Amenzile GDPR au ajuns la peste 1 miliard de euro în 2021. România este în TOP 3!

Amenzi GDPR

Vizualizari: 6517

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Uniunea Europeană (UE) a implementat Regulamentul General privind Protecția Datelor (GDPR) în 2018. Scopul acestuia a fost de a oferi cetățenilor UE mai mult control asupra datelor personale și asupra confidențialității lor. Organizațiile care nu au respectat legislația au primit amenzi usturătoare, care continuă să crească în fiecare an.

Amenzile GDPR au atins peste 1 miliard de euro, cu un total de 412 amenzi emise în 2021. În plus, companii precum Amazon și WhatsApp au trebuit să plătească cele mai mari amenzi pentru încălcarea legilor GDPR.

Valoarea totala a amenzilor GDPR in perioada 2018-2021 - Sursa: enforcementtracker.com, provided by CMS Law.Tax

Evolutia amenzilor GDPR in 2021 - Sursa: enforcementtracker.com, provided by CMS Law.Tax

 

În anul 2018 , de când se aplica GDPR, au fost aplicate amenzi de 436.000 EUR operatorilor. În 2019 , suma totală a amenzilor a crescut semnificativ la 72 de milioane de euro . O amendă GDPR de 50 de milioane EUR a fost impusă Google în 2019 pentru că nu a furnizat informații transparente cu privire la politicile sale de consimțământ.

În 2020, cu toate ca a fost un an puternic afectat de pandemia COVID19,  valoarea totală a amenzilor GDPR a ajuns la peste 171 de milioane de euro.

Într-un mod surprinzător, 2021 a depășit cu mult valoarea amenzilor GDPR aplicate în anii anteriori, valoarea depășind 1 miliard de euro, cu o creștere cu 521% față de anul trecut. Privind defalcarea trimestrial, putem vedea o imagine mai bună a modului în care amenzile au fost distribuite pe parcursul anului.

În timp ce primele două trimestre ale anului 2021 au acumulat aproximativ 50 de milioane de euro în amenzi GDPR, UE a impus cele mai semnificative amenzi în trimestrul al treilea . În iulie, Amazon Europe Core S.à.rl a primit cea mai mare amendă de 746 de milioane de euro . Mai târziu, în septembrie, UE a amendat WhatsApp Ireland Ltd. cu 225 de milioane de euro , a doua cea mai mare amendă din istoria GDPR.

În al patrulea trimestru din 2021 , 16,7 milioane EUR în amenzi au fost aplicate în UE.

Comparația amenzilor GDPR între țări (2018-2021)

În unele țări, legile actualizate privind confidențialitatea datelor cu caracter personal au afectat în mod semnificativ operatorii, deoarece aceștia au fost amendați în cadrul noului sistem legislativ. Autoritățile Naționale de Supraveghere în domeniul protecției datelor din fiecare țară au urmărit îndeaproape companiile pentru a se asigura că prelucrează în mod responsabil datele persoanale.

Spania a acumulat 351 de amenzi, aplicând amenzi GDPR în valoare de 36,7 milioane de euro . În timp ce valoarea medie a unei amenzi GDPR a ajuns la aproximativ 105.000 de euro, Spania a adunat de departe cele mai multe amenzi, comparativ cu orice altă țară. Companiile de telecomunicații, precum Vodafone Spania, au fost sancționate de mai multe ori pentru încălcarea legilor GDPR prin activitățile lor de marketing.

Topul tarilor dupa numarul de amenzi GDOR in perioada 2018-2021 - Sursa: enforcementtracker.com, provided by CMS Law.Tax

Italia ocupă locul al doilea pe listă cu 101 amenzi, care a aplicat operatorilor amenzi GDPR de aproape 90 de milioane de euro.   Amenda medie în Italia este de aproximativ 887.000 de euro, care se evidențiază ca una dintre cele mai mari în comparație cu alte țări. Autoritatea de Supraveghere Italiana a amendat TIM (operatorul de telecomunicații) cu 27,8 milioane de euro în 2020 pentru încălcarea GDPR pentru colectarea și prelucrarea datelor.

