2 amenzi, 2 avertismente și 4 măsuri corective pentru o companie din România

Amenzi GDPR

Vizualizari: 15886

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Relațiile dintre angajatori și angajați se pot termina cu tensiuni, care pot conduce spre deznodământuri neplăcute pentru părți. Nu este un secret faptul că, de multe ori, angajații cunosc mai bine ce se întâmplă într-o companie decât personalul din conducere.

Nu stim de la ce a pornit, însă un operator din România a aflat pe pielea lui ce poți păți dacă ai supărat un angajat care a auzit de existenta Regulamentului general privind protecția datelor (GDPR)

Autoritatea națională de supraveghere  (ANSPDCP) a anunțat astăzi sancționarea operatorului Entirely Shipping & Trading S.R.L. pentru  încălcarea dispozițiilor art.  5 alin. (1) lit. a), c), b) și e), art. 6, art. 7, art. 9, art. 12 și art. 13 din GDPR.

Mai exact, s-a constat încălcarea principiilor prelucrărilor, legalitatea prelucrărilor, condițiile privind consimțământul, prelucrarea datelor cu caracter special, transparența informațiilor și informarea persoanelor vizate.

Nu am verificat dacă exista un clasament a amenzilor în funcție de numărul de articole din Regulament încălcate, însă cu siguranță aceasta ocupă un loc fruntaș.

6 dintr-o lovitură

Conform comunicatului Autorității, sancțiunile au fost aplicate ca urmare a unei plângeri prin care se reclama faptul că Entirely Shipping & Trading S.R.L. a instalat camere de supraveghere audio-video în birourile angajaților, în vestiare și în sala de mese și că, în anumite locații (spații cu acces restricționat). Mai mult, control accesul angajaților se realiza pe bază de amprentă.

De asemenea, s-a reclamat faptul că operatorul s-a folosit de identitatea unui fost angajat în transmiterea unor e-mail-uri în interes de serviciu fără ca acesta din urmă să fi fost informat în prealabil (implicit și fără acordul acestuia).

În cadrul investigației, s-au constatat următoarele:

  • operatorul nu a făcut dovada unui interes legitim justificat în ceea ce privește sistemul de supraveghere video instalat la sediul său, care să prevaleze asupra intereselor sau drepturilor și libertăților fundamentale ale persoanelor vizate
  • nu a făcut dovada consultării sindicatului sau, după caz, a reprezentanților angajaților înainte de introducerea sistemelor de monitorizare
  • nu a făcut dovada faptului că alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența;
  • operatorul nu a făcut dovada existenței  unor politici adecvate de protecție a datelor și a implementării unor măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc;
  • prelucrarea datelor biometrice prin intermediul sistemului de control acces nu erau colectate în scopuri adecvate, relevante și limitate la ceea ce era necesar în raport cu scopurile în care erau prelucrate;
  • operatorul nu a efectuat o evaluare a impactului asupra protecției datelor.

În urma investigației Autoritatea a decis sancționarea operatorului, după cum urmează:

  • amendă în cuantum de 23.893 lei, echivalentul a 5.000 euro, pentru încălcarea  dispozițiilor art. 5 alin. (1) lit. c), art. 6 și art. 7 din GDPR, întrucât operatorul a prelucrat în mod excesiv datele cu caracter personal (imaginea) ale angajaților săi prin intermediul camerelor video instalate în birourile în care aceștia își desfășoară activitatea și în locurile în care există dulapuri unde angajații își depozitează hainele de schimb (vestiare);
  • amendă în cuantum de 23.893 lei, echivalentul a 5.000 euro, pentru încălcarea dispozițiilor art. 5 alin. (1) lit. c), art. 9 și art. 7 din GDPR, întrucât operatorul a prelucrat date biometrice (amprente) ale angajaților putând fi utilizate şi alte mijloace pentru atingerea acestui scop, mai puţin intruzive pentru viața privată a persoanelor vizate;
  • avertisment pentru încălcarea dispozițiilor art. 12 și art. 13 din GDPR, întrucât operatorul nu a prezentat dovezi din care să rezulte că a asigurat o informare clară, completă și corectă a persoanelor vizate;
  • avertisment pentru încălcarea dispozițiilor art. 5 alin. (1) lit. a), b) și e) și art. 6 din GDPR, întrucât operatorul a prelucrat ilegal datele cu caracter personal ale unui fost angajat prin utilizarea acestora în cadrul corespondenței prin poșta electronică, în scopul desfăşurării activităţii societăţii, ulterior încetării relației contractuale cu acesta.

