acest fel ne putem asigura că evităm eventualele sancțiuni și nu vom fi nevoiți să remodelăm acea procedură, soft, sau aplicație dezvoltat.
32. S.C. Viva Credit IFN S.A. – 2000 euro – iulie 2020
ANSPDCP a finalizat o nouă investigație care s-a concretizat într-o amendă de 2000 euro pentru încălcarea unor norme aparte! Despre ce este vorba?
Cauza: Operatorul S.C. Viva Credit IFN S.A. a fost sancționat întrucât nu a dat curs cererii petentului.
Specific: Persoana vizată și-a exprimat dreptul de ștergere printr-o solicitare adresată operatorului. Acesta însă nu a dat curs, mai mult nu a transmis nici o informație referitoare la acțiunile întreprinse în urma cererii în cel mult o lună (sau maxim 3 luni, prezentând și motivele întârzierii).
Se prea poate ca operatorul să fi comunicat pe altă cale răspunsul? Tot ce se poate, însă ANSPDCP a constatat că nu a comunicat răspunsul la adresa de contact (email) sau la adresa de domiciliu existentă în evidențele sale.
Temei legal încălcat: În acest sens s-a încălcat obligația GDPR din art. 12 alin (3) și (4) – care prevede termenul de o lună (atenție, nu 28,29, 30 sau 31 zile!) și informarea care trebuie făcută.
Alte măsuri: De ce îți e frică nu scapi, zice vorba din popor. Autoritatea de supraveghere a obligat operatorul, în ciuda amenzii aplicate să ofere răspuns petentului la cererea depusă în termen de 5 zile de la comunicarea procesului verbal.
Concluzie: Atunci când avem de a face cu o solicitare din partea persoanei vizate, este recomandat să acționăm cu maximă responsabilitate și promptitudine.
31. SC CNTAR TAROM SA – 5000 euro – iulie 2020
La începutul lunii iulie 2020 ANSPDCP a finalizat o investigație demarată ca urmare a unei notificări privind încălcarea securității datelor tocmai de către operator!
Cauza: Operatorul a raportat un incident la Autoritate, incidentul privind încălcarea securității datelor.
Specific: accesul neautorizat la datele a cinci pasageri TAROM și divulgarea neautorizată a acestor date au constituit principalele cauze pentru care operatorul a fost amendat. Astfel, s-a adus atingere confidențialității datelor prin lipsa măsurilor tehnice și organizatorice adecvate din partea operatorului. În acest sens datele au fost prelucrate de către unul din angajații operatorului cu nerespectarea normelor mai sus amintite.
Temei legal încălcat: art. 32 alin. (4), art. 32 alin. (1) lit. b) și alin. (2) din Regulamentul General privind Protecția Datelor.
Alte măsuri: Ca de cele mai multe ori, Autoritatea a aplicat și alte măsuri suplimentare precum cea de actualizare și revizuire a procedurilor de lucru existente și mai mult decât atât a îndemnat spre instruirea periodică a angajaților.
Ce concluzie putem trage din această amendă? Ei bine că în ciuda faptului că numărul persoanelor vizate este mic (5 – cinci) ANSPDCP are în vedere și alte coordonate atunci când individualizează pedeapsa (precum nivelul de intruziune în viața privată a omului, măsurile luate de operator pentru limitarea riscurilor, nivelul de expunere a datelor cu caracter personal divulgate și alte asemenea.
p.s. Într-o logică naturală a lucrurilor, raportându-ne la un număr de câteva sute de mii de persoane vizate într-o pierdere de date suferită de pe urma unui atac cibernetic, putem considera că este justificată, în ochii Autorității, amenda anunțată de ICO pentru British Airways de peste 183 mld. Lire sterline.
30. Proleasing Motors – 15.000 euro – iulie 2020
În luna iunie 2020 ANSPDCP a finalizat o nouă investigație prin care a aplicat o amendă care cuprinde următoarele specificități:
Cuantum: 15.000 euro = 72.642 lei
Cauza: Investigația a fost cauzată de trimiterea de către operator a unei notificări privind încălcarea securității datelor cu caracter personal prin completarea unui formular. Practic, operatorul s-a denunțat privind acest incident, și cu toate acestea, a fost sancționat.
Specific: Operatorul a organizat un concurs online pe Facebook pentru a atrage clienții la service-ul auto. În acest context a fost postat un document cu o captură din codul sursă al website-ului în care era inclusă și parola de acces la formularele completate de participanții la concurs.
Situația a expus în acest fel un număr de 436 clienți a operatorului prin vizualizarea și accesul neautorizat la date.
Temei legal încălcat: art. 32 RGPD – Securitatea Datelor
Motivarea sancțiunii: operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului existent.
Ce mai cunoaștem este că ANSPDCP a pus în vedere operatorului să ia măsuri prin care astfel de situații să fie evitate pe viitor. În acest sens, Autoritatea a prevăzut adaptarea procedurilor de lucru interne ale operatorului, în mod specific acele proceduri care privesc comunicările în mediul online.
29. Enel Energie Muntenia SA – 4000 euro – mai 2020
După o amendă de 3000 euro în decembrie 2019, o alta tot de 3000 euro în martie 2020, ANSPDCP ne anunță că a aplicat S.C. Enel Energie Muntenia S.A. o amendă de 4000 euro (19368,4 lei) pentru că a încălcar prevederile Regulamentului General privind Protecția Datelor.
Amenda privește un caz de încălcare a securității și confidențialității datelor cu caracter personal prin transmiterea eronată unui client, a unor documente ce conțineau datele altui client. Persoana vizată care a suferit această intruziune în viața privată a depus o plângere iar ca urmare s-a demarat o investigație.
Autoritatea, a constatat gravitatea faptelor și a aplicat amenda sus meționată, iar pe lângă aceasta, a impus operatorului implementarea unor măsuri adecvate și eficiente (foarte important, deci nu doar formale) pentru a se evita pe viitor astfel de situații.
28. Telekom România Communications SA – 3.000 euro – aprilie 2020
Este pentru a doua oară când Telekom este sancționată și întâmplarea face ca să fie vorba de încălcarea aceluiași principiu – al exactității datelor. Dacă la amenda trecută – cu numărul 16 în listă – a fost vorba de trimiterea unor facturi la adrese de corespondență greșite, de data aceasta lucrurile sunt mai grave.
Astfel, ca urmare a unei plângerii depuse de persoana vizată, ANSPDCP a demarat o investigație cu privire la utilizarea în mod fraudulos / ilegal a datelor cu caracter personal, la încheierea unor contracte pe numele acesteia. Se pare că persoana vizată era abonat al Telekom, exista un contract preexistent, însă datele din contract i-au fost luate (încălcând astfel normele cu privire la securitate art. 32 din GDPR), fără a fi verificate corectitudinea acestora și s-au contractat alte servicii.
