Amendă GDPR uriașă primită de un magazin online

Amenzi GDPR

Vizualizari: 6316

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Morele.net, primul magazin online de electronice din Polonia, fost sancționat cu cea mai consistentă sancțiune emisă de autoritatea de supraveghere poloneză pentru încălcarea reglementărilor de protecție a datelor cu caracter personal.

Această sancțiune, anunțată de autoritatea de supraveghere poloneză („UODO”) în data de 19 septembrie 2019, este totodată cea mai mare sancțiune impusă unui e-commerce din întreaga Uniune Europeană, în era GDPR.

Măsuri tehnice și organizatorice insuficiente 

În decembrie 2018, Morele.net, un retailer online, a raportat că baza sa de date online a fost victima unei unui atac cibernetic.

În urma atacului, datele a aproximativ 2,2 milioane de clienți, precum nume, adrese de e-mail și livrare și numere de telefon au fost compromise. 

Ulterior atacului, hackerii au folosit datele furate într-un atac de tip phishing. Clienții magazinului online au primit un link care îi redirecționa către o pagină falsă a magazinului în care li s-a cerut să plătească o sumă de bani care ar fi rămas neachitată aferentă cumpărăturilor pe care le făcuseră anterior în magazinul Morele.net.

Compania a raportat cazul autorităților de aplicare a legii și a notificat UODO. Morele.net și-a informat clienții despre incident. După investigația efectuată de UODO, s-a stabilit că măsurile organizatorice și tehnice utilizate de Morele.net pentru protecția datelor nu erau adecvate riscului existent legat de prelucrarea datelor clientului lor, acestea conducând la breșa de securitate.

În decizia UODO, au fost identificate trei încălcări de bază. 

  • nu a respectat principiul confidențialității definit în GDPR;
  • nu a monitorizat eficient amenințările potențiale, în special cele legate de comportamentul online neobișnuit. Au lipsit procedurile de răspuns adecvate atunci când s-a descoperit că se descărcau cantități mari de date; 
  • deși Morele.net a susținut că a prelucrat unele date pe baza consimțământului, retailerul online nu a fost în măsură să demonstreze existența consimțământului, prin urmare, principiul responsabilității GDPR a fost încălcat și el.

De ce o amendă atât de mare?

În consecință, din cauza riscului ridicat la care au fost expuse cei peste 2 milioane clienți, o amendă de peste 2,8 milioane PLN (645.000 €) a fost impusă magazinului online Morele.net pentru protecția insuficientă a datelor cu caracter personal.

Decizia autorității de supraveghere poloneze arată importanța monitorizării eficiente a riscurilor potențiale, precum și implementarea garanțiilor adecvate pentru protejarea bazelor de date. 

UODO a recunoscut că pedeapsa este de natură represivă, deoarece este un răspuns la nerespectarea prevederilor GDPR de către Morele.net, dar și preventivă, deoarece Morele.net și alți administratori de date vor fi descurajați să ignore prevederile privind protecția datelor cu caracter personal de acum înainte.

Surse: edpb.europa.eu, mondaq.com, uodo.gov.pl

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

2 amenzi, 2 avertismente și 4 măsuri corective pentru o companie din România

Amenzi GDPR

Vizualizari: 5440

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Relațiile dintre angajatori și angajați se pot termina cu tensiuni, care pot conduce spre deznodământuri neplăcute pentru părți. Nu este un secret faptul că, de multe ori, angajații cunosc mai bine ce se întâmplă într-o companie decât personalul din conducere.

Nu stim de la ce a pornit, însă un operator din România a aflat pe pielea lui ce poți păți dacă ai supărat un angajat care a auzit de existenta Regulamentului general privind protecția datelor (GDPR)

Autoritatea națională de supraveghere  (ANSPDCP) a anunțat astăzi sancționarea operatorului Entirely Shipping & Trading S.R.L. pentru  încălcarea dispozițiilor art.  5 alin. (1) lit. a), c), b) și e), art. 6, art. 7, art. 9, art. 12 și art. 13 din GDPR.

Mai exact, s-a constat încălcarea principiilor prelucrărilor, legalitatea prelucrărilor, condițiile privind consimțământul, prelucrarea datelor cu caracter special, transparența informațiilor și informarea persoanelor vizate.

