Valuri de amenzi pentru companiile romanesti, pentru nerespectarea GDPR
gdprprotectia datelorprotectia datelor personaleamenzi gdprfirme amendate gdpr
Autoritatatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal a efectuat, de la intrarea in vigoare a Regulamentului General de Protectia Datelor, mai multe controale la operatorii de date. Cele mai multe dintre acestea s-au soldat cu amenzi, dar companiile sanctionate au primit si indrumari cu privire la operarea in condiile legii a datelor cu caracter personal.
In vederea verificarii modului de respectare a prevederilor Legii nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, precum si a prevederilor Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice, reprezentantii Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal au efectuat controale la mai multi operatori de date.
Iata cum s-au desfasurat unele dintre cele mai importante controale, ce nereguli au gasit inspectorii si care au fost sanctiunile date. De asemenea, va prezentam si sfaturile pe care autoritatile le-au oferit companiilor, pentru ca dumneavoastra sa puteti aplica in mod corect prevederile GDPR:
1. Operatorul de date Hilmi Medical Center SRL a primit de la autoritati o amenda contraventionala in cuantum de 10.000 lei
Aceasta este ultima amenda pe care autoritatile au dat-o pentru nerespectarea
GDPR. Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal a publicat, la data de 13.10.2018, pe site-ul oficial al institutiei, un comunicat de presa in care prezinta cum s-a desfasurat acest control.
Faptele constatate in urma investigatiei, conform procesului verbal, sunt:
Omisiunea de a notifica si notificarea cu rea-credinta, sub forma omisiunii de a notifica in conditiile art. 22 alin. (1) si alin. (3), art. 29 alin. (3) din Legea nr. 677/2001;
Prelucrarea nelegala a datelor cu caracter personal, sub aspectul nesocotirii art. 12 din Legea nr. 677/2001 privind dreptul la informare;
Nerespectarea prevederilor art. 12 referitoare la comunicarile nesolicitate, contraventie prevazuta de art. 13 alin. (1) lit. q) din Legea nr. 506/2004, intrucat ca Hilmi Medical Center SRL a efectuat comunicari comerciale prin posta electronica pentru oferirea de pachete medicale promotionale pacientilor fara consimtamantul prealabil si expres al pacientilor si fara a oferi posibilitatea pacientilor de a se opune in vederea primirii de pachete medicale promotionale.
Totodata, Autoritatea de Supraveghere a facut o serie de recomandari operatorului de date cu caracter personal, printre care reamintim: Notificarea prelucrarii datelor cu caracter personal in scopul de "reclama, marketing si publicitate", respectiv in scopul de "monitorizarea/securitatea persoanelor, spatiilor si/sau bunurilor publice/private" in termen de 5 zile de la procesului verbal; informarea persoanelor vizate, in scopurile de mai sus; intocmirea unei proceduri de securitate a datelor cu caracter personale prelucrate potrivit Ordinului nr. 52/2002; stabilirea unei perioade de stocare a datelor colectate strict pe durata necesara realizarii scopului.
2. SC Vega Turism SA a primit o amenda contraventionala in cuantum total de 8.000 lei
In cadrul investigatiei efectuate la acest operator, s-au constatat urmatoarele abateri de la regulament:
Omisiunea de a notifica si notificarea cu rea-credinta, sub forma omisiunii de a notifica in conditiile art. 22 alin. (1) din Legea nr. 677/2001, intrucat acest operator nu a notificat prelucrarea datelor cu caracter personal in scopul monitorizarii/securitatii persoanelor/spatiilor si/sau bunurilor publice/private prin utilizarea sistemului de supraveghere video, incepand cu anul 2012, contraventie prevazuta de art. 31 din Legea nr. 677/2001, modificata si completata;
Prelucrarea nelegala a datelor cu caracter personal, sub aspectul nerespectarii art. 12 alin. (1) din Legea nr. 677/2001, intrucat la data incheierii procesului verbal SC Vega Turism SA nu a prezentat nicio dovada a informarii persoanelor vizate, pentru prelucarile efectuate in scopurile ”reclama, marketing si publicitate”, ”servicii hoteliere si de turism” si ”monitorizarea/securitatea persoanelor/spatiilor si/sau bunurilor publice/private, contraventie prevazuta de art. 32 din Legea nr. 677/2001, modificata si completata;
Nerespectarea conditiilor prevazute de art. 4 alin. (5) din Legea nr. 506/2004, modificata si completata, intrucat SC Vega Turism SA, la nivelul site-ului www.hotelvega.ro, pentru informatiile stocate in echipamentul terminal al utilizatorului nu a indeplinit in mod cumulativ conditiile prevazute de art. 4 alin. (5), lit. a) si b) din Legea nr. 506/2004, respectiv obtinerea acordului utilizatorului in cauza pentru cookie-urile existente la nivelul website-ului www.hotelvega.ro si furnizarea informatiilor anterior exprimarii acordului privind scopul general al procesarii informatiilor stocate, durata de viata, ce informatii sunt stocate si accesate precum si permiterea stocarii si/sau accesului unor terti la informatiile stocate in echipamentul terminal al utilizatorului, contraventie prevazuta de art. 13 alin. (1) lit. i) din Legea nr. 506/2004, modificata si completata.
