Acest site foloseste Cookie-uri, conform noului Regulament de Protectie a Datelor (GDPR), pentru a va asigura cea mai buna experienta online. In esenta, Cookie-urile ne ajuta sa imbunatatim continutul de pe site, oferindu-va dvs., cititorul, o experienta online personalizata si mult mai rapida. Ele sunt folosite doar de site-ul nostru si partenerii nostri de incredere. Click AICI pentru detalii despre politica de Cookie-uri.
Acest site foloseste Cookie-uri, conform noului Regulament de Protectie a Datelor (GDPR), pentru a va asigura cea mai buna experienta online. In esenta, Cookie-urile ne ajuta sa imbunatatim continutul de pe site, oferindu-va dvs., cititorul, o experienta online personalizata si mult mai rapida. Ele sunt folosite doar de site-ul nostru si partenerii nostri de incredere. Click AICI pentru detalii despre politica de Cookie-uri. Sunt de acord cu politica de cookie
Newsletter Infojuridic Stiri, Noutati, Articole, Dezbateri
5 modele de Contracte, Cereri si Notificari modificate conform GDPR

Citeste GRATUIT un Raport Special exclusiv "5 modele de Contracte, Cereri si Notificari modificate conform GDPR"

Adauga mai jos adresa de email si vei primi raportul in Inbox
Da, vreau informatii despre produsele Rentrop&Straton. Sunt de acord ca datele personale sa fie prelucrate conform Regulamentul UE 679/2016
E-JURIDIC.RO cauta meniuMeniu
Consultanta in afaceri | Manager

LISTA. Cine a fost amendat de ANSPDCP pentru incalcarea GDPR

In acest articol regasesti lista completa cu persoanele juridice amendate de ANSPDCP pentru incalcarea GDPR. Informatiile de mai jos vor fi actualizate de fiecare data cand vor aparea noi raportari facute de institutia din Romania responsabila cu vegherea aplicarii corecte a GDPR in tara noastra.

In primul rand, e important sa intelegem ca amenzile date de ANSPDCP pot fi evitate. Desi GDPR este un act normativ complicat, evitarea contraventiilor poate fi facuta cu un simplu ajutor: PortalProtectiaDatelor! Aveti o nelamurire legata de GDPR si de obligatiile dumneavoastra? Obtineti raspunsul in doar 3 pasi! DA, e chiar atat de simplu! Doar folosind PortalProtectiaDatelor!

In Portal sunt postate zilnic intrebari noi, cu solutiile aferente!

ATENTIE! Beneficiati de consultanta telefonica personalizata zilnica!

lista amenzi gdpr

In al doilea rand, ANSPDCP a dat prima amenda privind GDPR in luna iunie 2019. Detalii despre ANSPDCP gasiti AICI si Directiva GDPR este AICI!

Cine a fost amendat de ANSPDCP pentru incalcarea GDPR - prima amenda

In al treilea rand, pe data de 27.06.2019, Autoritatea Nationala de Supraveghere a finalizat o investigatie la operatorul UNICREDIT BANK S.A. si a constatat ca acesta a incalcat prevederile art. 25 alin. (1) din Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul general privind protectia datelor).

Operatorul a fost sanctionat contraventional cu amenda in cuantum de 613.912 lei, echivalentul in euro al sumei de 130.000 euro.

Sanctiunea a fost aplicata UNICREDIT BANK S.A. ca urmare  a neaplicarii masurilor tehnice si organizatorice adecvate, atat in momentul stabilirii mijloacelor de prelucrare, cat si in cel al prelucrarii in sine, destinate sa puna in aplicare in mod eficient principiile de protectie a datelor, precum reducerea la minimum a datelor, si sa integreze garantiile necesare in cadrul prelucrarii, pentru a indeplini cerintele GDPR si a proteja drepturile persoanelor vizate. Aceasta a condus la dezvaluirea in documentele ce contin detaliile tranzactiilor si care sunt puse on-line la dispozitia clientilor beneficiari ai platilor, a datelor privind CNP-ul si adresa platitorului (pentru situatiile in care platitorul efectua tranzactia dintr-un cont deschis la o alta institutie de credit - tranzactii externe si depuneri la casierie), respectiv a datelor privind adresa platitorului (pentru situatiile in care platitorul efectua tranzactia dintr-un cont deschis la UNICREDIT BANK SA - tranzactii interne), pentru un numar de 337.042 persoane vizate, in perioada 25 mai 2018 – 10.12.2018.