Nu am verificat dacă exista un clasament a amenzilor în funcție de numărul de articole din Regulament încălcate, însă cu siguranță aceasta ocupă un loc fruntaș.

6 dintr-o lovitură

Conform comunicatului Autorității, sancțiunile au fost aplicate ca urmare a unei plângeri prin care se reclama faptul că Entirely Shipping & Trading S.R.L. a instalat camere de supraveghere audio-video în birourile angajaților, în vestiare și în sala de mese și că, în anumite locații (spații cu acces restricționat). Mai mult, control accesul angajaților se realiza pe bază de amprentă.

De asemenea, s-a reclamat faptul că operatorul s-a folosit de identitatea unui fost angajat în transmiterea unor e-mail-uri în interes de serviciu fără ca acesta din urmă să fi fost informat în prealabil (implicit și fără acordul acestuia).

În cadrul investigației, s-au constatat următoarele:

  • operatorul nu a făcut dovada unui interes legitim justificat în ceea ce privește sistemul de supraveghere video instalat la sediul său, care să prevaleze asupra intereselor sau drepturilor și libertăților fundamentale ale persoanelor vizate
  • nu a făcut dovada consultării sindicatului sau, după caz, a reprezentanților angajaților înainte de introducerea sistemelor de monitorizare
  • nu a făcut dovada faptului că alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența;
  • operatorul nu a făcut dovada existenței  unor politici adecvate de protecție a datelor și a implementării unor măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc;
  • prelucrarea datelor biometrice prin intermediul sistemului de control acces nu erau colectate în scopuri adecvate, relevante și limitate la ceea ce era necesar în raport cu scopurile în care erau prelucrate;
  • operatorul nu a efectuat o evaluare a impactului asupra protecției datelor.

În urma investigației Autoritatea a decis sancționarea operatorului, după cum urmează:

  • amendă în cuantum de 23.893 lei, echivalentul a 5.000 euro, pentru încălcarea  dispozițiilor art. 5 alin. (1) lit. c), art. 6 și art. 7 din GDPR, întrucât operatorul a prelucrat în mod excesiv datele cu caracter personal (imaginea) ale angajaților săi prin intermediul camerelor video instalate în birourile în care aceștia își desfășoară activitatea și în locurile în care există dulapuri unde angajații își depozitează hainele de schimb (vestiare);
  • amendă în cuantum de 23.893 lei, echivalentul a 5.000 euro, pentru încălcarea dispozițiilor art. 5 alin. (1) lit. c), art. 9 și art. 7 din GDPR, întrucât operatorul a prelucrat date biometrice (amprente) ale angajaților putând fi utilizate şi alte mijloace pentru atingerea acestui scop, mai puţin intruzive pentru viața privată a persoanelor vizate;
  • avertisment pentru încălcarea dispozițiilor art. 12 și art. 13 din GDPR, întrucât operatorul nu a prezentat dovezi din care să rezulte că a asigurat o informare clară, completă și corectă a persoanelor vizate;
  • avertisment pentru încălcarea dispozițiilor art. 5 alin. (1) lit. a), b) și e) și art. 6 din GDPR, întrucât operatorul a prelucrat ilegal datele cu caracter personal ale unui fost angajat prin utilizarea acestora în cadrul corespondenței prin poșta electronică, în scopul desfăşurării activităţii societăţii, ulterior încetării relației contractuale cu acesta.

Credeați că asta este tot? Pe lângă sancțiuni (amenzi și avertismente), operatorului i s-au aplicat și următoarele măsuri corective:

  • măsura corectivă de a asigura informarea corectă a persoanelor vizate prin comunicarea într-o formă concisă, transparentă, inteligibilă și ușor accesibilă a tuturor informațiilor prevăzute de art. 13 din RGPD și în condițiile de transparență menționate la art. 12 din RGPD, precum și de a modifica documentele prin care se realizează în prezent informarea;
  • măsura corectivă de a asigura conformitatea operațiunilor de prelucrare a datelor personale în activitatea de monitorizare video, cu respectarea principiului “reducerii la minimum a datelor”;
  • măsura corectivă de a asigura conformitatea operațiunilor de prelucrare a datelor personale în activitatea de control acces, cu respectarea principiului “reducerii la minimum a datelor”;
  • măsura corectivă de a asigura conformitatea operațiunilor de prelucrare a datelor personale cu dispozițiile RGPD, prin realizarea unei politici de securitate și implementarea unor măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscurilor.