Ce putea face mai mult operatorul și nu a făcut? Ei bine Autoritatea constată că nu a luat măsuri de securitate suficiente care să includă verificarea exactității datelor colectate telefonic (la distanță) atunci când s-au încheiat contractele. Practic a fost o scăpare procedurală și o eroare umană la mijloc.
Astfel, s-a aplicat o amendă de 3.000 euro = 14524.2 lei, dar două măsuri corective importante: implementarea unor proceduri eficiente de identificare la distanță a persoanelor și măsura instrurii regulate / periodice a respectării normelor aplicabile GDPR. Scopul acestor măsuri este de a împiedica ca pe viitor să se mai petreacă astfel de prelucrări ilegale și dezvăluiri neautorizate de date cu caracter personal.
27. Estee Lauder România SRL – 3.000 euro – aprilie 2020
Prelucrările de date excesive sau lipsite de temei legal au fost sancționate și în perioada pandemiei. Astfel, operatorul Estee Lauder România SRL (domeniul produselor cosmetice) a fost sancționat cu 3.000 euro = 14483,4 lei pentru că a colectat și dezvăluit în mod ilegal date printre care: numele, prenumele, numărul de telefon, data nașterii și informații privind starea de sănătate a unei persoane vizate.
Bineînțeles, la plângerea depusă de această persoană vizată, Autoritatea a demarat o investigație pentru a analiza conformitatea cu GDPR-ul și a constatat toate cele menționate mai sus.
Un aspect important care reiese din decizia Autorității, lucru valabil pentru toți operatorii din România este instruirea în mod periodic a personalului în domeniul protecției datelor și a vieții private. Instruirile după cum reiese din comunicat trebuie să aibă o componentă practică ridicată, fiind analizate / dezbătute fiecare situație de prelucrare de date pentru a se e diminua riscurile și astfel încălcările.
26. AMENDĂ BCR – WHATSAPP – 5000 euro – aprilie 2020
FINALIZARE cercetare: 14.04.2020 – APRILIE
Whatsapp-ul este de cele mai multe ori o binecuvântare pentru mulți dintre noi pentru că putem comunica mai ușor, mai eficient, mai util. Putem să ne scriem mesaje, trimite fotografii sau înregistrări vocale. Putem să îl accesăm de pe telefon sau de pe laptop sau calculator cu opțiunea Web. Astfel, Whatsapp-ul a apărut chiar și în comunicările profesionale, în mediul de afaceri luând forma a diverse grupuri de lucru. Cu toate acestea, specialiștii din protecția datelor de la ANSPDCP ne arată că nu este și un mediu sigur care să garanteze securitatea prelucrărilor. În acest sens, putem vedea o nouă amendă aplicată de Autoritate către Banca Comercială Română (BCR) în cuantum de 5.000 euro sau 24.165.50 lei.
Ce s-a întâmplat? Ei bine, o angajată a operatorului, nerespectând procedura de lucru internă, a colectat copii ale actelor de identitate ale clienților băncii (între care minori și reprezentanți legali) prin intermediul telefonului personal. Folosindu-se de aplicația WhatsApp, a trimis copii ale acestor acte către alte persoane din bancă. Pe de o parte vedem prelucrarea datelor prin intermediul telefonului personal, care ridică probleme, pe de alta, comunicarea prin WhastApp. Această situație bineînțeles a nemulțumit anumite persoane vizate, care au depus plângere la ANSPDCP.
Ce a constatat Autoritatea? Odată demarată ancheta, Autoritatea constată că responsabilitatea securității datelor o are operatorul, adică BCR și că acesta nu a implementat măsuri adecvate în vederea asigurării unui nivel de securitate corespunzător cu riscul prelucrării (folosirea telefoanelor personale + folosirea Whatsapp). Totodată, ANSPDCP a constatat că BCR nu a luat măsuri pentru a se asigura că orice angajat care acționează sub autoritatea bănncii și bineînțeles, prelucrează date, nu o face decât la cererea operatorului!
Temeiul legal? În acest sens, pentru încălcarea prevederilor art. 32 alin. (4) coroborat cu art. 32 alin. (1) și alin. (2) din Regulamentul General privind Protecția Datelor, referitoare la securitatea prelucrărilor, s-a aplicat amenda sus menționată.
25. Vodafone România – 20.000 lei – martie 2020
Unul din cele mai importante aspecte pe care trebuie să le avem în vedere atunci când prelucrăm date, este următorul: să fim atenți la ce facem! Datele cu caracter personal sunt proprietatea persoanei vizate. Cu un mic exercițiu de imaginație putem vedea lucrurile altfel: Ți-ai comandat ultimul model de Iphone, te-a costat cam două salarii lunare iar după ce l-ai ridicat din magazin, pe stradă te oprește un cetățean să te roage să îi dai telefonul să se uite cât e ceasul. I-l dai? Nu, îi spui tu cât e ceasul! Mai mergi câțiva pași și o doamnă, de la chioșcul de ziare îți spune că te roagă să îi dai telefonul să facă câteva fotografii la principalele ziare locale, pentru a și le trimite pe WhatsUp. Îl dai? Nu, faci tu pozele! În cele din urmă te oprești să îți cumperi un covrig și vrei să plătești cu noul telefon achiziționat. Cu toate acestea, angajatul covrigăriei, plin de ulei pe mâini, îți cere telefonul să atingă cu el aparatul de înregistrare plăți. Te gândești de două ori, dacă îl ia și având mâinile alunecoase de la ulei îl scapă pe jos și ți se sparge ecranul? Deci suntem atenți cu proprietatea noastră! La fel trebuie să fie fiecare angajat al operatorilor care lucrează cu date cu caracter personal în mod curent.
Lipsa atenției, simpla greșeală costă mult, după cum ne arată o sancțiune aplicată operatorului Vodafone România, în valoare de 20.000 lei. O petentă s-a adersat autorității printr-o sesizare spunând că are suspiciuni că datele sale cu caracter personal ar fi putut fi dezvăluite unei terțe persoane, lipsite de interes. Ce s-a întâmplat? Într-una din zile, tastând telefonul, a intrat pe website-ul Vodafone și a cerut o ofertă, însă, ulterior a primit pe adresa de email un contract încheiat între Vodafone și o altă persoană vizată. Acest fapt i-a ridicat întrebări dar și suspiciunea că datele sale personale ar fi fost dezvăluite unei persoane, petrecându-se la mijloc o confuzie, o eroare!
Efectuând o investigație, Autoritatea a constatat că într-adevăr, lucrurile s-au petrecut întocmai iar operatorul nu a luat măsuri suficiente de securizare și de protecție a datelor și nici de garantare a confidențialității acestor date.
