Trei ani de GDPR – Importanța și securitatea datelor cu caracter personal.
În 2020, ANSPDCP a publicat o Sinteză a activității pentru anul 2019. Făcând o comparație cu raportul anterior, observăm o creștere a activității din partea Autorității, dar și un interes mai mare din partea persoanelor vizate privind protecția datelor cu caracter personal.
În continuare ANSPDCP se focusează pe îndrumare și consiliere. Acest aspect este unul pozitiv, având în vedere că, încă, operatorii de date cu caracter personal sunt nepregătiți.
O privire de ansamblu arată așa:
6193 plângeri și sesizări care au condus la 912 investigații – 16 %
Din numărul de 912 investigații doar 28 s-au finalizat cu amendă – 2,8 %
Cuantumul amenzilor fiind de 2.339.291,75 lei.
Solicitările de puncte de vedere au fost în număr de 1106.
Privind procentul de doar 0,5 % (numărul de amenzi rezultate în urma sesizărilor și a plângerilor) putem afirma cu convingere că ANSPDCP nu este o sperietoare și că nu orice prelucrare a datelor cu caracter personal este ilegală sau neconformă.
O mică istorie:
Reforma protecției datelor cu caracter personal și adaptarea prevederilor pentru era digitală au început în ianuarie 2012. Cu toate că exista deja o lege Europeană care prevedea protecția datelor, GDPR a venit cu un set nou de reguli și amenzi.
Textul legislativ care face referire la protectia datelor personale este Regulamentul UE nr. 679/2016, cunoscut drept GDPR, și care înlocuiește Directiva CE nr. 46/1995. El vizează datele cu caracter personal, adică orice informație referitoare la o persoană și care poate duce la identificarea sa directă sau indirectă, indiferent dacă introducerea datelor are loc manual sau printr-un mijloc automatizat, de tip formular online.
Aceste date se împart în două categorii, după cum urmează:
- Date personale: nume, CNP, localizare geografică, adresă IP, Cookies, adresă email;
- Date personale sensibile: stare de sănătate, informații biometrice, informații genetice, rasă, orientare sexuală sau orientare politică.
Principalele categorii de entități vizate prin GDPR sunt:
- Operatorii – cei care stabilesc scopurile și mijloacele de prelucrare a datelor cu caracter personal;
- Persoana împuternicită – cei care sunt responsabili de prelucrarea datelor cu caracter personal în numele unui operator de date.
Astfel, prevederile din cadrul GDPR se aplică Operatorilor și Persoanelor împuternicite stabilite pe teritoriul Uniunii Europene (UE), indiferent de locul unde are loc efectiv procesarea datelor, de exemplu dispozițiile se aplică unei platforme online de social media cu sediul în România, dar care deține serverele în Hong Kong.
Mai mult, se mai aplică Operatorilor și Persoanelor împuternicite care nu sunt stabiliți în UE, dacă:
- Oferă bunuri și servicii către UE, indiferent că sunt sau nu plătite;
- Monitorizează comportamentul persoanelor fizice din UE.
Prin excepție, GDPR nu se aplică persoanelor care prelucrează date în scopuri de securitate națională sau prelucrarea efectuată este exclusiv pentru activități personale ori gospodărești.
Totuși, sunt foarte mari șansele să ți se aplice, fiind foarte probabil ca firma ta să fie Operator, pentru că în evidența ta există informații personale despre clienții tău. Operatorii au acum obligația de a defini scopul pentru care sunt prelucrate datele cu caracter personal, obligațiile legale și să aibă o evidență clară a prelucrărilor.
Regulamentul General privind Protecția Datelor pune mai mult accent pe consimțământ și pe drepturile persoanelor vizate. Astfel, persona fizică, are un control sporit a datelor sale cu caracter personal și a procesărilor acestora.
GDPR se aplică unitar, de sine stătător, tuturor statelor membre UE. În România, Autoritatea care se ocupă de aplicarea, reglementarea și controlul este ANSPDCP.
Ne întrebăm totuși cât de informații sunt cetățenii, persoanele fizice, cu privirea la noul Regulament și cum le sunt protejate datele.
