Analizăm prima amendă GDPR din România împreună cu Cristiana Deca

Amenzi GDPR

Vizualizari: 4375

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Anunțul primei amenzi GDPR în România a răsunat pe toate canalele de știri, stârnind interesul multora, motiv pentru care am rugat-o pe Cristiana Deca, unul dintre primii specialiști în protecția datelor din România, cu o experiența de peste 7 ani în domeniu, să ne ofere câteva lămuriri.

Cristiana Deca este expert în protecția datelor și fondatoarea companiei Decalex, cu o experiență de peste 10 ani în domeniul juridic și peste 7 ani în domeniul protecției datelor personale. Ea a coordonat și implementat programe de complianță GDPR pentru unele dintre cele mai mari companii, la nivel național și international iar în ultimul an s-a dedicat unui program de masterat în User Xperience la MIT, cu scopul de a livra strategii de îmbunatățire a programelor de adopție a G.D.P.R în companii.

Care credeți că este motivul pentru care autoritatea a decis să spargă gheata? Credeți că amploarea încălcării a fost decisivă, mai exact faptul că datele și tranzacțiile a peste 300.000 de persoane au fost făcute publice ca urmare a neaplicării măsurilor tehnice și organizatorice adecvate?

Consider ca Autoritatea a decis să ne arate că perioada de gratie s-a încheiat. Asa cum declara și la evenimentele dedicate împlinirii unui an de la intrarea în vigoare a GDPR, Autoritatea avea în desfășurare mai multe anchete, printre care și aceasta. Din cunoștințele mele pana acum 2 ani destul de multe bănci foloseau acest tip de sistem de înregistrare a transferurilor bancare. Din perspectiva mea, având în vedere numărul de persoane afectate și tipul de date expuse cred că amenda nu este mare ca și valoare, vorbim totuși de 300.000 de persoane afectate. Sa ne reamintim că pe fosta legislație CNP-ul era considerat data personala sensibila, eu încă consider că este o dată personală mai speciala pentru că poți afla o multitudine de elemente despre persoana respectiva din acesta.

La stabilirea amenzii cred și ca Autoritatea are în vedere faptul ca instituțiile financiare, spre diferența de alte tipuri de jucători din piață,  au capacitatea financiara și organizațională să implementeze măsurile cerute de Regulament.

Sa nu uitam totuși că sunt deja 3 ani de când trebuia să ne ocupăm de G.D.P.R.

V-aș ruga sa le explicam și celor mai puțin familiarizați cu Regulamentul de ce este important acest concept de “privacy by design & by default”, care nu exista în legislația precendență dar pe care Unicredit Bank se pare că nu a reușit să-l adopte (vezi art. 25 din GDPR)

Da, conceptul de Privacy by design și by default a reprezentant una din noutățile aduse de Regulament.

În traducere liberă acest concept presupune ca operatorul atunci când implementează măsuri tehnice și organizaționale se va asigura că acestea respecta în primul rând principiile de protecție a datelor personale (minimizare, limitare, transparență etc.) și apoi va decide dacă aceste sunt cea mai buna soluție.

O sa dau un exemplu ca sa fie mai ușor de înțeles, în cazul utilizării amprentei biometrice pentru intrarea în birou, se va analiza întâi dacă software-ul va colecta doar datele absolut necesare, dacă folosește pseudonimizarea, care este perioada de stocare și cine are acces la aceste informații. Analiza asta ar trebui făcuta înainte de cumpărarea software-ului și verificat și ce alte alternative exista pentru ca realizarea acestei prelucrări să fie cât mai putin intruziva pentru persoana vizata.

Din informațiile noastre această amendă este și o premiera europeană, fiind prima amendă GDPR în baza articolului 25, despre care am discutat anterior. Este un semnal bun pentru noi faptul că autoritatea noastră a avut, să-i zicem, curajul să calce pe unde nu a mai călcat nimeni?

