CJUE confirmă poziția ANSPDCP în litigiul cu ORANGE România privind ilegalitatea stocării actelor de identitate

ANSPDCP

Vizualizari: 1202

Facebooktwittergoogle_plusredditpinterestlinkedinmail

În litigiul aflat pe rolul instanțelor românești, având ca părți Orange România SA și Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), Curtea de Justiție a Uniunii Europene a confirmat poziția ANSPDCP în privința nelegalității stocării de către Orange Romania SA a copiilor actelor de identitate ale clienților săi, fără consimțământul expres al acestora, cu ocazia încheierii de contracte privind furnizarea de servicii de telecomunicații.

Ce s-a întâmplat de fapt?

Orange România SA furnizează servicii de telecomunicații mobile pe piața românească. La 28 martie 2018, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) i-a aplicat o amendă în cuantum de 10,000 lei pentru că a stocat copii ale actelor de identitate ale clienților săi fără consimțământul expres al acestora. Sancțiunea a fost aplicată operatorului Orange Romania SA pentru fapta prevăzută de art. 32 din Legea nr. 677/2001, cu încălcarea art. 4 alin. (1) lit. c) și art. 8 din Legea nr. 677/2001, coroborat cu art. 2 și 6 din Decizia Președintelui ANSPDCP nr. 132/2011.

Potrivit ANSPDCP, în perioada cuprinsă între 1 și 26 martie 2018, Orange România a încheiat contracte de furnizare a unor servicii de telecomunicații mobile care conțin o clauză potrivit căreia clienții au fost informați și și-au dat consimțământul cu privire la colectarea și la stocarea unei copii a actului lor de identitate, în scop de identificare. Căsuța referitoare la această clauză a fost bifată de operator anterior semnării contractului.

Astfel, Orange Romania SA, prin colectarea și stocarea copiilor de pe actele de identitate, solicitate prin contractele de servicii de comunicații electronice, a prelucrat în mod excesiv date cu caracter personal ce intră sub incidența art. 8 din Legea nr. 677/2001, fără a avea consimțământul expres al persoanelor vizate, prevederi legale exprese sau avizul ANSPDCP. Prin urmare, s-a aplicat operatorului sancțiunea amenzii și s-a dispus ca în cel mai scurt timp posibil să ia măsuri pentru ștergerea/distrugerea copiilor actelor de identitate ale persoanelor fizice cu care a încheiat contracte de furnizare de servicii de comunicații electronice, colectate și stocate fără a avea consimțământul expres al persoanelor vizate, fără ca prelucrarea să fie prevăzută de o dispoziție legală sau fără avizul ANSPDCP conform art. 2 din Decizia nr. 132/2011.

Ulterior, Procesul-verbal prin care s-a aplicat sancțiunea amenzii a fost contestat în instanță de către Orange Romania SA, ocazie cu care Orange Romania SA a înaintat Tribunalului București o cerere de sesizare a Curţii de Justiţie a Uniunii Europene în vederea pronunțării unei hotărâri preliminare.

În acest context, Tribunalul București (România) a solicitat Curții de Justiție să precizeze condițiile în care consimțământul clienților cu privire la prelucrarea datelor cu caracter personal poate fi considerat valabil.

Totodata, Tribunalul București a admis cererea formulată de Orange Romania SA privind sesizarea Curţii de Justiţie a Uniunii Europene în vederea pronunțării unei hotărâri preliminare cu privire la interpretarea art. 2 lit. (h) din  Directiva nr. 95/46/CE a Parlamentului European și a Consiliului privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, dispunând suspendarea judecății cauzei până la pronunțarea CJUE asupra sesizării.

Litigiul a format obiectul Cauzei C-61/19, aflată pe rolul Curţii de Justiţie a Uniunii Europene, în cadrul căreia cererea a fost adresată de Tribunalul București.

Curtea de Justiţie a Uniunii Europene s-a pronunțat pe data de 11.11.2020 asupra întrebărilor preliminare adresate de Tribunalul București, confirmând poziția ANSPDCP.

Ce a decis Curtea de Justiţie a Uniunii Europene?

Prin hotărârea sa, Curtea amintește mai întâi că dreptul Uniunii prevede o listă a cazurilor în care o prelucrare de date cu caracter personal poate fi considerată legală. În special, consimțământul persoanei vizate trebuie să fie liber, specific, informat și univoc. În această privință, consimțământul nu este dat în mod valabil în cazul absenței unui răspuns, al căsuțelor bifate în prealabil sau al absenței unei acțiuni.

