Viva Credit a primit o amenda pentru incalcarea GDPR. Astfel ANSPDCP arata ca intarzierea este sanctionata si nu se fac exceptii!
Autoritatea Nationala de Supraveghere a finalizat o investigatie la operatorul S.C. Viva Credit IFN S.A., constatand incalcarea art. 12 alin. (3) si (4) din
Regulamentul General privind Protectia Datelor, prin raportare la art. 17 din acelasi Regulament.
Iata ce prevad aceste articole din
GDPR!
"Articolul 12 - Transparenta informatiilor, a comunicarilor si a modalitatilor de exercitare a drepturilor persoanei vizate
(...)
(3) Operatorul furnizeaza persoanei vizate informatii privind actiunile intreprinse in urma unei cereri in temeiul articolelor 15-22, fara intarzieri nejustificate si in orice caz in cel mult o luna de la primirea cererii. Aceasta perioada poate fi prelungita cu doua luni atunci cand este necesar, tinandu-se seama de complexitatea si numarul cererilor. Operatorul informeaza persoana vizata cu privire la orice astfel de prelungire, in termen de o luna de la primirea cererii, prezentand si motivele intarzierii. In cazul in care persoana vizata introduce o cerere in format electronic, informatiile sunt furnizate in format electronic acolo unde este posibil, cu exceptia cazului in care persoana vizata solicita un alt format.
(4) Daca nu ia masuri cu privire la cererea persoanei vizate, operatorul informeaza persoana vizata, fara intarziere si in termen de cel mult o luna de la primirea cererii, cu privire la motivele pentru care nu ia masuri si la posibilitatea de a depune o plangere in fata unei autoritati de supraveghere si de a introduce o cale de atac judiciara.
(...)"
"Articolul 17 - Dreptul la stergerea datelor ("dreptul de a fi uitat")
(1) Persoana vizata are dreptul de a obtine din partea operatorului stergerea datelor cu caracter personal care o privesc, fara intarzieri nejustificate, iar operatorul are obligatia de a sterge datele cu caracter personal fara intarzieri nejustificate in cazul in care se aplica unul dintre urmatoarele motive:
(a) datele cu caracter personal nu mai sunt necesare pentru indeplinirea scopurilor pentru care au fost colectate sau prelucrate;
(b) persoana vizata isi retrage consimtamantul pe baza caruia are loc prelucrarea, in conformitate cu articolul 6 alineatul (1) litera (a) sau cu articolul 9 alineatul (2) litera (a), si nu exista niciun alt temei juridic pentru prelucrarea;
(c) persoana vizata se opune prelucrarii in temeiul articolului 21 alineatul (1) si nu exista motive legitime care sa prevaleze in ceea ce priveste prelucrarea sau persoana vizata se opune prelucrarii in temeiul articolului 21 alineatul (2);
(d) datele cu caracter personal au fost prelucrate ilegal;
(e) datele cu caracter personal trebuie sterse pentru respectarea unei obligatii legale care revine operatorului in temeiul dreptului Uniunii sau al dreptului intern sub incidenta caruia se afla operatorul;
(f) datele cu caracter personal au fost colectate in legatura cu oferirea de servicii ale societatii informationale mentionate la articolul 8 alineatul (1).
(2) In cazul in care operatorul a facut publice datele cu caracter personal si este obligat, in temeiul alineatului (1), sa le stearga, operatorul, tinand seama de tehnologia disponibila si de costul implementarii, ia masuri rezonabile, inclusiv masuri tehnice, pentru a informa operatorii care prelucreaza datele cu caracter personal ca persoana vizata a solicitat stergerea de catre acesti operatori a oricaror linkuri catre datele respective sau a oricaror copii sau reproduceri ale acestor date cu caracter personal.
(3) Alineatele (1) si (2a) nu se aplica in masura in care prelucrarea este necesara:
(a) pentru exercitarea dreptului la libera exprimare si la informare;
(b) pentru respectarea unei obligatii legale care prevede prelucrarea in temeiul dreptului Uniunii sau al dreptului intern care se aplica operatorului sau pentru indeplinirea unei sarcini executate in interes public sau in cadrul exercitarii unei autoritati oficiale cu care este investit operatorul;
(c) din motive de interes public in domeniul sanatatii publice, in conformitate cu articolul 9 alineatul (2) literele (h) si (i) si cu articolul 9 alineatul (3);
(d) in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice, in conformitate cu articolul 89 alineatul (1), in masura in care dreptul mentionat la alineatul (1) este susceptibil sa faca imposibila sau sa afecteze in mod grav realizarea obiectivelor prelucrarii respective; sau
(e) pentru constatarea, exercitarea sau apararea unui drept in instanta.
Operatorul S.C. Viva Credit IFN S.A. a fost
sanctionat contraventional cu amenda in cuantum de 9680 lei, echivalentul sumei de 2000 EURO.
Investigatia s-a desfasurat ca urmare a unei plangeri prin care se reclama faptul ca operatorul nu a solutionat cererea petentului prin care isi exercita dreptul de stergerea datelor, potrivit art. 17 din Regulamentul General privind Protectia Datelor.
De asemenea, operatorul nu a furnizat persoanei care a formulat plangerea informatii cu privire la actiunile intreprinse in urma cererii acestuia in termen de cel mult o luna (sau maximum 3 luni, prezentand si motivele intarzierii) la adresa sa de domiciliu sau la adresa de contact (e-mail) disponibila in evidentele sale.
Astfel, conform ANSPDCP, operatorul S.C. Viva Credit IFN S.A. a incalcat prevederile art. 12 alin. (3) si (4), raportat la art. 17 din Regulamentul General privind Protectia Datelor.
Autoritatea subliniaza faptul ca operatorul are obligatia, potrivit art. 12 alin. (3), de a raspunde cererilor persoanelor vizate fara intarzieri nejustificate si cel tarziu in termen de o luna de la primirea cererii, iar conform alin. (4) al aceluiasi articol ”daca nu ia masuri cu privire la cererea persoanei vizate, operatorul informeaza persoana vizata, fara intarziere si in termen de cel mult o luna de la primirea cererii, cu privire la motivele pentru care nu ia masuri si la posibilitatea de a depune o plangere in fata unei autoritati de supraveghere si de a introduce o cale de atac judiciara.”
In acelasi timp, operatorului S.C. Viva Credit IFN S.A. i s-a aplicat si o masura corectiva, in temeiul prevederilor art. 58 alin. (2) lit. d) din Regulamentul General privind Protectia Datelor, acesta fiind obligat sa transmita un raspuns petentului la cererea depusa, in termen de 5
zile lucratoare de la comunicarea procesului-verbal.