prima amenda GDPR din Romania

Prima amenda pe GDPR in Romania! ANSPDCP a amendat Unicredit.

4 minute • Ana-Maria Udriste • 04 iulie 2019


Iată că după un an de la intrarea în vigoare a Regulamentului privind protecția datelor cu caracter personal (GDPR), apare prima amendă și în România. Această acțiune face parte dintr-un ”val” de amenzi aplicate la nivel european, întrucât aproape toate statele membre au aplicat câte o amendă până acum.

Update: până acum la nivelul UK sancțiunile care vizează pe British Airways și lanțul hotelier Marriott, iar la nivel național, avem Unicredit Bank S.A., hotelul World Trade Center și Avocatoo. Citește și ce am învățat dintr-o amendă pe GDPR.

Conform unui comunicat de presă emis de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), aceasta a amendat UNICREDIT BANK S.A. ca urmare a finalizării unei investigații la data de 27.06.2019.

UNICREDIT BANK S.A., în calitate de operator, a fost sancționat contravențional cu amendă în cuantum de 613.912 lei, echivalentul în euro al sumei de 130.000 euro. Potrivit datelor disponibile pe site-ul Ministerului Finanțelor Publice, conform bilanțului pentru anul 2018 și prin raportare la profit, iar nu la cifra de afaceri, amenda ar reprezenta 0.11% din profitul operatorului pe anul 2018. Dacă am raporta la cifra de afaceri, cuantumul ar fi mult mai mic.

De ce a fost sancționată UNICREDIT?

Operatorul nu a aplicat măsurilor tehnice și organizatorice adecvate care să permită securizarea tranzacțiilor și a transferului datelor personale, inclusiv prin raportare la reducerea la minimum a datelor. Conform GDDPR, operatorul are o serie de obligații specifice, despre care poți citi mai multe aici.

Astfel, în documentele de tranzacționare online, beneficiarul tranzacției putea, atunci când cerea un extras de cont/detalii cu privire la tranzacții, să vadă CNP-ul și adresa persoanelor care efectuau plăți la UNICREDIT BANK.

Potrivit art. 5 alin. 1 lit. c) din GDPR (”Principii legate de prelucrarea datelor cu caracter personal”), operatorul avea obligația de a prelucra date limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate datele.

Citește și articolul nostru despre cum faci o prelucrare corectă conform GDPR, prin raportare la principiile esențiale. 

În același timp, considerentul (78) din Regulament precizează: ”Protecţia drepturilor şi libertăţilor persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal necesită adoptarea de măsuri tehnice şi organizatorice corespunzătoare pentru a se asigura îndeplinirea cerinţelor din prezentul regulament. Pentru a fi în măsură să demonstreze conformitatea cu prezentul regulament, operatorul ar trebui să adopte politici interne şi să pună în aplicare măsuri care să respecte în special principiul protecţiei datelor începând cu momentul conceperii şi cel al protecţiei implicite a datelor. Astfel de măsuri ar putea consta, printre altele, în reducerea la minimum a prelucrării datelor cu caracter personal, pseudonimizarea acestor date cât mai curând posibil, transparenţa în ceea ce priveşte funcţiile şi prelucrarea datelor cu caracter personal, abilitarea persoanei vizate să monitorizeze prelucrarea datelor, abilitarea operatorului să creeze elemente de siguranţă şi să le îmbunătăţească. Atunci când elaborează, proiectează, selectează şi utilizează aplicaţii, servicii şi produse care se bazează pe prelucrarea datelor cu caracter personal sau care prelucrează date cu caracter personal pentru a-şi îndeplini rolul, producătorii acestor produse şi furnizorii acestor servicii şi aplicaţii ar trebui să fie încurajaţi să aibă în vedere dreptul la protecţia datelor la momentul elaborării şi proiectării unor astfel de produse, servicii şi aplicaţii şi, ţinând cont de stadiul actual al dezvoltării, să se asigure că operatorii şi persoanele împuternicite de operatori sunt în măsură să îşi îndeplinească obligaţiile referitoare la protecţia datelor. Principiul protecţiei datelor începând cu momentul conceperii şi cel al protecţiei implicite a datelor ar trebui să fie luate în considerare şi în contextul licitaţiilor publice.

Ne place să scriem despre GDPR. O facem bine și avem cea mai mare resursă de informații disponibilă gratuit  aici.

Dacă vrei să înveți GDPR și să îl înțelegi, îți recomandăm manualul nostru complet, cu explicații, cumpărat de peste 200 din marile companii de pe piață. 

Descoperă și soluțiile noastre pentru conformare la GDPR de tip DYI (do-it-yourself) mai jos. Recomandate de peste 300 clienți.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *