In acest articol regasesti lista completa cu persoanele juridice amendate de ANSPDCP pentru incalcarea GDPR. Informatiile de mai jos vor fi actualizate de fiecare data cand vor aparea noi raportari facute de institutia din Romania responsabila cu vegherea aplicarii corecte a GDPR in tara noastra.
In primul rand, e important sa intelegem ca amenzile date de ANSPDCP pot fi evitate. Desi GDPR este un act normativ complicat, evitarea contraventiilor poate fi facuta cu un simplu ajutor: PortalProtectiaDatelor! Aveti o nelamurire legata de GDPR si de obligatiile dumneavoastra? Obtineti raspunsul in doar 3 pasi! DA, e chiar atat de simplu! Doar folosind PortalProtectiaDatelor!
In Portal sunt postate zilnic intrebari noi, cu solutiile aferente!
ATENTIE! Beneficiati de consultanta telefonica personalizata zilnica!
In al doilea rand, ANSPDCP a dat prima amenda privind GDPR in luna iunie 2019. Detalii despre ANSPDCP gasiti AICI si Directiva GDPR este AICI!
In al treilea rand, pe data de 27.06.2019, Autoritatea Nationala de Supraveghere a finalizat o investigatie la operatorul UNICREDIT BANK S.A. si a constatat ca acesta a incalcat prevederile art. 25 alin. (1) din Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul general privind protectia datelor).
Operatorul a fost sanctionat contraventional cu amenda in cuantum de 613.912 lei, echivalentul in euro al sumei de 130.000 euro.
Sanctiunea a fost aplicata UNICREDIT BANK S.A. ca urmare a neaplicarii masurilor tehnice si organizatorice adecvate, atat in momentul stabilirii mijloacelor de prelucrare, cat si in cel al prelucrarii in sine, destinate sa puna in aplicare in mod eficient principiile de protectie a datelor, precum reducerea la minimum a datelor, si sa integreze garantiile necesare in cadrul prelucrarii, pentru a indeplini cerintele GDPR si a proteja drepturile persoanelor vizate. Aceasta a condus la dezvaluirea in documentele ce contin detaliile tranzactiilor si care sunt puse on-line la dispozitia clientilor beneficiari ai platilor, a datelor privind CNP-ul si adresa platitorului (pentru situatiile in care platitorul efectua tranzactia dintr-un cont deschis la o alta institutie de credit - tranzactii externe si depuneri la casierie), respectiv a datelor privind adresa platitorului (pentru situatiile in care platitorul efectua tranzactia dintr-un cont deschis la UNICREDIT BANK SA - tranzactii interne), pentru un numar de 337.042 persoane vizate, in perioada 25 mai 2018 – 10.12.2018.
Sanctiunea a fost aplicata ca urmare a unei sesizari a Autoritatii Nationale de Supraveghere din data de 22.11.2018 prin care se semnala faptul ca datele privind CNP-ul si adresa persoanelor care efectuau plati la UNICREDIT BANK S.A., prin intermediul tranzactiilor on-line, erau dezvaluite catre beneficiarul tranzactiei, prin formularele de extras de cont/detalii.
Compuneri perfecte pentru clasele III-IV
Consilier Ghid complet de Salarizare ReviSal si Contributii sociale
Pachet Teste REZOLVATE pentru reusita la examenul de titularizare in invatamantul prescolar - EDUCATORI 2 culegeri
Potrivit art. 5 alin. 1 lit. c) din GDPR (”Principii legate de prelucrarea datelor cu caracter personal”), operatorul avea obligatia de a prelucra date limitate la ceea ce este necesar in raport cu scopurile in care sunt prelucrate datele.
In al patrulea rand, in data de 02.07.2019, Autoritatea Nationala de Supraveghere a finalizat o investigatie la operatorul WORLD TRADE CENTER BUCHAREST S.A. si a constatat ca acesta a incalcat prevederile art. 32 alin. (4) raportat la art. 32 alin. (1) si alin. (2) din Regulamentul General privind Protectia Datelor, referitoare la securitatea prelucrarii.
Operatorul WORLD TRADE CENTER BUCHAREST S.A. a fost sanctionat contraventional cu amenda in cuantum de 71.028 lei, echivalentul sumei de 15.000 euro.
Incalcarea securitatii datelor cu caracter personal a constat in faptul ca o lista printata pe suport de hartie, utilizata pentru verificarea clientilor care serveau micul dejun si care continea date cu caracter personal ale unui numar de 46 de clienti, cazati la unitatea hoteliera apartinand WORLD TRADE CENTER BUCHAREST S.A., a fost fotografiata de catre persoane neautorizate din afara societatii, ceea ce a condus la dezvaluirea in mediul on-line a datelor cu caracter personal ale unor clienti, prin publicare.