România ocupă locul trei pe listă, deoarece a impus un total de 68 de sancțiuni care însumează amenzi GDPR în valoare 721.000 euro . Chiar dacă au fost aplicate multe amenzi, valoarea medie nu ajunge la 11.000 de euro. Autoritatea de Supraveghere din România a emis cea mai importantă amendă de 150.000 de euro în 2019 către Raiffeisen Bank SA pentru încălcarea articolului 42 din GDPR.

Ungaria și Norvegia urmează pe locul patru și al cincilea pe listă, cu 45 și, respectiv, 40 de sancțiuni în perioada 2018-2021. În timp ce operatorii din Ungaria au trebuit să plătească amenzi de 828.000 de euro, operatorilor norvegieni li s-au aplicat amenzi GDPR în cuantum de 9 milioane de euro.

GDPR continuă să sancționeze operatorii atunci când prelucrează ilegal datele personale sau când politicile lor de confidențialitate sunt contruite și enunțate într-un mod ambiguu. Operatorii au devenit mai responsabili atunci când își gestionează datele clienți pentru a evita amenzi uriașe din partea autorităților și toate acestea în beneficiul fiecărui cetățean european.

INTRA ACUM în grupul TELEGRAM "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Dezvăluirea ilegală a datelor persoane ale utilizatorilor LGBTQ+ din aplicația Grindr a fost amendată cu 6,5 milioane EUR

Amenzi GDPR

Vizualizari: 7209

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Autoritatea Norvegiană pentru Protecția Datelor a impus o amendă administrativă de 65 000 000 NOK – aproximativ 6,5 milioane EUR – pentru nerespectarea regulilor GDPR privind consimțământul după ce a ajuns la concluzia că Grindr a dezvăluit terților datele despre utilizatori pentru publicitate comportamentală fără un temei legal. 

Grindr este o aplicație de rețea socială bazată pe locație, destinată persoanelor gay, bi, trans și queer. În 2020,  Consiliul Norvegian al Consumatorilor a depus o plângere împotriva Grindr, susținând partajarea ilegală a datelor cu caracter personal cu terți în scopuri de marketing. Datele partajate erau locația GPS, adresa IP, ID-ul de publicitate, vârsta, sexul și faptul că utilizatorul în cauză se afla pe Grindr. Utilizatorii ar putea fi identificați prin datele partajate, iar destinatarii ar putea partaja în continuare datele. Grindr a dezvăluit date cu caracter personal fără un temei legal valabil, care constituie o încălcare a articolului 6 alineatul (1) GDPR și - a dezvăluit date cu caracter personal sensibile partenerilor avand in vedere interdicția prevăzută la articolul 9 alineatul (1) GDPR.

Consimțământ invalid

Autoritatea Norvegiană pentru Protecția Datelor a concluzionat că consimțământul a fost temeiul legal aplicabil în acest caz, dar că pretinsele consimțăminte colectate de Grindr pentru partajarea datelor personale cu partenerii sai în scopuri de marketing, nu erau valabile.

Utilizatorii au fost forțați să accepte politica de confidențialitate în întregime pentru a utiliza aplicația și nu au fost întrebați în mod specific dacă doreau să-și dea consimțământul pentru partajarea datelor lor cu terțe părți pentru publicitate comportamentală. Mai mult, informațiile despre partajarea datelor cu caracter personal nu au fost comunicate în mod corespunzător utilizatorilor.

"Considerăm că acest lucru a fost contrar cerințelor GDPR pentru consimțământ valid. Investigația noastră s-a concentrat pe mecanismul de consimțământ în vigoare din GDPR, devenit aplicabil în Norvegia în 2018 și până în aprilie 2020, când Grindr a schimbat modul în care aplicația solicită consimțământul. Nu am evaluat dacă mecanismul actual de consimțământ al Grindr respectă GDPR." au declarat reprezentanții Autoritatii Norvegiene pentru Protecția Datelor

Categorii speciale de date dezvăluite

"Considerăm că datele care dezvăluie faptul că cineva este utilizator Grindr indică puternic că aparține unei minorități sexuale. Datele referitoare la orientarea sexuală a unei persoane constituie date de categorie specială care necesita o protecție specială în temeiul GDPR. Întrucât consimțământurile colectate de Grindr nu erau valabile, Grindr nu putea partaja în mod legal astfel de date.

