Amenzi uriașe pentru încălcarea protecției datelor personale. Firme celebre sancționate
Amenzi uriașe pentru încălcarea protecției datelor personale. Firme celebre sancționate
28 Mar, 2020 00:00
ZIUA de Constanta
5855
Marime text
Au existat voci care spuneau că Regulamentul General privind Protecția Datelor nu este respectat de anumite firme și nu se iau măsuri. Recent, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a publicat rezultatul mai multor investigații care s-au lăsat cu amenzi către mai multe societăți și asociații, cunoscute la nivel național.
De exemplu, o persoană a primit un e-mail după ce s-a dezabonat de la portalul online al societății în cauză, iar cea din urmă a fost amendată, pe când o altă firmă a transmis un contract cu datele altui client către o persoană, iar în final, societatea a fost amendată.
Asociația „SOS Infertilitatea”
Autoritatea Națională de Supraveghere a finalizat în data de 13.02.2020 o investigație la operatorul Asociația „SOS Infertilitatea” și a constatat că acesta nu a transmis informațiile solicitate de Autoritatea de supraveghere în temeiul art. 58 alin. (1) lit. a) și lit. e) din Regulamentul General privind Protecția Datelor.
Operatorul a fost sancționat contravențional cu amendă în cuantum de 9529,2 lei, echivalentul sumei de 2000 EURO, în temeiul art. 83 alin. (5) lit. e) din Regulamentul (UE) 679/2016.
Autoritatea Naţională de Supraveghere a fost sesizată cu privire la faptul că Asociația „SOS Infertilitatea” a dezvăluit date cu caracter personal fără consimțământul persoanei vizate.
Autoritatea de supraveghere a solicitat Asociației mai multe informații referitoare la aspectele sesizate, dar operatorul nu a răspuns solicitărilor instituției noastre. În urma contactării telefonice a operatorului, președintele asociației și-a exprimat opțiunea de a i se transmite solicitarea Autorității de supraveghere prin e-mail la o adresă indicată de acesta.
Întrucât Asociația „SOS Infertilitatea” nu a transmis informațiile solicitate până la data încheierii procesului-verbal de constatare/sancționare, aceasta a fost sancționată cu amendă.
Totodată, operatorului i s-a aplicat și măsura corectivă de a transmite Autorității, în scris, toate informațiile solicitate, în termen de 5 zile lucrătoare de la comunicarea procesului-verbal.
Enel Energie Muntenia
În data de 25.02.2020, Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul Enel Energie Muntenia SA și a constatat că acesta a încălcat prevederile art. 32 din Regulamentul General privind Protecţia Datelor, referitoare la securitatea prelucrării.
Operatorul Enel Energie Muntenia SA a fost sancționat contravențional cu amendă în cuantum de 14.423,7 lei, echivalentul sumei de 3000 EURO.
Încălcarea securității și confidențialității datelor cu caracter personal a constat în faptul că operatorul Enel Energie Muntenia SA a transmis pe adresa de e-mail a unui client persoană fizică, date personale (nume și prenume, adresă, adresă de e-mail, cod client, cod eneltel) ale unui alt client.
Operatorul Enel Energie Muntenia SA a fost sancționat deoarece nu a implementat măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării generat în special, în mod accidental sau ilegal, de divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal.
Autoritatea Naţională de Supraveghere a efectuat investigația ca urmare a unei sesizări transmise de un client al operatorului, aceasta fiind însoțită de dovezi concludente cu privire la cele sesizate.
Totodată, operatorului Enel Energie Muntenia SA i s-a aplicat și o măsura corectivă, în temeiul prevederilor art. 58 alin. (2) lit. i) din Regulamentul General privind Protecția Datelor.
Astfel, operatorul a fost obligat să asigure conformitatea cu Regulamentul General privind Protecția Datelor prin implementarea unor măsuri adecvate și eficiente de securitate, atât din punct de vedere tehnic, cât și din punct de vedere organizatoric, în termen de 30 de zile lucrătoare de la comunicării procesului-verbal.