Concluzie: dacă ai gând să „iei în coarne” un angajat, întâi întreabă-l dacă a auzit de acest Regulament.

Dar ca să stai mai liniștit, mai bine asigură-te că ești la zi cu implementarea GDPR-ului, căci altfel riști ca toate să se întoarcă împotriva ta.

Sursa: dataprotection.ro    |    Sursa foto: personneltoday.com

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Enel Energie S.A a platit o amendă GDPR în valoare de 6000 Euro

Amenzi GDPR

Vizualizari: 4276

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Ca urmare a unei plângeri depusă la ANSPDCP prin care se reclama faptul că S.C Enel Energie S.A. a prelucrat nelegal datele reclamanului, in lipsa dovezii obținerii consimțământului acestuia pentru transmiterea de notificări pe această adresă de e-mail, fără respectarea principiului exactității si fara ca operatorul sa ia măsurile necesare pentru dezactivarea transmiterii de notificări, deși petentul și-a exercitat dreptul de opoziție în mai multe rânduri, compania  a fost sancționata contravențional cu două amenzi, fiecare în cuantum de 14.334,30 lei,  pentru încălcarea art. 5 alin. (1) lit. d), art. 6 alin. (1) lit. a) și art. 7 alin. (1) din Regulamentul General privind Protecția Datelor.

Autoritatea Națională de Supraveghere la finalizarea investigației a constatat incalcarea urmatoarelor articole din Regulamentul 679/2016:

  • încălcarea dispozițiilor art. 5 alin. (1) lit. d) și (2) din Regulamentul General privind Protecția Datelor (Datele cu caracter personal sunt exacte și, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere („exactitate”); Operatorul este responsabil de respectarea alineatului (1) și poate demonstra această respectare („responsabilitate”))
  • încălcarea prevederilor art. 6 și art. 7 din Regulamentul General privind Protecția Datelor (Legalitatea prelucrării  si Condiții privind consimțământul );
  • încălcarea prevederilor art. 21 alin. (1) din Regulamentul General privind Protecția Datelor (Dreptul la opoziție - În orice moment, persoana vizată are dreptul de a se opune, din motive legate de situația particulară în care se află, prelucrării în temeiul articolului 6 alineatul (1) litera (e) sau (f) sau al articolului 6 alineatul (1) a datelor cu caracter personal care o privesc, inclusiv creării de profiluri pe baza respectivelor dispoziții. Operatorul nu mai prelucrează datele cu caracter personal, cu excepția cazului în care operatorul demonstrează că are motive legitime și imperioase care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept în instanță. ).

 

 

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Prima amendă GDPR în 2020 aplicată către Hora Credit IFN S.A

Autoritatea Națională de Supraveghere a finalizat, în data de 10.12.2019, o investigație la o Hora Credit IFN S.A. și a constatat încălcarea anumitor dispoziții din Regulamentul General privind Protecția Datelor […]

Amendă GDPR pentru UMIDITATE: 320 000 EUR

Autoritatea engleză pentru protecția datelor (ICO), a emis o amendă de 320 000 EUR împotriva Doorstep Dispensaree Ltd. după ce a constatat că operatorul a stocat un număr […]

Prima Asociație de Proprietari amendată pentru încălcarea GDPR-ului

Autoritatea Națională de Supraveghere a anunțat pe site-ul său prima amendă care vizează o asociație de proprietari. Investigația autorității a pornit de la plângere formulată de un locatar […]

Anul 2019 văzut prin ochii unui GDPR-ist, 10 momente memorabile

Este sfarsit de an si fiind un moment de bilant nu pot sa nu ma gandesc la cat de multe lucruri am realizat pe plan profesional si mai […]

Telekom Romania amendată pentru nerespectarea principiului exactității datelor

Sancțiunile impuse de Autoritatea națională de supraveghere (ANSPDCP) în ultima perioadă ne întăresc convingerea că operatorii de date nu riscă amenzi doar în cazul unor breșe de securitate […]

Cât costă ignorarea solicitărilor ANSPDCP-ului? Două companii din România au aflat!