24. Dante International SA (Emag) – 3000 euro – martie 2020
Dacă încă nu ne-am convins că nu putem face comunicări comerciale, spre exemplu, nu putem trimite newsletter unei persoane care s-a dezabonat de la această opțiune, ANSPDCP vine să ne confirme acest lucru! În acest sens, ca urmare a unei sesizări, operatorul Dante International SA a fost sancționat cu 3000 euro sau 14.420,4 lei pentru că nu a respectat prevederile referitoare la legalitatea prelucrării.
Despre ce e vorba?
Ei bine, orice persoană vizată are dreptul de a se opune prelucrărilor de date cu caracter personal atunci când datele sunt prelucrate în scop de marketing direct. Astfel, nerespectarea acestei dorințe, plasează prelucrarea în sfera ilegalității, iar în cazul în care persoana vizată se decide să raporteze acest fapt, cu Autoritatea de Supraveghere va acționa prompt, aplicând amendă dar și măsuri corective!
23. Enel Energie Muntenia SA – 3000 euro – martie 2020
O situație aparte o privește comunicările electronice pe email și atenția pe care trebuie să o acordăm atunci când trimtem un email. Uneori suntem grăbiți, alteori obosiți sau pur si simplu ni se întâmplă să fim neatenți, să compunem un email și să greșim numele destinatarului sau să introducem o adresă greșită iar emailul nostru să ajungă la altcineva. Fiecăruia dintre noi ni s-a întâmplat acest lucru, însă ANSPDCP ne arată foarte clar că dacă o astfel de comunicare presupune o divulgare de date nepermisă, operatorul va fi sancționat.
Acesta este cazul operatorului Enel Energie Muntenia SA, care a fost sancționat ca urmare a unei investigații declanșate la sesizarea unui client. Clientul, vătămat în drepturile sale, depunând dovezi, adresează Autorității o plângere prin care prezintă în ce fel i s-a adus atingere drepturilor. Constatând veridicitatea lucrurilor ANSPDCP a aplicat o amendă de 3000 euro sau mai specific de 14.423,7 lei pentru că într-adevăr unul din angajații operatorului a trimis la o adresă greșită: numele și prenumele, adresa, emailul, codul de client și codul eneltel unui alt client!
22. Asociația ,,SOS Infertilitatea” – 2000 euro – martie 2020
Ceea ce știm cu toții este că dezvăluirea de date cu caracter personal este strict interzisă, atât timp cât nu avem un temei legal al acestei dezvăluiri. Așa s-a întâmmplat și în cazul Asociației ,,SOS Infertilitatea”, împotriva căreia o persoană vizată a depus o sesizare pentru că ar fi dezvăluit date cu caracter personal fără consimțământul său.
Ca urmare a obligației de verificare a informațiilor ANSPDCP a contactat telefonic președintele asociației, care a cerut ca astfel de solicitări să se facă pe o anumită adresă de email. Cu toate acestea, operatorul nu a dat nici un fel de curs solicitării!
Pentru această nerespectare, ANSPDCP a aplicat o amendă de 2000 euro, sau mai exact 9529,2 lei.
21. Vodafone S.A. – amenda 3000 Euro – Martie 2020
ANSPDCP ne informează că la data de 11.02.2020 a finalizat o nouă investigație prin care a constatat că un cunoscut operator de telefonie mobilă din România, Vodafone România S.A. a încălcat prevederile GDPR.
Care a fost încălcarea? Situația de fapt descrisă de către Autoritate arată în felul următor: o anumită persoană a depus o reclamație la Vodafone, însă datele de pe reclamație au fost preluate în mod greșit de către angajații operatorului. Ca urmare atunci când s-a căutat transmiterea răspunsului către reclamant, emailul a fost trimis către o adresă greșită. Astfel, vorbim despre o persoană vizată, o preluare greșită de informații, un email transmis la o adresă eronată.
Relevanța juridică? Ei bine, GDPR-ul ne obligă să păstrăm datele exacte, sau după caz să le actualizăm dacă se impune și în același timp să luăm măsuri de securitate împotriva prelucrărilor ilegale ale persoanei vizate. Pierderea și transmiterea eronată în acest caz este sancționabilă!
Pentru că în toate aceste situații, responsabilitatea revine operatorului de date, ca urmare a investigației, ANSPDCP a aplicat o amendă de 3.000 de euro sau 13208,8 lei operatorului Vodafone!.
Alături de această măsură, a mai fost aplicată și o măsură corectivă, în concret: de a notifica operatorul sau persoana împuternicită de operator cu privire la încălcare!
În privința soluțiilor propuse pentru a evita pe viitor astfel de situații, Autoritatea a obligat operatorul să ia măsuri suplimentare în procedurile de colectare a datelor, să ia măsurile tehnice și organizatorice potrivite scenariului și să instruiască personalul care prelucrează date la intervale de timp regulate.
În concluzie ce putem învăța din această sancțiune este că fiecare dată cu caracter personal contează, fiecare operațiune este important și orice scăpare a operatorului va fi sancționată.
20. Entirely Shipping & Trading S.R.L. – 2 amenzi a câte 5000 euro – decembrie 2019
– 2 avertismente
– 4 măsuri corective
Sancțiunile primite de operator au fost aplicate pentru încălcarea GDPR în relația cu angajații. Astfel, acesta s-a folosit de mijloace de supraveghere audio-video fără o informare corectă a persoanelor vizate. Acestea au fost instalate în birourile angajaților, în vestiare și în sala de mese, supravegherea fiind una continuă. Având în vedere că aceasta prelucrare este una invazivă, Entirely Shipping & Trading S.R.L. nu a putut face dovada unui interes legitim justificat care să prevaleze asupra intereselor sau drepturilor și libertăților fundamentale ale persoanelor vizate.
Tot în relația cu angajații, operatorul a condiționat accesul în anumite locații prin folosirea amprentei. Prelucrarea datelor biometrice prin intermediul sistemului de control acces nu erau colectate în scopuri adecvate, relevante și limitate la ceea ce era necesar în raport cu scopurile în care erau prelucrate.
Nu au fost respectat 2 principii foarte importante ale GDPR și anume:
- Principiul legalității – operatorul nu a avut un temei legal valid pentru prelucrările audio-video
- Principiul transparenței – operatorul nu a informat adecvat persoanele vizate
În cazul acestor prelucrări de date era nevoie ca operatorul să facă următorii pași:
- Consultarea sindicatului înainte de instalarea sistemului de supraveghere audio-video
- Dovedirea faptului că alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența
- Implementarea unei politici de securitate a datelor cu caracter personal
- Implementarea de măsuri tehnice si organizatorice în vederea asigurării unui nivel de securitate corespunzător
- Evaluare de impact asupra protecției datelor
- Informarea corectă a persoanelor vizate prin comunicarea într-o formă concisă, transparentă, inteligibilă și ușor accesibilă a tuturor informațiilor prevăzute de art. 13 din GDPR
- Reducerea la minimum a prelucrărilor de date cu caracter personal
19. Hora Credit IFN S.A – 3000 euro, 10.000 euro, 1000 euro (decembrie 2019)
În urma investigațiilor făcute de ANSPDCP la operatorul Hora Credit IFN S.A. s-a constat faptul că acesta a încălcat mai multe prevederi ale Regulamentului GDPR.
