Ana-Maria Udriște: “ Este foarte important să alegi o persoană care să te ajute în implementarea GDPR și să te facă să înțelegi că documentația nu este suficientă”

Amenzi GDPR

Vizualizari: 7022

Facebooktwittergoogle_plusredditpinterestlinkedinmail

“România, trei amenzi GDPR, două premiere europene”, așa am putea sintetiza contextul în care se află țara noastră, asistând în ultimele zile la o lecție GDPR în trei acte: sistemul bancar, turismul și serviciile. Nu este un lucru negativ, din contră, denotă curajul Autorității noastre de supraveghere de a merge pe căi încă nebătătorite. Dacă amenda aplicată UniCredit aduce pentru prima dată în atenția tuturor principiul GDPR de confidențialitate prin design (“privacy by design”), ce-a de-a doua amendă aplicată WTC a fost fundamentată pe principiul responsabilității operatorului de a implementa și mai ales respecta măsurile tehnice și organizatorice de protecție a confidențialității datelor cu caracter personal. Ultima amendă aplicată până în prezent a fost o surpriză pentru noi toți, mai ales pentru că a vizat o companie de consultanță juridică cunoscută și pentru lansarea primului kit de documente GDPR din România. Am realizat cu toții că oricine dintre noi poate avea o breșă de securitate, indiferent de domeniul de activitate și de nivelul de profesionalism.  
Ana-Maria Udriște, fondatorul avocatoo.ro, a acceptat invitația noastră de a acorda un interviu în exclusivitate pentru dpo-NET.ro, oferind informații importante care ne vor ajuta să ne reamintim că responsabilitatea noastră se extinde și asupra acțiunilor angajaților sau, în cazul de față, a partenerilor de afaceri. 

Ana-Maria Udriște este avocat specializat în dreptul afacerilor și pasionată de tehnologie și modul în care se poate face legătura între domeniul juridic și oamenii care nu au treabă cu el, facilitându-le accesul la informație printr-un limbaj simplu și comun. Este fondatorul site-ului avocatoo.ro, prin care și-a propus să educe și să alfabetizeze juridic societatea și astfel să  ajute persoanele să se dezvolte, cunoscând nu doar drepturile pe care le au, ci și cum și se poată proteja. A reușit să explice dreptul într-un limbaj cât mai accesibil și să ofere servicii juridice online, concentrându-ne pe rezolvări concrete ale spețelor sau dilemelor vizitatorilor, nu doar pe oferirea unor soluții. De când a intrat în scenă GDPR-ul, s-am aplecat și asupra acestui domeniu. “Cred în acest set de reguli, cred în tehnologie și o folosire corectă a ei, astfel că până în prezent, eu și echipa avocatoo.ro, am reușit să punem pe picioare o bază consistentă de articole și documente prin care încercăm să elucidăm împreună fenomenul. Pe scurt, nu vindem GDPR, ci oferim un punct de plecare și înțelegere persoanelor interesate de acest domeniu, nou încă pentru majoritatea, și în continuă schimbare.” declară pentru dpo-NET.ro Ana-Maria Udriște. 

Este o premiera europeana amendarea unei companii care ofera servicii de consultanta si implementare GDPR si vorbim in acest caz chiar de compania condusa de Dumneavoastra (avocatoo.ro). Cum a fost posibila o astfel de bresa de securitate si ce masuri ati luat imediat dupa identificarea acesteia ?

U.A: Când am făcut migrarea site-ului de pe un host pe celălalt, a fost folosit un plug-in de WooCommerce pentru a migra o bază de date inactivă, care conținea date criptate despre tranzacțiile online, care vizau persoane juridice. În una dintre versiunile de back-up a rămas o versiune parțială a acestui fișier - care nu a apărut nici măcar la testarea online pentru vulnerabilitate. Iar persoana care a știut exact să se uite, pentru că s-a mers direct pe link, a făcut și plângerea. Din momentul în care am fost informați, lucru care s-a întâmplat prin intermediul chatului online de pe site chiar de către persoana care a făcut plângerea despre această vulnerabilitate, am securizat totul în mai puțin de 10 minute, fapt confirmat chiar și de respectiva persoană în cadrul conversației.