Campaniile de informare a populației române sunt practic inexistente. Persoanele care vor sa afle mai multe despre GDPR trebuie să se documenteze singure. Fie că vorbim de operatori de date sau de persoane vizate, lipsa informării exacte a dus la greșeli în aplicare, la amenzi, la imposibilitatea exercitării drepturilor și a încălcării securității datelor cu caracter personal.
Siteul Autorității de Supraveghere din România ne informează că au existat 398 de notificări de încălcări de securitate. În România există peste 900.000 de companii active și peste 40.000 de Instituții Publice. Având în vedere că toți sunt operatori de date cu caracter personal, este greu de crezut că acesta este numărul real de breșe de securitate într-un an de zile. Mai mult decât atât, s-au efectuat mai puțin de 1000 de controale (din oficiu sau la plângere) care au rezultat în doar 7 amenzi. ANSPDC, prin amenzile aplicate în România, a stabilit niște ghiduri de bune practici. Abordarea mai multor domenii de activități (bancar, hotelier, industrial, consultanță și servicii GDPR) și diferite cerințe ale Regulamentului (informarea, minimizarea procesărilor de date cu caracter personal, supravegherea video, securitatea datelor stocate in mediul online, etc.) a oferit șansa operatorilor de a se conforma întocmai. O amendă nu este un blocaj în activitate, dimpotrivă, este un prilej de îndreptare și de consolidare a protecției datelor cu caracter personal.
Răspunderea pentru implementarea lentă, conformarea greșită și lipsa sancțiunilor clare se împarte între operatori, Autoritate și persoanele vizate.
Plângeri, controale și în cele din urmă și amenzi GDPR TOP 10:
1. Raiffeisen Bank S.A. amendă de 150 000 euro (octombrie 2019)
În urma transmiterii unei notificări privind încălcarea securității datelor cu caracter personal Autorității de către operatorul Raiffeisen Bank S.A. aceasta a demarat o investigație în care s-a constatat faptul că 2 angajați ai operatorului prin intermediul aplicației mobile WhatsApp, au efectuat interogări ale sistemului Biroului de Credit pentru a obține datele necesare în vederea determinării eligibilității la creditare a respectivelor persoane fizice, prin simulări de prescoring. În acest sens, au fost efectuate 1194 simulări, cu privire la 1177 persoane fizice. De asemenea, pentru 124 de persoane fizice s-a efectuat și consultarea bazei de date a ANAF.
Datele cu caracter personal ale persoanelor viate au fost obținute de la angajații operatorului Vreau Credit S.R.L., aceștia din urmă, primind, tot prin mijloace de comunicare de tip chat, informații cu privire la cazierul fiscal și eligibilitatea de a obține un credit.
Chiar dacă, Raiffeisen Bank a notificat breșa de securitate, acesta a fost amendat cu suma de 150.000 euro, pentru nerespectarea prevederilor art. 32 din GDPR, nu a luat măsurile corespunzătoare pentru a se asigura că orice persoană fizică care acționează sub autoritatea acestuia și care are acces la date cu caracter personal, nu le prelucrează decât la cererea sa.
2. Unicredit Bank, amendă de 130 000 de euro (iunie 2019)
În acest caz principala problemă reieșită din comunicatul Autorității din România este faptul că în situația în care o persoană efectua o plată online prin Unicredit, beneficiarul plății primea și CNP-ul și adresa plătitorului în cazul plăților spre conturi din alte bănci, respectiv adresa plătitorului în cazul plăților interne.
Aceste informații apăreau în ‘documentele ce conțin detaliile tranzacțiilor şi care sunt puse on-line la dispoziţia clienţilor beneficiari ai plăţilor’ – adică în extrasele de cont/detalii.
Deși Unicredit, are categoric dreptul să colecteze CNP-urile respective, aspectele problematice au fost că:
-
- informațiile divulgate reprezentau o scurgere de date cu caracter personal
- plătitorul nu a fost informat cu privire la transmiterea datelor sale spre persoanele spre care făcea plățile.