Aplicația Grind este folosită pentru a intra în legătură cu alți utilizatori din comunitatea LGBTQ+ și suntem conștienți de faptul că mulți utilizatori aleg să nu-și folosească numele complet sau să încarce o fotografie a feței lor pentru a fi discreti. Cu toate acestea, datele lor personale și faptul că se aflau pe Grindr au fost dezvăluite unui număr necunoscut de terți în scopuri de marketing, fără a oferi utilizatorilor informații accesibile sau o alegere reală.

Deși nu sunt definite ca categorii speciale de date cu caracter personal în sine, datele de locație sunt sensibile și personale. Faptul că Grindr a împărtășit și aceste date în mod ilegal crește gravitatea cazului.

Cea mai mare amendă DPA norvegiană de până acum

O amendă administrativă ar trebui să fie eficientă, proporțională și disuasivă.

"Am aplicat o amendă de o sumă mare împotriva lui Grindr, deoarece considerăm că încălcările GDPR în acest caz sunt grave. Mii de utilizatori din Norvegia și-au partajat datele personale în mod ilegal pentru interesele comerciale ale Grindr, inclusiv locația GPS și faptul că utilizatorii în cauză se aflau pe Grindr. Modelele de afaceri bazate pe publicitate comportamentală sunt comune în economia digitală și este imperativ ca amenzile administrative pentru încălcările GDPR să fie disuasive pentru a favoriza respectarea legii" au subliniat reprezentanții Autoritatii Norvegiene pentru Protecția Datelor.

Cu toate acestea, am constatat că o reducere a amenzii de 100 000 000 NOK notificată anterior este justificată. De la notificarea noastră prealabilă, am primit informații suplimentare de la Grindr despre dimensiunea și situația financiară a companiei și am considerat, de asemenea, modificările pe care le-a făcut Grindr cu scopul de a remedia deficiențele din platforma anterioară de gestionare a consimțământului ca fiind un factor atenuant. .

"De la notificarea prealabilă, Consiliul Norvegian pentru Consumatori a susținut că Grindr a încălcat prevederile suplimentare ale GDPR. Consiliul Consumatorilor a cerut, de asemenea, Autorității Norvegiene pentru Protecția Datelor să ordone lui Grindr să șteargă datele personale procesate ilegal, în măsura în care Grindr încă prelucrează datele respective. Prin urmare, nu excludem ca alte masuri să fie emise de Autoritatea Norvegiană pentru Protecția Datelorîntr-o etapă ulterioară" au completat reprezentanții Autoritatii Norvegiene pentru Protecția Datelor.

Grindr poate depune recurs împotriva acestei decizii în termen de trei săptămâni de la primirea acesteia. În funcție de circumstanțe, acest termen poate fi prelungit.

Cititi documentul detaliat publicat deAutoritatea Norvegiană pentru Protecția Datelor  Amenda administrativa - Grindr LLC (pdf)

INTRA ACUM în grupul TELEGRAM "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

O persoană fizică din România a primit o amendă GDPR

Amenzi GDPR

Vizualizari: 60537

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Faptul că o persoană fizică a primit o amendă pentru încălcarea Regulamentului 679/2016 (GDPR) nu ar trebui să mai surprindă pe nimeni, mai ales că nu e prima dată, nici în România, nici în Europa. Da! persoanele fizice pot fi operatori de date cu caracter personal, atâta timp cât aceste date nu sunt prelucrate în scop domestic.

Ultima amendă în cuantum total de 974.89 (echivalentul sumei de 200 EURO) aplicată de Autoritatea Națională de Supraveghere unei persoane fizice, în calitate de operator, a fost pentru încălcarea dispozițiilor art. 5 alin.(1) lit. a) și b) și alin.(2), raportat la art. 6 alin.(1), precum și a dispozițiilor art. 13 alin.(1)-(3) și art. 32 alin.(2). 