3. SC Dovia 95 Impex SRL a primit o amenda contraventionala in cuantum total de 8.000 lei
Ca urmare a investigatiilor facute de autoritati, operatorul a fost gasit cu urmatoarele nereguli privind GDPR:
Omisiunea de a notifica si notificarea cu rea-credinta, sub forma omisiunii de a efectua notificarea in conditiile art. 22 din Legea nr. 677/2001, intrucat K & D London Entertainment SRL nu a notificat prelucrarea datelor cu caracter personal pe care o realizeaza in scop de ”monitorizare/securitatea persoanelor/spatiilor si/sau bunurilor publice/private” prin intermediul sistemului de supraveghere video, incalcandu-se astfel dispozitiile art. 22 alin. (1) din Legea nr. 677/2001, contraventie prevazuta de art. 31 din Legea nr. 677/2001;
Prelucrarea nelegala a datelor cu caracter personal cu incalcarea prevederilor art. 4 alin. (1) lit. c) din Legea nr. 677/2001, intrucat SC Dovia ’95 Impex SRL a prelucrat excesiv datele cu caracter personal ale angajatilor prin mijloace de supraveghere video amplasate in hotel, incalcandu-se prevederile art. 8 alin. (3) din Decizia nr. 52/2012 a ANSPDCP si art. 12 alin. (1) din Legea nr. 677/2001, precum si intrucat nu a realizat sub nicio modalitate prevazuta de lege informarea persoanelor vizate pentru scopul ”servicii hoteliere si de turism”, contraventie prevazuta de art. 32 din Legea nr. 677/2001.
4. SC K & D London Entertaiment SRL a primit o amenda contraventionala in cuantum total de 9.000 lei
In cadrul investigatiei efectuate la acest operator, s-a constatat savarsirea urmatoarelor fapte contraventionale:
Omisiunea de a notifica si notificarea cu rea-credinta, sub forma omisiunii de a efectua notificarea in conditiile art. 22 din Legea nr. 677/2001, intrucat K & D London Entertainment SRL nu a notificat prelucrarea datelor cu caracter personal pe care o realizeaza in scop de ”monitorizare/securitatea persoanelor/spatiilor si/sau bunurilor publice/private” prin intermediul sistemului de supraveghere video, incalcandu-se astfel dispozitiile art. 22 alin. (1) din Legea nr. 677/2001, contraventie prevazuta de art. 31 din Legea nr. 677/2001;
Prelucrarea nelegala a datelor cu caracter personal, in sensul incalcarii prevederilor art. 12 din Legea nr. 677/2001, intrucat SC K & D London Entertaiment SRL nu a facut dovada efectuarii informarii clientilor (persoane vizate) cu privire la formularul de inscriere in programul de fidelizare , nici cu privire la prelucrarea datelor personale in scop de ”servicii hoteliere si de turism”, si nici nu a facut dovada realizarii informarii privind sistemul de supraveghere video utilizat, contraventie prevazuta de art. 32 din Legea nr. 677/2001;
Neindeplinirea obligatiilor privind confidentialitatea si aplicarea masurilor de securitate, in sensul neindeplinirii obligatiilor privind aplicarea masurilor de securitate si de pastrare a confidentialitatii prelucrarilor de date cu caracter personal prevazute de art. 20 din Legea nr. 677/2001, modificata si completata, intrucat procedura de securitate a prelucrarilor de date cu caracter personal nu respecta in totalitate dispozitiile stabilite prin Ordinul nr. 52/2002, contraventie prevazuta de art. 33 din Legea nr. 677/2001, modificata si completata.