- nu s-a respectat principiul privacy by design și privacy by default în direcția conformării aplicațiilor / platformei de plăți a operatorului vizat de sancțiune. O posibilă soluție ar fi fost ca în loc să apară CNP-ul complet să apară doar ultimele 6 cifre
3. ING Bank N.V. Amsterdam – Sucursala București amendat cu 80 000 de euro (noiembrie 2019)
Operatorul nu a asigurat respectarea principiului protectiei datelor incepand cu momentul conceperii si cel al protectiei implicite a datelor (privacy by design si privacy by default), intrucat nu a procedat la adoptarea de masuri tehnice si organizatorice corespunzatoare, privind integrarea de garantii adecvate in sistemul automatizat de prelucrare a datelor in cadrul procesului de decontare al tranzactiilor cu cardul, fiind afectat un numar de 225.525 de clienti ale caror operatiuni de plata au fost dublate in perioada 8-10.10.2018, raportat si la prevederile art. 32 alin. (1) lit. d) din RGPD.
4. Vodafone Romania S.A. amendat cu 20 000 de euro (februarie 2020)
Sanctiunile au fost aplicate operatorului ca urmare a unei sesizari cu privire la faptul ca Vodafone Romania SA a incalcat securitatea si confidentialitatea datelor cu caracter personal.
Astfel, o petenta a Autoritatii a sustinut ca a solicitat o oferta pe telefon, prin intermediul site-ului operatorului Vodafone Romania SA si ca, ulterior, a primit pe adresa sa de e-mail, un contract incheiat de operator cu o alta persoana fizica, petenta avand suspiciuni ca datele sale cu caracter personal ar fi putut fi dezvaluite acestei persoane.
Ca urmare a investigatiei efectuate la operator, Autoritatea a constatat ca Vodafone Romania SA nu a respectat dispozitiile art. 3 alin. (1) – (3) din Legea nr. 506/2004, cu modificarile si completarile ulterioare, potrivit carora furnizorul unui serviciu de comunicatii electronice destinat publicului are obligatia de a lua masuri tehnice si organizatorice adecvate in vederea asigurarii securitatii prelucrarii datelor cu caracter personal, ca acestea trebuie sa asigure un nivel de securitate proportional cu riscul existent, avand in vedere posibilitatile tehnice de ultima ora si costurile implementarii acestor masuri si sa respecte cel putin urmatoarele conditii:
a) sa garanteze ca datele cu caracter personal pot fi accesate numai de persoane autorizate, in scopurile autorizate de lege;
b) sa protejeze datele cu caracter personal stocate sau transmise impotriva distrugerii accidentale ori ilicite, impotriva pierderii sau deteriorarii accidentale si impotriva stocarii, prelucrarii, accesarii ori divulgarii ilicite;
c) sa asigure punerea in aplicare a politicii de securitate elaborate de furnizor in ceea ce priveste prelucrarea datelor cu caracter personal
De asemenea, s-a constatat faptul ca nu au fost respectate dispozitiile art. 3 alin. (6) din Legea nr. 506/2004, cu modificarile si completarile ulterioare, conform carora ”In cazul unei incalcari a securitatii datelor cu caracter personal, furnizorii de servicii de comunicatii electronice destinate publicului vor notifica ANSPDCP, fara intarziere, la respectiva incalcare.”
5. Vreau Credit S.R.L. – amendă de 20 000 euro (octombrie 2019)
Datele cu caracter personal ale persoanelor vizate au fost obținute de la angajații operatorului Vreau Credit S.R.L., aceștia din urmă, primind, tot prin mijloace de comunicare de tip chat, informații cu privire la cazierul fiscal și eligibilitatea de a obține un credit.
În ceea ce privește operatorul Vreau Credit S.R.L., acesta a fost sancționat cu o amendă de 20.000 EURO, de asemenea, pentru încălcarea securității datelor, dar și pentru faptul că până la finalizarea investigației nu a notificat autorității de supraveghere încălcarea securității datelor cu caracter personal, fără întârzieri nejustificate, deși constatase producerea acestui incident de securitate încă din luna decembrie 2018.
Citind Termenele și Condiții, precum și Politicile de Confidențialitate existente pe site-urile operatorilor, aceștia se obligă să efectueze operațiuni de prelucrare a datelor cu caracter personal, în vederea obținerii unui credit (interogări ANAF, prescoring, etc.) doar cu consimțământul persoanelor vizate și prin intermediul acordurilor de colaborare existente între cei doi.