Sanctiunea a fost aplicata ca urmare a unei sesizari a Autoritatii Nationale de Supraveghere din data de 22.11.2018 prin care se semnala faptul ca datele privind CNP-ul si adresa persoanelor care efectuau plati la UNICREDIT BANK S.A., prin intermediul tranzactiilor on-line, erau dezvaluite catre beneficiarul tranzactiei, prin formularele de extras de cont/detalii.

Potrivit art. 5 alin. 1 lit. c) din GDPR (”Principii legate de prelucrarea datelor cu caracter personal”), operatorul avea obligatia de a prelucra date limitate la ceea ce este necesar in raport cu scopurile in care sunt prelucrate datele.

Cine a fost amendat de ANSPDCP pentru incalcarea GDPR - a doua amenda

In al patrulea rand, in data de 02.07.2019,  Autoritatea Nationala de Supraveghere a finalizat o investigatie la operatorul  WORLD TRADE CENTER BUCHAREST S.A. si a constatat ca acesta a incalcat prevederile art. 32 alin. (4) raportat la art. 32 alin. (1) si alin. (2) din Regulamentul General privind Protectia Datelor, referitoare la securitatea prelucrarii.

Operatorul WORLD TRADE CENTER BUCHAREST S.A. a fost sanctionat contraventional cu amenda in cuantum de 71.028 lei, echivalentul sumei de 15.000 euro.

Incalcarea securitatii datelor cu caracter personal a constat in faptul ca o lista printata pe suport de hartie, utilizata pentru verificarea clientilor care serveau micul dejun si care continea date cu caracter personal ale unui numar de 46 de clienti, cazati la unitatea hoteliera apartinand WORLD TRADE CENTER BUCHAREST S.A., a fost fotografiata de catre persoane neautorizate din afara societatii, ceea ce a condus la dezvaluirea in mediul on-line a datelor cu caracter personal ale unor clienti, prin publicare.

Operatorul WORLD TRADE CENTER BUCHAREST S.A. a fost sanctionat deoarece nu a luat masuri pentru a se asigura ca angajatii sai care au acces la date cu caracter personal nu le prelucreaza decat la cererea sa, potrivit legii.

De asemenea, operatorul nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii generat in special, in mod accidental sau ilegal, de divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal. Aceasta a condus la accesul neautorizat la datele cu caracter personal ale unui numar de 46 de clienti ai WORLD TRADE CENTER BUCHAREST S.A si divulgarea neautorizata a acestor date, in mediul on-line, ceea ce a condus la afectarea drepturilor la viata privata si la protectia datelor cu caracter personal, garantate de art. 7 si art. 8 din Carta Drepturilor Fundamentale a Uniunii Europene si de art. 16 din Tratatul privind Functionarea Uniunii Europene.

Autoritatea Nationala de Supraveghere (ANSPDCP) a efectuat investigatia ca urmare a transmiterii de catre WORLD TRADE CENTER BUCHAREST S.A. a unei notificari privind incalcarea securitatii datelor cu caracter personal prin completarea formularului privind incalcarea securitatii datelor cu caracter personal, prevazuta de art. 33 din GDPR.

Regulamentul General privind Protectia Datelor instituie, prin art. 24, principiul responsabilitatii operatorului, potrivit caruia: ”Tinand seama de natura, domeniul de aplicare, contextul si scopurile prelucrarii, precum si de riscurile cu grade diferite de probabilitate si gravitate pentru drepturile si libertatile persoanelor fizice, operatorul pune in aplicare masuri tehnice si organizatorice adecvate pentru a garanta si a fi in masura sa demonstreze ca prelucrarea se efectueaza in conformitate cu prezentul regulament. Respectivele masuri se revizuiesc si se actualizeaza daca este necesar."

Cine a fost amendat de ANSPDCP pentru incalcarea GDPR - a treia amenda

In al cincelea rand, in data de 05.07.2019 Autoritatea Nationala de Supraveghere a finalizat o investigatie la operatorul LEGAL COMPANY & TAX HUB SRL si a constatat ca acesta a incalcat prevederile art. 32 alin. (1) si alin. (2) din Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul general privind protectia datelor).

Operatorul LEGAL COMPANY & TAX HUB SRL a fost sanctionat contraventional cu amenda in cuantum de 14.173,50 lei, echivalentul sumei de 3.000 euro.