Credeați că asta este tot? Pe lângă sancțiuni (amenzi și avertismente), operatorului i s-au aplicat și următoarele măsuri corective:

  • măsura corectivă de a asigura informarea corectă a persoanelor vizate prin comunicarea într-o formă concisă, transparentă, inteligibilă și ușor accesibilă a tuturor informațiilor prevăzute de art. 13 din RGPD și în condițiile de transparență menționate la art. 12 din RGPD, precum și de a modifica documentele prin care se realizează în prezent informarea;
  • măsura corectivă de a asigura conformitatea operațiunilor de prelucrare a datelor personale în activitatea de monitorizare video, cu respectarea principiului “reducerii la minimum a datelor”;
  • măsura corectivă de a asigura conformitatea operațiunilor de prelucrare a datelor personale în activitatea de control acces, cu respectarea principiului “reducerii la minimum a datelor”;
  • măsura corectivă de a asigura conformitatea operațiunilor de prelucrare a datelor personale cu dispozițiile RGPD, prin realizarea unei politici de securitate și implementarea unor măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscurilor.

Concluzie: dacă ai gând să „iei în coarne” un angajat, întâi întreabă-l dacă a auzit de acest Regulament.

Dar ca să stai mai liniștit, mai bine asigură-te că ești la zi cu implementarea GDPR-ului, căci altfel riști ca toate să se întoarcă împotriva ta.

Sursa: dataprotection.ro    |    Sursa foto: personneltoday.com

 

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Corespondența de Marketing fără consimțământ a costat EMAG 3000 euro

Amenzi GDPR

Vizualizari: 4183

Facebooktwittergoogle_plusredditpinterestlinkedinmail

În data de 27.02.2020, Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul Dante Internațional S.A., deținătorul e-MAG.ro și a constatat că acesta a încălcat prevederile art. 6 din Regulamentul General privind Protecția Datelor, prin raportare la dispozițiile art. 21 alin. (3) din Regulament.

Operatorul Dante Internațional SA a fost sancționat contravențional cu amendă în cuantum de 14.420,4 lei, echivalentul sumei de 3000 EURO.

Sancțiunea a fost aplicată operatorului întrucât la sfârsitul anului 2019 a transmis unei persoane fizice un mesaj comercial, deși la începutul anului 2019 operatorul ii confirmase acesteia dezabonarea de la comunicările comerciale.

Totodată, operatorului Dante Internațional SA i s-au aplicat și două măsuri corective, în temeiul prevederilor art. 58 alin. (2) lit. c) și d) din Regulamentul General privind Protecția Datelor.

Astfel, operatorul a fost obligat să implementeze solicitarea persoanei fizice de a-i fi dezactivată din baza de date setarea privind transmiterea pe adresa de sa de e-mail a mesajelor comerciale, în termen de 3 zile lucrătoare de la comunicarea procesului-verbal. Totodată, operatorul a fost obligat să ia măsuri astfel încât să fie respectate prevederile art. 21 din Regulament, în termen de 20 zile de la data comunicării procesului-verbal.

În acest context menționăm că art. 21 alin. (3) din Regulamentul General privind Protecția Datelor, prevede că ”în cazul în care persoana vizată se opune prelucrării în scopul marketingului direct, datele cu caracter personal nu mai sunt prelucrate în acest scop.”

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Trei amenzi pentru Vodafone România SA în numai trei zile

Amenzi GDPR

Vizualizari: 3603

Facebooktwittergoogle_plusredditpinterestlinkedinmail

În data de 11.02.2020, Autoritatea Națională de Supraveghere a finalizat o primă investigație la operatorul Vodafone România SA și a constatat că acesta a încălcat  principiile de prelucrare a datelor personale stabilite prin prevederile art. 5 alin. (1) lit. d) și f) coroborate cu art. 5 alin. (2) din Regulamentul General privind Protecția Datelor,  Vodafone România SA fiind sancționată contravențional cu amendă în cuantum de 14308,8 lei, echivalentul a 3.000 euro. 

La numai doua zile după aceea, în data de 13.02.2020, Autoritatea Națională de Supraveghere a finalizat o a doua investigație la operatorul Vodafone România SA și a constatat că acesta a încălcat și dispozițiile Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, cu modificările și completările ulterioare.

