Analizăm prima amendă GDPR din România împreună cu Cristiana Deca

Amenzi GDPR

Vizualizari: 2833

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Anunțul primei amenzi GDPR în România a răsunat pe toate canalele de știri, stârnind interesul multora, motiv pentru care am rugat-o pe Cristiana Deca, unul dintre primii specialiști în protecția datelor din România, cu o experiența de peste 7 ani în domeniu, să ne ofere câteva lămuriri.

Cristiana Deca este expert în protecția datelor și fondatoarea companiei Decalex, cu o experiență de peste 10 ani în domeniul juridic și peste 7 ani în domeniul protecției datelor personale. Ea a coordonat și implementat programe de complianță GDPR pentru unele dintre cele mai mari companii, la nivel național și international iar în ultimul an s-a dedicat unui program de masterat în User Xperience la MIT, cu scopul de a livra strategii de îmbunatățire a programelor de adopție a G.D.P.R în companii.

Care credeți că este motivul pentru care autoritatea a decis să spargă gheata? Credeți că amploarea încălcării a fost decisivă, mai exact faptul că datele și tranzacțiile a peste 300.000 de persoane au fost făcute publice ca urmare a neaplicării măsurilor tehnice și organizatorice adecvate?

Consider ca Autoritatea a decis să ne arate că perioada de gratie s-a încheiat. Asa cum declara și la evenimentele dedicate împlinirii unui an de la intrarea în vigoare a GDPR, Autoritatea avea în desfășurare mai multe anchete, printre care și aceasta. Din cunoștințele mele pana acum 2 ani destul de multe bănci foloseau acest tip de sistem de înregistrare a transferurilor bancare. Din perspectiva mea, având în vedere numărul de persoane afectate și tipul de date expuse cred că amenda nu este mare ca și valoare, vorbim totuși de 300.000 de persoane afectate. Sa ne reamintim că pe fosta legislație CNP-ul era considerat data personala sensibila, eu încă consider că este o dată personală mai speciala pentru că poți afla o multitudine de elemente despre persoana respectiva din acesta.

La stabilirea amenzii cred și ca Autoritatea are în vedere faptul ca instituțiile financiare, spre diferența de alte tipuri de jucători din piață,  au capacitatea financiara și organizațională să implementeze măsurile cerute de Regulament.

Sa nu uitam totuși că sunt deja 3 ani de când trebuia să ne ocupăm de G.D.P.R.

V-aș ruga sa le explicam și celor mai puțin familiarizați cu Regulamentul de ce este important acest concept de “privacy by design & by default”, care nu exista în legislația precendență dar pe care Unicredit Bank se pare că nu a reușit să-l adopte (vezi art. 25 din GDPR)

Da, conceptul de Privacy by design și by default a reprezentant una din noutățile aduse de Regulament.

În traducere liberă acest concept presupune ca operatorul atunci când implementează măsuri tehnice și organizaționale se va asigura că acestea respecta în primul rând principiile de protecție a datelor personale (minimizare, limitare, transparență etc.) și apoi va decide dacă aceste sunt cea mai buna soluție.

O sa dau un exemplu ca sa fie mai ușor de înțeles, în cazul utilizării amprentei biometrice pentru intrarea în birou, se va analiza întâi dacă software-ul va colecta doar datele absolut necesare, dacă folosește pseudonimizarea, care este perioada de stocare și cine are acces la aceste informații. Analiza asta ar trebui făcuta înainte de cumpărarea software-ului și verificat și ce alte alternative exista pentru ca realizarea acestei prelucrări să fie cât mai putin intruziva pentru persoana vizata.

Din informațiile noastre această amendă este și o premiera europeană, fiind prima amendă GDPR în baza articolului 25, despre care am discutat anterior. Este un semnal bun pentru noi faptul că autoritatea noastră a avut, să-i zicem, curajul să calce pe unde nu a mai călcat nimeni?

