GDPR. Fan Courier si Cetelem, amendate de ANSPDCP

FAN COURIER
"In data de 28.10.2019 Autoritatea Nationala de Supraveghere a finalizat o investigatie la operatorul FAN COURIER EXPRESS SRL si a constatat ca acesta a incalcat prevederile art. 32 alin. (1) si alin. (2) din Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (GDPR)", arata Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal intr-un comunicat.

La art. 32 din GDPR regasim urmatoarele prevederi:
"Articolul 32
Securitatea prelucrarii
(1) Avand in vedere stadiul actual al dezvoltarii, costurile implementarii si natura, domeniul de aplicare, contextul si scopurile prelucrarii, precum si riscul cu diferite grade de probabilitate si gravitate pentru drepturile si libertatile persoanelor fizice, operatorul si persoana imputernicita de acesta implementeaza masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator acestui risc, incluzand printre altele, dupa caz:
(a) pseudonimizarea si criptarea datelor cu caracter personal;
(b) capacitatea de a asigura confidentialitatea, integritatea, disponibilitatea si rezistenta continue ale sistemelor si serviciilor de prelucrare;
(c) capacitatea de a restabili disponibilitatea datelor cu caracter personal si accesul la acestea in timp util in cazul in care are loc un incident de natura fizica sau tehnica;

Culegere pentru invatarea limbii engleze - Fise de lucru practice Clasele 0-IV

Vezi AICI detalii

Pachet Teste REZOLVATE pentru reusita la examenul de titularizare in invatamantul primar - INVATATORI 2 culegeri

Vezi AICI detalii

Literatura romana Rezumatele textelor studiate in clasele IX-XII

Vezi AICI detalii

Pachet Teste REZOLVATE pentru reusita la examenul de titularizare in invatamantul prescolar - EDUCATORI 2 culegeri

Vezi AICI detalii

Operatorul FAN COURIER EXPRESS SRL a fost sanctionat contraventional cu amenda in cuantum de 52.325,9 lei, echivalentul a 11000 euro.

Conform ANSPDCP, securitatea prelucrarii datelor personale a fost compromisa cand aproximativ 1100 de persoane au fost afectate de incidente. Neluarea de masuri specifice a condus la pierderea datelor cu caracter personal (nume, prenume, numar card, cod siguranta card (cvv), adresa titular card, cod numeric personal, serie si numar card identitate, numar cont IBAN, limita credit aprobat, adresa de corespondenta) si la divulgarea/accesarea neautorizata a datelor cu caracter personal.

Nu uita! Si asociatiile de proprietari au fost sanctionate de catre ANSPDCP!

CETELEM
"Autoritatea Nationala de Supraveghere a finalizat o investigatie la operatorul BNP Paribas Personal Finance SA Paris Sucursala Bucuresti (CETELEM IFN S.A.), constatand incalcarea dispozitiilor art. 12 alin. (3) din Regulamentul General privind Protectia Datelor", precizeaza ANSPDCP intr-un alt comunicat.

La art. 12, alin. (3) din GDPR regasim urmatoarele prevederi:
"Articolul 12
Transparenta informatiilor, a comunicarilor si a modalitatilor de exercitare a drepturilor persoanei vizate
(...)
(3) Operatorul furnizeaza persoanei vizate informatii privind actiunile intreprinse in urma unei cereri in temeiul articolelor 15-22, fara intarzieri nejustificate si in orice caz in cel mult o luna de la primirea cererii. Aceasta perioada poate fi prelungita cu doua luni atunci cand este necesar, tinandu-se seama de complexitatea si numarul cererilor. Operatorul informeaza persoana vizata cu privire la orice astfel de prelungire, in termen de o luna de la primirea cererii, prezentand si motivele intarzierii. In cazul in care persoana vizata introduce o cerere in format electronic, informatiile sunt furnizate in format electronic acolo unde este posibil, cu exceptia cazului in care persoana vizata solicita un alt format".