În plus, în cazul în care consimțământul persoanei vizate este dat în cadrul unei declarații scrise care se referă și la alte aspecte, această declarație trebuie să fie prezentată într-o formă inteligibilă și ușor accesibilă și utilizând un limbaj clar și simplu. Pentru a asigura persoanei vizate o reală libertate de alegere, clauzele contractuale nu trebuie să o inducă în eroare cu privire la posibilitatea de a încheia contractul chiar dacă ea refuză să își dea consimțământul pentru prelucrarea datelor sale.

Curtea precizează că Orange România, în calitate de operator de date cu caracter personal, trebuie să fie în măsură să demonstreze legalitatea prelucrării acestor date și, în consecință, existența unui consimțământ valabil al clienților săi. În această privință, din moment ce clienții vizați nu păreau să fi bifat ei înșiși căsuța referitoare la colectarea și la stocarea unor copii ale actului lor de identitate, simplul fapt că această căsuță a fost bifată nu este de natură să stabilească o manifestare pozitivă a consimțământului lor. Revine instanței de trimitere sarcina de a efectua verificările necesare în acest scop.

Potrivit Curții, instanței naționale îi revine și sarcina să aprecieze dacă clauzele contractuale în discuție erau sau nu de natură să inducă clienții vizați în eroare cu privire la posibilitatea de a încheia contractul în pofida refuzului de a-și da consimțământul pentru prelucrarea datelor lor, în lipsa unor precizări cu privire la acest aspect. În plus, în cazul refuzului unui client de a consimți la prelucrarea datelor sale, Curtea observă că Orange România impunea ca acesta să declare în scris că nu consimțea nici la colectarea, nici la stocarea copiei actului său de identitate.

Potrivit Curții, o asemenea cerință suplimentară este de natură să afecteze în mod nejustificat libera alegere de a se opune acestei colectări și acestei stocări. În orice caz, întrucât societatea menționată este cea căreia îi revine sarcina de a stabili că clienții săi și-au manifestat prin intermediul unui comportament activ consimțământul pentru prelucrarea datelor lor cu caracter personal, această societate nu poate pretinde ca ei să își manifeste în mod activ refuzul.

Prin urmare, Curtea concluzionează că Un contract privind furnizarea de servicii de telecomunicații care conține o clauză potrivit căreia persoana vizată a fost informată și și-a dat consimțământul pentru colectarea și pentru stocarea unei copii a actului său de identitate, în scop de identificare, nu este de natură să demonstreze că această persoană și-a dat în mod valabil consimțământul pentru această colectare și pentru această stocare:

  • atunci când căsuța care se referă la această clauză a fost bifată de operatorul de date anterior semnării acestui contract sau
  • atunci când clauzele contractului menționat sunt de natură să inducă persoana vizată în eroare cu privire la posibilitatea de a încheia contractul în discuție în pofida refuzului de a-și da consimțământul pentru prelucrarea datelor sale sau
  • atunci când libera alegere de a se opune acestei colectări și acestei stocări este afectată în mod nejustificat de acest operator prin cerința ca, pentru a refuza să își dea consimțământul, persoana vizată să completeze un formular suplimentar în care să fie menționat acest refuz.

 

 

 

 

 

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Radiografia amenzilor ANSPDCP aplicate în Octombrie 2020

ANSPDCP

Vizualizari: 5835

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a anunțat pe tot parcursul lunii octombrie 2020 aplicarea a patru amenzi, totalizând 10,000 euro. Ce mi-a atras atenția este faptul că trei din cele patru amenzi anunțate (Globus Score SRL, Megareduceri TV S.R.L și Asociația de proprietari Militari R ) în acestă lună au fost aplicate operatorilor pentru că nu au transmis un răspuns la solicitările ANSPDCP. Nu este prima dată când Autoritatea aplică o amendă de acest tip, în trecut fiind aplicate alte patru amenzi, totalizând 9000 euro, dintre care una chiar unui operator amendat în această lună pentru aceiași abatere (Globus Score SRL, SOS Infertility Association, Nicola Medical Team 17 SRL si Modern Barber).