Totuși unde au greșit?
În primul rând prin faptul că nu au luat măsuri ca datele cu caracter personal să nu fie procesate, altfel decât prin intermediul mijloacelor electronice securizate de care dispun și altfel decât prin respectare procedurile. Aplicaților domestice de tip chat, folosite de angajați, sunt invazive și nu oferă garanții de securitate. Mai mult decât atât, având în vedere că ele pot fi stocate, dezvăluirea către terți devine foarte facilă.
Putem presupune, că aceste operațiuni au fost făcute fără a îndeplini condițiile de consimțământului prevăzute de GDPR, fiind vorba de operațiuni multiple, fără ca persoana vizată să își exprime dorința / consimțământul informat prin încheierea unui acord cu operatorii.
Vreau Credit S.R.L. nu a notificat ANSPDC cu privire la breșa de securitate, cu toate că a luat act de ea.
În lipsa unei proceduri clare cu privire la breșele de securitate, a unui plan de acțiune și a Notificării ANSPDC persoana vizata poate suferii prejudicii, uneori de ne reparat, care duc la slăbirea încrederii acordată operatorilor. Evitarea unei breșe este ideală, dar atunci când ea se produce, trebuie să fim pregătiți să luăm toate măsurile care se impun, atât pentru protecția persoanei vizate cât și pentru a evita sau a minimiza amenzile.
6. Hotelul World Trade Center, amendat cu 15 000 de euro (iulie 2019)
Încălcarea a constat în faptul că o listă printată pe suport de hârtie, utilizată pentru verificarea clienților care serveau micul dejun și care conținea date cu caracter personal ale unui număr de 46 de clienți, a fost fotografiată de către persoane neautorizate din afara societății, ceea ce a condus la dezvăluirea în mediul on-line a datelor cu caracter personal ale unor clienți, prin publicare.
Cel mai interesant lucru de reținut în comunicatul Autorității despre această amendă este faptul că operatorul a fost sancționat pentru că nu a luat măsuri pentru a se asigura că angajații săi care au acces la date cu caracter personal nu le prelucrează decât la cererea sa, potrivit legii.
Mai pe românește, amenda nu pare să fi fost pentru scurgerea de date în sine. Oricine poate intra într-un hotel, să pozeze o listă cu numele de la micul dejun și să o pună pe Facebook de exemplu. Problema a fost faptul că operatorul nu a luat măsuri ca să prevină astfel de incidente.
Așadar iată de ce este important ca fiecare companie să facă eforturi și să ia măsuri de conformare la GDPR, chiar dacă erori și scurgeri de date pot apărea oriunde.
Ceva ne spune că în cazul acesta, dacă hotelul ar fi putut demonstra existența măsurilor în cauză, să nu mai fi încasat amenda.
Alternative mai sigure ar fi fost
- Minim, instruirea angajaților cu privire la ce au și ce nu au voie să facă cu lista respectivă (ex. să nu o lase ‘nesupravegheată’, la intrarea în restaurant)
- Ideal, sistemele de oferire a micului dejun care nu necesită scrierea numelor oaspeților, gen brățări sau cupoane oferite la momentul cazării special în acest sens.
7. Proleasing Motors SRL amendată cu 15 000 euro (iunie 2020)
Investigatia a fost demarata ca urmare a transmiterii de catre operator a unei notificari privind incalcarea securitatii datelor cu caracter personal, prin completarea formularului specific stabilit in baza Regulamentului General privind Protectia Datelor.
Incalcarea securitatii a constat in faptul ca, pe pagina de Facebook pe care operatorul a desfasurat un concurs online de atragere a clientilor participanti in service-ul auto, a fost postat un document cu o captura din codul sursa al website-ului in care era inclusa si parola de acces la formularele completate de participantii la concurs.Sanctiunea a fost aplicata operatorului ca urmare a faptului ca acesta nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii pentru drepturile si libertatile persoanelor fizice, generat in special, in mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizata a datelor cu caracter personal transmise, stocate sau prelucrate intr-un alt mod sau accesul neautorizat la acestea.
