Primele amenzi pentru încălcarea GDPR în Danemarca
4 minute • Anca-Teodora Hrițcu • 13 iunie 2021
Pe data de 12 februarie 2021, Tribunalul din Aarhus a amendat o companie daneză cu 100.000 DKK (coroane daneze, echivalentul a 66.148,22 lei) pentru încălcarea Regulamentului General privind Protecția Datelor. Compania a fost amendată pentru încălcarea principiilor limitării stocării datelor. Instanța a constatat că respectiva companie deținea datele cu caracter personal a peste 350.000 de clienți, mai mult decât era necesar. Importanța acestui caz este dată de faptul că este pentru prima dată când se aplică o amendă pentru încălcarea legislației privind protecția datelor personale în Danemarca de la intrarea în vigoare a GDPR.
Care este situația de fapt?
Articolul 5 din GDPR stabilește principiile generale pentru prelucrarea datelor cu caracter personal. Unul dintre aceste principii generale, prevăzut la art. 5 alin. (1) lit. e) este acela ca datele cu caracter personal trebuie stocate în așa fel încât să nu fie posibilă identificarea persoanelor vizate pentru o perioadă mai lungă de timp decât este necesar pentru scopurile în care sunt prelucrate datele cu caracter personal în cauză. Cu alte cuvinte, datele cu caracter personal ar trebui stocate numai atât timp cât este necesar.
Conform Legii contabilității din Danemarca, datele deținute de companie ar fi trebuit șterse dat fiind faptul că materialele contabile trebuie păstrate în siguranță timp de 5 ani de la sfârșitul anului financiar la care se referă respectivele materiale. Prin urmare, datele personale în această situație vor putea fi păstrate cu un scop legitim dar nu pentru o perioadă mai lungă de 5 ani, cu excepția cazului în care operatorul are un alt motiv valid pentru stocarea datelor. În speță, datele celor peste 350.000 de persoane fuseseră șterse de companie în ianuarie 2019, însă ștergerea datelor a avut loc mai târziu de cei 5 ani de la încheierea exercițiului financiar la care materialele se referă.
În iunie 2019, Agenția Daneză pentru Protecția Datelor a recomandat procurorilor să amendeze compania cu 1,5 milioane DKK pentru încălcarea GDPR, recomandare ce a fost aprobată. În vederea estimării amenzii a fost luată în considerare cifra de afaceri a întregului grup, presupunându-se că respectiva companie, în mod deliberat, nu a reușit să șteargă datele personale în termenul de 5 ani de la încheierea anului financiar.
Ce a decis instanța?
Instanța a decis că, în cauză, datele cu caracter personal ar fi trebuit șterse după perioada de 5 ani și astfel a existat o încălcare a art. 5 alin. (1) lit. e) din Regulamentul privind protecția datelor.
Cu toate acestea, instanța a considerat că eșecul ștergerii datelor cu caracter personal se datora sistemelor IT active ale companiei și nu istoricului de date ale clienților. Instanța a considerat că această omisiune a companiei nu a fost o încălcare intenționată a obligațiilor privind protecția datelor, ci a fost un act neglijent. În plus, compania a fost capabilă să demonstreze că a făcut tot ce a putut pentru a se asigura că sistemele informatice ale companiei respectă atât din punct de vedere tehnic, cât și legal, Regulamentul privind Protecția datelor.
În plus, Curtea a constatat că există și alți factori atenuanți, printre care următorii:
- a fost încălcat pentru prima dată Regulamentul privind protecția datelor;
- informațiile în cauză erau de natură generală și nesensibilă;
- datele cu caracter personal se aflau într-un sistem mai vechi și parțial eliminat, accesibil doar ocazional;
- nicio persoană vizată nu a suferit niciun prejudiciu;
- încălcarea a fost doar de natură formală.
Luând în considerare toți factorii de mai sus, instanța a aplicat o amendă de 100.000 DKK.
Ce influență are decizia instanței asupra altor cazuri similare?
Înainte de intrarea în vigoare a Regulamentului privind protecția datelor, nivelul amenzilor pentru încălcarea Legii privind datele cu caracter personal era între 2.000 și 25.000 DKK, în funcție de natura încălcării. În ciuda faptului că instanța a efectuat o evaluare amănunțită a factorilor de atenuare, cazul de față demonstrează că se aplică amenzi mai mari în temeiul Regulamentelor privind protecția datelor.