Autoritatea a spus că la data de 1 februarie 2019 informațiile erau disponibile în mod public, când problema s-a remediat imediat. Însă, deși am solicitat informații suplimentare, inclusiv să ne fie furnizate în formă confidențială, nu am avut acces la ele.

Noi am identificat imediat documentul, am făcut analiza internă pentru a decide dacă se impune sau nu notificarea autorității și a persoanelor implicate, și având în vedere natura publică datelor, volumul acestora, data tranzacțiilor și eventualul risc, risc care era practic inexistent, am acționat în consecință.

Ulterior, am refăcut site-ul de la zero, am adăugat încă un nivel superior de securitate prin tripla parolare și utilizare a cheilor, precum și definirea unor roluri mult mai bine stabilite de acces și posibilitate de modificare.

Care au fost etapele anchetei desfasurate de Autoritatea de Supraveghere care a condus la aplicarea acestei amenzi ? Ati primit si recomandari sau masuri corective? Vi se pare justificata aplicarea acestei masuri ?

U.A.: Etapele au fost simple și la obiect. Am primit cererea de furnizare a informațiilor pe e-mail și am răspuns tot prin e-mail. Niciun fel de procedură scrisă în afară de înmânarea propriu-zisă a procesului-verbal de sancționare. Nu am primit recomandări sau măsuri corective, nici propuneri, nici măcar nu s-a făcut mențiune despre acest aspect vreodată.

Dacă este să raportăm la cifra de afaceri, amenda este în cuantum de 2.6%, ceea ce este mult mai ridicată prin raportare la celelalte două sancțiuni aplicate. La World Trade Center amenda ar fi de aproximativ 0.2%, iar la Unicredit Bank se învârte în jurul aceleiași valori, asta conform informațiilor disponibile public. Am putea spune ca pare un pic cam disproporționat, însă eu pot înțelege și abordarea autorității de a fi mai dură cu operatorii pentru a transmite un semnal de genul "GDPR funcționează la orice nivel chiar și în România".

În România, până în acest moment, s-au aplicat trei amenzi pentru nerespectarea GDPR, Autoritatea de supraveghere conducand aproape 1.000 de investigații in primul an si adoptând o atitudine orientată spre prevenție și dispunerea de măsuri corective. Considerați că amenzile au un rol important în aplicarea GDPR-ului? Din experienta practică, cei mai mult operatori romani incearca sa se conformeze cu GDPR-ul din responsabilitate sau de frica amenzilor? Se gandeste cineva si la riscul reputational ?

U.A.: Amenzile nu rezolvă această problemă. Fac o paralelă cu dreptul concurenței, unde Consiliul este foarte activ și duce campanii de informare la nivelul întregii țări.

Din punctul meu de vedere, și nu numai al meu, avem nevoie de o campanie de informare din partea autorității și a altor organisme din domeniul digital sau care protejează consumatorii, ca tu om simplu sau entitate comercială să știi ce drepturi ai, ce obligații, DE CE e important și ce pași să adopți. 

Nu e o idee încetățenită, dar suntem un popor căruia îi place să introducă acțiuni în instanță, așa că amenzile nu vor face decât să crească numărul litigiilor, iar la final vom rămâne doar cu ideea că ”ei, data viitoare scap”.

Hai să ne uităm la autoritățile din Marea Britanie, Irlanda, Franța, Belgia, Olanda care emit ghiduri, note cu recurență săptămânală. În Franța avem amenda aplicată Sergic unde autoritatea ”a tras” de companie să se conformeze. Abia după aproape un an, când a văzut că nu a făcut nimic din ce i s-a spus, a aplicat amenda. Ceea ce e nu cazul la noi, din păcate.

La noi operatorii, în majoritatea lor, încearcă să se conformeze pentru a bifa o acțiune pe lista numită "GDPR - de făcut". Riscul reputațional este trecut pe un plan terțiar, nici măcar secundar cum ai putea crede la prima vedere.

Până la urmă, în branșă se discută de ceva vreme deja că există indicii că datele din sănătate ”tropăie” fără vreun control și nimeni nu zice nimic și nu se supără nimeni din cauza asta.

Nouă ni s-a aplicat o amendă în cuantum de 2.6% din cifra de afaceri netă (conform informațiilor disponibile pe site-ul Ministerului de Finanțe).