8. Fan Courier Express SRL amendată cu 11 000 euro (octombrie 2019)
Sanctiunea și amenda de 11.000 euro a fost aplicata operatorului intrucat nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii generat in special, in mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate intr-un alt mod, ceea ce a condus la pierderea datelor cu caracter personal (nume, prenume, numar card, cod siguranta card (cvv), adresa titular card, cod numeric personal, serie si numar card identitate, numar cont IBAN, limita credit aprobat, adresa de corespondenta) si la divulgarea/accesarea neautorizata a datelor cu caracter personal, fiind afectate de incidentele de securitate un numar de aproximativ 1.100 persoane fizice vizate, desi operatorul avea obligatia luarii masurilor de securitate adecvata a datelor cu caracter personal potrivit dispozitiilor art. 5 alin. (1) lit. f din RGPD.
9. INTELIGO MEDIA S.A. amendată cu 9 000 euro (denumire comercială avocatnet.ro) (octombrie 2019)
ANSPDCP a finalizat în luna august a anului 2019 o investigație, din care a rezultat faptul că operatorul a folosit o metodă abuzivă de obținere a consimțământului prin folosirea unei căsuțe nebifate ” Nu vreau să primesc „Personal Update”. Astfel abonarea se făcea prin omisiune. Operatorul nu a putut face dovada obținerii unui consimțământ valabil din punct de vedere GPDR pentru prelucrarea datelor cu caracter personal ale unui număr de 4357 abonați. De asemenea avocatnet.ro s-a folosit pentru transmiterea prin e-mail a informării zilnice, de un temei legal neadecvat scopului, respectiv ”executarea unui contract”. Amenda aplicată în acest caz este de 9 000 euro. În expunerea viziunii noastre asupra speței, vom folosi un extras din considerentul (32) al RGPD ” Consimţământul ar trebui acordat printr-o acţiune neechivocă care să constituie o manifestare liber exprimată (…)Prin urmare, absenţa unui răspuns, căsuţele bifate în prealabil sau absenţa unei acţiuni nu ar trebui să constituie un consimţământ.(…) ”
Metoda de abonare la newsletter pentru persoanele fizice folosită de operatorul INTELIGO MEDIA S.A. este una prin omisiune (absența unei acțiuni). Astfel folosind această abordare, este practic imposibil să colectezi un consimțământ valid. ”Doresc să primesc, zilnic, pe adresa de e-mail informații legate de articolele nou apărute pe site-ul avocatnet.ro”. (cu posibilitatea de a bifa o căsuță). Ca și concluzie, chiar dacă operatorul stabilește ca și temei de prelucrare consimțământul, dacă acesta nu este obținut valabil, prelucrarea este abuzivă și va atrage după ea amendarea.
10. Legal Company & Tax Hub SRL, amendată cu 3 000 de euro (iulie 2019)
Ironia sorții face ca Legal Company & Tax Hub SRL să fie chiar o companie de consultanță în domeniul GDPR. Problema în cazul lor a fost un link public către un fișier neprotejat suficient care conținea și datele cu caracter personal ale clienților companiei respective.
Oricât de tentante ar fi pentru unii comentariile răutăcioase pe tema amenzii luate de un furnizor de servicii GDPR, aceasta amendă este probabil cea mai clară dovadă că i se poate întâmpla oricui, compania în cauză fiind la urma urmei:
- O firmă mică
- Cu un site relativ mic
- Cel mai probabil fără un buget extraordinar
- Cu un proprietar/manager fără cunoștințe deosebite în IT,
- Și un furnizor care face o eroare umană, greu spre imposibil de detectat, atunci când nu ai cunoștințele tehnice necesare.
Oare câte mii, (zeci de mii?) de astfel de cazuri nedescoperite și neamendate or mai fi în România?
BONUS:
În cazul în care credem că “o greșeală mică nu contează”:
1. Enel Energie Muntenia SA amendat cu 4 000 euro (mai 2020)
Motiv amenda – Investigatia a fost demarata ca urmare a unei plangeri prin care petentul a sesizat incalcarea securitatii si confidentialitatii datelor cu caracter personal de catre operator, prin transmiterea unor documente ce contineau datele sale personale unui alt client Enel, utilizand posta electronica. In cursul desfasurarii investigatiei Autoritatea Nationala de Supraveghere a constatat ca operatorul nu a luat suficiente masuri de securitate si confidentialitate care sa previna divulgarea accidentala a datelor cu caracter personal catre persoane neautorizate, incalcandu-se prevederile art. 32 din RGPD.
2. Operatorul BNP Paribas Personal Finance SA
amendat cu 2 000 euro (noiembrie 2019)
În urma unei plângeri, ANSPDCP a fost sancționat operatorul CETELEM IFN S.A. cu amendă în cuantum de 9508 lei, echivalentul sumei de 2000 EURO. Operatorul nu a răspuns petentului în termenul prevăzut de art. 12 alin. (3) din Regulamentul General privind Protecția Datelor, deși acesta solicitase ștergerea anumitor date personale raportate în sistemul de evidență al Biroului de Credit. În conformitate cu art. 12 alin. (3) din Regulamentul General privind Protecția Datelor, operatorul are obligația de a răspunde cererilor persoanelor vizate fără întârzieri nejustificate și cel târziu în termen de o lună de la primirea cererii.
GDPR prevede obligația operatorilor de date de a răspunde cererilor persoanelor vizate în termen de 30 de zile. Regulamentul nu prevede ca trebuie să dea curs cererii în termen de 30 de zile ci doar să ofere un răspuns solicitantului. Astfel, operatorul poate solicita lămuriri sau informații suplimentare care să îi ajute în soluționarea cererii. În cazul în care cererea este nejustificată sau există o prevedere legală care îl împiedică pe operatorul să ia măsurile solicitate de persoana vizată, operatorul are obligația de a răspunde, tot în termen de 30 de zile, cu motivarea.
3. UTTIS INDUSTRIES SRL, amendată cu 2 500 euro (iulie 2019)
Operatorul UTTIS INDUSTRIES SRL se adaugă listei companiilor amendate în baza GDPR de către ANSPDCP, fiind al 4-lea la număr.
După cum era de așteptat, în contextul ultimelor ghiduri și discuții pe marginea subiectului CCTV – supraveghere video, amenda a fost una care vizează nerespectarea Regulamentului cu privire la informarea persoanelor vizate de supraveghere video.
Astfel, nu faptul că Operatorul folosește un sistem CCTV pentru pază și protecție, având ca temei legal Legea 333/2003 – privind paza obiectivelor, bunurilor, valorilor și protecția persoanelor, a condus la sancționare ci lipsa informării adecvate.
În această situație, pentru ca normele GDPR să fie urmate, trebuia făcută o informare a angajaților cu privire la scopul, durata, locul etc. supravegherii video chiar și prin simpla afișare a unor pictograme în punctele cheie.
Aveți mai jos o serie de exemple care vă ajută să identificați dacă vă aflați într-o situație asemănătoare și dacă este nevoie să luați măsuri:
Tot în urma aceleiași investigații s-a constata că Operatorul UTTIS INDUSTRIES SRL a efectuat o prelucrare nelegală a CNP-urilor angajaților, prelucrare care a dus la o scurgere de date prin afișarea Referatului pentru instruirea personalului autorizat ISCIR aferent anului 2018 la avizier societății.
Este foarte important ca pentru fiecare prelucrare de date cu caracter personal să vă asigurați că aveți o bază legală și că minimizați folosirea datelor cu caracter personal.
Cuantumul amenzilor primite Operatorul UTTIS INDUSTRIES SRL este de 11.834,25 lei (echivalentul sumei de 2500 euro).
4. Operatorul Artmark Holding SRL amendat cu 10 000 ron (august 2019)
În data de 10.10.2019, ANSPDCP a anunțat printr-un comunicat, aplicarea unei noi amenzi privind nerespectarea atât prevederilor GDPR cât și a legii 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice.
Obiectul amenzii îl face trimiterea de mesaje comerciale nesolicitate, fără a avea consimțământul persoanei vizate. Se menționează, de asemenea, că petentul a solicitat ștergea adresei de e-mail din baza de date a operatorului deoarece aceasta a fost obținută fără acordul lui.