Autoritatea Națională de Supraveghere a anunțat astăzi două noi amenzi pentru încălcarea Regulamentului general privind protecția datelor Două companii din România, Nicola Medical Team 17 SRL și Modern […]

Un nou spital este amendat pentru nerespectarea GDPR

Comisarul pentru protecția datelor și libertatea informațiilor din Germania, a aplicat o amendă de 105.000 de euro unui spital din regiunea Renania-Palatinat. Amenda finală se bazează pe mai […]

Încă o mare bancă din România amendată pentru încălcarea GDPRului!

ING Bank N.V. Amsterdam – Sucursala București este a doua banca din România sancționată pentru nerespectarea prevederilor Regulamentului General privind Protecția Datelor. Vă reamintim că în luna octombrie […]

O amendă pentru nerespectarea GDPR-ului a zburat către TAROM

Autoritatea Națională de Supraveghere a anunțat pe site-ul său finalizarea unei investigații ce viza cea mai veche companie aeriană din România, TAROM! Autoritatea a constatat că operatorul SC […]

Pensiune amendată pentru nerespectarea GDPR-ului

Royal President SRL, care deține o pensiune din Bragadiru, Ilfov, unde se organizează și evenimente private (nunti, botezuri, aniversari sau evenimente corporate), a făcut obiectul unei investigații a […]

Amendă usturătoare pentru cea mai mare firmă românească de curierat

Autoritatea Națională de Supraveghere (ANSPDCP) a anunțat ce-a de-a IX-a amendă pentru încălcarea prevederilor Regulamentul (UE) 2016/679 (GDPR).  Conform comunicatului emis ieri (25.09.2019) de Autoritate, cea mai mare […]

Cetelem amendat pentru încălcarea GDPR. BONUS! Procedură procesarea cererilor

BNP Paribas Personal  Finance SA Paris Sucursala București, cunoscută sub denumirea de Cetelem IFN România, denumit în continuare Cetelem, unul dintre cei mai activi actori în domeniul creditelor […]

Vodafone amendat cu 10.000 lei de catre ANSPDCP

Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal, în urma investigației finalizate pe data de 15.10.2019, a constatat încălcarea prevederilor art. 13 alin. (1) lit. q) […]

Serviciul Postal din Austria a fost amendat pentru vânzarea datelor clienților

  Comitetul European pentru Protecția Datelor a anunțat în cursul săptămânii trecute decizia Autorității de supraveghere austriece privind sancționarea Serviciului postal național pentru încălcarea protecției datelor clienților săi, […]

Prima persoană fizică din RO sancţionată contravenţional și importanța dublului opt-in

DA! Persoanele fizice pot face obiectul unei sancțiuni GDPR Nu cu mult timp în urma, cândva prin mijlocul verii, s-a viralizat o știre potrivit căreia  Regulamentului General privind […]

ANSPDCP: lista măsurilor (55) dispuse în urma investigațiilor, în ultimele 3 luni

Săptămâna trecută, Autoritatea de supraveghere națională (ANSPDCP) a publicat Raportul activității sale în decursul anului 2018 (vezi aici cele mai interesante date desprinse din raport). Conform acestui raport, […]

Cât ne poate costa pierderea unui stick cu date personale? Un polițist a aflat!

V-ați întrebat vreodată cât v-ar putea costa pierderea unui stick cu date personale? O încălcare a securității datelor cu care ne putem confrunta oricare dintre noi, oricât de […]

55.000 euro amenda GDPR aplicată unui SPITAL pentru nedesemnarea DPO-ului

Conform unui comunicat al Comitetul European pentru Protecția Datelor, la 12 august 2019, Autoritatea de supraveghere austriacă a aplicat o amendă administrativă unui operator care activează în sectorul […]

Avocatnet.ro a fost sancționat cu 9000 € pentru lipsa consimțământului explicit

Ziua și amenda, așa pare să ne obișnuiască Autoritatea națională de supraveghere. „Victima” de astăzi este INTELIGO MEDIA SA, administratorul platformei online avocatnet.ro, un website care „explică legislația […]

Elefant.ro sancționat pentru newslettere trimise fără existența consimțământului destinatarului

Autoritatea Națională de Supraveghere a publicat pe site-ul său  o nouă amendă în aplicarea Legii nr. 506/2004. Conform comunicatului, Elefant Online S.A., care administrează magazinul online elefant.ro, a […]