Transmiterea pe e-mail a unor documente care nu aparțineau persoanei vizate a condus la un lanț de incidente (breșă de securitate, dezvăluirea neautorizată, folosirea datelor cu caracter personal inexact).
Deși persoana care a primit acel e-mail a notificat operatorul în timp util, prin 2 mijloace de comunicare, nu au fost luate măsuri pentru a remedia eroarea. Mai mult decât atât, operatorul a continuat să trimită mesaje spre căsuța de e-mail respectivă.
De asemenea, operatorul nu a notificat ANSPDCP cu privire la breșa survenită, obligație care îi revine în urma descoperii incidentului.
Neaplicarea unor mecanisme eficiente de verificare și validare a exactității datelor colectate și ulterior prelucrate, respectiv, de păstrare a confidențialității acestora, conform principiilor prevăzute la art. 5 din RGPD și faptul că nu au fost luate măsuri suficiente pentru securizarea datelor cu caracter personal .
Vă invităm să citiți articolul ”Proceduri și politici de securitate IT”, pentru conformarea la GDPR pentru o înțelegere mai exactă a principiilor de securizare a datelor cu caracter personal și a măsurilor care sunt necesare a se lua, în mediul informatizat.
18. SC Enel Energie S.A. – 2 amenzi a câte 3000 euro (decembrie 2019)
Amenzile au fost aplicate pentru prelucrarea fără consimțământ a datelor cu caracter personal și fără păstrarea principiului exactității.
Operatorul nu a dat cursul cererii de ”opt-out” (dezactivarea notificărilor) făcute de persoana vizată, deși acesta și-a exercitat dreptul în mai multe rânduri.
Pentru prima dată, ANSPDCP ne înștiințează că operatorul a achitat amenzile, asta însemnând că nu au contestate in instanță. Un semn de bună credință și de dovadă a faptului că se poate învăța din greșeli și accepta că respectarea protecției datelor cu caracter personal este o OBLIGAȚIE nu o opțiune.
Articolul ”GDPR România – importanța protecției datelor cu caracter personal” vă poate ajuta să înțelegeți mai bine importanța respectării GDPR.
17. Asociație de Proprietari – 500 euro (noiembrie 2019)
În urma investigației s-a constatat că Asociația de Proprietari nu a adoptat suficiente măsuri de securitate, tehnice și organizatorice, adecvate pentru protejarea datelor personale colectate prin intermediul sistemului de supraveghere video. Plângerea a venit de la o persoană fizică care a sesizat accesarea fără temei legal a imaginilor video din sistemul de supraveghere CCTV al Asociației de Proprietari.
Tot în urma acestei investigații s-a constatat că lipsea informarea prin postarea unor avertizări și note de informare în apropierea locurilor unde sunt montate camerele video.
De asemenea ANSPDC a dispus măsura de a se sigura conformitatea cu RGPD a operațiunilor de prelucrare prin adoptarea unor măsuri de securitate, tehnice și organizatorice, adecvate pentru protejarea datelor personale colectate prin intermediul sistemului de supraveghere video, inclusiv sub aspectul integrării principiilor de protecție a datelor (cum ar fi cel al stocării limitate a înregistrărilor), al stabilirii unui număr limitat de persoane care să aibă acces la acest sistem, al drepturilor ce pot fi alocate fiecăreia dintre acestea, al prevederii unor instrucțiuni clare de prelucrare pentru persoanele care prelucrează date sub autoritatea asociației, astfel încât să se evite accesarea, diseminarea sau prelucrarea în alt mod neautorizat a datelor personale prelucrate prin intermediul acestui sistem, conform art. 25 și art. 32 din RGPD, în termen de 30 zile de la data comunicării prezentului proces-verbal (art. 58 alin. (2) lit. d) din RGPD).
16. Telekom Romania Mobile Communications SA – 2000 euro (noiembrie 2019)
Operatorul de telecomunicații este primul amenda pentru nerespectarea principiului ”exactității datelor”.
Nerespectarea confidențialității datelor cu caracter personal, prin trimiterea facturilor la adrese de corespondență greșite. Astfel, eroare a dus la o breșă de securitate, prin dezvăluirea datelor cu caracter personal.
Cu toate că petentul a adus la cunoștința operatorul eroarea și a cerut remedierea, acesta din urma nu a dat curs cererii sale, continuând practica. Mai mult decât atât, în urma investigațiilor Telekom nu a putut face dovada exactității datelor cu caracter personal pe care le prelucrează.
Un model de bună practică pe care îl putem învăța de aici, este de a da curs întotdeauna solicitărilor persoanelor vizate. O cerere este și o avertizare și o oportunitate de a remedia lucrurile, pe care, uneori, operatorii nu le au în vedere.
15. Modern Barber S.R.L – 3000 euro (noiembrie 2019)
Nicola Medical Team 17 SRL – 2000 euro (noiembrie 2019)
Globus Score SRL – 2000 euro (noiembrie 2019)
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a amendat in cursul zilelor de 13.12.2019 si 16.12.2019 3 operatori de date cu caracter personal, în baza acelorași prevederi din Regulament și anume art. 83 (UE) 679/2016.
Cei 3 operatori nu au trimis către ANSPDCP în scris, toate informațiile solicitate, în termen de 10 zile calendaristice de la comunicarea procesului-verbal.
De asemenea nici unul din operatori nu a dus la îndeplinire masurile corective aplicate de Autoritate.
Din comunicat putem înțelege că este vorba despre investigații unde Autoritatea a dat dovadă de clemență, aplicând doar măsuri corective și indicații, oferindu-le operatorilor timp pentru a le duce la îndeplinire. Astfel, vedem că rolul ANSPDCP nu este doar de a speria și de a amenda.
Amenzile au fost aplicate operatorilor care au ignorat indicațiile și nu au luat măsurile necesare de conformare oferite în urma unor investigații.
Stimați colegi, operatori și specialiști, Autoritatea vine în ajutorul nostru. Să dăm dovadă de bună voință și profesionalism.
14. ING Bank N.V. Amsterdam – Sucursala București – 80.000 euro (noiembrie 2019)
În data de 04.11.2019, ANSPDC a finalizat o ancheta la operatorul de date ING Bank care a atras după sine o amendă în valoare de 80.000 euro.