Ni s-a spus de nenumărate ori în ultimele zile că trebuia să luăm avertisment, cel mult. Noi nu comentăm decizia autorității, ci o respectăm, indiferent că ni se pare mult sau puțin.

Mesajul din partea Autoritatii de Supraveghere este unul extrem de puternic, subliniind tototdata faptul ca analiza riscurilor si masurile adecvate necesita o atentie marita din partea oricarui operator. Am putea spune astfel ca identificarea riscurilor este unul din cei mai importanți pași spre a obtine un grad ridicat de conformitate GDPR. Cu toate acestea, dacă uniii dintre operatori nu reusesc sa identifice nici  macar breșele, cum putea identifica riscurile?

U.A.: Aici intervine o persoană care să aibă experiență practică și să vadă dincolo de hârtii. O chestiune constatată de-a lungul acestui an este că trebuie ca persoana care sprijină organizația în vederea implementării să aibă o viziune practică și să vadă fluxurile înainte ca organizația să se gândească la ele.

Practic să vezi cam ce fel de date sunt, de unde vin, ce se întâmplă cu ele etc. Și apoi să lucrezi cu organizația în profunzime, din aproape în aproape ajungi și la riscuri la care nu te-ai fi gândit. Și, de asemenea, cred ca e necesar să îți imaginezi un scenariu practic al unor posibile scenarii, lucru care se întâmplă frecvent în industria de comunicare, spre exemplu. Ideea este să fie cât mai detaliat și mai puțin obișnuit la început, că încet ajungi la ceva palpabil care cu siguranță se va aplica.

Pleacă Ionel cu plicurile cu facturi către destinatari. Poate că Ionel se oprește să își ia un pachet de țigări și uită ușa deschisă la mașină. Și cineva ia toate plicurile, crezând că sunt bani. Sau Ionel e supărat pentru că soția lui nu i-a răspuns la telefon și aruncă plicurile cu pliante promoționale pe un câmp, că vrea să se ducă la birtul din sat să bea o bere. Iar avem un risc și o eventuală breșă. Te-ai fi gândit din prima la asta?

Dupa cum constatăm din analiza primelor trei cazuri in care au fost sanctionati operatorii de date romani, o amenda aplicata de Autoritatea de Supraveghere poate sa apara si in urma anchetei demarate dupa depunerea de catre operator a notificarii de bresa de securitate. Credeti ca acest lucru va scadea incidenta raportarilor de brese din partea operatorilor?

U.A.:Realitatea ne spune că majoritatea operatorilor nici măcar nu știu când trebuie notificată o breșă de securitate sau ce este aceasta. Cum scriam la un moment dat, o breșă de securitate înseamnă inclusiv atunci când scriu un e-mail și la destinatar trec, din neatenție sau pentru că majoritatea programelor de e-mail completează automat, un alt destinatar decât cel vizat.

Însă da, consider că astfel va scădea considerabil numărul de raportări din partea operatorilor. Dacă de exemplu, și iar fac paralelă cu dreptul concurenței, operatorul ar fi beneficiat de circumstanță atenuantă, de clemență sau imunitate pentru că notifică o breșă, atunci am fi fost în situația în care ar fi existat un interes real din partea operatorilor de a proceda la notificare. Dacă nu ne place paralela cu dreptul concurenței, hai să vorbim despre cum se corectează lucrurile în aviație și de ce a ajuns să fie unul dintre cele mai sigure medii.

În lipsa unor asemenea beneficii, majoritatea vor sta deoparte, pe ideea că ”lasă că poate nu notifică nimeni autoritatea - de ce să mă dau singur de gol”. Și atunci iarăși este o problemă. Legiuitorul sau chiar autoritatea ar fi putut să intervină și să ofere astfel de soluții și astfel ar fi crescut gradul de cooperare, conștientizare și asumare. Însă așa cui îi convine să notifice știind că va putea fi sancționat la fel dacă nu notifică?

Să ne aplecăm și asupra scandalului Cambridge Analytica si FTC, unde Facebook și autoritatea sunt în faza de negociere a unei tranzacții, cu anumite condiții, care să închidă investigația. Bun, pe 5 miliarde de dolari, dar putea să fie mai mult. Noi nu avem asemenea beneficii. 