Operatorul Vodafone România SA a fost sancționat contravențional cu două amenzi în cuantum total de 20.000 lei.

Sancțiunile au fost aplicate operatorului ca urmare a unei sesizări cu privire la faptul că Vodafone România SA a încălcat securitatea și confidențialitatea datelor cu caracter personal.

Astfel, o petentă a Autorității a susținut că a solicitat o ofertă pe telefon, prin intermediul site-ului operatorului Vodafone România SA și că, ulterior, a primit pe adresa sa de e-mail, un contract încheiat de operator cu o altă persoană fizică, petenta având suspiciuni că datele sale cu caracter personal ar fi putut fi dezvăluite acestei persoane.

Ca urmare a investigației efectuate la operator, Autoritatea a constatat că Vodafone România SA nu a respectat dispozițiile art. 3 alin. (1) – (3) din Legea nr. 506/2004, cu modificările și completările ulterioare, potrivit cărora furnizorul unui serviciu de comunicaţii electronice destinat publicului are obligaţia de a lua măsuri tehnice şi organizatorice adecvate în vederea asigurării securităţii prelucrării datelor cu caracter personal, că acestea trebuie să asigure un nivel de securitate proporţional cu riscul existent, având în vedere posibilităţile tehnice de ultimă oră şi costurile implementării acestor măsuri și să respecte cel puţin următoarele condiţii:

a) să garanteze că datele cu caracter personal pot fi accesate numai de persoane autorizate, în scopurile autorizate de lege;

b) să protejeze datele cu caracter personal stocate sau transmise împotriva distrugerii accidentale ori ilicite, împotriva pierderii sau deteriorării accidentale şi împotriva stocării, prelucrării, accesării ori divulgării ilicite;

c) să asigure punerea în aplicare a politicii de securitate elaborate de furnizor în ceea ce priveşte prelucrarea datelor cu caracter personal

De asemenea, s-a constatat faptul că nu au fost respectate dispozițiile art. 3 alin.  (6) din Legea nr. 506/2004, cu modificările și completările ulterioare, conform cărora ”În cazul unei încălcări a securităţii datelor cu caracter personal, furnizorii de servicii de comunicaţii electronice destinate publicului vor notifica ANSPDCP, fără întârziere, la respectiva încălcare.”

Pe lângă sancțiunile cu amenda aplicate operatorului Vodafone România SA, Autoritatea Națională de Supraveghere a recomandat acestuia ca, în termen de 30 zile de la data comunicării procesului-verbal, să ia măsurile necesare respectării prevederilor art. 3 alin. (1) – (3) din Legea nr. 506/2004, cu modificările și completările ulterioare, în vederea implementării unor măsuri adecvate de securitate a prelucrării datelor personale, inclusiv sub aspectul asigurării confidenţialității și protejării datelor cu caracter personal împotriva divulgării ilicite

De asemenea, s-a recomandat operatorului Vodafone România SA ca, pe viitor, să notifice breșele de securitate, fără întârzieri, Autorităţii Naționale de Supraveghere.

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Lipsa asigurării unui nivel de securitate corespunzător a condus la amendarea ENEL cu 3000 Euro

În data de 25.02.2020, Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul Enel Energie Muntenia SA și a constatat că acesta a încălcat prevederile art. 32 […]

Asociația „SOS Infertilitatea” amendată de ANSPDCP cu 2000 Euro

Autoritatea Națională de Supraveghere a finalizat în data de 13.02.2020 o investigație la operatorul Asociația „SOS Infertilitatea” și a constatat că acesta nu a transmis informațiile solicitate de Autoritatea de […]

Vodafone România SA primește o amendă GDPR de 3000 euro

În data de 11.02.2020, Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul Vodafone România SA și a constatat că acesta a încălcat  principiile de prelucrare a datelor […]

Cipru: 82.000 € amendă pentru utilizarea unui sistem automat de monitorizare a concediilor medicale ale angajaților

Autoritatea de Supraveghere din Cipru a aplicat o amendă de 82.000 de euro unui grup de companii care au folosit un instrument automat pentru a monitoriza concediile medicale […]

Fenomenul FAKENEWS pierdut de sub control. „Spălați-vă mâinile, nu creierele!”