Operatorul nu a asigurat respectarea principiului protecției datelor începând cu momentul conceperii și cel al protecției implicite a datelor (privacy by design și privacy by default), deoarece nu a adoptat măsuri tehnice și organizatorice corespunzătoare, privind integrarea de garanții adecvate în sistemul automatizat de prelucrare a datelor cu caracter personal în cadrul procesului de decontare al tranzacțiilor cu cardul, fiind afectat un număr de 225.525 de clienți ale căror operațiuni de plată au fost dublate în perioada 8-10.10.2018, raportat și la prevederile art. 32 alin. (1) lit. d) din RGPD.
Protecția datelor cu caracter personal, prelucrate electronic trebuie să fie compusă din 3 etape majore:
- În momentul conceperii / producerii sistemului electronic. Asta înseamnă că trebuie luate toate măsurile de protejare a datelor din prima fază a proiectului.
- Testarea sistemului înainte ca prelucrarea efectivă să înceapă, pentru a se asigura de eficiența protecției. Acest demers identifică eventualele erori sau slăbiciuni, care pot duce la o breșă de securitate.
- Update și mentenanță. Sistemul informatic este unul în continuă schimbare. Pe cât este de important să ca operatorii să țină pasul cu noile tehnologii este și mai important să se asigure că îmbunătățirile și noile funcționalități sunt adecvate pentru prelucrarea datelor cu caracter personal.
Privacy by design este o un concept prin care putem preveni breșele și incidentele de securitate. Fiindcă vorbim de sisteme automatizate prin care se prelucrează un număr mare de date cu caracter personal, prin aceleași mijloace, pierderile survenite în urma unei singure erori sunt foarte mari și de multe ori iremediabile.
13.Royal President S.R.L. – amendă 2500 EURO și un avertisment (noiembrie 2019)
Sancțiunile au fost aplicate ca urmare a unei plângeri prin care se reclama faptul că Royal President S.R.L. a refuzat soluționarea unei cereri de exercitare a dreptului de acces prevăzut de art. 15 din Regulamentul General privind Protecția Datelor, precum și faptul că acesta a dezvăluit date cu caracter personal fără acordul persoanei vizate.
De asemenea, s-a constatat că datele cu caracter personal colectate prin intermediul fișei de cazare nu au fost prelucrate într-un mod care să asigure securitatea lor, prin luarea de măsuri tehnice sau organizatorice corespunzătoare, pentru a se putea evita orice dezvăluire neautorizată încălcându-se prevederile art. 5 alin. (1) lit. f), ale art. 32 alin. (1) lit. b) și ale art. 32 alin. (2) din Regulamentul (UE) 2016/679,
Totodată, operatorului i s-a aplicat și o măsură corectivă care a constat în întocmirea și implementarea unei proceduri interne privind protecția datelor cu caracter personal ale beneficiarilor serviciilor de cazare, prin raportare la prevederile art. 32 din Regulamentul (UE) 2016/679.
În cazul operatorului din această speță lipsa de proceduri interne și lipsa de măsuri tehnice sau organizatorice a dus la o breșă de securitate și dezvăluire neautorizată a datelor cu caracter personal.
DREPTURILE persoanelor vizate sunt foarte importante, așa cum am subliniat și în alte cazuri. Refuzul de a oferi răspuns unei cereri de exercitate a drepturilor este o încălcare gravă a Regulamentului.
Sunt cazuri în care nu putem da curs solicitării persoanelor vizate, dar acest lucru trebuie transmis persoanei și argumentat.
Implementarea greșită a Regulamentului atrage aceleași sancțiuni ca și neaplicarea lui.
12. SC CNTAR TAROM SA – amendă 20.000 EURO (noiembrie 2019)
Investigația a fost efectuată ca urmare a notificării autorității de supraveghere de către SC CNTAR TAROM SA din data de 13.09.2019 cu privire la încălcarea securității datelor cu caracter personal. Ca urmare a faptului că acesta nu a implementat măsuri tehnice și organizatorice adecvate pentru a se asigura că orice persoană fizică care acționează sub autoritatea acestuia și care are acces la date cu caracter personal, nu le prelucrează decât la cererea sa. Corelat cu acest aspect, operatorul nu a luat nici măsuri adecvate pentru a asigura un nivel de securitate corespunzător riscului generat de divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.
Această situație a condus la accesarea neautorizată, de către un angajat propriu, a aplicației de rezervări și fotografierea unei liste conținând datele cu caracter personal a 22 pasageri/clienți TAROM și la divulgarea neautorizată în mediul on-line a acestei liste.
Sunt câteva aspecte de importante de reținut din această speță cu privire la relația operatorului cu angajații:
- Instruire – operatorii nu se pot baza pe o instruire verbală sumară sau transmiterea de informații generale către angajați. Aceștia trebuie să fi instruiți atât din punctul de vedere a prelucrării datelor cu caracter personal care le revin prin fișa postului cât și asupra datelor cu caracter personal cu care intră în contact accidental sau neautorizat.
- Actualizarea fișei postului – este ă măsură legală pe care fiecare operator trebuie să o implementeze, în special angajaților care prelucrează date cu caracter personal.
- Regulamentul de Ordine Interioară – acesta trebuie să conțină atât indicații cu privire la prelucrare cât și sancțiunile aplicate în caz de abateri
- Politica de prelucrare a datelor cu caracter personal – o astfel de politică poate reduce semnificativ riscul unei dezvăluiri neautorizate și reprezintă o diligență de conformare care va reduce șansele de amendare.
Foarte important de reținut! După cum am putut observa din ultimele amenzi aplicate de ANSPDC, aceasta a dat dovadă de ”blândețe” în stabilirea sumelor din amenzi. Chiar dacă conformarea și implementarea GDPR nu reduce total riscul unei abateri sau breșe, scade semnificativ suma cu care un operator este amendat. Buna credință în respectarea regulamentului se poate dovedii doar prin proceduri și implementare adecvată.
11. FAN COURIER EXPRESS SRL (octombrie 2019)
Operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării generat în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod, ceea ce a condus la pierderea datelor cu caracter personal (nume, prenume, număr card, cod siguranță card (cvv), adresa titular card, cod numeric personal, serie si număr card identitate, număr cont IBAN, limita credit aprobat, adresa de corespondenta) și la divulgarea/accesarea neautorizată a datelor cu caracter personal, fiind afectate de incidentele de securitate un număr de aproximativ 1100 persoane fizice vizate. Fan Courier a primit o amendă în cuantum de 52.325,9 lei, echivalentul a 11.000 EURO.
În speță, fiind vorba de o companie de curierat care operează date cu caracter personal la scară largă, aceasta are desemnată un DPO. Cu siguranță operatorul a făcut demersuri în vederea alinierii și conformării la noul Regulament GDPR. Incidentul prin care s-au pierdut plicurile cu date personale, chiar sensibile, a fost unul independent de voința operatorului și cel mai probabil s-a datorat unei erori umane.