Din perspectiva procedurală, cred ca Autoritatea a făcut ceea ce era corect pentru speța respectivă. Din comunicatul de presă emis reiese că încadrarea situației s-a făcut în urma unei anchete, ceea ce înseamnă că a adunat toate informațiile necesare legate de situația premisă și în urma analizei elementelor a rezultat o încălcare a articolului 25 din G.D.P.R.

Până la urmă, la fel ca orice alta autoritate din Uniune, obligația instituției este să sancționeze încălcările și să protejeze persoanele vizate, indiferent dacă exista precedent sau nu.

Consider că această amendă, ne arata că Autoritatea nu așteaptă neapărat să urmeze alte instituții similare ci își face treaba conform prerogativelor date.

Din comunicările cu reprezentanții autorității, prilejuite de împlinirea unui an de la aplicarea GDPR, am aflat că la nivelul autorității s-a decis să se acorde o perioada de gratie ulterioara momentului în care Regulamentul a devenit aplicabil. În această perioada, autoritatea a impus doar măsuri corective și avertismente operatorilor care încălcau prevederile Regulamentului. Credeți ca aceasta amendă este și un mesaj din partea autorității, pentru toți operatorii, că această perioada de grație s-a terminat?

Cu siguranță ne arată că operatorii nu vor mai fi păsuiți, dacă neregulile descoperite încalcă principiile impuse de Regulament. Oricum cred că am avut una dintre cele mai lungi perioade de grație din Uniune, asa că nu este cazul sa ne lamentăm. Repet, sunt 3 ani de când trebuia sa ne pregătim pentru Regulament, nu putem folosi lipsa de timp ca pe o scuză.

Ce sfaturi le dați operatorilor care doresc să evite să facă obiectul unei anchete și eventual a unei amenzi din partea autorității?

În primul rând le recomand sa nu se îngroape ni hârtii și nici să nu se bazele pe ideea că procesul de conformitate poate fi dovedit cu un dosar, pentru ca asa cum reiese și din această primă amendă, documentația nu e neapărat importanta în dovedirea conformității ci mai degrabă verificarea și regândirea proceselor interne conformi principiilor impuse de GDPR. În al doilea rând le recomand să lucreze cu experți întrucât nu este un proces ce trebuie tratat superficial și în al treilea rând le recomand să vadă în G.D.P.R un proces intern la fel cum este contabilitatea și nu ca un proces extern.

 

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Viva Credit IFN S.A a primit o amendă GDPR de 2000 euro

Amenzi GDPR

Vizualizari: 2564

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul S.C. Viva Credit IFN S.A., constatând încălcarea art. 12 alin. (3) și (4) din Regulamentul General privind Protecția Datelor, prin raportare la art. 17 din același Regulament.

Operatorul S.C. Viva Credit IFN S.A. a fost sancționat contravențional cu amendă în cuantum de 9680 lei, echivalentul sumei de 2000 EURO.

Investigația s-a desfășurat ca urmare a unei plângeri prin care se reclama faptul că operatorul nu a soluționat cererea petentului prin care își exercita dreptul de ștergerea datelor, potrivit art. 17 din Regulamentul General privind Protecția Datelor.

De asemenea, operatorul nu a furnizat petentului informații cu privire la acțiunile întreprinse în urma cererii acestuia în termen de cel mult o lună (sau maximum 3 luni, prezentând și motivele întârzierii) la adresa sa de domiciliu sau la adresa de contact (e-mail) disponibilă în evidențele sale.

Astfel, operatorul S.C. Viva Credit IFN S.A. a încălcat prevederile art. 12 alin. (3) și (4), raportat la art. 17 din Regulamentul General privind Protecția Datelor.

Operatorul are obligaţia, potrivit art. 12 alin. (3), de a răspunde cererilor persoanelor vizate fără întârzieri nejustificate şi cel târziu în termen de o lună de la primirea cererii, iar conform alin. (4) al aceluiași articol ”dacă nu ia măsuri cu privire la cererea persoanei vizate, operatorul informează persoana vizată, fără întârziere şi în termen de cel mult o lună de la primirea cererii, cu privire la motivele pentru care nu ia măsuri şi la posibilitatea de a depune o plângere în faţa unei autorităţi de supraveghere şi de a introduce o cale de atac judiciară.”

