GDPR update noiembrie 2019
9 minute • Ana-Maria Udriste • 02 decembrie 2019
Luna noiembrie a fost foarte activă pentru ANSPDCP, deciziile fiind foarte variate.
Mai jos găsești rezumatul deciziilor prin care autoritatea a sancționat operatorii în luna noiembrie 2019. Iar unele te vor surprinde.
Dacă crezi că GDPR nu ți se aplică, gândește-te de două ori. Dacă ești tentat să spui că autoritatea aplică amenzi doar companiilor mari și din anumite domenii, află că nu este așa.
GDPR se aplică tuturor companiilor, indiferent de mărime și de domeniu, că activează în mediul online sau nu. Pe parcursul acestui articol vei găsi o serie de resurse utile, care să te ajute în activitatea curentă.
1. CETELEM IFN S.A. nu a șters anumite date din Biroul de Credit
Potrivit comunicatului de presă de pe site-ul ANSPDCP:
Operatorul BNP Paribas Personal Finance SA a fost sancționat contravențional cu amendă în cuantum de 9508 lei, echivalentul sumei de 2000 EURO.
Investigația s-a demarat ca urmare a unor plângeri prin care se reclama faptul că operatorul nu a răspuns petentului în termenul prevăzut de art. 12 alin. (3) din Regulamentul General privind Protecția Datelor, deși acesta solicitase ștergerea anumitor date personale raportate în sistemul de evidență al Biroului de Credit.
În conformitate cu art. 12 alin. (3) din Regulamentul General privind Protecția Datelor, operatorul are obligaţia de a răspunde cererilor persoanelor vizate fără întârzieri nejustificate şi cel târziu în termen de o lună de la primirea cererii.
De asemenea, operatorului BNP Paribas Personal Finance SA i s-a aplicat și o măsură corectivă care a constat în adoptarea de măsuri, la nivelul societății, cu privire la soluționarea cererilor persoanelor vizate, astfel încât să fie respectate, în toate cazurile, prevederile art. 12 din Regulamentul (UE) 2016/679.
2. FAN Courier a rămas și cu mașinile sparte și a primit și amendă
Potrivit comunicatului de presă de pe site-ul ANSPDPC:
FAN COURIER EXPRESS SRL a încălcat prevederile art. 32 alin. (1) și alin. (2) din Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (RGPD).
Operatorul FAN COURIER EXPRESS SRL a fost sancționat contravențional cu amendă în cuantum de 52.325,9 lei, echivalentul a 11000 EURO.
Sancțiunea a fost aplicată operatorului întrucât nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurarii unui nivel de securitate corespunzator riscului prelucrării generat în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod, ceea ce a condus la pierderea datelor cu caracter personal (nume, prenume, numar card, cod siguranta card (cvv), adresa titular card, cod numeric personal, serie si număr card identitate, numar cont IBAN, limita credit aprobat, adresa de corespondenta) și la divulgarea/accesarea neautorizată a datelor cu caracter personal, fiind afectate de incidentele de securitate un număr de aproximativ 1100 persoane fizice vizate, deși operatorul avea obligația luării măsurilor de securitate adecvată a datelor cu caracter personal potrivit dispozițiilor art. 5 alin. (1) lit. f din RGPD.
Implementează azi o procedură în cadrul companiei tale privind breșele de securitate cu ajutorul pachetului avocatoo.ro.
Citește și: GDPR: prevenirea si abordarea incidentelor (breșelor de securitate)
3. ING BANK a dublat tranzacțiile
Potrivit comunicatului de presă de pe site-ul ANSDPCP:
ING Bank N.V. Amsterdam – Sucursala București a încălcat prevederile art. 25 alin. (1) coroborat cu art. 5 alin. 1 lit. f) din RGPD, ceea ce a condus la aplicarea unei amenzi contravenționale în cuantum de 80.000 euro.
În acest sens, operatorul nu a asigurat respectarea principiului protecției datelor începând cu momentul conceperii și cel al protecției implicite a datelor (privacy by design și privacy by default), întrucât nu a procedat la adoptarea de măsuri tehnice și organizatorice corespunzătoare, privind integrarea de garanții adecvate în sistemul automatizat de prelucrare a datelor în cadrul procesului de decontare al tranzacțiilor cu cardul, fiind afectat un număr de 225.525 de clienți ale căror operațiuni de plată au fost dublate în perioada 8-10.10.2018, raportat și la prevederile art. 32 alin. (1) lit. d) din RGPD.
În acest context, precizăm că art 25 alin. (1) din RGPD prevede următoarele:
”Având în vedere stadiul actual al tehnologiei, costurile implementării, și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice pe care le prezintă prelucrarea, operatorul, atât în momentul stabilirii mijloacelor de prelucrare, cât și în cel al prelucrării în sine, pune în aplicare măsuri tehnice și organizatorice adecvate, cum ar fi pseudonimizarea, care sunt destinate să pună în aplicare în mod eficient principiile de protecție a datelor, precum reducerea la minimum a datelor, și să integreze garanțiile necesare în cadrul prelucrării, pentru a îndeplini cerințele prezentului regulament și a proteja drepturile persoanelor vizate.”
