Banca Comercială Română amendată cu 5000 EURO pentru prelucrarea datelor prin aplicația Whatsapp

ANSPDCP

Vizualizari: 8793

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Autoritatea Națională de Supraveghere a finalizat, în data de 14.04.2020, o investigație la operatorul Banca Comercială Română S.A., constatând încălcarea dispozițiilor referitoare la securitatea prelucrării, respectiv art. 32 alin. (4) coroborat cu art. 32 alin. (1) și alin. (2) din Regulamentul General privind Protecția Datelor.

Operatorul Banca Comercială Română S.A. a fost sancționat contravențional cu amendă în cuantum de 24163,50 lei, echivalentul sumei de 5000 EURO.

Investigația a fost demarată în urma primirii unei plângeri, iar în cursul desfășurării acesteia, Autoritatea Națională de Supraveghere a constatat că Banca Comercială Română S.A. nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării. În același timp, operatorul nu a luat măsuri pentru a asigura că orice persoană fizică care acționează sub autoritatea sa și care are acces la date cu caracter personal nu le prelucrează decât la cererea sa, cu excepția cazului în care această obligație îi revine în temeiul dreptului Uniunii sau al dreptului intern.

Astfel, s-a constatat că a avut loc o colectare a copiilor actelor de identitate ale clienților persoanelor fizice (minori și reprezentanți legali) prin intermediul telefonului personal al unei angajate a operatorului, precum și transmiteri ale copiilor acestor acte la nivelul operatorului, prin aplicația Whatsapp, cu încălcarea procedurii de lucru interne.

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Olanda: Oricine postează online imagini cu minori, trebuie să obțină anterior consimțământul tutorilor legali

ANSPDCP

Vizualizari: 3988

Facebooktwittergoogle_plusredditpinterestlinkedinmail

O instanță din Olanda a decis că o bunică trebuie să șteargă pozele nepoților săi, postate pe contul de socializare, după ce fiica sa a depus o plângere în acest sens. Bunica, potrivit observațiilor publicate de Judecătoria Districtului Gelderland, nu a fost în contact cu fiica sa de mai bine de un an din cauza unor neînțelegeri în familie.

Cei trei nepoți minori apar în imagini pe care bunica le-a postat pe conturile sale de socializare, pe Facebook și Pinterest. În luna februarie 2020, fiica i-a scris mamei sale, menționând cererile făcute prin intermediul poliției pentru a fi șterse fotografiile copiilor săi de pe Facebook și termenul maxim de 5 martie 2020. Acest termen nefiind respectat, mama a depus plângere în instanță.

Legea națională olandeză care a introdus clarificări privind implementarea Regulamentului UE 679/2016 (GDPR) prevede ca oricine postează fotografii cu minori trebuie să obțină anterior consimțământul tutorilor legali.

În momentul în care a început procesul în luna aprilie 2020, bunica a șters aceste fotografii cu excepția uneia singure. Aceasta fotografie surprindea unul din nepoți pe care ea l-a îngrijit timp de 7 ani, și care locuia împreună cu ea și cu tatăl lui, fiind separați de mamă și de ceilalți doi frați.

Conform observațiilor instanței de judecată, nici tatăl băiatului nu și-a dat consimțământul pentru publicarea acestei imagini și se menționează expres că nu au fost luate în considerare drepturile de autor asupra imaginii sau considerentele emoționale invocate de bunică.

Chiar dacă prevederile Regulamentului 679/2016 nu se aplică activităților domestice, instanța de judecată menționează că postările pe Facebook, având în vedere nivelul mare expunere, nu se califică pentru această exceptare.

În consecință, judecătorul i-a acordat bunicii zece zile pentru a șterge poza. Dacă nu este eliminată în acest termen, se va impune o amendă de 50,00 EUR  pentru fiecare zi în care imaginile rămân postate, până la atingerea sumei maxime de 1.000 EUR

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

ANSPDCP: Temperatura unei persoane este data cu caracter personal doar daca se înregistrează într-un sistem de evidență

ANSPDCP

Vizualizari: 3898

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Conform unui articol publicat de ActiveNews, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a transmis radacției un răspuns conform căruia "dispozițiile Regulamentului (UE) 2016/679 privind prelucrarea datelor cu caracter personal devin aplicabile numai în măsura în care informațiile privind temperatura corporală a unei persoane fizice se înregistrează într-un sistem de evidență".