În același timp, operatorului S.C. Viva Credit IFN S.A. i s-a aplicat și o măsura corectivă, în temeiul prevederilor art. 58 alin. (2) lit. d) din Regulamentul General privind Protecția Datelor, acesta fiind obligat să transmită un răspuns petentului la cererea depusă, în termen de 5 zile lucrătoare de la comunicarea procesului-verbal.

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Compania Națională Poșta Română a fost amendată cu 2000 euro

Amenzi GDPR

Vizualizari: 2239

Facebooktwittergoogle_plusredditpinterestlinkedinmail

În data de 15.07.2020 Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul Compania Națională Poșta Română și a constatat că acesta a încălcat prevederile art. 32 din Regulamentul General privind Protecţia Datelor, referitoare la securitatea prelucrării.

Operatorul Compania Națională Poșta Română a fost sancționat contravențional cu amendă în cuantum de 9.686,60 lei lei, echivalentul a 2000 euro.

Încălcarea securității și confidențialității datelor cu caracter personal a constat în faptul că operatorul nu a implementat măsuri tehnice și organizatorice adecvate (de exemplu, pseudonimizarea), atât în momentul stabilirii mijloacelor de prelucrare, cât şi în cel al prelucrării în sine, astfel încât să se pună în aplicare, în mod eficient, principiile de protecție a datelor și să se  integreze în acestea garanțiile necesare prelucrării, astfel încât să fie duse la îndeplinire cerințele RGPD și să se protejeze drepturile persoanelor vizate.

Operatorul Compania Națională Poșta Română a fost sancționat deoarece nu a luat măsurile tehnice şi organizatorice adecvate care să prevină accesul neautorizat la datele cu caracter personal (adrese de e-mail și numere de telefon) pe adresa https://awb.posta-romana.ro aparținând Companiei Naționale Poșta Română, ceea ce a dus la compromiterea confidențialității datelor personale a 81 de persoane vizate.

Autoritatea Naţională de Supraveghere a efectuat investigația ca urmare a primirii din partea operatorului a unei notificări de încălcare a securității datelor, conform dispozițiilor art. 33 din RGPD.

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

PECB semnează un parteneriat cu NeoPrivacy România și lansează cursurile recunoscute internațional

PECB Group Inc. Canada a anunțat semnarea un nou acord de parteneriat cu NeoPrivacy România, pentru a distribui cursuri de formare PECB, recunoscute internațional. „Suntem foarte încântați de […]

Spania: GLOVO a fost amendat cu 25.000 euro pentru că nu a desemnat un DPO

O amendă de 25.000 de euro a fost aplicată de Autoritatea de Supraveghere din Spania (AEPD) către compania Glovo pe motiv că nu a fost numit Responsabil cu […]

Telekom primește o nouă amendă pentru măsuri tehnice și organizatorice insuficiente

În ultimii doi ani, Autoritățile de Supraveghere din România și Slovacia au aplicat operatorului Telekom un avertisment și 3 amenzi, totalizând 45,000 Euro, pentru faptul că nu au […]

Estee Lauder Romania SRL amendată de ANSPDCP cu 3000 Euro

Autoritatea Națională de Supraveghere a finalizat în data de 10.04.2020 o investigație la operatorul Estee Lauder Romania SRL și a constatat că acesta a încălcat prevederile art. 6, art. 7 și […]

Banca Comercială Română amendată cu 5000 EURO pentru prelucrarea datelor prin aplicația Whatsapp

Autoritatea Națională de Supraveghere a finalizat, în data de 14.04.2020, o investigație la operatorul Banca Comercială Română S.A., constatând încălcarea dispozițiilor referitoare la securitatea prelucrării, respectiv art. 32 alin. […]

Conflictul de interese al DPO-ului, sancționat cu 50.000 euro de către Autoritatea din Belgia

Autoritatea pentru Protecția Datelor din Belgia a surprins pe toată lumea când a publicat, în data de 28 aprilie 2020, decizia sa prin care a sancționat operatorul Proximus […]