Este foarte important să existe o procedură de răspuns la incidente. Mai important de atât este ca acea procedură să se respecte.
Având în vedere că cifra de afaceri a operatorului Fan Courier este de peste 100 de milioane de euro, amenda aplicată de ANSPDCP este una mică. Acesta se datorează, după părerea noastră, măsurilor de conformare aplicate de operator anterior incidentului.
De asemenea un aspect interesant de reținut este faptul ca expeditorul acelor plicuri nu a fost sancționat in acest caz. In general firmele de curierat propun clienților acorduri de prelucrare in care ambele entități au calitatea de operator. In acest sens se poate presupune ca expeditorul informațiilor – nu a fost sancționat pentru ca si-a luat masurile necesare in vederea asigurării securității prelucrării: semnarea acordurilor de prelucrare, alegerea unui furnizor de servicii care oferta garanțiile necesare din punct de vedere al GDPR (cel puțin la nivel declarativ in cadrul acordurilor semnate) etc.
Un aspect de reținut este că Operatorul a respectat procedura de răspuns la incidente, anunțând ANSPDCP în timp util și luând măsurile care se impun.
10. Operatorul BNP Paribas Personal Finance SA (noiembrie 2019)
În urma unei plângeri, ANSPDCP a fost sancționat operatorul CETELEM IFN S.A. cu amendă în cuantum de 9508 lei, echivalentul sumei de 2000 EURO.
Operatorul nu a răspuns petentului în termenul prevăzut de art. 12 alin. (3) din Regulamentul General privind Protecția Datelor, deși acesta solicitase ștergerea anumitor date personale raportate în sistemul de evidență al Biroului de Credit.
În conformitate cu art. 12 alin. (3) din Regulamentul General privind Protecția Datelor, operatorul are obligația de a răspunde cererilor persoanelor vizate fără întârzieri nejustificate și cel târziu în termen de o lună de la primirea cererii.
GDPR prevede obligația operatorilor de date de a răspunde cererilor persoanelor vizate în termen de 30 de zile. Regulamentul nu prevede ca trebuie să dea curs cererii în termen de 30 de zile ci doar să ofere un răspuns solicitantului. Astfel, operatorul poate solicita lămuriri sau informații suplimentare care să îi ajute în soluționarea cererii.
În cazul în care cererea este nejustificată sau există o prevedere legală care îl împiedică pe operatorul să ia măsurile solicitate de persoana vizată, operatorul are obligația de a răspunde, tot în termen de 30 de zile, cu motivarea.
9. INTELIGO MEDIA S.A. (denumire comercială avocatnet.ro) (octombrie 2019)
ANSPDCP a finalizat în luna august a anului în curs o investigație, din care a rezultat faptul că operatorul a folosit o metodă abuzivă de obținere a consimțământului prin folosirea unei căsuțe nebifate ” Nu vreau să primesc „Personal Update”. Astfel abonarea se făcea prin omisiune.
Operatorul nu a putut face dovada obținerii unui consimțământ valabil din punct de vedere GPDR pentru prelucrarea datelor cu caracter personal ale unui număr de 4357 abonați. De asemenea avocatnet.ro s-a folosit pentru transmiterea prin e-mail a informării zilnice, de un temei legal neadecvat scopului, respectiv ”executarea unui contract”.
Amenda aplicată în acest caz este de 9 000 euro.
În expunerea viziunii noastre asupra speței, vom folosi un extras din considerentul (32) al RGPD ” Consimţământul ar trebui acordat printr-o acţiune neechivocă care să constituie o manifestare liber exprimată (…)Prin urmare, absenţa unui răspuns, căsuţele bifate în prealabil sau absenţa unei acţiuni nu ar trebui să constituie un consimţământ.(…) ”
Metoda de abonare la newsletter pentru persoanele fizice folosită de operatorul INTELIGO MEDIA S.A. este una prin omisiune (absența unei acțiuni). Astfel folosind această abordare, este practic imposibil să colectezi un consimțământ valid.
Pornind de la textul aflat pe site-ul operatorului vom oferi un exemplu care să îndeplinească criteriile prelucrării pe bază de consimțământ:
Explicit
Liber
Separat
Documentat
Revocabil
”Nu vreau să primesc „Personal Update”, informarea trimisă zilnic, gratuit, pe email, de avocatnet.ro”
Explicit – acest text nu conține tipul de informații pe care le voi primi: comercial, distractiv, legal, privitoare la numărul de vizualizări ale site-ului, etc.
Liber – Oferirea unui serviciu nu este condiționată de abonarea la ”informare zilnică”.
Separat – În acest text nu sunt incluse și alte prelucrări
Documentat – Fiind vorba de o inacțiune, este mai greu să poți dovedi că o persoană a fost de acord ”pentru că nu a făcut nimic.”
Revocabil – Din nou, pentru că vorbim de o inacțiune, nu putem să ne retragem ceva ce nu am făcut.
După cum putem vedea sunt îndeplinite doar 2 din cele 5 criterii, cu toate că ele trebuie să fie îndeplinite concomitent, pentru ca prelucrarea să fie valabilă.
Exemplul nostru:
”Doresc să primesc, zilnic, pe adresa de e-mail informații legate de articolele nou apărute pe site-ul avocatnet.ro”. (cu posibilitatea de a bifa o căsuță).
Ca și concluzie, chiar dacă operatorul stabilește ca și temei de prelucrare consimțământul, dacă acesta nu este obținut valabil, prelucrarea este abuzivă și va atrage după ea amendarea.
8.Elefant Online S.A. (octombrie 2019)
Amenda aplicată în acest caz de către ANSPDCP este de 10.000 RON.
Având în vedere că operatorul este un magazin exclusiv online, acesta trimite mesaje comerciale si de tip newsletter către persoanele ale căror adrese de e-mail le dețin.
Sancțiunea a fost aplicată pentru încălcarea legii nr. 506/2004, privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice.
Astfel Elefant Online S.A. nu a putut face dovada obținerii consimțământului prealabil expres și neechivoc pentru transmiterea de mesaje comerciale prin e-mail. Mai mult decât atât petentul a continuat să primească astfel de mesaje și după dezabonarea (prin 2 metode) de la astfel de servicii.
Vedem astfel, că Autoritatea ne oferă indicii foarte importante cu privire la folosirea în mod abuziv a adresei de e-mail și importanța respectării drepturilor persoanelor vizate. În această situație, chiar dacă putem bănui că operatorul a intrat în posesia adresei de e-mail printr-o metoda adecvată (plasarea unei comenzi, înscriere la newsletter, etc.) acesta a continuat să trimită mesaje cu caracter comercial și după ce petentul s-a dezabonat. Un comportament abuziv atât din punct de vedere al legislației interne cât și din punct de vedere a GDPR.
