ANSPDCP a aplicat o amenda de 2400 lei pentru o persoana fizica, dupa ce s-a constatat ca a incalcat GDPR! Da, si persoanele fizice pot fi sanctionate contraventional!
Autoritatea Nationala de Supraveghere a finalizat in data de 16.02.2021 o investigatie la o persoana fizica, ce detinea, in acelasi timp, functia de Secretar General in cadrul unei filiale de sector din Municipiul Bucuresti a unui partid politic si a constatat incalcarea dispozitiilor art. 32 alin. (1) si (2) si a prevederilor art. 58 alin. (1) lit. a) si e) din Regulamentul General privind Protectia Datelor.
Art. 32 din GDPR stabileste urmatoarele la alin. (1) si (2):
"(1) Avand in vedere stadiul actual al dezvoltarii, costurile implementarii si natura, domeniul de aplicare, contextul si scopurile prelucrarii, precum si riscul cu diferite grade de probabilitate si gravitate pentru drepturile si libertatile persoanelor fizice, operatorul si persoana imputernicita de acesta implementeaza masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator acestui risc, incluzand printre altele, dupa caz:
(a) pseudonimizarea si criptarea datelor cu caracter personal;
(b) capacitatea de a asigura confidentialitatea, integritatea, disponibilitatea si rezistenta continue ale sistemelor si serviciilor de prelucrare;
(c) capacitatea de a restabili disponibilitatea datelor cu caracter personal si accesul la acestea in timp util in cazul in care are loc un incident de natura fizica sau tehnica;
(d) un proces pentru testarea, evaluarea si aprecierea periodice ale eficacitatii masurilor tehnice si organizatorice pentru a garanta securitatea prelucrarii.
(2) La evaluarea nivelului adecvat de securitate, se tine seama in special de riscurile prezentate de prelucrare, generate in special, in mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate intr-un alt mod."
Art. 58, alin. (1), lit. a) si e) prevede urmatoarele:
"1) Fiecare autoritate de supraveghere are toate urmatoarele competente de investigare:
(a) de a da dispozitii operatorului si persoanei imputernicite de operator si, dupa caz, reprezentantului operatorului sau al persoanei imputernicite de operator sa furnizeze orice informatii pe care autoritatea de supraveghere le solicita in vederea indeplinirii sarcinilor sale;
(...)
(e)
de a obtine, din partea operatorului si a persoanei imputernicite de operator, accesul la toate datele cu caracter personal si la toate informatiile necesare pentru indeplinirea sarcinilor sale;
(...)".
Investigatia a fost demarata ca urmare a primirii unei sesizari prin care s-a reclamat faptul ca pe o retea de socializare, pe pagina personala a unei persoane fizice ce detinea functia de Secretar General in cadrul unei filiale de sector a unui partid politic, a fost publicata o lista cuprinzand 10 pozitii cu persoane semnatare/sustinatori pentru alegerea Consiliului General si a Primarului Municipiului Bucuresti, in cadrul careia datele cu caracter personal ale acestora sunt accesibile, fiind dezvaluite numele si prenumele, semnatura, cetatenia, data nasterii, adresa, seria si numarul actului de identitate, optiunea politica a persoanelor semnatare/sustinatorilor.
In cursul desfasurarii investigatiei Autoritatea Nationala de Supraveghere a constatat ca operatorul, contrar obligatiilor stabilite de art. 32 din RGPD, nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii pentru drepturile si libertatile persoanelor fizice, ceea ce a condus la divulgarea catre publicul larg si la accesul neautorizat la datele cu caracter personal ale unui numar de 10 persoane fizice vizate, sustinatori ai unui candidat la alegerile locale din septembrie 2020, desi potrivit art. 5 lit. f) din RGPD, avea obligatia de a respecta principiul "integritate si confidentialitate".
Asadar,
persoana fizica a fost sanctionata contraventional pentru incalcarea dispozitiilor art. 32 RGPD referitoare la securitatea prelucrarilor.
Totodata,
persoana fizica a fost sanctionata contraventional si pentru fapta prevazuta de art. 83 alin. (5) din Regulamentul (UE) 679/2016, raportat la art. 58 alin. (1) lit. a) si lit. e) si coroborat cu art. 8 din O.G. nr. 2/2001 intrucat nu a raspuns solicitarilor Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal.
Autoritatea a aplicat operatorului si masura corectiva de stergere a datelor dezvaluite prin postarea pe pagina personala de pe o retea de socializare a listei cu persoane semnatare/sustinatoare pentru alegerea Consiliului General si a Primarului Municipiului Bucuresti.
In Romania ni se cere aplicarea Regulamentului 679/2016 cu privire la protectia datelor cu caracter personal, fara a avea insa la dispozitie prea multe norme si bune practici. Documentele ori deciziile autoritatii sunt putine si destul de vagi, lasand la latitudinea fiecaruia particularizarea propriilor politici de GDPR privind diversele activitati.
Dorind sa acopere aceasta lipsa, un grup de specialisti GDPR acreditati, cu experienta directa in implementarea Regulamentului 679/2016 in firme mari din Romania, va ofera acum lucrarile pe stick:
Manual de politici GDPR si Manual de Proceduri GDPR.
Unica in domeniul politicilor destinate implementarii GDPR, va pune la dispozitie acum o serie de modele de politici GDPR pentru diverse activitati obligatorii, precum si sfaturi pentru implementarea lor rapida si eficienta.
Comandati acum exemplarul dvs
Manual de politici GDPR si Manual de Proceduri GDPR pentru a:
E-JURIDIC.RO