Aveti o activitate bogata printre care si dezvoltarea si comercializarea unuia dintre cele mai cunoscute kituri de documente pentru implementarea principiilor GDPR, alaturi de serviciile consultanta de specialitate. Ce parere aveti despre operatorii care se rezuma la simpla achizitie a kitului, fara a investi in formarea unui specialist intern sau apelarea la un specialist extern ? Cum putem lupta ca specialisti in protectia datelor impotriva acestui fenomen prin care un operator incearca formal obtinerea unor inscrisuri care sa dovedeasca conformitatea, in lipsa unor modificari de fond in modul in care isi desfasoara activitatea ?

U.A.: Noi am încercat constant, în special prin ceea ce scriem pe blog, să oferim cât mai multe exemple și metode de identificare a riscurilor și cum să ai o abordare corectă.

Întotdeauna am afirmat că persoana care știe cel mai bine să-și facă implementarea este organizația, mai ales la nivelul firmelor mici și mijlocii pentru că de obicei persoanele care se ocupă de activitatea zilnică sunt și cele care au fondat organizația. Și acestea sunt cele mai în măsură să știe, la prima mână, pe unde le vin și pleacă datele.

De asemenea, noi am mers pe o abordare de genul ”cât mai multe exemple și îndrumări” care să te ajute să identifici într-un mod optim fluxurile de date și eventual riscurile. Asta e prima sarcină a ta ca organizație, să iei un pix și, cu o serie de documente în față, să începi să creionezi ceea ce tu consideri că ți s-ar aplica și cum vezi tu lucrurile.

Ulterior, după ce din punctul tău de vedere ai cam terminat pe partea asta, ar trebui să apelezi la o persoană care să verifice documentația și să vadă dacă sunt chestii care cumva au scăpat sau cum trebuie abordate problemele pe mai departe.  Noi am oferit constant, fără vreun cost suplimentar asistență pe partea asta. Oricum, oamenii ne scriu pe rețele de socializare sau e-mail și ne cer anumite informații sau revizuiri de documente pe care le facem în limita timpului disponibil. Iar uneori scriem și articole despre situația respectivă, când ne dăm seama că ar putea fi de interes pentru mai multă lume.

Dar este foarte important și să alegi persoana care să te ajute în implementare și să te facă să înțelegi că documentația nu este suficientă, e ce am zis întotdeauna: GDPR este un mixt între juridic, tehnic și organizațional și implică atât regândirea unor procesele operaționale, cât și implementarea sau adaptarea unor soluții tehnice menite ca, în final, să crească încrederea persoanelor în organizația respectivă și să redisponibilizeze toate părțile implicate.

A trecut primul an de cand se aplica GDPR-ul si mai bine de trei ani de cand a intrat in vigoare. Care au fost provocarile cu care v-ati confruntat in calitate de specialist in protectia datelor ? Ce s-a schimbat în aceasta perioada si cum vedeti evolutia in Romania si la nivel european pe termen scurt si mediu?

U.A.: Așteptam cu nerăbdare să intre în vigoare GDPR, la nivel european. La nivel macro, noi nu conștientizăm importanța datelor noastre personale. Spre exemplu, folosim telefonul pentru localizare, pentru a ajunge la o destinație, pentru a transmite poze din vacanțe, pentru a partaja cu alții documente, informații, albume, pentru a ne face programări pe la diverse saloane pe care ulterior le salvăm cu tot cu locație în telefon în calendar, pentru a primi sau trimite bani, pentru a asculta muzică, a ne înregistra ce mâncăm, cât sport facem, când ne trezim, cu ce prieteni am fost în oraș etc.

Fără să-ți dai seama, dacă cineva are acces la un moment dat la contul tău de Google, să zicem, practic poate să-ți vadă întreaga viață.

Și nu este normal ca aceste date:

(1) să fie cerute într-un număr cât mai mare,

(2) să nu fie protejate,

(3) să nu ai idee ce se întâmplă cu ele odată colectate și stocate.

Să ne gândim doar că pe baza tuturor acestor informații, poți să faci profilul cuiva fără să te chinui prea mult. Nu mai spun de situațiile când te trezești că ai contract un credit de care habar nu aveai. O să râdeți, că poate pare imposibil, dar s-a întâmplat.