Ce însemnă acest lucru, mai exact?

Potrivit art. 4 pct. 1 din Regulamentul (UE) 2016/679 datele cu caracter personal"  sunt definite ca fiind ”orice informații privind o persoană fizică identificată sau identificabilă ("persoana vizată")”. Totodată, conform art. 4 pct. 2 din Regulamentul (UE) 2016/679 (RGPD), „prelucrarea" înseamnă „orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea”.

De asemenea, potrivit art. 4 pct. 6 din RGPD „sistem de evidență a datelor" înseamnă ”orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcționale sau geografice”.

Prin urmare, numai în măsura în care informațiile privind temperatura corporală a unei persoane fizice identificate sau identificabile se înregistrează într-un sistem de evidență dispozițiile Regulamentului (UE) 2016/679 devin aplicabile”, se subliniază în răspunsul transmis de ANSPDCP, pentru ActiveNews.

În ce condiții un operator poate prelucra date privind sănătatea ?

Potrivit Regulamentului (UE) 2016/679, în ceea ce privește modalitatea de prelucrare a datelor cu caracter personal, aceasta se realizează  în condițiile prevăzute de art. 6, art. 9 și art. 10, în funcție de natura datelor și categoriilor de date colectate și prelucrate. În practică există 6 modalități de a prelucra datele cu caracter personal în regim de legalitate:

  1. persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice; (CONSIMȚĂMÂNT)
  2. prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract; (RELAȚII CONTRACTUALE)
  3. prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului; (OBLIGAȚII LEGALE)
  4. prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice; (INTERESE VITALE)
  5. prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul; (INTERES PUBLIC)
  6. prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil. (INTERESE LEGITIME)

În ceea ce privește datele cu caracter special, precum datele privind starea de sănătate (temperatura, de exemplu), acestea pot fi prelucrate de către un operator în condițiile art. 9:

  • prelucrarea este necesară în scopul îndeplinirii obligațiilor și al exercitării unor drepturi specifice ale operatorului sau ale persoanei vizate în domeniul ocupării forței de muncă și al securității sociale și protecției sociale, în măsura în care acest lucru este autorizat de dreptul Uniunii sau de dreptul intern ori de un acord colectiv de muncă încheiat în temeiul dreptului intern care prevede garanții adecvate pentru drepturile fundamentale și interesele persoanei vizate SAU
  • prelucrarea este necesară în scopuri legate de medicina preventivă sau a muncii, de evaluarea capacității de muncă a angajatului, de stabilirea unui diagnostic medical, de furnizarea de asistență medicală sau socială sau a unui tratament medical sau de gestionarea sistemelor și serviciilor de sănătate sau de asistență socială, în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul unui contract încheiat cu un cadru medical și sub rezerva respectării condițiilor și garanțiilor SAU
  • prelucrarea este necesară din motive de interes public în domeniul sănătății publice, cum ar fi protecția împotriva amenințărilor transfrontaliere grave la adresa sănătății sau asigurarea de standarde ridicate de calitate și siguranță a asistenței medicale și a medicamentelor sau a dispozitivelor medicale, în temeiul dreptului Uniunii sau al dreptului intern, care prevede măsuri adecvate și specifice pentru protejarea drepturilor și libertăților persoanei vizate, în special a secretului profesional

Informarea persoanei vizate rămâne o condiție

Totodată, subliniem faptul că oricare ar fi temeiul de prelucrare al datelor operatorii trebuie să ia măsuri adecvate pentru a furniza persoanei vizate informațiile menționate la articolele 13 și 14, într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu. Aceasta informare se poate realiza pe site-ul operatorului sau în locurile accesibile publicului. În ceea ce privește măsurile de securitate adoptate de către operatori, precizăm că art. 32 din Regulamentul (UE) 2016/679 care reglementează ”Securitatea prelucrării”, stabilește obligația operatorilor și persoanelor împuternicite de aceștia la implementarea măsurilor tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător”, subliniază ANSPDCP.

Este posibilă limitarea, printr-o măsură legislativă,  a domenilui de aplicare al obligațiilor și al drepturilor prevăzute de Regulamentul (UE) 2016/679 ?

Potrivit unui comunicat transmis de președintele Comitetului European pentru Protecția Datelor (EDPB) și citat de ANSPDCP, orice măsură luată în acest context trebuie să respecte principiile generale ale dreptului și nu trebuie să fie ireversibilă. "Situația de urgență este o condiție legală care poate legitima restricțiile de libertate, cu condiția ca aceste restricții să fie proporționale și limitate la perioada de urgență”, se arată în comunicatul EDPB.

Reamintim că, în România, starea de urgență s-a încheiat în data de 14 mai 2020, ulterior fiind instituită starea de alertă.

„Potrivit Hotărârii Guvernului nr. 394 din 18 mai 2020 privind declararea stării de alertă și măsurile care se aplică pe durata acesteia pentru prevenirea și combaterea efectelor pandemiei de COVID-19, au fost aprobate o serie de măsuri de prevenire și control al infecțiilor, condițiile concrete de aplicare și destinatarii acestor măsuri, precum și instituțiile și autoritățile publice care pun în aplicare sau urmăresc respectarea aplicării măsurilor pe durata stării de alertă. Astfel, prin Măsurile pentru diminuarea impactului tipului de risc, se instituie obligația instituțiilor și autorităților publice, operatorilor economici și profesioniștilor de a organiza activitatea, astfel încât să asigure, la intrarea în sediu, în mod obligatoriu, triajul epidemiologic și dezinfectarea obligatorie a mâinilor, atât pentru personalul propriu, cât și pentru vizitatori, în condițiile stabilite prin ordinul comun al ministrului sănătății și al ministrului afacerilor interne, emis în temeiul art. 13 și art. 71 alin. (2) din Legea nr. 55/2020. (art. 9 pct. 3)”, precizează ANSPDCP.

Prin urmare, subliniază ANSPDCP în răspunsul transmis ActiveNews, rezultă că în măsura în care este necesar a se asigura obiective importante de interes public general ale unui stat membru, cum ar fi în domeniul sănătății publice, dreptul intern care se aplică operatorului de date poate restricționa, printr-o măsură legislativă, domeniul de aplicare al obligațiilor și al drepturilor prevăzute de Regulamentul (UE) 2016/679.

 

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

ANSPDCP lansează un concurs online pentru conștientizarea importanței datelor cu caracter personal

Cu ocazia aniversării a 2 ani de la aplicarea Regulamentului UE 679/2016 (GDPR) în România, Autoritatea Națională de Supraveghere invită copii cu vârsta de până la 14 ani să […]

Digisign ofera un cadou fiecarui absolvent al cursului online GRATUIT

Astazi, 23 Aprilie 2020, este lansat un nou curs online actualizat, oferit GRATUIT, avand tema „Informatii introductive despre utilizarea semnaturilor electronice” si care isi propune sa ofere informații […]

GHID și INSTRUCȚIUNI DE LUCRU privind protecția datelor în contextul epidemiologic actual

La 10 martie 2020, Autoritatea Națională Maghiară pentru Protecția Datelor și Libertatea Informațiilor („NAIH”) a emis un ghid  privind protecția datelor in contextul pandemiei cu COVID-19. NAIH evidențiază faptul […]

Normele GDPR nu împiedică măsurile luate în lupta împotriva pandemiei Coronavirusului

Conform comunicatului de presa al European Data Protection Comitetului European pentru Protecția Datelor (EDPB), „Normele de protecție a datelor (precum GDPR) nu împiedică măsurile luate în lupta împotriva […]

Fenomenul FAKENEWS pierdut de sub control. „Spălați-vă mâinile, nu creierele!”

Acum câteva zile am citit întâmplător pe Fecebook un îndemn, „Spălați-vă mâinile, nu creierele!”. Acesta a fost și momentul în care am realizat că fenomenul Fakenews în România […]

Participa la DPO TOOLS Workshop – 23 / 24 Martie 2020 – „Mobilitatea, o provocare pentru aplicarea GDPR”

La nivelul dispozitivelor mobile, au aparut in ultima perioada noi variante de atacuri informatice menite de a extrage informatii cu caracter personal cunoscute sub forma furtului de identitate […]

Reacție fermă a ANSPDCP față de declarațiile ministrului Educației și Cercetării

Ministrul Educației și Cercetării, Monica Anisie a afirmat că Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) ar fi soliictat acordul autorului pentru publicarea tezei […]

Trevor Hughes, CEO IAPP: „În domeniul protecției datelor, avem o nouă profesie hibridizată”

Participând la cea de-a 13-a ediție a Conferinței pentru informatică, confidențialitate și protecția datelor (CPDP2020), desfășurată la Bruxelles în perioada 22-24 ianuarie 2020, Trevor Hughes, Președintele Asociației Internaționale […]

Amenda GDPR primită de Facebook în Germania este un „avertisment” pentru noi toți

Facebook a primit o amendă de 51.000 de euro ( 55.500 de dolari ) pentru că nu a numit în mod corespunzător un ofițer pentru protecția datelor pentru […]

MODELE SI FORMULARE GDPR – O nouă carte în webshop-ul dpo-NET.ro

O nouă lucrare de mare interes a fost adaugată în webshop-ul dpo-NET.ro, fiind o contributie a membrilor Centrului de cercetare pentru protectia datelor, constituit in cadrul Universitatii de […]

Nicolae Ploeșteanu: „Consider că fiecare practician trebuie să aibă această carte”

In domeniul protecției datelor în România, anul 2020 a debutat cu lansarea pe piață a acestui volum, intituat „GDPR Aplicat. Instrumente de lucru pentru implementarea Regulamentului UE 679/2016”, […]

PECB semnează un acord de parteneriat cu NeoPrivacy România și lansează cursuri de certificare recunoscute internațional

PECB Group Inc. Canada a anunțat semnarea un nou acord de parteneriat cu NeoPrivacy România, pentru a distribui cursuri de formare PECB, recunoscute internațional. „Suntem foarte încântați de […]

ANSPDCP a publicat o analiza statistică a activității din 2019

Cu ocazia Zilei Europene a Protectiei Datelor cu Caracter Personal 2020, sărbătorita anual în 28 Ianuarie, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal a publicat […]

2 amenzi, 2 avertismente și 4 măsuri corective pentru o companie din România

Relațiile dintre angajatori și angajați se pot termina cu tensiuni, care pot conduce spre deznodământuri neplăcute pentru părți. Nu este un secret faptul că, de multe ori, angajații […]

Prima Asociație de Proprietari amendată pentru încălcarea GDPR-ului

Autoritatea Națională de Supraveghere a anunțat pe site-ul său prima amendă care vizează o asociație de proprietari. Investigația autorității a pornit de la plângere formulată de un locatar […]

Anul 2019 văzut prin ochii unui GDPR-ist, 10 momente memorabile

Este sfarsit de an si fiind un moment de bilant nu pot sa nu ma gandesc la cat de multe lucruri am realizat pe plan profesional si mai […]

Telekom Romania amendată pentru nerespectarea principiului exactității datelor

Sancțiunile impuse de Autoritatea națională de supraveghere (ANSPDCP) în ultima perioadă ne întăresc convingerea că operatorii de date nu riscă amenzi doar în cazul unor breșe de securitate […]

Cât costă ignorarea solicitărilor ANSPDCP-ului? Două companii din România au aflat!

Autoritatea Națională de Supraveghere a anunțat astăzi două noi amenzi pentru încălcarea Regulamentului general privind protecția datelor Două companii din România, Nicola Medical Team 17 SRL și Modern […]

Încă o mare bancă din România amendată pentru încălcarea GDPRului!

ING Bank N.V. Amsterdam – Sucursala București este a doua banca din România sancționată pentru nerespectarea prevederilor Regulamentului General privind Protecția Datelor. Vă reamintim că în luna octombrie […]

O amendă pentru nerespectarea GDPR-ului a zburat către TAROM

Autoritatea Națională de Supraveghere a anunțat pe site-ul său finalizarea unei investigații ce viza cea mai veche companie aeriană din România, TAROM! Autoritatea a constatat că operatorul SC […]