Investigația a fost demarată ca urmare a primirii mai multor sesizări prin care s-a reclamat faptul că prin intermediul site-ului https://declaratieppr.ro, prin completarea unui formular care genera o declarație pe propria răspundere necesară părăsirii locuinței pe perioada stării de urgență se prelucrau anumite date cu caracter personal, respectiv nume, prenume, prenume părinți, domiciliu, cod numeric personal, seria și numărul actului de  identitate, adresa locuinței în fapt, locul deplasării, scopul deplasării și semnătura. În cursul desfășurării investigației Autoritatea Națională de Supraveghere a constatat că operatorul nu a prezentat dovezi din care să rezulte că a prelucrat în mod legal datele cu caracter personal, colectate și stocate pe site-ul https://declaratieppr.ro. Totodată, s-a constatat că nu a prezentat dovezi din care să rezulte că a asigurat informarea persoanelor vizate în legătură cu prelucrarea datelor lor personale, colectate pe același site. De asemenea, operatorul (persoana fizica) nu a luat măsuri de securitate adecvate pentru a se asigura că fișierul ce conținea date personale ale persoanelor vizate nu este supus unor riscuri de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.

La începutul lunii martie 2021 citeam despre una din cele mai interesante amenzi ale Autoritatii de Supraveghere din 2021 care a fost aplicata unei persoane fizice, ce deținea, în același timp, funcția de Secretar General în cadrul unei filiale de sector din Municipiul București a unui partid politic care a  încălcat dispozițiilor art. 32 alin. (1) și (2) și a prevederilor art. 58 alin. (1) lit. a) și e) din Regulamentul General privind Protecția DatelorPersoana fizică, în calitate de operator, a fost sancționată contravențional cu amendă în cuantum total de 2.437,35 lei (echivalentul în lei a 500 EURO).

Investigația a fost demarată ca urmare a primirii unei sesizări prin care s-a reclamat faptul că pe o rețea de socializare, pe pagina personală a unei persoane fizice ce deținea funcția de Secretar General în cadrul unei filiale de sector a unui partid politic, a fost publicată o listă cuprinzând 10 poziții cu persoane semnatare/susținători pentru alegerea Consiliului General și a Primarului Municipiului București, în cadrul căreia datele cu caracter personal ale acestora sunt accesibile, fiind dezvăluite numele și prenumele, semnătura, cetățenia, data nașterii, adresa, seria și numărul actului de identitate, opțiunea politică a persoanelor semnatare/susținătorilor.

În cursul desfășurării investigației Autoritatea Națională de Supraveghere a constatat că operatorul, contrar obligațiilor stabilite de art. 32 din RGPD, nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării pentru drepturile și libertățile persoanelor fizice, ceea ce a condus la divulgarea către publicul larg și la accesul neautorizat la datele cu caracter personal ale unui număr de 10 persoane fizice vizate, susținători ai unui candidat la alegerile locale din septembrie 2020, deși potrivit art. 5 lit. f) din RGPD, avea obligația de a respecta principiul ,,integritate și confidențialitate”.

Așadar, operatorul a fost sancționat contravențional pentru încălcarea dispozițiilor art. 32 RGPD referitoare la securitatea prelucrărilor. Totodată, operatorul a fost sancționat contravențional și pentru fapta prevăzută de art. 83 alin. (5) din Regulamentul (UE) 679/2016, raportat la art. 58 alin. (1) lit. a) și lit. e) și coroborat cu art. 8 din O.G. nr. 2/2001 întrucât nu a răspuns solicitărilor Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal. Autoritatea a aplicat operatorului și măsura corectivă de ștergere a datelor dezvăluite prin postarea pe pagina personală de pe o rețea de socializare a listei cu persoane semnatare/susținătoare pentru alegerea Consiliului General și a Primarului Municipiului București.

Tot în România, Olarian Augustin, deținătorul domeniului olarian.ro, este prima persoană sancționată pentru nerespectarea GDPR, a cărei identitate a fost făcută publică de către autoritate.