"Investigatia s-a demarat ca urmare a unor plangeri prin care se reclama faptul ca operatorul nu a raspuns petentului in termenul prevazut de art. 12 alin. (3) din Regulamentul General privind Protectia Datelor, desi acesta solicitase stergerea anumitor date personale raportate in sistemul de evidenta al Biroului de Credit", mai arata ANSPDCP.

In conformitate cu art. 12 alin. (3) din Regulamentul General privind Protectia Datelor (GDPR), operatorul are obligatia de a raspunde cererilor persoanelor vizate fara intarzieri nejustificate si cel tarziu in termen de o luna de la primirea cererii.

Operatorul BNP Paribas Personal Finance SA a fost sanctionat contraventional cu amenda in cuantum de 9508 lei, echivalentul sumei de 2000 euro. In plus, a fost instituita si o masura corectiva.

VODAFONE
Compania Vodafone a fost sanctionata in baza Legii nr. 506/2004 in coroborare cu art. 8 din OG nr. 2/2001. 

Conform ANSPDCP, nu au fost respectate prevederile art. 12 care stipuleaza urmatoarele:
"Art. 12: Comunicarile nesolicitate
(1)Este interzisa efectuarea de comunicari comerciale prin utilizarea unor sisteme automate de apelare si comunicare care nu necesita interventia unui operator uman, prin fax ori prin posta electronica sau prin orice alta metoda care foloseste serviciile de comunicatii electronice destinate publicului, cu exceptia cazului in care abonatul sau utilizatorul vizat si-a exprimat in prealabil consimtamantul expres pentru a primi asemenea comunicari.
(2)Fara a aduce atingere prevederilor alin. (1), daca o persoana fizica sau juridica obtine in mod direct adresa de posta electronica a unui client, cu ocazia vanzarii catre acesta a unui produs sau serviciu, in conformitate cu prevederile Legii nr. 677/2001, persoana fizica sau juridica in cauza poate utiliza adresa respectiva, in scopul efectuarii de comunicari comerciale referitoare la produse sau servicii similare pe care acea persoana le comercializeaza, cu conditia de a oferi in mod clar si expres clientilor posibilitatea de a se opune printr-un mijloc simplu si gratuit unei asemenea utilizari, atat la obtinerea adresei de posta electronica, cat si cu ocazia fiecarui mesaj, in cazul in care clientul nu s-a opus initial. 
(3)In toate cazurile este interzisa efectuarea prin posta electronica de comunicari comerciale in care identitatea reala a persoanei in numele si pe seama careia sunt facute este ascunsa, cu incalcarea art. 5 din Legea nr. 365/2002, republicata, sau in care nu se specifica o adresa valabila la care destinatarul sa poata transmite solicitarea sa referitoare la incetarea efectuarii unor asemenea comunicari ori in care sunt incurajati destinatarii sa viziteze pagini de internet care contravin art. 5 din Legea nr. 365/2002, republicata.) 
(4)Prevederile alin. (1) si (3) se aplica in mod corespunzator si abonatilor persoane juridice".

Sanctiunea a fost aplicata intrucat operatorul nu a luat in considerare optiunea unui petent de a nu mai primi mesaje cu promotii, concursuri si orice alte mesaje in afara celor ce privesc costurile si securitatea convorbirilor, optiune adusa la cunostinta operatorului. Desi ulterior solicitarii sale i s-a confirmat dezabonarea de la comunicarile comerciale trimise de operator, acesta a primit pe adresa sa de posta electronica un alt mesaj nesolicitat din partea Vodafone Romania S.A., incalcandu-se astfel dispozitiile art. 12 alin. (1) din Legea nr. 506/2004 referitoare la comunicarile nesolicitate.

Vodafone Romania S.A. a fost sanctionata contraventional cu amenda in cuantum de 10.000 lei.

Nota! Lista cu toate celelalte amenzi date pana acum de ANSPDCP este disponibila AICI!