După cum spuneam, oamenii nu conștientizează importanța datelor până când nu le furnizezi exemple ca cele de mai sus. Și nici nu putem avea pretenții de la un user simplu de tehnologie. Altfel că majorității i se pare o utopie regularizarea colectării, stocării și transmiterii de date. GDPR nu e un bau-bau sau un motiv în plus să extindem birocrația. Și dacă unii doar asta înțeleg, bifarea unui to-do list ca să fie GDPR compliant, alții îl duc la absurd și își închid site-urile sau nu mai comunică date deloc - cum a fost exemplul meu personal când o clinică privată nu a vrut să-mi ofere, după o verificare prealabilă, ID-ul de pacient prin care să îmi pot verifica analizele și a trebuit să bat 40km până la centru.

Nu despre asta este vorba. În primul rând vorbim despre conștientizare, apoi de responsabilizare și asumare.

Potrivit raportului emis la nivel european de Comisia Europeană, 73% din cei avuți în vedere știu care le sunt drepturile. Dar asta e la nivel european. La nivel național tind să cred că nici măcar 15% nu știu de GDPR, ce face, cum face și ce e vreo dată cu caracter personal.

Iar amenzile nu vor rezolva această problemă pentru că ține de educare și informare. Ceea ce noi încercăm să facem pe avocatoo.ro cu pachetele de soluții GDPR. O amendă nu va face decât să zică ”ei, lasă, mai semnez niște documente și aia e, oricum amenzile sunt ceva normal la noi”.

Așadar, pe termen scurt vom vedea că vor există și mai mulți prestatori de servicii care se vor oferi să te conformezi GDPR fără să-ți bați capul.

Ce sfaturi puteti oferi specialistilor in protectia datelor, aceasta meserie nou aparută, care se confruntă probabil cu cele mai mari provocări profesionale datorită caracterului general al Regulamentului (UE) 2016/679 și lipsei unor repere unitare privind interpretarea și implementarea lui ?

U.A.:Să citească foarte mult, în special de pe site-urile autorităților externe care oferă informații foarte bune și aplicate. Chiar și articole de presă, site-uri de specialitate, can-can, situații ipotetice, pentru că fiind un domeniu nou și în permanentă mișcare, trebuie să fii conectat cu ultimele știri ca să știi exact la ce să fii atent și cum să identifici eventuale probleme care pot să apară.

In incheiere, ce trebuie sa retina un operator din acest caz si ce sfat ati oferi managerilor care au asteptat pana in acest moment "sa se intample ceva", fara a intreprinde nici un demers in sensul obtinerii conformitatii GDPR ?

U.A.:Operatorii ar trebui să aibă în vedere că problema GDPR nu este "cine", ci "când". Pentru că nimeni nu scapă de o breșă de securitate și mai devreme sau mai târziu, tot suferi una, indiferent de cât de bun ești. Iar cea mai bună opțiune, în cazul în care suferi o breșă de securitate, este de a minimiza riscurile. Să conștientizăm, așadar, că este un fenomen real și că se poate întâmpla din motive la care nici nu s-a gândit cineva vreodată.

Alinierea la normele GDPR nu este o chestie de ”semnat hârtii”, ci presupune o responsabilizare a operatorului față de toți cei implicați. El trebuie să știe în primul rând ce date colectează, de unde, ce face cu ele și cui le transmite. Și să-și facă propriul audit preliminar, așa cum se pricepe mai bine, iar ulterior neapărat să apeleze la ajutorul unor persoane care, înainte de toate, înțeleg domeniul lui de activitate și cu care, împreună, să implementeze procedurile necesare din punct de vedere operațional, tehnic și juridic.

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Serviciul Postal din Austria a fost amendat pentru vânzarea datelor clienților

Amenzi GDPR

Vizualizari: 3844

Facebooktwittergoogle_plusredditpinterestlinkedinmail

 

Comitetul European pentru Protecția Datelor a anunțat în cursul săptămânii trecute decizia Autorității de supraveghere austriece privind sancționarea Serviciului postal național pentru încălcarea protecției datelor clienților săi, impunând o amendă administrativă de 18 milioane de Euro.

După efectuarea unei audieri orale, Autoritatea de supraveghere austriacă a considerat, în baza dovezilor, că Serviciului postal austriac a încălcat GDPR-ul folosind datele clienților, cum ar fi vârstele și adresele, pentru a calcula probabilitatea afinității politice a acestora și a vândut constatările sale.