De asemenea, art. 5 alin. (1) lit. f) din RGPD stabilește unul dintre principiile de prelucrare a datelor și anume faptul că datele trebuie ”prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecţia împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare (“integritate şi confidenţialitate“).”
Totodată, potrivit art. 32 alin. (1) lit. d) din RGPD, printre măsurile tehnice şi organizatorice adecvate pe care operatorul trebuie să le ia în vederea asigurării unui nivel de securitate corespunzător riscului, se numără și cea privind existența unui proces pentru testarea, evaluarea şi aprecierea periodice ale eficacităţii măsurilor tehnice şi organizatorice pentru a garanta securitatea prelucrării.
Citește și: Șapte sfaturi utile pentru protecția datelor personale
Sțiai că ING Bank nu este primă bancă amendată de ANSPDCP pentru încălcarea GDPR? Au mai fost sancționate Unicredit Bank și Raiffeisen Bank, tot pentru nerespectarea securității datelor personale și divulgarea neautorizată.
4. Nici saloanele de evenimente & pensiunile nu ”scapă” de GDPR – cazul Royal President
Potrivit comunicatului de presă de pe site-ul ANSDPCP:
Royal President S.R.L., a încălcat următoarele:
- art. 12 alin. (3) și (4) și art. 15 din Regulamentul General privind Protecția Datelor;
- art. 5 alin. (1) lit. f) și art. 32 alin. (1) lit b) din Regulamentul (UE) 679/2016.
Operatorul Royal President S.R.L. a fost sancționat cu avertisment pentru încălcarea prevederile art. 15 și art. 12 alin. (3) și (4) din Regulamentul (UE) 679/2016 și cu amendă în cuantum de 11.932,25 lei, echivalentul sumei de 2500 EURO pentru încălcarea art. 5 alin. (1) lit. f) și art. 32 alin. (1) lit b) din Regulamentul (UE) 679/2016.
Sancțiunile au fost aplicate ca urmare a unei plângeri prin care se reclama faptul că Royal President S.R.L. a refuzat soluționarea unei cereri de exercitare a dreptului de acces prevăzut de art. 15 din Regulamentul General privind Protecția Datelor, precum și faptul că acesta a dezvăluit date cu caracter personal fără acordul persoanei vizate.
În cadrul investigației, operatorul Royal President S.R.L. nu a putut face dovada soluționării cererii de exercitare a dreptului de acces în termenul prevăzut de art. 12 alin. (3) din Regulamentul (UE) 2016/679.
De asemenea, s-a constatat că datele cu caracter personal colectate prin intermediul fișei de cazare nu au fost prelucrate într-un mod care să asigure securitatea lor, prin luarea de măsuri tehnice sau organizatorice corepunzătoare, pentru a se putea evita orice dezvăluire neautorizată încălcându-se prevederile art. 5 alin. (1) lit. f), ale art. 32 alin. (1) lit. b) și ale art. 32 alin. (2) din Regulamentul (UE) 2016/679,
Totodată, operatorului i s-a aplicat și o măsură corectivă care a constat în întocmirea și implementarea unei proceduri interne privind protecția datelor cu caracter personal ale beneficiarilor serviciilor de cazare, prin raportare la prevederile art. 32 din Regulamentul (UE) 2016/679.
Citește și: A doua amendă pe GDPR în România pică pe umerii unui hotel și află cum se desfășoară investigațiile GDPR.
5. Un angajat TAROM se pare că a divulgat #pesurse o listă cu pasageri
Tudor Galoș și-a adus aminte ceea ce mulți uitasem: respectiv scandalul cu reținutul la sol a unor aeronave aparținând TAROM.
Potrivit comunicatului de presă de pe site-ul ANSDPCP:
CNTAR TAROM SA a încălcat prevederile art. 32 alin. (4) coroborat cu art. 32 alin. (1) și alin. (2) din Regulamentul General privind Protecția Datelor.
Investigația a fost efectuată ca urmare a notificării autorității de supraveghere de către CNTAR TAROM SA din data de 13.09.2019 cu privire la încălcarea securității datelor cu caracter personal.
Operatorul CNTAR TAROM SA a fost sancționat contravențional cu amendă în cuantum de 95.194 lei, echivalentul a 20.000 EURO.
Sancțiunea a fost aplicată operatorului ca urmare a faptului că acesta nu a implementat măsuri tehnice și organizatorice adecvate pentru a se asigura că orice persoană fizică care acționează sub autoritatea acestuia și care are acces la date cu caracter personal, nu le prelucrează decât la cererea sa. Corelat cu acest aspect, operatorul nu a luat nici măsuri adecvate pentru a asigura un nivel de securitate corespunzător riscului generat de divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.
Această situație a condus la accesarea neautorizată, de către un angajat propriu, a aplicației de rezervări și fotografierea unei liste conținând datele cu caracter personal a 22 pasageri/clienți TAROM și la divulgarea neautorizată în mediul on-line a acestei liste.
Nu uita să te abonezi la newsletter-ul nostru!