5. SC Confiden Travel SRL a primit o amenda contraventionala in cuantum total de 11.000 lei
In cadrul investigatiei efectuate la SC Confiden Travel SRL s-a constatat savarsirea urmatoarelor fapte contraventionale:
Omisiunea de a notifica si notificarea cu rea-credinta, sub forma omisiunii de a efectua notificarea in conditiile art. 22 din Legea nr. 677/2001, intrucat SC Confiden Travel SRL nu a notificat prelucrarea datelor cu caracter personal pe care o realizeaza in scop de ”servicii hoteliere si de turism”, de ”reclama, marketing si publicitate” si in scop de supraveghere video, contraventie prevazuta de art. 31 din Legea nr. 677/2001;
Prelucrarea nelegala a datelor cu caracter personal, , deoarece SC Confiden Travel SRL nu a putut prezenta nicio dovada a informarii persoanelor vizate conform art. 12 din Legea nr. 677/2001, pentru prelucrarile de date cu caracter personal pe care le efectueaza in scop de ”servicii hoteliere si de turism”, in scop de ”reclama, marketing si publicitate”, contraventie prevazuta de art. 32 din Legea nr. 677/2001”;
Neindeplinirea obligatiilor privind confidentialitatea si aplicarea masurilor de securitate, contraventie prevazuta de art. 33 din Legea nr. 677/2001, modificata si completata, prin neindeplinirea obligatiilor privind aplicarea masurilor de securitate si de pastrare a confidentialitatii prelucrarilor prevazute de art. 20 din Legea nr. 677/2001, deoarece SC Confiden Travel SRL nu a intocmit si implementat o politica/procedura privind masurile minime de securitate a prelucrarilor de date cu caracter personal pe care le efectueaza, iar angajatii care au atributii referitoare la prelucrarea datelor cu caracter personal nu au fost instruiti corespunzator;
Nerespectarea conditiilor prevazute de art. 4 alin. (5) din Legea nr. 506/2004, modificata si completata, intrucat SC Confiden Travel SRL la nivelul site-ului www.ramadapitesti.ro, pentru informatiile stocate si accesate la nivelul echipamentului terminal al utilizatorului nu a indeplinit in mod cumulativ conditiile prevazute de art. 4, alin. (5) lit. a) si b) din Legea nr. 506/2004, modificata si completata, respectiv obtinerea acordului utilizatorului in cauza pentru cookie-urile existente la nivelul website-ului www.ramadapitesti.ro si furnizarea informatiilor anterior exprimarii acordului privind scopul general al procesarii informatiilor stocate, durata de viata, ce informatii sunt stocate si accesate precum si permiterea stocarii si/sau accesului unor terti la informatiile stocate in echipamentul terminal al utilizatorului, contraventie prevazuta de art. 13 alin. (1) lit. i) din Legea nr. 506/2004, modificata si completata.
Amenzile pentru institutiile statului care incalca GDPR, de 100 de ori mai mici decat pentru firme
Operatorii de date privati si publici sunt discriminati de deciziile Parlamentului, care a votat ca institutiile de stat care incalca GDPR sa primeasca amenzi de 100 de ori mai reduse decat operatorii privati.
Parlamentul a decis: pentru firme private pot urca la 20 de milioane de lei, in timp ce pentru primarii, prefecturi, scoli de stat, spitale, Posta, CFR si tot ce inseamna institutii publice, amenzile sa fie de 100 de ori mai mici. Opozitia a criticat masura.
De exemplu, daca s-ar intampla ca Posta sa piarda din greseala nume, CNP-uri ori adrese, ar putea fi taxata cu 200.000 de lei. Insa, daca un curier privat ar face asta, amenda ar fi de 20 de milioane de lei.
ANSPDCP transmite urmatoarele:
Pentru completa informare a publicului larg, precizam ca, in vederea exercitarii drepturilor de acces, interventie sau opozitie garantate de Legea nr. 677/2001, persoana fizica respectiva are posibilitatea de a inainta operatorului in cauza (din sectorul public sau privat) o cerere scrisa, datata si semnata, la care acesta este obligat sa raspunda in termen de 15 zile.
In cazul in care, dupa implinirea termenului de 15 zile, nu s-a primit un raspuns sau cererea nu a fost solutionata, persoana vizata poate inainta o plangere Autoritatii de Supraveghere. Plangerea trebuie sa fie insotita de dovada faptului ca persoana in cauza s-a adresat operatorului. In acest sens, pe site-ul institutiei,
www.dataprotection.ro, la sectiunea
http://www.dataprotection.ro/?page=Modele_de_plangere, este disponibil formularul de plangere.
Va amintim ca ...
La data de 25 mai 2018, a intrat in vigoare la nivelul Uniunii Europene, noul Regulament privind Protectia Datelor (GDPR). Noul Regulament General privind Protectia Datelor se vrea un garant al securitatii din mediul virtual pentru toti cei 741 de milioane de cetateni ai Uniunii Europene.
Situatii precum scandalul de furtului de date de la Facebook de catre Cambridge Analytica, nu vor mai exista, daca toti operatorii de date respecta prevederile GDPR. In cazul in care autoritatile constata nereguli, prin controalele savarsite, vor da amenzi operatorilor care pot ajunge pana la un procent din cifra de afaceri globala, asa cum am prezentat in cazurile anterioare, unde amenzile au fost, totusi, blande.
Amenzile pentru nerespectarea GDPR sunt direct proportionale cu gravitatea faptelor, ceea ce inseamna ca unii operatori pot savarsi mici abateri si primi o amenda redusa, in timp ce altii pot sa isi pericliteze stabilitatea financiara a companiei daca savarsesc abateri grave.
Va invitam la o lectura mai ampla asupra modului de aplicare a
GDPR, dar si pentru a va informa referitor la drepturile pe care le aveti in fata opertorilor de date.
Succes!