În plus, o altă încălcare a fost determinată din cauza prelucrării ulterioare a datelor privind frecvența pachetului și frecvența relocărilor în scopul comercializării directe, deoarece aceasta nu este acoperită de GDPR, informează EDPB.

În stabilirea cuantumului amenzii, Autoritatea austriacă a avut în vedere faptul că aceste încălcări ale GDPR au fost comise în mod ilegal și culpabil. Aceasta a considerat că amenda administrativă menționată mai sus este adecvată pentru a preveni alte încălcări sau similare.

Pedeapsa nu este definitivă, deoarece poate fi atacată în fața Curții Administrative Federale în termen de patru săptămâni de la data comunicării.

Vezi aici comunicatul de presă al  Comitetului European pentru Protecția Datelor

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Prima persoană fizică din RO sancţionată contravenţional și importanța dublului opt-in

Amenzi GDPR

Vizualizari: 5055

Facebooktwittergoogle_plusredditpinterestlinkedinmail

DA! Persoanele fizice pot face obiectul unei sancțiuni GDPR

Nu cu mult timp în urma, cândva prin mijlocul verii, s-a viralizat o știre potrivit căreia  Regulamentului General privind Protecția Datelor (GDPR) nu se aplică persoanelor fizice, astfel că acestea nu pot fi sancționate pentru încălcare Regulamentului.

Nu ne-am putut abține de la a sancționa un asemenea derapaj, astfel că am sărit să dezamorsam această „bombă”, explicând în ce condiții persoanele fizice pot fi operatori de date cu caracter personal și drept urmare pot fi sancționate pentru încălcarea GDPR-ului.

Vezi aici articolul Persoanele fizice pot fi amendate, conform GDPR!

Poate n-o fi prima prima persoana sancționată pentru nerespectarea GDPR-ului, însa cu siguranță este prima despre aflăm oficial, cu subiect și predicat.

Autoritatea a publicat săptămâna trecută cele 55 de măsuri corective (inclusiv amenzi și avertismente) pe care le-a impus în perioada 01.06.2019-30.09.2019,  în urma investigațiilor pe care le-a efectuat.

Interesant este că printre operatorii vizați de măsurile corective, pe lângă nume mari precum Emag, Raiffeisen, Marriot, Vola, Altex, Vodafone, Orange, Unicredit și nu numai, figurează instituții publice, companii din sectorul medical, asociații de proprietari dar și persoane fizice!

Vezi aici articolul ANSPDCP: lista măsurilor (55) dispuse în urma investigațiilor, în ultimele 3 luni

Olarian Augustin, deținătorul domeniului olarian.ro, este prima persoană sancționată pentru nerespectarea GDPR, a cărei identitate a fost făcută publică de către autoritate.

Oralian.ro este un site care oferă servicii de optimizare a site-urilor construite pe platforma wordpress și care a transmis mesaje comerciale fără a se baza pe consimțământul destinatarilor, încălcând astfel prevederile art. 6 și 7 din GDPR.

În urma investigației, Autoritatea a decis impunerea unei sancțiuni contravenționale, constând într-un avertisment însoțit de o serie de măsuri corective.

Una dintre măsurile corective impuse operatorului Olarian Augustin a fost „să nu mai prelucreze datele personale fără consimțământul persoanelor vizate în conformitate cu art. 6 și 7 din RGPD, inclusiv în cazul transmiterii de mesaje comerciale prin mijloace de comunicare electronică”.  

Autoritatea a recomandat în acest caz utilizarea metodei „dublu opt-in” pentru colectarea adreselor de e-mail.

Ce este acest dublu opt-in

Dublul opt-in reprezintă o dublă acțiune atunci când un utilizator se înscrie la o listă de e-mail marketing. Mai exact, după ce o persoană se înscrie pentru a primi mesaje prin e-mail, va apărea un mesaj rugându-i să-și verifice e-mailul pentru a-și confirma abonamentul.

Când își va verifica e-mailul va vedea ceva de genul: „Tocmai v-ați înscris pentru a primi newsletter-ul. Vă rugăm să faceți clic aici pentru a vă activa abonamentul.”. Când persoana face clic pe link, e-mailul său este adăugat în lista abonaților.