Operatorul WORLD TRADE CENTER BUCHAREST S.A. a fost sanctionat deoarece nu a luat masuri pentru a se asigura ca angajatii sai care au acces la date cu caracter personal nu le prelucreaza decat la cererea sa, potrivit legii.
De asemenea, operatorul nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii generat in special, in mod accidental sau ilegal, de divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal. Aceasta a condus la accesul neautorizat la datele cu caracter personal ale unui numar de 46 de clienti ai WORLD TRADE CENTER BUCHAREST S.A si divulgarea neautorizata a acestor date, in mediul on-line, ceea ce a condus la afectarea drepturilor la viata privata si la protectia datelor cu caracter personal, garantate de art. 7 si art. 8 din Carta Drepturilor Fundamentale a Uniunii Europene si de art. 16 din Tratatul privind Functionarea Uniunii Europene.
Autoritatea Nationala de Supraveghere (ANSPDCP) a efectuat investigatia ca urmare a transmiterii de catre WORLD TRADE CENTER BUCHAREST S.A. a unei notificari privind incalcarea securitatii datelor cu caracter personal prin completarea formularului privind incalcarea securitatii datelor cu caracter personal, prevazuta de art. 33 din GDPR.
Regulamentul General privind Protectia Datelor instituie, prin art. 24, principiul responsabilitatii operatorului, potrivit caruia: ”Tinand seama de natura, domeniul de aplicare, contextul si scopurile prelucrarii, precum si de riscurile cu grade diferite de probabilitate si gravitate pentru drepturile si libertatile persoanelor fizice, operatorul pune in aplicare masuri tehnice si organizatorice adecvate pentru a garanta si a fi in masura sa demonstreze ca prelucrarea se efectueaza in conformitate cu prezentul regulament. Respectivele masuri se revizuiesc si se actualizeaza daca este necesar."
In al cincelea rand, in data de 05.07.2019 Autoritatea Nationala de Supraveghere a finalizat o investigatie la operatorul LEGAL COMPANY & TAX HUB SRL si a constatat ca acesta a incalcat prevederile art. 32 alin. (1) si alin. (2) din Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul general privind protectia datelor).
Operatorul LEGAL COMPANY & TAX HUB SRL a fost sanctionat contraventional cu amenda in cuantum de 14.173,50 lei, echivalentul sumei de 3.000 euro.
Sanctiunea a fost aplicata operatorului intrucat nu a implementat masuri tehnice si organizatorice adecvate, in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii. Aceasta a condus la divulgarea neautorizata si accesul neautorizat la datele cu caracter personal ale persoanelor care au efectuat tranzactii receptionate de site-ul avocatoo.ro (nume, prenume, adresa de corespondenta, email, telefon, loc de munca, detalii tranzactii efectuate), documente accesibile public, in perioada 10 decembrie 2018 – 1 februarie 2019.
Autoritatea Nationala de Supraveghere a aplicat sanctiunea ca urmare a unei sesizari din data de 10.12.2018 prin care se semnala faptul ca un set de fisiere cu privire la detaliile tranzactiilor receptionate de site-ul avocatoo.ro, ce continea nume, prenume, adresa de corespondenta, email, telefon, loc de munca si detalii tranzactii efectuate, era accesibil public prin intermediul a doua link-uri.
Potrivit art. 5 alin. 1 lit. f) din GDPR, operatorul avea obligatia de a prelucra date intr-un mod care asigura securitatea adecvata a datelor cu caracter personal, inclusiv protectia impotriva prelucrarii neautorizate sau ilegale si impotriva pierderii, a distrugerii sau a deteriorarii accidentale, prin luarea de masuri tehnice sau organizatorice corespunzatoare (”integritate si confidentialitate”).
In al saselea rand, in luna iulie, Autoritatea Nationala de Supraveghere a finalizat o investigatie la operatorul UTTIS INDUSTRIES SRL si a constatat ca acesta a incalcat prevederile art. 12 si art. 5 alin. (1) lit. c) coroborate cu art. 6 din Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul general privind protectia datelor).
Operatorul UTTIS INDUSTRIES SRL a fost sanctionat contraventional cu amenda in cuantum total de 11.834,25 lei (echivalentul sumei de 2500 euro).