Corespondența de Marketing fără consimțământ a costat EMAG 3000 euro

În data de 27.02.2020, Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul Dante Internațional S.A., deținătorul e-MAG.ro și a constatat că acesta a încălcat prevederile art. 6 […]

Trei amenzi pentru Vodafone România SA în numai trei zile

În data de 11.02.2020, Autoritatea Națională de Supraveghere a finalizat o primă investigație la operatorul Vodafone România SA și a constatat că acesta a încălcat  principiile de prelucrare […]

Lipsa asigurării unui nivel de securitate corespunzător a condus la amendarea ENEL cu 3000 Euro

În data de 25.02.2020, Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul Enel Energie Muntenia SA și a constatat că acesta a încălcat prevederile art. 32 […]

Asociația „SOS Infertilitatea” amendată de ANSPDCP cu 2000 Euro

Autoritatea Națională de Supraveghere a finalizat în data de 13.02.2020 o investigație la operatorul Asociația „SOS Infertilitatea” și a constatat că acesta nu a transmis informațiile solicitate de Autoritatea de […]

Vodafone România SA primește o amendă GDPR de 3000 euro

În data de 11.02.2020, Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul Vodafone România SA și a constatat că acesta a încălcat  principiile de prelucrare a datelor […]

Cipru: 82.000 € amendă pentru utilizarea unui sistem automat de monitorizare a concediilor medicale ale angajaților

Autoritatea de Supraveghere din Cipru a aplicat o amendă de 82.000 de euro unui grup de companii care au folosit un instrument automat pentru a monitoriza concediile medicale […]

Fenomenul FAKENEWS pierdut de sub control. „Spălați-vă mâinile, nu creierele!”

Acum câteva zile am citit întâmplător pe Fecebook un îndemn, „Spălați-vă mâinile, nu creierele!”. Acesta a fost și momentul în care am realizat că fenomenul Fakenews în România […]

Participa la DPO TOOLS Workshop – 23 / 24 Martie 2020 – „Mobilitatea, o provocare pentru aplicarea GDPR”

La nivelul dispozitivelor mobile, au aparut in ultima perioada noi variante de atacuri informatice menite de a extrage informatii cu caracter personal cunoscute sub forma furtului de identitate […]

Trevor Hughes, CEO IAPP: „În domeniul protecției datelor, avem o nouă profesie hibridizată”

Participând la cea de-a 13-a ediție a Conferinței pentru informatică, confidențialitate și protecția datelor (CPDP2020), desfășurată la Bruxelles în perioada 22-24 ianuarie 2020, Trevor Hughes, Președintele Asociației Internaționale […]

Amenda GDPR primită de Facebook în Germania este un „avertisment” pentru noi toți

Facebook a primit o amendă de 51.000 de euro ( 55.500 de dolari ) pentru că nu a numit în mod corespunzător un ofițer pentru protecția datelor pentru […]

MODELE SI FORMULARE GDPR – O nouă carte în webshop-ul dpo-NET.ro

O nouă lucrare de mare interes a fost adaugată în webshop-ul dpo-NET.ro, fiind o contributie a membrilor Centrului de cercetare pentru protectia datelor, constituit in cadrul Universitatii de […]

Nicolae Ploeșteanu: „Consider că fiecare practician trebuie să aibă această carte”

In domeniul protecției datelor în România, anul 2020 a debutat cu lansarea pe piață a acestui volum, intituat „GDPR Aplicat. Instrumente de lucru pentru implementarea Regulamentului UE 679/2016”, […]

2 amenzi, 2 avertismente și 4 măsuri corective pentru o companie din România

Relațiile dintre angajatori și angajați se pot termina cu tensiuni, care pot conduce spre deznodământuri neplăcute pentru părți. Nu este un secret faptul că, de multe ori, angajații […]

Enel Energie S.A a platit o amendă GDPR în valoare de 6000 Euro

Ca urmare a unei plângeri depusă la ANSPDCP prin care se reclama faptul că S.C Enel Energie S.A. a prelucrat nelegal datele reclamanului, in lipsa dovezii obținerii consimțământului […]