Operatorul Artmark Holding SRL nu a dat curs acestei cereri, continuând să îi trimită mesaje comerciale de tip SPAM.
Autoritatea a clasificat aceste acțiuni abuzive și contrare principiilor protejării datelor cu caracter personal. Amenda de 10.000 RON a venit însoțită și cu îndrumări și recomandări către operator.
Artmark Holding SRL a fost sancționat contravențional cu amendă în cuantum de 10.000 lei.
Chiar dacă amenda a fost aplicată pentru încălcarea506/2004, este vorba și despre o încălcare a drepturilor prevăzute de GDPR. Mai exact vorbim de dreptul de a fi uitat.
Comunicarea prin mijloace electronice, reglementată în România prin legea 506/2004 și la nivel european prin noul Regulament General Privind Protecția Datelor, este cel mai de actualitate subiect indiferent de obiectul de activitate, al comunicărilor sau a scopului. Astfel, fie că vorbim de relații între particulari, de relații între persoane juridice, instituții ale statului, etc. marea majoritate a comunicării se efectuează prin mijloace electronice.
Pe lângă securitatea acestor mijloace, fie ele mesaje de tip e-mail, sms, chat-uri, etc., este nevoie să ne asigurăm de legalitatea lor. Interesul legitim, necesitatea efectuării unui serviciu public și consimțământul, sunt cele 3 temeiuri legale pe care ne putem baza în astfel de cazuri. Consimțământul, este cel mai sensibil dintre ele. Astfel, pentru ca acesta să poată fi folosit, este nevoie să îndeplinească mai multe condiții concomitent:
- Explicit
- Liber exprimat
- Individual / separat pe scopuri
- Documentat
- Revocabil
Când suntem siguri că îndeplinim aceste condiții, comunicarea de tip marketing/newsletter, poate fi efectuată. Asta până în momentul în care persoana vizată, face uz de dreptul de a fi șters, prevăzut de art. 17 din GDPR. Astfel din momentul în care, am luat act de dorința destinatarului de a nu mai primi astfel de comunicări, avem obligația de a da curs ștergerii tuturor informațiilor pe care le deținem, în calitatea de operator, despre persoana vizată.
Orice comunicare, de tip comercial, marketing, newsletter, după solicitarea de ștergere, devine ilegală. Sfatul nostru, este să vă asigurați că aveți o procedură privind exercitarea drepturilor persoanelor vizate, în speciale când vine vorba de mediul electronic.
5. Elefant Online S.A. amendat cu 10 000 ron (octombrie 2019)
Amenda aplicată în acest caz de către ANSPDCP este de 10.000 RON.
Având în vedere că operatorul este un magazin exclusiv online, acesta trimite mesaje comerciale si de tip newsletter către persoanele ale căror adrese de e-mail le dețin.
Sancțiunea a fost aplicată pentru încălcarea legii nr. 506/2004, privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice.
Astfel Elefant Online S.A. nu a putut face dovada obținerii consimțământului prealabil expres și neechivoc pentru transmiterea de mesaje comerciale prin e-mail. Mai mult decât atât petentul a continuat să primească astfel de mesaje și după dezabonarea (prin 2 metode) de la astfel de servicii.
Vedem astfel, că Autoritatea ne oferă indicii foarte importante cu privire la folosirea în mod abuziv a adresei de e-mail și importanța respectării drepturilor persoanelor vizate. În această situație, chiar dacă putem bănui că operatorul a intrat în posesia adresei de e-mail printr-o metoda adecvată (plasarea unei comenzi, înscriere la newsletter, etc.) acesta a continuat să trimită mesaje cu caracter comercial și după ce petentul s-a dezabonat. Un comportament abuziv atât din punct de vedere al legislației interne cât și din punct de vedere a GDPR.
Pentru a evita să apăreți în această listă vă recomandăm cursul monasi de Responsabil GDPR (DPO).
Înscrieri aici: Responsabil cu prelucrarea datelor cu caracter personal – Monasi Cursuri și Consultanță