Astfel, a fost aplicata:
Sanctiunile au fost aplicate operatorului deoarece:
Autoritatea Nationala de Supraveghere a aplicat sanctiunea ca urmare a unor sesizari din data de 21.03.2019 prin care se semnala faptul ca UTTIS INDUSTRIES SRL are instalate camere de supraveghere video, fara a efectua informarea legala privind supravegherea video, precum si faptul ca acesta a dezvaluit in mod ilegal numele si CNP-ul salariatilor, prin afisarea acestor date personale la avizierul societatii.
Potrivit art. 12 din GDPR, operatorul avea obligatia de a lua masuri adecvate pentru a furniza persoanei vizate orice informatii mentionate la art. 13 si 14.
In al saptelea rand, autoritatea Nationala de Supraveghere a finalizat in data de 01.10.2019 doua investigatii la operatorii Raiffeisen Bank S.A. si Vreau Credit S.R.L. constatand urmatoarele:
In ceea ce priveste Raiffeisen Bank S.A., Autoritatea Nationala de Supraveghere a demarat o investigatie, ca urmare a transmiterii de catre banca a unei notificari privind incalcarea securitatii datelor cu caracter personal prin completarea formularului privind incalcarea securitatii conform Regulamentului (UE) 2016/679.
Incalcarea securitatii a constat in faptul ca doi angajati ai Raiffeisen Bank S.A., utilizand datele din documentele de identitate ale unor persoane fizice, transmise de catre angajati ai societatii Vreau Credit S.R.L. prin intermediul aplicatiei mobile WhatsApp, au efectuat interogari ale sistemului Biroului de Credit pentru a obtine datele necesare in vederea determinarii eligibilitatii la creditare a respectivelor persoane fizice, prin simulari de prescoring. In acest sens, au fost efectuate 1194 simulari, cu privire la 1177 persoane fizice.
De asemenea, pentru 124 de persoane fizice s-a efectuat si consultarea bazei de date a ANAF.
Simularile de prescoring mentionate mai sus au fost efectuate prin intermediul aplicatiei informatice utilizate de Raiffeisen Bank S.A. in activitatea de creditare, iar decizia negativa de creditare a fost comunicata de catre angajatii Raiffeisen Bank S.A. catre angajatii Vreau Credit S.R.L., cu incalcarea procedurilor interne.
Sanctiunea a fost aplicata operatorului ca urmare a faptului ca acesta nu a luat masurile corespunzatoare pentru a se asigura ca orice persoana fizica care actioneaza sub autoritatea acestuia si care are acces la date cu caracter personal, nu le prelucreaza decat la cererea sa, cu exceptia cazului in care aceasta obligatie ii revine in temeiul dreptului Uniunii sau al dreptului intern.
De asemenea, operatorul nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator si nu a evaluat riscurile pe care le prezinta prelucrarea.
Aceasta situatie a condus la accesul neautorizat la datele cu caracter personal prelucrate prin aplicatia informatica utilizata de Raiffeisen Bank S.A. in activitatea de creditare si la divulgarea neautorizata a datelor cu caracter personal de catre angajati ai bancii.
In ceea ce priveste operatorul Vreau Credit S.R.L., acesta a fost sanctionat, de asemenea, pentru incalcarea securitatii datelor, dar si pentru faptul ca pana la finalizarea investigatiei nu a notificat autoritatii de supraveghere incalcarea securitatii datelor cu caracter personal, fara intarzieri nejustificate, desi constatase producerea acestui incident de securitate inca din luna decembrie 2018, ceea ce a condus la incalcarea confidentialitatii datelor cu caracter personal ale clientilor proprii (persoanele vizate) si la prelucrarea neautorizata/ilegala a datelor cu caracter personal ale acestora.
Finalmente, articolul va fi actualizat cu noi informatii imediat ce acestea vor fi disponibile. Pana atunci nu uitati sa va actualizati politicile si procedurile GDPR pentru a fi in permanenta siguranta!
Florin Amariei scrie pentru E-Juridic.ro din anul 2018, explicand noutatile legislative si prezentand cele mai relevente stiri din domeniu. Si-a inceput activitatea la 9AM.ro, a continuat la legestart.ro si a acoperit dintotdeauna cele mai relevante subiecte din domeniile politica, social si justitie. In prezent, scrie pentru dumneavoastra despre tot ceea ce inseamna domeniile legislativ, justitie si politico-social, cu accent pe explicarea detaliata a ce este important de retinut, cum ne afecteaza aceste informatii si de ce este bine sa aplicam legea in forma ei la zi.
Sfaturi de la Experti - Intrebari si Raspunsuri
ARTICOLE SIMILARE