Vodafone România cazul 1
În data de 11.02.2020, Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul Vodafone România SA și a constatat că acesta a încălcat principiile de prelucrare a datelor personale stabilite prin prevederile art. 5 alin. (1) lit. d) și f) coroborate cu art. 5 alin. (2) din Regulamentul General privind Protecția Datelor.
Operatorul Vodafone România SA a fost sancționat contravențional cu amendă în cuantum de 14308,8 lei, echivalentul a 3.000 euro.
Sancțiunea a fost aplicată operatorului întrucât a prelucrat greșit date personale ale unei persoane fizice în scopul soluționării reclamației acesteia, ceea ce a determinat ulterior transmiterea răspunsului operatorului către o adresă de e-mail eronată, nefiind adoptate suficiente măsuri suficiente de securitate împotriva prelucrării ilegale a datelor personale ale persoanei respective, cu încălcarea principiilor de prelucrare prevăzute de art. 5 alin. (1) lit. d) și f) coroborat cu art. 5 alin. (2) din Regulamentul General privind Protecția Datelor.
Totodată, operatorului Vodafone România SA i s-a aplicat și o măsură corectivă, în temeiul prevederilor art. 58 alin. (2) lit. d) din Regulamentul General privind Protecția Datelor.
Astfel, operatorul a fost obligat să asigure conformitatea cu Regulamentul General privind Protecția Datelor a operațiunilor de colectare și prelucrare ulterioară a datelor personale, prin implementarea unor metode eficiente de respectare a exactității datelor, inclusiv în cazul colectării datelor, precum adresa de poștă electronică. În acest sens, s-a dispus punerea în practică a unor măsuri adecvate și eficiente de securitate din punct de vedere tehnic și organizatoric, inclusiv prin instruirea regulată a persoanelor ce prelucrează date sub autoritatea operatorului, în termen de 30 zile de la data comunicării procesului-verbal de sancționare.
În acest context, reliefăm prevederile art. 5 alin. (1) din Regulament General privind Protecția Datelor, care prevăd că ”datele cu caracter personal sunt:
d) exacte şi, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt şterse sau rectificate fără întârziere ("exactitate");
f) prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecţia împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare ("integritate şi confidenţialitate").”
De asemenea, art. 5 alin. (2) din Regulament prevede că ”Operatorul este responsabil de respectarea alineatului (1) şi poate demonstra această respectare ("responsabilitate")”.
Vodafone Romania cazul 2
În data de 13.02.2020, Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul Vodafone România SA și a constatat că acesta a încălcat dispozițiile Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, cu modificările și completările ulterioare.
Operatorul Vodafone România SA a fost sancționat contravențional cu două amenzi în cuantum total de 20.000 lei.
Sancțiunile au fost aplicate operatorului ca urmare a unei sesizări cu privire la faptul că Vodafone România SA a încălcat securitatea și confidențialitatea datelor cu caracter personal.
Astfel, o petentă a Autorității a susținut că a solicitat o ofertă pe telefon, prin intermediul site-ului operatorului Vodafone România SA și că, ulterior, a primit pe adresa sa de e-mail, un contract încheiat de operator cu o altă persoană fizică, petenta având suspiciuni că datele sale cu caracter personal ar fi putut fi dezvăluite acestei persoane.