Prin procesul de dublu opt-un, puteți fi sigur că persoanele și-au introdus corect informațiile, ceea ce înseamnă că veți obține o listă mai precisă și mai puține date de respingere. Acest sistem înseamnă, de asemenea, mai puține reclamații împotriva spamului, deoarece oamenii sunt obligați să facă un pas suplimentar și să își confirme consimțământul.

Probabilitatea este mai mare ca o persoana care a fost dispusă să facă acest pas suplimentar să deschidă e-mailurile și să acceseze link-urile. Răspunsurile pozitive cresc ratele de livrare și îți îmbunătățesc reputația expeditorului.

Există însă și unele dezavantaje în ceea ce privește dubla opțiune. Aproximativ 20% dintre persoanele care se înscriu la newsletter-ul dvs. sau la alt conținut nu vor finaliza procesul de înregistrare. Unii dintre ei își șterg din greșeală e-mailurile de confirmare sau aceste e-mailuri se blochează în filtrele lor de spam. 

Alte persoane fizice au mai fost sancționate pentru încălcarea GDPR-ului

  • Un primar al unui oraș belgian a trimis un e-mail conținând propagandă electorală către 2 locuitori ai orașului său cu care intrase în contact comunicând prin e-mail, în vederea derulării unui proiect urban. Cu o zi înainte de alegerile locale, primarul a folosit apoi funcția "reply" a e-mail-ului pentru a trimite un mesaj electoral reclamanților. Camera de litigii a autorității belgiene a constatat utilizarea abuzivă a datelor cu caracter personal în scop electoral, impunând o sancțiune financiara de 2000 de euro și o mustrare primarului. 
Citește aici articolul: Prima amendă GDPR în Belgia a fost aplicată unui primar
  • În Austria a fost aplicată amenda de 2200 euro împotriva unei persoane private care a folosit într-un mod ilegal supravegherea video a parcărilor, trotuarelor, grădini și zonei de acces la complexul rezidențial în care locuia și în plus, supravegherea video acoperea și zonele de grădină ale unei proprietăți adiacente. În acest caz, supravegherea video nu a fost proporțională cu scopul și nu s-a limitat la ceea ce este strict necesar și nu a fost semnalizată corespunzător.
  • Un antrenor de fotbal feminin a filmat în secret jucătoare în timp ce făceau duș.  Autoritatea din austria a aplicat o amendă administrativă de 11.000 de euro.
  • O persoană privată a trimis mai multe e-mailuri, către mai multe adrese de e-mail personale (CC), astfel că adresele de e-mail au fost vizibile pentru toți destinatarii. Autoritatea de supraveghere din Sachsen-Anhalt a dispus o sancțiune de 2000 de euro.
  • Un ofițerul de poliție a interogat bazele de date ale poliției obținând acces la date precum nume, adresa numere de telefon pe care le-a utilizat în interes personal. Acesta a fost sancționat cu 1.400 de euro

 

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

ANSPDCP: lista măsurilor (55) dispuse în urma investigațiilor, în ultimele 3 luni

Săptămâna trecută, Autoritatea de supraveghere națională (ANSPDCP) a publicat Raportul activității sale în decursul anului 2018 (vezi aici cele mai interesante date desprinse din raport). Conform acestui raport, […]

Cât ne poate costa pierderea unui stick cu date personale? Un polițist a aflat!

V-ați întrebat vreodată cât v-ar putea costa pierderea unui stick cu date personale? O încălcare a securității datelor cu care ne putem confrunta oricare dintre noi, oricât de […]

55.000 euro amenda GDPR aplicată unui SPITAL pentru nedesemnarea DPO-ului

Conform unui comunicat al Comitetul European pentru Protecția Datelor, la 12 august 2019, Autoritatea de supraveghere austriacă a aplicat o amendă administrativă unui operator care activează în sectorul […]

Avocatnet.ro a fost sancționat cu 9000 € pentru lipsa consimțământului explicit

Ziua și amenda, așa pare să ne obișnuiască Autoritatea națională de supraveghere. „Victima” de astăzi este INTELIGO MEDIA SA, administratorul platformei online avocatnet.ro, un website care „explică legislația […]

Elefant.ro sancționat pentru newslettere trimise fără existența consimțământului destinatarului

Autoritatea Națională de Supraveghere a publicat pe site-ul său  o nouă amendă în aplicarea Legii nr. 506/2004. Conform comunicatului, Elefant Online S.A., care administrează magazinul online elefant.ro, a […]