6-7. Raiffeisen Bank S.A. și Vreau Credit S.R.L. – amenzi GDPR (octombrie 2019)
A 6-a și a 7-a amendă aplicată de ANSPDCP cu privire la încălcarea prevederilor GDPR, au avut ca subiecți operatori de date din sistemul bancar și de creditare.
În urma transmiterii unei notificări privind încălcarea securității datelor cu caracter personal Autorității de către operatorul Raiffeisen Bank S.A. aceasta a demarat o investigație în care s-a constatat faptul că 2 angajați ai operatorului prin intermediul aplicației mobile WhatsApp, au efectuat interogări ale sistemului Biroului de Credit pentru a obține datele necesare în vederea determinării eligibilității la creditare a respectivelor persoane fizice, prin simulări de prescoring. În acest sens, au fost efectuate 1194 simulări, cu privire la 1177 persoane fizice. De asemenea, pentru 124 de persoane fizice s-a efectuat și consultarea bazei de date a ANAF.
Datele cu caracter personal ale persoanelor viate au fost obținute de la angajații operatorului Vreau Credit S.R.L., aceștia din urmă, primind, tot prin mijloace de comunicare de tip chat, informații cu privire la cazierul fiscal și eligibilitatea de a obține un credit.
Chiar dacă, Raiffeisen Bank a notificat breșa de securitate, acesta a fost amendat cu suma de 150.000 euro, pentru nerespectarea prevederilor art. 32 din GDPR, nu a luat măsurile corespunzătoare pentru a se asigura că orice persoană fizică care acționează sub autoritatea acestuia și care are acces la date cu caracter personal, nu le prelucrează decât la cererea sa.
În ceea ce privește operatorul Vreau Credit S.R.L., acesta a fost sancționat cu o amendă de 20.000 EURO, de asemenea, pentru încălcarea securității datelor, dar și pentru faptul că până la finalizarea investigației nu a notificat autorității de supraveghere încălcarea securității datelor cu caracter personal, fără întârzieri nejustificate, deși constatase producerea acestui incident de securitate încă din luna decembrie 2018.
Citind Termenele și Condiții, precum și Politicile de Confidențialitate existente pe site-urile operatorilor, aceștia se obligă să efectueze operațiuni de prelucrare a datelor cu caracter personal, în vederea obținerii unui credit (interogări ANAF, prescoring, etc.) doar cu consimțământul persoanelor vizate și prin intermediul acordurilor de colaborare existente între cei doi.
Totuși unde au greșit?
În primul rând prin faptul că nu au luat măsuri ca datele cu caracter personal să nu fie procesate, altfel decât prin intermediul mijloacelor electronice securizate de care dispun și altfel decât prin respectare procedurile. Aplicaților domestice de tip chat, folosite de angajați, sunt invazive și nu oferă garanții de securitate. Mai mult decât atât, având în vedere că ele pot fi stocate, dezvăluirea către terți devine foarte facilă.
Putem presupune, că aceste operațiuni au fost făcute fără a îndeplini condițiile de consimțământului prevăzute de GDPR, fiind vorba de operațiuni multiple, fără ca persoana vizată să își exprime dorința / consimțământul informat prin încheierea unui acord cu operatorii.
Vreau Credit S.R.L. nu a notificat ANSPDC cu privire la breșa de securitate, cu toate că a luat act de ea.
În lipsa unei proceduri clare cu privire la breșele de securitate, a unui plan de acțiune și a Notificării ANSPDC persoana vizata poate suferii prejudicii, uneori de ne reparat, care duc la slăbirea încrederii acordată operatorilor. Evitarea unei breșe este ideală, dar atunci când ea se produce, trebuie să fim pregătiți să luăm toate măsurile care se impun, atât pentru protecția persoanei vizate cât și pentru a evita sau a minimiza amenzile.
5. Operatorul Artmark Holding SRL (august 2019)
În data de 10.10.2019, ANSPDCP a anunțat printr-un comunicat, aplicarea unei noi amenzi privind nerespectarea atât prevederilor GDPR cât și a legii 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice.
Obiectul amenzii îl face trimiterea de mesaje comerciale nesolicitate, fără a avea consimțământul persoanei vizate. Se menționează, de asemenea, că petentul a solicitat ștergea adresei de e-mail din baza de date a operatorului deoarece aceasta a fost obținută fără acordul lui.
Operatorul Artmark Holding SRL nu a dat curs acestei cereri, continuând să îi trimită mesaje comerciale de tip SPAM.
Autoritatea a clasificat aceste acțiuni abuzive și contrare principiilor protejării datelor cu caracter personal. Amenda de 10.000 RON a venit însoțită și cu îndrumări și recomandări către operator.
Artmark Holding SRL a fost sancționat contravențional cu amendă în cuantum de 10.000 lei.
Chiar dacă amenda a fost aplicată pentru încălcarea 506/2004, este vorba și despre o încălcare a drepturilor prevăzute de GDPR. Mai exact vorbim de dreptul de a fi uitat.
Comunicarea prin mijloace electronice, reglementată în România prin legea 506/2004 și la nivel european prin noul Regulament General Privind Protecția Datelor, este cel mai de actualitate subiect indiferent de obiectul de activitate, al comunicărilor sau a scopului. Astfel, fie că vorbim de relații între particulari, de relații între persoane juridice, instituții ale statului, etc. marea majoritate a comunicării se efectuează prin mijloace electronice.
Pe lângă securitatea acestor mijloace, fie ele mesaje de tip e-mail, sms, chat-uri, etc., este nevoie să ne asigurăm de legalitatea lor.
Interesul legitim, necesitatea efectuării unui serviciu public și consimțământul, sunt cele 3 temeiuri legale pe care ne putem baza în astfel de cazuri.
Consimțământul, este cel mai sensibil dintre ele. Astfel, pentru ca acesta să poată fi folosit, este nevoie să îndeplinească mai multe condiții concomitent:
- Explicit
- Liber exprimat
- Individual / separat pe scopuri
- Documentat
- Revocabil
Când suntem siguri că îndeplinim aceste condiții, comunicarea de tip marketing/newsletter, poate fi efectuată. Asta până în momentul în care persoana vizată, face uz de dreptul de a fi șters, prevăzut de art. 17 din GDPR. Astfel din momentul în care, am luat act de dorința destinatarului de a nu mai primi astfel de comunicări, avem obligația de a da curs ștergerii tuturor informațiilor pe care le deținem, în calitatea de operator, despre persoana vizată.
Orice comunicare, de tip comercial, marketing, newsletter, după solicitarea de ștergere, devine ilegală.
Sfatul nostru, este să vă asigurați că aveți o procedură privind exercitarea drepturilor persoanelor vizate, în speciale când vine vorba de mediul electronic.