Ca urmare a investigației efectuate la operator, Autoritatea a constatat că Vodafone România SA nu a respectat dispozițiile art. 3 alin. (1) – (3) din Legea nr. 506/2004, cu modificările și completările ulterioare, potrivit cărora furnizorul unui serviciu de comunicaţii electronice destinat publicului are obligaţia de a lua măsuri tehnice şi organizatorice adecvate în vederea asigurării securităţii prelucrării datelor cu caracter personal, că acestea trebuie să asigure un nivel de securitate proporţional cu riscul existent, având în vedere posibilităţile tehnice de ultimă oră şi costurile implementării acestor măsuri și să respecte cel puţin următoarele condiţii:
a) să garanteze că datele cu caracter personal pot fi accesate numai de persoane autorizate, în scopurile autorizate de lege;
b) să protejeze datele cu caracter personal stocate sau transmise împotriva distrugerii accidentale ori ilicite, împotriva pierderii sau deteriorării accidentale şi împotriva stocării, prelucrării, accesării ori divulgării ilicite;
c) să asigure punerea în aplicare a politicii de securitate elaborate de furnizor în ceea ce priveşte prelucrarea datelor cu caracter personal.
De asemenea, s-a constatat faptul că nu au fost respectate dispozițiile art. 3 alin. (6) din Legea nr. 506/2004, cu modificările și completările ulterioare, conform cărora ”În cazul unei încălcări a securităţii datelor cu caracter personal, furnizorii de servicii de comunicaţii electronice destinate publicului vor notifica ANSPDCP, fără întârziere, la respectiva încălcare.”
Pe lângă sancțiunile cu amenda aplicate operatorului Vodafone România SA, Autoritatea Națională de Supraveghere a recomandat acestuia ca, în termen de 30 zile de la data comunicării procesului-verbal, să ia măsurile necesare respectării prevederilor art. 3 alin. (1) – (3) din Legea nr. 506/2004, cu modificările și completările ulterioare, în vederea implementării unor măsuri adecvate de securitate a prelucrării datelor personale, inclusiv sub aspectul asigurării confidenţialității și protejării datelor cu caracter personal împotriva divulgării ilicite
De asemenea, s-a recomandat operatorului Vodafone România SA ca, pe viitor, să notifice breșele de securitate, fără întârzieri, Autorităţii Naționale de Supraveghere.
e-MAG.ro
În data de 27.02.2020, Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul Dante Internațional S.A., deținătorul e-MAG.ro și a constatat că acesta a încălcat prevederile art. 6 din Regulamentul General privind Protecția Datelor, prin raportare la dispozițiile art. 21 alin. (3) din Regulament.
Operatorul Dante Internațional SA a fost sancționat contravențional cu amendă în cuantum de 14.420,4 lei, echivalentul sumei de 3000 EURO.
Sancțiunea a fost aplicată operatorului întrucât la sfârșitul anului 2019 a transmis unei persoane fizice un mesaj comercial, deși la începutul anului 2019 operatorul ii confirmase acesteia dezabonarea de la comunicările comerciale.
Totodată, operatorului Dante Internațional SA i s-au aplicat și două măsuri corective, în temeiul prevederilor art. 58 alin. (2) lit. c) și d) din Regulamentul General privind Protecția Datelor.
Astfel, operatorul a fost obligat să implementeze solicitarea persoanei fizice de a-i fi dezactivată din baza de date setarea privind transmiterea pe adresa de sa de e-mail a mesajelor comerciale, în termen de 3 zile lucrătoare de la comunicarea procesului-verbal. Totodată, operatorul a fost obligat să ia măsuri astfel încât să fie respectate prevederile art. 21 din Regulament, în termen de 20 zile de la data comunicării procesului-verbal.
În acest context menționăm că art. 21 alin. (3) din Regulamentul General privind Protecția Datelor, prevede că ”în cazul în care persoana vizată se opune prelucrării în scopul marketingului direct, datele cu caracter personal nu mai sunt prelucrate în acest scop.”
În exercitarea atribuţiilor sale legale, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal, primeşte, analizează şi soluţionează plângeri legate de prelucrarea datelor cu caracter personal care intră sub incidenţa Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), denumit în continuare RGPD, sau a altor dispoziţii legale aplicabile în domeniul protecţiei dreptului la viaţă intimă, familială şi privată prin prelucrarea datelor personale, inclusiv în sectorul comunicaţiilor electronice şi al comerţului electronic.
Urmareste-ne pe Grupul de Whatsapp
Comentarii