Sanctiunea a fost aplicata operatorului intrucat nu a implementat masuri tehnice si organizatorice adecvate, in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii. Aceasta a condus la divulgarea neautorizata si accesul neautorizat la datele cu caracter personal ale persoanelor care au efectuat tranzactii receptionate de site-ul avocatoo.ro (nume, prenume, adresa de corespondenta, email, telefon, loc de munca, detalii tranzactii efectuate), documente accesibile public, in perioada 10 decembrie 2018 – 1 februarie 2019.

Autoritatea Nationala de Supraveghere a aplicat sanctiunea ca urmare a unei sesizari din data de 10.12.2018 prin care se semnala faptul ca un set de fisiere cu privire la detaliile tranzactiilor receptionate de site-ul avocatoo.ro, ce continea nume, prenume, adresa de corespondenta, email, telefon, loc de munca si detalii tranzactii efectuate, era accesibil public prin intermediul a doua link-uri.

Potrivit art. 5 alin. 1 lit. f) din GDPR, operatorul avea obligatia de a prelucra date intr-un mod care asigura securitatea adecvata a datelor cu caracter personal, inclusiv protectia impotriva prelucrarii neautorizate sau ilegale si impotriva pierderii, a distrugerii sau a deteriorarii accidentale, prin luarea de masuri tehnice sau organizatorice corespunzatoare (”integritate si confidentialitate”).

Cine a fost amendat de ANSPDCP pentru incalcarea GDPR - a patra amenda

In al saselea rand, in luna iulie, Autoritatea Nationala de Supraveghere a finalizat o investigatie la operatorul UTTIS INDUSTRIES SRL si a constatat ca acesta a incalcat prevederile art. 12 si art. 5 alin. (1) lit. c) coroborate cu art. 6 din Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul general privind protectia datelor).

Operatorul UTTIS INDUSTRIES SRL a fost sanctionat contraventional cu amenda in cuantum total de 11.834,25 lei (echivalentul sumei de 2500 euro).

Astfel, a fost aplicata:

  • amenda in cuantum de 4.733,70 lei (echivalentul sumei de 1000 euro) pentru incalcarea dispozitiilor art. 12 din GDPR si
  • amenda in cuantum de 7.100,55 lei (echivalentul sumei de 1500 euro) pentru incalcarea dispozitiilor art. 5 alin. (1) lit. c) coroborate cu art. 6 din GDPR.

 

Sanctiunile au fost aplicate operatorului deoarece:

  • nu a putut face dovada realizarii informarii persoanelor vizate cu privire la prelucrarea datelor cu caracter personal/imagini prin intermediul sistemului de supraveghere video, pe care o realiza incepand din anul 2016;
  • a efectuat dezvaluirea CNP-ul angajatilor, prin afisarea Referatului pentru instruirea personalului autorizat ISCIR aferent anului 2018 la avizier societatii si nu a putut face dovada legalitatii prelucrarii CNP-ului, prin dezvaluire, potrivit art. 6 GDPR.

 

Autoritatea Nationala de Supraveghere a aplicat sanctiunea ca urmare a unor sesizari din data de 21.03.2019 prin care se semnala faptul ca UTTIS INDUSTRIES SRL are instalate camere de supraveghere video, fara a efectua informarea legala privind supravegherea video, precum si faptul ca acesta a dezvaluit in mod ilegal numele si CNP-ul salariatilor, prin afisarea acestor date personale la avizierul societatii.

Potrivit art. 12 din GDPR, operatorul avea obligatia de a lua masuri adecvate pentru a furniza persoanei vizate orice informatii mentionate la art. 13 si 14.

Cine a fost amendat de ANSPDCP pentru incalcarea GDPR - a cincea amenda (este formata din doua sanctiuni)

In al saptelea rand, autoritatea Nationala de Supraveghere a finalizat in data de 01.10.2019 doua investigatii la operatorii Raiffeisen Bank S.A. si Vreau Credit S.R.L. constatand urmatoarele:

  • Raiffeisen Bank S.A. a incalcat prevederile art. 32 alin. (4) coroborat cu art. 32 alin. (1) si alin. (2) din GDPR, ceea ce a condus la aplicarea unei amenzi contraventionale in cuantum de 150.000 Euro;
  • Vreau Credit S.R.L. a incalcat prevederile art. 32 alin. (4) coroborat cu art. 32 alin. (1) si alin. (2) din GDPR, precum si ale art. 33 alin. (1) din GDPR, ceea ce a condus la aplicarea unei amenzi contraventionale in cuantum de 20.000 Euro.