Acum câteva zile am citit întâmplător pe Fecebook un îndemn, „Spălați-vă mâinile, nu creierele!”. Acesta a fost și momentul în care am realizat că fenomenul Fakenews în România […]

Participa la DPO TOOLS Workshop – 23 / 24 Martie 2020 – „Mobilitatea, o provocare pentru aplicarea GDPR”

La nivelul dispozitivelor mobile, au aparut in ultima perioada noi variante de atacuri informatice menite de a extrage informatii cu caracter personal cunoscute sub forma furtului de identitate […]

Trevor Hughes, CEO IAPP: „În domeniul protecției datelor, avem o nouă profesie hibridizată”

Participând la cea de-a 13-a ediție a Conferinței pentru informatică, confidențialitate și protecția datelor (CPDP2020), desfășurată la Bruxelles în perioada 22-24 ianuarie 2020, Trevor Hughes, Președintele Asociației Internaționale […]

Amenda GDPR primită de Facebook în Germania este un „avertisment” pentru noi toți

Facebook a primit o amendă de 51.000 de euro ( 55.500 de dolari ) pentru că nu a numit în mod corespunzător un ofițer pentru protecția datelor pentru […]

MODELE SI FORMULARE GDPR – O nouă carte în webshop-ul dpo-NET.ro

O nouă lucrare de mare interes a fost adaugată în webshop-ul dpo-NET.ro, fiind o contributie a membrilor Centrului de cercetare pentru protectia datelor, constituit in cadrul Universitatii de […]

Nicolae Ploeșteanu: „Consider că fiecare practician trebuie să aibă această carte”

In domeniul protecției datelor în România, anul 2020 a debutat cu lansarea pe piață a acestui volum, intituat „GDPR Aplicat. Instrumente de lucru pentru implementarea Regulamentului UE 679/2016”, […]

PECB semnează un acord de parteneriat cu NeoPrivacy România și lansează cursuri de certificare recunoscute internațional

PECB Group Inc. Canada a anunțat semnarea un nou acord de parteneriat cu NeoPrivacy România, pentru a distribui cursuri de formare PECB, recunoscute internațional. „Suntem foarte încântați de […]

Enel Energie S.A a platit o amendă GDPR în valoare de 6000 Euro

Ca urmare a unei plângeri depusă la ANSPDCP prin care se reclama faptul că S.C Enel Energie S.A. a prelucrat nelegal datele reclamanului, in lipsa dovezii obținerii consimțământului […]

Prima amendă GDPR în 2020 aplicată către Hora Credit IFN S.A

Autoritatea Națională de Supraveghere a finalizat, în data de 10.12.2019, o investigație la o Hora Credit IFN S.A. și a constatat încălcarea anumitor dispoziții din Regulamentul General privind Protecția Datelor […]

Amendă GDPR pentru UMIDITATE: 320 000 EUR

Autoritatea engleză pentru protecția datelor (ICO), a emis o amendă de 320 000 EUR împotriva Doorstep Dispensaree Ltd. după ce a constatat că operatorul a stocat un număr […]

Prima Asociație de Proprietari amendată pentru încălcarea GDPR-ului

Autoritatea Națională de Supraveghere a anunțat pe site-ul său prima amendă care vizează o asociație de proprietari. Investigația autorității a pornit de la plângere formulată de un locatar […]

Anul 2019 văzut prin ochii unui GDPR-ist, 10 momente memorabile

Este sfarsit de an si fiind un moment de bilant nu pot sa nu ma gandesc la cat de multe lucruri am realizat pe plan profesional si mai […]

Telekom Romania amendată pentru nerespectarea principiului exactității datelor

Sancțiunile impuse de Autoritatea națională de supraveghere (ANSPDCP) în ultima perioadă ne întăresc convingerea că operatorii de date nu riscă amenzi doar în cazul unor breșe de securitate […]

Cât costă ignorarea solicitărilor ANSPDCP-ului? Două companii din România au aflat!

Autoritatea Națională de Supraveghere a anunțat astăzi două noi amenzi pentru încălcarea Regulamentului general privind protecția datelor Două companii din România, Nicola Medical Team 17 SRL și Modern […]

Un nou spital este amendat pentru nerespectarea GDPR

Comisarul pentru protecția datelor și libertatea informațiilor din Germania, a aplicat o amendă de 105.000 de euro unui spital din regiunea Renania-Palatinat. Amenda finală se bazează pe mai […]

Încă o mare bancă din România amendată pentru încălcarea GDPRului!

ING Bank N.V. Amsterdam – Sucursala București este a doua banca din România sancționată pentru nerespectarea prevederilor Regulamentului General privind Protecția Datelor. Vă reamintim că în luna octombrie […]