Din perspectiva procedurală, cred ca Autoritatea a făcut ceea ce era corect pentru speța respectivă. Din comunicatul de presă emis reiese că încadrarea situației s-a făcut în urma unei anchete, ceea ce înseamnă că a adunat toate informațiile necesare legate de situația premisă și în urma analizei elementelor a rezultat o încălcare a articolului 25 din G.D.P.R.

Până la urmă, la fel ca orice alta autoritate din Uniune, obligația instituției este să sancționeze încălcările și să protejeze persoanele vizate, indiferent dacă exista precedent sau nu.

Consider că această amendă, ne arata că Autoritatea nu așteaptă neapărat să urmeze alte instituții similare ci își face treaba conform prerogativelor date.

Din comunicările cu reprezentanții autorității, prilejuite de împlinirea unui an de la aplicarea GDPR, am aflat că la nivelul autorității s-a decis să se acorde o perioada de gratie ulterioara momentului în care Regulamentul a devenit aplicabil. În această perioada, autoritatea a impus doar măsuri corective și avertismente operatorilor care încălcau prevederile Regulamentului. Credeți ca aceasta amendă este și un mesaj din partea autorității, pentru toți operatorii, că această perioada de grație s-a terminat?

Cu siguranță ne arată că operatorii nu vor mai fi păsuiți, dacă neregulile descoperite încalcă principiile impuse de Regulament. Oricum cred că am avut una dintre cele mai lungi perioade de grație din Uniune, asa că nu este cazul sa ne lamentăm. Repet, sunt 3 ani de când trebuia sa ne pregătim pentru Regulament, nu putem folosi lipsa de timp ca pe o scuză.

Ce sfaturi le dați operatorilor care doresc să evite să facă obiectul unei anchete și eventual a unei amenzi din partea autorității?

În primul rând le recomand sa nu se îngroape ni hârtii și nici să nu se bazele pe ideea că procesul de conformitate poate fi dovedit cu un dosar, pentru ca asa cum reiese și din această primă amendă, documentația nu e neapărat importanta în dovedirea conformității ci mai degrabă verificarea și regândirea proceselor interne conformi principiilor impuse de GDPR. În al doilea rând le recomand să lucreze cu experți întrucât nu este un proces ce trebuie tratat superficial și în al treilea rând le recomand să vadă în G.D.P.R un proces intern la fel cum este contabilitatea și nu ca un proces extern.

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Vodafone amendat cu 10.000 lei de catre ANSPDCP

Amenzi GDPR

Vizualizari: 1578

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal, în urma investigației finalizate pe data de 15.10.2019, a constatat încălcarea prevederilor art. 13 alin. (1) lit. q) din Legea nr. 506/2004, coroborat cu art. 13 alin. (5) din Legea nr. 506/2004 și cu art. 8 din OG 2/2001 de catre operatorul Vodafone România S.A. și a sancționat contravențional cu amendă în cuantum de 10.000 lei.

Sancțiunea a fost aplicată întrucât operatorul nu a luat în considerare opțiunea unui petent de a nu mai primi mesaje cu promoții, concursuri și orice alte mesaje în afara celor ce privesc costurile și securitatea convorbirilor, opțiune adusă la cunoștința operatorului. Deși ulterior solicitării sale i s-a confirmat dezabonarea de la comunicările comerciale trimise de operator, acesta a primit pe adresa sa de poștă electronică un alt mesaj nesolicitat din partea Vodafone România S.A., încălcându-se astfel dispozițiile art. 12 alin. (1) din Legea nr. 506/2004 referitoare la comunicările nesolicitate.

În acest context, s-a recomandat societății să respecte solicitarea petentului de a nu mai primi mesaje cu promoții, concursuri și orice alte mesaje în afara celor ce privesc costurile și securitatea convorbirilor. Totodată, s-a recomandat operatorului luarea măsurilor necesare respectării prevederilor art. 12 din Legea nr. 506/2004, în vederea transmiterii de mesaje comerciale prin mijloace de comunicare electronică numai cu consimţământul expres prealabil al destinatarilor.

Reamintim baza legală invocată:

Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice

ARTICOLUL 12 - Comunicările nesolicitat

(1)Este interzisă efectuarea de comunicări comerciale prin utilizarea unor sisteme automate de apelare şi comunicare care nu necesită intervenţia unui operator uman, prin fax ori prin poştă electronică
sau prin orice altă metodă care foloseşte serviciile de comunicaţii electronice destinate publicului, cu excepţia cazului în care abonatul sau utilizatorul vizat şi-a exprimat în prealabil consimţământul
expres pentru a primi asemenea comunicări.

(2)Fără a aduce atingere prevederilor alin. (1), dacă o persoană fizică sau juridică obţine în mod direct adresa de poştă electronică a unui client, cu ocazia vânzării către acesta a unui produs sau serviciu, în conformitate cu
prevederile Legii nr. 677/2001, persoana fizică sau juridică în cauză poate utiliza adresa respectivă, în scopul efectuării de comunicări comerciale referitoare la produse sau servicii similare pe care acea persoană le
comercializează, cu condiţia de a oferi în mod clar şi expres clienţilor posibilitatea de a se opune printr-un mijloc simplu şi gratuit unei asemenea utilizări, atât la obţinerea adresei de poştă electronică, cât şi cu ocazia
fiecărui mesaj, în cazul în care clientul nu s-a opus iniţial.

(3)În toate cazurile este interzisă efectuarea prin poşta electronică de comunicări comerciale în care identitatea reală a persoanei în numele şi pe seama căreia sunt făcute este ascunsă, cu încălcarea
art. 5 din Legea nr. 365/2002, republicată, sau în care nu se specifică o adresă valabilă la care destinatarul să poată transmite solicitarea sa referitoare la încetarea efectuării unor asemenea comunicări ori în
care sunt încurajaţi destinatarii să viziteze pagini de internet care contravin art. 5 din Legea nr. 365/2002, republicată.)

(4)Prevederile alin. (1) şi (3) se aplică în mod corespunzător şi abonaţilor persoane juridice.

ARTICOLUL 13 - Regim sancționator

(1)Constituie contravenţii următoarele fapte:
a)neîndeplinirea obligaţiei prevăzute la art. 3 alin. (1), în condiţiile stabilite potrivit art. 3 alin. (2)-(4);
b)neîndeplinirea obligaţiei de informare prevăzute la art. 3 alin. (5);
c)neîndeplinirea obligaţiei de informare prevăzute la art. 3 alin. (6);
d)neîndeplinirea obligaţiei de informare prevăzute la art. 3 alin. (7);
e)nerespectarea prevederilor art. 3 alin. (10);
f)nerespectarea măsurilor stabilite de ANSPDCP potrivit prevederilor art. 3 alin. (11);
g)nerespectarea prevederilor art. 3 alin. (12);
h)nerespectarea prevederilor art. 4 alin. (2) referitoare la interdicţia interceptării şi supravegherii comunicărilor şi datelor de trafic aferente;
i)nerespectarea condiţiilor prevăzute la art. 4 alin. (5);
j)nerespectarea prevederilor art. 5 referitoare la prelucrarea datelor de trafic;
k)nerespectarea condiţiilor de emitere a facturilor, stabilite potrivit art. 6;
l)încălcarea obligaţiilor referitoare la disponibilitatea mijloacelor de ascundere a identităţii sau de respingere a apelurilor, precum şi la informarea publicului, prevăzute la art. 7;
m)nerespectarea prevederilor art. 8 referitoare la prelucrarea datelor de localizare, altele decât datele de trafic;
n)nerespectarea prevederilor art. 9 referitoare la condiţiile în care se poate deroga de la prevederile art. 7 sau 8;
o)încălcarea obligaţiilor referitoare la posibilitatea de a bloca redirecţionarea automată a apelurilor, prevăzute la art. 10;
p)neîndeplinirea obligaţiilor referitoare la întocmirea registrelor abonaţilor, prevăzute la art. 11;
q)nerespectarea prevederilor art. 12 referitoare la comunicările nesolicitate.

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Serviciul Postal din Austria a fost amendat pentru vânzarea datelor clienților

Amenzi GDPR

Vizualizari: 5769

Facebooktwittergoogle_plusredditpinterestlinkedinmail

 

Comitetul European pentru Protecția Datelor a anunțat în cursul săptămânii trecute decizia Autorității de supraveghere austriece privind sancționarea Serviciului postal național pentru încălcarea protecției datelor clienților săi, impunând o amendă administrativă de 18 milioane de Euro.

După efectuarea unei audieri orale, Autoritatea de supraveghere austriacă a considerat, în baza dovezilor, că Serviciului postal austriac a încălcat GDPR-ul folosind datele clienților, cum ar fi vârstele și adresele, pentru a calcula probabilitatea afinității politice a acestora și a vândut constatările sale.

În plus, o altă încălcare a fost determinată din cauza prelucrării ulterioare a datelor privind frecvența pachetului și frecvența relocărilor în scopul comercializării directe, deoarece aceasta nu este acoperită de GDPR, informează EDPB.

În stabilirea cuantumului amenzii, Autoritatea austriacă a avut în vedere faptul că aceste încălcări ale GDPR au fost comise în mod ilegal și culpabil. Aceasta a considerat că amenda administrativă menționată mai sus este adecvată pentru a preveni alte încălcări sau similare.

Pedeapsa nu este definitivă, deoarece poate fi atacată în fața Curții Administrative Federale în termen de patru săptămâni de la data comunicării.

Vezi aici comunicatul de presă al  Comitetului European pentru Protecția Datelor

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Prima persoană fizică din RO sancţionată contravenţional și importanța dublului opt-in

DA! Persoanele fizice pot face obiectul unei sancțiuni GDPR Nu cu mult timp în urma, cândva prin mijlocul verii, s-a viralizat o știre potrivit căreia  Regulamentului General privind […]

ANSPDCP: lista măsurilor (55) dispuse în urma investigațiilor, în ultimele 3 luni

Săptămâna trecută, Autoritatea de supraveghere națională (ANSPDCP) a publicat Raportul activității sale în decursul anului 2018 (vezi aici cele mai interesante date desprinse din raport). Conform acestui raport, […]

Cât ne poate costa pierderea unui stick cu date personale? Un polițist a aflat!

V-ați întrebat vreodată cât v-ar putea costa pierderea unui stick cu date personale? O încălcare a securității datelor cu care ne putem confrunta oricare dintre noi, oricât de […]

55.000 euro amenda GDPR aplicată unui SPITAL pentru nedesemnarea DPO-ului

Conform unui comunicat al Comitetul European pentru Protecția Datelor, la 12 august 2019, Autoritatea de supraveghere austriacă a aplicat o amendă administrativă unui operator care activează în sectorul […]

Avocatnet.ro a fost sancționat cu 9000 € pentru lipsa consimțământului explicit

Ziua și amenda, așa pare să ne obișnuiască Autoritatea națională de supraveghere. „Victima” de astăzi este INTELIGO MEDIA SA, administratorul platformei online avocatnet.ro, un website care „explică legislația […]

Elefant.ro sancționat pentru newslettere trimise fără existența consimțământului destinatarului

Autoritatea Națională de Supraveghere a publicat pe site-ul său  o nouă amendă în aplicarea Legii nr. 506/2004. Conform comunicatului, Elefant Online S.A., care administrează magazinul online elefant.ro, a […]

British Airways se îndreaptă spre noi recorduri privind costurile unei breșe de securitate

British Airways este pe cale să bată cu mult recordul pentru cea mai mare sancțiune financiară din Europa în era postGDPRistă. ICO, omologul englez al ANSPDCP-ului nostru, în […]

Noi amenzi GDPR: două instituții financiare din România sancționate

Autoritatea Națională de Supraveghere a anunțat astăzi finalizarea a două investigații care vizează operatorii Raiffeisen Bank S.A. și Vreau Credit S.R.L. În urma investigațiilor, autoritatea de supraveghere a constat următoarele: […]

Cea mai mare amenda GDPR din Grecia: operator de telefonie sancționat pentru SPAM

În data de 07.10.2019, Autoritatea de supraveghere din Grecia a emis un comunicat de presa anunțând cea mai mare sancțiune pe care a emis-o în baza Regulamentului general […]

O nouă amendă impusă de Autoritatea Națională de Supraveghere

Autoritatea Națională de Supraveghere a anunțat, printr-un comunicat de presă publicat astăzi pe site-ul său, finalizarea unei investigații în urma căreia operatorul Artmark Holding SRL  fost sancționat contravențional […]

Cum ajunge o copie de buletin să coste 10.000 €? Încălcând GDPR-ul, desigur!

În data de 19 septembrie 2019, autoritatea de supraveghere belgiană a publicat un comunicat prin care a anunțat o sancțiune de 10.000 de euro pentru nerespectarea minimizării datelor […]

Amendă GDPR uriașă primită de un magazin online

Morele.net, primul magazin online de electronice din Polonia, fost sancționat cu cea mai consistentă sancțiune emisă de autoritatea de supraveghere poloneză pentru încălcarea reglementărilor de protecție a datelor […]

Amendă GDPR pentru sancționarea unui angajat folosind filmările făcute cu telefonul

Autoritatea de supraveghere spaniolă  a sancționat un restaurant cu amendă de 12.000 EURO pentru aplicarea unei sancțiuni disciplinare unui angajat, în baza înregistrărilor video realizate cu telefonului mobil […]

Bulgaria: Cea mai mare amendă GDPR acordată unei autorități publice europene

Cel mai mare furt de date din Balcani (așa cum l-am numit în  articolul din iulie) s-a lăsat și cu cea mai mare sancțiune financiară din zona balcanică, […]

Cine sunt campionii GDPR Summer Challenge 2019 ?

68 de participanți, grupati in 14 echipe, au luat startul in concursul GDPR Summer Challenge 2019 GDPR Summer Challenge este o competitie organizata de Dpo-NET.ro – Data Protection […]

Peste 500.000 Euro amendă GDPR pentru o bancă din Bulgaria

Autoritatea pentru protecția datelor cu caracter personal din Bulgaria a anuțat pe data de 28 august 2019, aplicarea unei amenzi în valoare de un milion de leva (aproximativ […]

Prima sancțiune GDPR în SUEDIA: monitorizarea ilegală a elevilor

Autoritatea de supraveghere suedeză, Datainspektion, a anunțat ieri (21.08.2019) impunerea primei sale amenzi din era GDPR. O unitate de învățământ fost prima „victimă” O școală din Skellefteå a […]

A început GDPR Summer Challenge 2019!

68 de participanți din 14 echipe au luat startul in concursul GDPR Summer Challenge 2019. GDPR Summer Challenge este o simulare de caz la care participă mai multe […]

A patra amendă GDPR în România

În luna iulie, Autoritatea Națională de Supraveghere a Prelucrarea a Datelor cu Caracter Personal a finalizat o investigație la operatorul UTTIS INDUSTRIES SRL și a constatat că acesta […]

GDPR Summer Challenge este pregătit de lansare!

Sâmbătă, 10 August 2019, începe primul concurs național din România destinat aprofundarii și mai ales verificării cunoștințelor în domeniul protecției datelor. Scopul este ca participantii să dobândească cât […]