Oralian.ro este un site care oferă servicii de optimizare a site-urilor construite pe platforma wordpress și care a transmis mesaje comerciale fără a se baza pe consimțământul destinatarilor, încălcând astfel prevederile art. 6 și 7 din GDPR. În urma investigației, Autoritatea a decis impunerea unei sancțiuni contravenționale, constând într-un avertisment însoțit de o serie de măsuri corective. Una dintre măsurile corective impuse operatorului Olarian Augustin a fost „să nu mai prelucreze datele personale fără consimțământul persoanelor vizate în conformitate cu art. 6 și 7 din RGPD, inclusiv în cazul transmiterii de mesaje comerciale prin mijloace de comunicare electronică”. Autoritatea a recomandat în acest caz utilizarea metodei „dublu opt-in” pentru colectarea adreselor de e-mail.

Când pot fi aplicate amenzi GDPR persoanelor fizice?

De când a apărut acest nou Regulament (26 aprilie 2016) noi toți cei care avem cel puțin un angajat sau desfășurăm o activitate profesională care implică prelucrarea datelor cu caracter personal, ne numim OPERATORI. Pentru acest motiv s-a renuntat și la înscrierea în registrul național al procesatorilor de date, pentru că implicit toți cei care prelucrăm date trebuie să respectăm Regulamentul și devine inutilă o măsură de înregistrare. Definiția oficială din Regulament, este următoarea: un operator este o persoană fizică sau juridicăautoritate publicăagenție sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal. Drept urmare, dacă persoana fizică poate fi operator, atunci PERSOANA FIZICĂ POATE FI AMENDATĂ și de fapt s-a și întamplat deja. 

Nu calitatea de persoană fizică sau juridică dictează posibilitatea de a primi amenzi, ci scopul prelucrării acestor date (domestic vs. profesional), sau mai bine zis, modul în care respectăm principiile și obligațiile introduse de Regulamentul 679/2016.

Dacă încă vă întrebați ce înseamnă "prelucrare de date cu caracter personal", ei bine, ORICE OPERAȚIUNE, sau set de operațiuni, efectuate asupra datelor cu caracter personal sau asupra seturilor de date, cu sau fără utilizarea mijlocelor automatizate este o prelucrare de date. De remarcat că definiția începe cu "ORICE", astfel că nu există o listă limitativă de activități care se încadrează. Practic, dacă colectăm, înregistrăm, organizăm, structurăm, stocăm, adaptăm sau modificăm, extragem, consultăm, utilizăm, aliniem sau combinăm, divulgăm prin transmitere, diseminăm sau punem la dispoziție prin orice alt mod, restricționăm sau ștergem sau distrugem (și lista nu se oprește aici ...) înseamnă că prelucrăm date.

În cuprinsul Regulamentului sunt prevazute expres și limitativ cazurile în care nu se aplică prevederile Regulamentului și printre aceste excepții se află și activitățile de prelucrare realizate de către o persoană fizică în cadrul unei activitati exclusiv personale sau domestice. Spus altfel, dacă eu prelucrez acasă și nu obțin beneficii ( financiare, de imagine etc), înseamnă că mă încadrez în această situație. Dar trebuie să mă raportez la toată legislația existentă, nu doar la GDPR!

Să vă dau și un exemplu: Angajatul X pleacă de la firmă prin încetarea contractului de muncă și ia cu el (intenționat sau nu) o bază de date cu clienții. Dacă stochează și păstrează acestă listă pentru el (făcând abstracție că a comis o ilegalitate și a încălcat regulamentul intern de funcționare și procedurile de securitate), din punct de vedere GDPR se îndrează în categoria exceptată și nu a încălcat nici o prevedere GDPR. Dar, dacă vinde această bază de date sau o trasferă către o altă persoană, în schimbul unor beneficii, chiar și de imagine, s-a transformat automat în OPERATOR, deoarece tocmai "a stabilit scopurile și mijloacele de prelucrare a datelor cu caracter personal".

Un al doilea exemplu: eu ca persoană fizică îmi fac un grup pe Facebook destinat pasionaților de călătorii și reușesc să strâng câteva sute de persoane. Sunt operator de date sau nu ? Conform Curții de Jusție a Uniunii Europene, prin Hotărârea în cauza C-210/16 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein/ Wirtschaftsakademie Schleswig-Holstein GmbH, s-a constatat că un administrator de grup trebuie considerat ca fiind operator, în cadrul Uniunii, împreună cu Facebook Ireland, în ceea ce privește prelucrarea datelor membrilor acelui grup. "Un administrator de grup participă, prin acţiunea sa de stabilire a unor parametri (în funcţie, printre altele, de audienţa sa ţintă, precum şi de obiective de gestionare sau de promovare a propriilor activităţi), la stabilirea scopurilor şi a mijloacelor de prelucrare a datelor personale ale vizitatorilor paginii sale pentru fani. În special, Curtea arată în această privință că administratorul paginii pentru fani poate solicita obţinerea (sub formă anonimizată) – și deci prelucrarea – de date demografice privind audienţa sa ţintă (în special tendinţe în materie de vârstă, de sex, de situaţia amoroasă și de profesie), de informaţii privind stilul de viaţă şi centrele de interes ale audienţei sale ţintă (inclusiv informaţii privind cumpărăturile şi comportamentul de cumpărare online ale vizitatorilor paginii sale precum și privind categoriile de produse sau de servicii care îi interesează cel mai mult) și de date geografice care permit administratorului paginii pentru fani să ştie unde să efectueze promoţii speciale sau să organizeze evenimente şi, în manieră mai generală, să îşi direcţioneze mai bine oferta de informaţii."

Potrivit Curții Europene de Justitie, faptul că un administrator al unei pagini pentru fani utilizează platforma instituită de Facebook, pentru a beneficia de serviciile aferente acesteia, nu îl poate exonera de respectarea obligațiilor sale în materie de protecție a datelor cu caracter personal. Curtea subliniază că recunoaşterea unei răspunderi solidare a operatorului reţelei sociale şi a administratorului unei pagini pentru fani găzduite pe această reţea în raport cu prelucrarea datelor personale ale vizitatorilor acestei pagini pentru fani contribuie la asigurarea unei protecţii mai complete a drepturilor de care dispun persoanele care vizitează o pagină pentru fani.

Un ultim exemplu: a fost amplasată în România o cameră de luat vederi într-un bloc, de către o persoană fizică care nu este nici administrator al clădirii, nici reprezentant al asociației de proprietari. Această persoană nu deține acordul celorlalți proprietari și nici temei legal pentru procesarea și stocarea acestor date. Imaginile de pe camere video surprind atât locatarii blocului, cât și persoane străine ce intra sau ies din clădire pe durata unei zile, inclusiv reprezentanți și angajați ai unor firme cu sediu în bloc. O persoana filmată ilegal în mod repetat, reprezentant al unei societăți comerciale, a sesizat ANSPDCP, și se pare că a primit următorul răspuns: „Potrivit art. 2 alin. (2) lit. c) din RGPD, acest act normativ nu se aplică prelucrărilor de date cu caracter personal efectuate de către o persoană fizică în cadrul unei activități exclusiv personale sau domestice”.

Opinia ANSPDCP, raportată la prevederile Regulamentului UE 679/2016, consider că este corectă, dar cazul de față trebuie analizat și din prisma legislației amintite și a jurisprudenței europene. Voi solicita ANSPDCP un punct de vedere față de modul în care declarația oficială a fost publicată într-un mod cred tendențios și decontextualizat afirmându-se că "printr-o hotărâre recentă, ANSDCP arată că GDPR nu se aplică persoanelor fizice care procesează date în scop personal sau domestic, chiar dacă prelucrarea în sine are loc fără acordul persoanei vizate și fără temei legal. "

Revenind la analiza acestui caz, persoana fizică desfașoară o activitate domestică și se încadrează în excepția de aplicabilitate conform art. 2 alin. c . Totuși, acest exemplu dat cu filmarea privată trebuie analizat nu doar din prisma GDPR (activitatea domestică fiind exceptată), ci mai degrabă raportandu-ne la Legea privind asocițiile de locatari și Legea privind paza obiectivelor, bunurilor, valorilor și protecția persoanelor pentru a analiza ce înseamna filmarea în spațiul public de către o persoană fizică fără aprobare și fără o notificare prealabilă.

Dacă persoana fizica poate dovedi că prelucrarea de date este necesară, scopul fiind securitatea bunurilor și protecția persoanelor, ne putem gândi că legalitatea prelucrării este dovedită de acest interes legitim, cu condiția bineînțeles să fie respectate principiile transparenței și a stocării limitate. Recomandarea generală în astfel de situații este ca să fie obținut acordul asociației de proprietari și condiționată de afișarea unui anunț că zona este monitorizată video, cu menționarea scopului, și că imaginile nu sunt păstrate mai mult de 30 de zile.

Jurisprudența europeană în domeniul protecției datelor vine și susține afirmația inițială că persoanele fizice pot fi amendate, dovadă fiind cele doua amenzi acordate deja de Autoritățile de Supraveghere din Belgia și din Austria:

  • Am scris într-un articol anterior despre un primar al unui oraș belgian a trimis un e-mail conținând propagandă electorală către 2 (doi) locuitori ai orașului său. Cei doi reclamanți au intrat în contact cu primarul municipalității, comunicând prin e-mail, în vederea derulării unui proiect urban. Cu o zi înainte de alegerile locale din 14 octombrie 2018, primarul a folosit apoi funcția "reply" a e-mail-ului pentru a trimite un mesaj electoral reclamanților. În urma audierii părților, Camera de litigii a autorității belgiene a constatat utilizarea abuzivă a datelor cu caracter personal în scop electoral, impunând o sancțiune financiara de 2000 de euro și o mustrare primarului. (Data: 28.05.2019
    Baza legala:Art. 5 (1) b) GDPR, art. 6 GDPR)
  • În Austria a fost aplicată amenda de 2200 euro împotriva unei persoane private care a folosit într-un mod ilegal supravegherea video a parcărilor, trotuarelor, grădini și zonei de acces la complexul rezidențial în care locuia și în plus, supravegherea video acoperea și zonele de grădină ale unei proprietăți adiacente. În acest caz, supravegherea video nu a fost proporțională cu scopul și nu s-a limitat la ceea ce este strict necesar și nu a fost isemnalizată corespunzător. (Data: 20.12.2018, Baza legala: Art. 5 (1) a) și c GDPR, art. 6 (1) GDPR, art. 13 GDPR)

INTRA ACUM în grupul TELEGRAM "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Telekom Romania primeste a cincea amendă GDPR

A cincea amendă GDPR a fost inclusă în „palmaresul” Telekom România. Singura noutate este că, față de cele patru amenzi anterioare, Autoritatea Națională de Supraveghere a constatat, de […]

O cerere de demisie pe WhatsApp te costă 2000 euro

Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul World Class România S.A., constatând încălcarea dispozițiilor art. 32  din Regulamentul General privind Protecția Datelor și aplicând o amendă […]

Monitorizarea cetățenilor prin urmărirea semnalului WIFI a telefonului, amendată cu 600,000 euro

Autoritatea de Supraveghere din Olanda a amendat Primăria Enschede cu 600.000 EUR după ce în 2017, Primăria Enschede a decis să măsoare cât de aglomerat era centrul orașului, […]

33 de milioane de euro în amenzi GDPR în primul trimestru al anului 2021, la nivel european

În acest an constatăm faptul că Autoritățile de Supraveghere Europene continuă să accelereze implementarea și aplicarea Regulamentului General pentru Protecția Datelor (GDPR), operatorii plătind din ce în ce […]

Fiecare practician GDPR trebuie să aibă această carte

In domeniul protecției datelor în România, anul 2021 a debutat cu relansarea pe piață a carții „GDPR Aplicat. Instrumente de lucru pentru implementarea Regulamentului UE 679/2016” ( Editia 1, […]

Cum arată emailul de 1000 de euro? O noua amendă GDPR în România.