 

In ceea ce priveste Raiffeisen Bank S.A., Autoritatea Nationala de Supraveghere a demarat o investigatie, ca urmare a transmiterii de catre banca a unei notificari privind incalcarea securitatii datelor cu caracter personal prin completarea formularului privind incalcarea securitatii conform Regulamentului (UE) 2016/679.

Incalcarea securitatii a constat in faptul ca doi angajati ai Raiffeisen Bank S.A., utilizand datele din documentele de identitate ale unor persoane fizice, transmise de catre angajati ai societatii Vreau Credit S.R.L. prin intermediul aplicatiei mobile WhatsApp, au efectuat interogari ale sistemului Biroului de Credit pentru a obtine datele necesare in vederea determinarii eligibilitatii la creditare a respectivelor persoane fizice, prin simulari de prescoring. In acest sens, au fost efectuate 1194 simulari, cu privire la 1177 persoane fizice.

De asemenea, pentru 124 de persoane fizice s-a efectuat si consultarea bazei de date a ANAF.

Simularile de prescoring mentionate mai sus au fost efectuate prin intermediul aplicatiei informatice utilizate de Raiffeisen Bank S.A. in activitatea de creditare, iar decizia negativa de creditare a fost comunicata de catre angajatii Raiffeisen Bank S.A. catre angajatii Vreau Credit S.R.L., cu incalcarea procedurilor interne.

Sanctiunea a fost aplicata operatorului ca urmare  a faptului ca acesta nu a luat masurile corespunzatoare pentru a se asigura ca orice persoana fizica care actioneaza sub autoritatea acestuia si care are acces la date cu caracter personal, nu le prelucreaza decat la cererea sa, cu exceptia cazului in care aceasta obligatie ii revine in temeiul dreptului Uniunii sau al dreptului intern.

De asemenea, operatorul nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator si nu a evaluat riscurile pe care le prezinta prelucrarea.

Aceasta situatie a condus la accesul neautorizat la datele cu caracter personal prelucrate prin aplicatia informatica utilizata de Raiffeisen Bank S.A. in activitatea de creditare si la divulgarea neautorizata a datelor cu caracter personal de catre angajati ai bancii.

In ceea ce priveste operatorul Vreau Credit S.R.L., acesta a fost sanctionat, de asemenea, pentru incalcarea securitatii datelor, dar si pentru faptul ca pana la finalizarea investigatiei nu a notificat autoritatii de supraveghere incalcarea securitatii datelor cu caracter personal, fara intarzieri nejustificate, desi constatase producerea acestui incident de securitate inca din luna decembrie 2018, ceea ce a condus la incalcarea confidentialitatii datelor cu caracter personal ale clientilor proprii (persoanele vizate) si la prelucrarea neautorizata/ilegala a datelor cu caracter personal ale acestora.

Finalmente, articolul va fi actualizat cu noi informatii imediat ce acestea vor fi disponibile. Pana atunci nu uitati sa va actualizati politicile si procedurile GDPR pentru a fi in permanenta siguranta!

de

Data aparitiei: 10 Octombrie 2019
Ti-a placut acest articol?
Da Like, Printeaza sau trimite prin WhatsApp si Email!
Votati articolul "LISTA. Cine a fost amendat de ANSPDCP pentru incalcarea GDPR":
Rating:

Nota: 5 din 5 din 2 voturi


Newsletter Infojuridic Stiri, Noutati, Articole, Dezbateri
5 modele de Contracte, Cereri si Notificari modificate conform GDPR

Citeste GRATUIT un Raport Special exclusiv "5 modele de Contracte, Cereri si Notificari modificate conform GDPR"

Adauga mai jos adresa de email si vei primi raportul in Inbox
Da, vreau informatii despre produsele Rentrop&Straton. Sunt de acord ca datele personale sa fie prelucrate conform Regulamentul UE 679/2016
©2019 RENTROP & STRATON
Toate drepturile rezervate.
SATI
Atentie, Juristi!
5 modele de Contracte, Cereri si Notificari modificate conform GDPR

Legea GDPR a modificat Contractele, Cererile sau Notificarile obligatorii

Va oferim Modele de Documente conform GDPR + Clauze speciale

Descarcati GRATUIT Raportul Special "5 modele de Contracte, Cereri si Notificari modificate conform GDPR"


Da, vreau informatii despre produsele Rentrop&Straton. Sunt de acord ca datele personale sa fie prelucrate conform Regulamentul UE 679/2016