4. UTTIS INDUSTRIES SRL, amendată cu 2 500 euro (iulie 2019)
Operatorul UTTIS INDUSTRIES SRL se adaugă listei companiilor amendate în baza GDPR de către ANSPDCP, fiind al 4-lea la număr.
După cum era de așteptat, în contextul ultimelor ghiduri și discuții pe marginea subiectului CCTV – supraveghere video, amenda a fost una care vizează nerespectarea Regulamentului cu privire la informarea persoanelor vizate de supraveghere video.
Astfel, nu faptul că Operatorul folosește un sistem CCTV pentru pază și protecție, având ca temei legal Legea 333/2003 – privind paza obiectivelor, bunurilor, valorilor și protecția persoanelor, a condus la sancționare ci lipsa informării adecvate.
În această situație, pentru ca normele GDPR să fie urmate, trebuia făcută o informare a angajaților cu privire la scopul, durata, locul etc. supravegherii video chiar și prin simpla afișare a unor pictograme în punctele cheie.
Aveți mai jos o serie de exemple care vă ajută să identificați dacă vă aflați într-o situație asemănătoare și dacă este nevoie să luați măsuri:
https://gdprcomplet.ro/monitorizarea-video-prin-sisteme-cctv-conform-gdpr-situatii-si-exemple-detaliate/
Tot în urma aceleiași investigații s-a constata că Operatorul UTTIS INDUSTRIES SRL a efectuat o prelucrare nelegală a CNP-urilor angajaților, prelucrare care a dus la o scurgere de date prin afișarea Referatului pentru instruirea personalului autorizat ISCIR aferent anului 2018 la avizier societății.
Este foarte important ca pentru fiecare prelucrare de date cu caracter personal să vă asigurați că aveți o bază legală și că minimizați folosirea datelor cu caracter personal.
Cuantumul amenzilor primite Operatorul UTTIS INDUSTRIES SRL este de 11.834,25 lei (echivalentul sumei de 2500 euro).
3. Legal Company & Tax Hub SRL, amendată cu 3000 de EURO (iulie 2019)
Ironia sorții face ca Legal Company & Tax Hub SRL să fie chiar o companie de consultanță în domeniul GDPR. Problema în cazul lor a fost un link public către un fișier neprotejat suficient care conținea și datele cu caracter personal ale clienților companiei respective.
Oricât de tentante ar fi pentru unii comentariile răutăcioase pe tema amenzii luate de un furnizor de servicii GDPR, aceasta amendă este probabil cea mai clară dovadă că i se poate întâmpla oricui, compania în cauză fiind la urma urmei:
- O firmă mică
- Cu un site relativ mic
- Cel mai probabil fără un buget extraordinar
- Cu un proprietar/manager fără cunoștințe deosebite în IT,
- Și un furnizor care face o eroare umană, greu spre imposibil de detectat, atunci când nu ai cunoștințele tehnice necesare.
Oare câte mii, (zeci de mii?) de astfel de cazuri nedescoperite și neamendate or mai fi în România?
2. Hotelul World Trade Center, amendat cu 15.000 de EURO (iulie 2019)
Încălcarea a constat în faptul că o listă printată pe suport de hârtie, utilizată pentru verificarea clienților care serveau micul dejun și care conținea date cu caracter personal ale unui număr de 46 de clienți, a fost fotografiată de către persoane neautorizate din afara societății, ceea ce a condus la dezvăluirea în mediul on-line a datelor cu caracter personal ale unor clienți, prin publicare.
Cel mai interesant lucru de reținut în comunicatul Autorității despre această amendă este faptul că operatorul a fost sancționat pentru că nu a luat măsuri pentru a se asigura că angajații săi care au acces la date cu caracter personal nu le prelucrează decât la cererea sa, potrivit legii.
Mai pe românește, amenda nu pare să fi fost pentru scurgerea de date în sine. Oricine poate intra într-un hotel, să pozeze o listă cu numele de la micul dejun și să o pună pe Facebook de exemplu. Problema a fost faptul că operatorul nu a luat măsuri ca să prevină astfel de incidente.
Așadar iată de ce este important ca fiecare companie să facă eforturi și să ia măsuri de conformare la GDPR, chiar dacă erori și scurgeri de date pot apărea oriunde.
Ceva ne spune că în cazul acesta, dacă hotelul ar fi putut demonstra existența măsurilor în cauză, să nu mai fi încasat amenda.
Păi ce măsuri ar fi putut lua?
De exemplu operatorul trebuia să se asigure că acea listă este securizată, că există o procedură conformă cu GDPR pentru a identifica persoanele care au acces la micul-dejun sau orice alt serviciu oferit de Hotel.
Orice dată cu caracter personal care este pe suport de hârtie reprezintă un risc crescut de dezvăluire spre persoane neautorizate: poate fi uitată undeva, poate fi aruncată la coșul de gunoi fără a fi distrusă, poate fi citită si memorată, poate fi fotografiată și de ce nu, furată.
Concret, alternative mai sigure ar fi fost
- Minim, instruirea angajaților cu privire la ce au și ce nu au voie să facă cu lista respectivă (ex. să nu o lase ‘nesupravegheată’, la intrarea în restaurant)
- Ideal, sistemele de oferire a micului dejun care nu necesită scrierea numelor oaspeților, gen brățări sau cupoane oferite la momentul cazării special în acest sens.
1. Unicredit Bank, amendă de 130.000 de EURO pe 27 iunie 2019 (iunie 2019)
În acest caz principala problemă reieșită din comunicatul Autorității din România este faptul că în situația în care o persoană efectua o plată online prin Unicredit, beneficiarul plății primea și CNP-ul și adresa plătitorului în cazul plăților spre conturi din alte bănci, respectiv adresa plătitorului în cazul plăților interne.
Aceste informații apăreau în ‘documentele ce conțin detaliile tranzacțiilor şi care sunt puse on-line la dispoziţia clienţilor beneficiari ai plăţilor’ – adică în extrasele de cont/detalii.
Deși Unicredit, are categoric dreptul să colecteze CNP-urile respective, aspectele problematice au fost că:
- informațiile divulgate reprezentau o scurgere de date cu caracter personal
- plătitorul nu a fost informat cu privire la transmiterea datelor sale spre persoanele spre care făcea plățile.
- nu s-a respectat principiul privacy by design și privacy by default în direcția conformării aplicațiilor / platformei de plăți a operatorului vizat de sancțiune. O posibilă soluție ar fi fost ca în loc să apară CNP-ul complet să apară doar ultimele 6 cifre.
Dacă îți respecti cu adevărat clienții, angajații și colaboratorii, îți place lucrul bine făcut și vrei sa scapi de grija amenzilor GDPR, contactează-ne pe contact@gdprcomplet.ro pentru servicii de consultanță GDPR, DPO externalizat, cursuri GDPR sau software pentru conformare GDPR.