Autoritatea Națională de Supraveghere a demarat o investigație în urma primirii unor plângeri prin care s-a reclamat faptul că operatorul Qualitance QBS SA a transmis prin e-mail o informare […]

O treime din amenzile GDPR din Europa, pentru colaborarea insuficientă cu Autoritatea, au fost aplicate în România

O nouă amendă pentru colaborarea insuficientă cu Autoritatea de Supraveghere  tocmai a fost aplicată în România.  Operatorul C&V Water Control S.A. a primit o amendă în cuantum de […]

ANSPDCP a sancționat contravențional Direcția Generală de Poliție Locală Sector 4 București

Autoritatea Națională de Supraveghere a finalizat în data de 11.12.2020 o investigație la UAT Sector 4 Municipiul București, reprezentata prin Primar, pentru Direcția Generală de Poliție Locală Sector 4  și a […]

Direcția Generală de Poliție Locală Cluj-Napoca a fost sancționată de ANSPDCP

Autoritatea Națională de Supraveghere a finalizat în data de 11.12.2020 o investigație la Municipiul Cluj-Napoca, reprezentat prin Primar, pentru Direcția Generală de Poliție Locală Cluj-Napoca și a constatat încălcarea dispozițiilor art. […]

Moș Crăciun a adus Băncii Transilvania o amendă GDPR de 100,000 Euro.

După Raiffeisen Bank SA (amendă 150,000 euro) și Unicredit Bank SA (amendă 130,000 euro) a venit și rândul Băncii Transilvania SA să primească o amendă GDPR din partea […]

Vodafone adauga o nouă amendă GDPR în portofoliu. Care este valoarea totală a amenzilor?

Amenda aplicată de ANSPDCP operatorului Vodafone România S.A., în cuantum de 19468,8 lei, echivalentul sumei de 4000 EURO, se adaugă celor 35 de amenzi deja aplicate la nivel […]

Radiografia amenzilor ANSPDCP aplicate în Octombrie 2020

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a anunțat pe tot parcursul lunii octombrie 2020 aplicarea a patru amenzi, totalizând 10,000 euro. Ce mi-a […]

Cooperarea insuficientă cu ANSPDCP a fost amendată cu 3000 EUR

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a finalizat o investigație la Megareduceri TV S.R.L., în cadrul căreia a constatat încălcarea anumitor dispoziții din Regulamentul General privind Protecția […]

Două avertismente și o amendă GDPR pentru o Asociație de Proprietari

Autoritatea Națională de Supraveghere a finalizat o investigație la Asociația de proprietari Bl. FC 5, orașul Năvodari, județul Constanța, în cadrul căreia a constatat încălcarea anumitor dispoziții din […]

Viva Credit IFN S.A a primit o amendă GDPR de 2000 euro

Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul S.C. Viva Credit IFN S.A., constatând încălcarea art. 12 alin. (3) și (4) din Regulamentul General privind Protecția […]

Compania Națională Poșta Română a fost amendată cu 2000 euro

În data de 15.07.2020 Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul Compania Națională Poșta Română și a constatat că acesta a încălcat prevederile art. 32 din Regulamentul General privind […]

PECB semnează un parteneriat cu NeoPrivacy România și lansează cursurile recunoscute internațional

PECB Group Inc. Canada a anunțat semnarea un nou acord de parteneriat cu NeoPrivacy România, pentru a distribui cursuri de formare PECB, recunoscute internațional. „Suntem foarte încântați de […]

Spania: GLOVO a fost amendat cu 25.000 euro pentru că nu a desemnat un DPO

O amendă de 25.000 de euro a fost aplicată de Autoritatea de Supraveghere din Spania (AEPD) către compania Glovo pe motiv că nu a fost numit Responsabil cu […]

Telekom primește o nouă amendă pentru măsuri tehnice și organizatorice insuficiente

În ultimii doi ani, Autoritățile de Supraveghere din România și Slovacia au aplicat operatorului Telekom un avertisment și 3 amenzi, totalizând 45,000 Euro, pentru faptul că nu au […]

Estee Lauder Romania SRL amendată de ANSPDCP cu 3000 Euro

Autoritatea Națională de Supraveghere a finalizat în data de 10.04.2020 o investigație la operatorul Estee Lauder Romania SRL și a constatat că acesta a încălcat prevederile art. 6, art. 7 și […]

gazduire website gazduire web