British Airways se îndreaptă spre noi recorduri privind costurile unei breșe de securitate

British Airways este pe cale să bată cu mult recordul pentru cea mai mare sancțiune financiară din Europa în era postGDPRistă. ICO, omologul englez al ANSPDCP-ului nostru, în […]

Noi amenzi GDPR: două instituții financiare din România sancționate

Autoritatea Națională de Supraveghere a anunțat astăzi finalizarea a două investigații care vizează operatorii Raiffeisen Bank S.A. și Vreau Credit S.R.L. În urma investigațiilor, autoritatea de supraveghere a constat următoarele: […]

Cea mai mare amenda GDPR din Grecia: operator de telefonie sancționat pentru SPAM

În data de 07.10.2019, Autoritatea de supraveghere din Grecia a emis un comunicat de presa anunțând cea mai mare sancțiune pe care a emis-o în baza Regulamentului general […]

O nouă amendă impusă de Autoritatea Națională de Supraveghere

Autoritatea Națională de Supraveghere a anunțat, printr-un comunicat de presă publicat astăzi pe site-ul său, finalizarea unei investigații în urma căreia operatorul Artmark Holding SRL  fost sancționat contravențional […]

Cum ajunge o copie de buletin să coste 10.000 €? Încălcând GDPR-ul, desigur!

În data de 19 septembrie 2019, autoritatea de supraveghere belgiană a publicat un comunicat prin care a anunțat o sancțiune de 10.000 de euro pentru nerespectarea minimizării datelor […]

Amendă GDPR uriașă primită de un magazin online

Morele.net, primul magazin online de electronice din Polonia, fost sancționat cu cea mai consistentă sancțiune emisă de autoritatea de supraveghere poloneză pentru încălcarea reglementărilor de protecție a datelor […]

Amendă GDPR pentru sancționarea unui angajat folosind filmările făcute cu telefonul

Autoritatea de supraveghere spaniolă  a sancționat un restaurant cu amendă de 12.000 EURO pentru aplicarea unei sancțiuni disciplinare unui angajat, în baza înregistrărilor video realizate cu telefonului mobil […]

Bulgaria: Cea mai mare amendă GDPR acordată unei autorități publice europene

Cel mai mare furt de date din Balcani (așa cum l-am numit în  articolul din iulie) s-a lăsat și cu cea mai mare sancțiune financiară din zona balcanică, […]

Cine sunt campionii GDPR Summer Challenge 2019 ?

68 de participanți, grupati in 14 echipe, au luat startul in concursul GDPR Summer Challenge 2019 GDPR Summer Challenge este o competitie organizata de Dpo-NET.ro – Data Protection […]

Peste 500.000 Euro amendă GDPR pentru o bancă din Bulgaria

Autoritatea pentru protecția datelor cu caracter personal din Bulgaria a anuțat pe data de 28 august 2019, aplicarea unei amenzi în valoare de un milion de leva (aproximativ […]

Prima sancțiune GDPR în SUEDIA: monitorizarea ilegală a elevilor

Autoritatea de supraveghere suedeză, Datainspektion, a anunțat ieri (21.08.2019) impunerea primei sale amenzi din era GDPR. O unitate de învățământ fost prima „victimă” O școală din Skellefteå a […]

A început GDPR Summer Challenge 2019!

68 de participanți din 14 echipe au luat startul in concursul GDPR Summer Challenge 2019. GDPR Summer Challenge este o simulare de caz la care participă mai multe […]

A patra amendă GDPR în România

În luna iulie, Autoritatea Națională de Supraveghere a Prelucrarea a Datelor cu Caracter Personal a finalizat o investigație la operatorul UTTIS INDUSTRIES SRL și a constatat că acesta […]

GDPR Summer Challenge este pregătit de lansare!

Sâmbătă, 10 August 2019, începe primul concurs național din România destinat aprofundarii și mai ales verificării cunoștințelor în domeniul protecției datelor. Scopul este ca participantii să dobândească cât […]

Te-ai înscris la GDPR Summer Challenge?

Peste 50 de persoane s-au înscris până acum în concursul „GDPR Summer Challenge”, motiv pentru care organizatorii au decis creșterea numărului de membrii într-o echipă la 5 persoane, […]