La nivel european, s-au aplicat până în prezent 20 de amenzi în valoare de 147.779 euro pentru cooperare insuficientă cu Autoritatea de Supraveghere: Spania, 8 amenzi în valoare de 100.000 euro, România, 7 amenzi în valoare de 16.000 euro, Polonia, 4 amenzi în valoare de 31.268 euro și Bulgaria, 1 amendă în valoare de 511 euro. Este îngrijorător faptul că Autoritățile de Supraveghere Naționale recurg la amenzi pentru a obține informații de la operatori, acesta fiind probabil și un indicator al gradului redus de conștientizare a importanței protecției datelor cu caracter personal și a obligațiilor operatorilor care nu au găsit încă motivația necesară pentru a se conforma.

Prima amendă anuțată în octombrie 2020, în cuantum de 14519,1 lei (echivalentul sumei de 3000 EURO), a fost a fost aplicată operatorului Megareduceri TV S.R.L. pentru faptul că nu a adus la îndeplinire măsura corectivă dispusă de a transmite răspuns la solicitările ANSPDCP, faptă prevăzută art. 83 alin. (5) lit. e) din Regulamentul (UE) 679/2016. Totodată, operatorului Megareduceri TV S.R.L. i s-a aplicat și o măsură corectivă, de a transmite ANSPDCP răspuns la adresele comunicate anterior în termen de 5 zile calendaristice, în temeiul art. 58 alin. (2) lit. d) din Regulamentul (UE) 679/2016. Investigația a fost demarată ca urmare a faptului că mai mulți petenți au sesizat ANSPDCP cu privire la faptul că au primit prin sms mesaje comerciale care promovează serviciile de pe site-ul www.reducerazi.ro, fără să - și fi exprimat consimțământul pentru a primi astfel de mesaje pe numerele personale de telefon.

Cea de-a doua amendă în cuantum de 9659 lei, echivalentul sumei de 2000 EURO, a fost aplicată operatorului Asociația de proprietari Militari R din comuna Chiajna, județul Ilfov  pentru faptul că nu a adus la îndeplinire măsura corectivă dispusă de a transmite răspuns la solicitărileANSPDCP, fapta prevăzută de art. 83 alin. (5) din Regulamentul (UE) 679/2016. Totodată, asociației de proprietari i s-a aplicat și o măsură corectivă, de a transmite în scris ANSPDCP toate informațiile solicitate prin adresa comunicată anterior, în termen de 5 zile calendaristice, în temeiul art. (58) alin. (1) lit. a) și e) din Regulamentul Regulamentul (UE) nr. 679/2016. Sancțiunile au fost aplicate ca urmare a unei plângeri prin care petentul a reclamat faptul că nu i s-a răspuns la cererea transmisă asociației de proprietari.

Cea de-a treia amendă în cuantum de 14574,9 lei, echivalentul sumei de 3000 EURO a fost aplicată  operatorului S.C. Marsorom S.R.L pentru încălcarea art. 25 și art. 32 din Regulamentul General privind Protecția Datelor. Investigația s-a desfășurat ca urmare a unei sesizări prin care se reclama faptul că pe site-ul operatorului puteau fi vizualizate unele date personale ale clienților acestuia. În cadrul investigației s-a constatat că operatorul S.C. Marsorom S.R.L. a încălcat prevederile art. 25 și 32 din Regulamentul General privind Protecția Datelor întrucât nu a adoptat suficiente măsuri de securitate care să prevină accesarea și divulgarea neautorizată a datelor personale ale clienților care au plasat comenzi pe acest site. În același timp, operatorului i s-a recomandat să stabilească o perioadă de stocare mai scurtă a datelor personale aferente conturilor clienților pentru respectarea principiului limitării stocării prevăzut de art. 5 alin. (1) lit. e) din Regulamentul General privind Protecția Datelor.

Ultima amendă din această perioadă în cuantum de 9.713,14 lei, echivalentul sumei de 2000 EURO, a fost aplicată operatoruli Globus Score SRL pentru că nu a dus  îndeplinire măsura corectivă dispusă de a furniza informațiile solicitate de ANSPDCP, faptă prevăzută la art. 83 alin. (5) lit. e), raportat la art. 58 alin. (1) din Regulamentul General privind Protecția Datelor. Totodată, operatorului i-a fost aplicată și măsura corectivă de a transmite autorității de supraveghere toate informațiile solicitate.

 

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Pentru o asociație de proprietari, ignorarea măsurilor corective a atras amenda GDPR de 2000 EUR

ANSPDCP

Vizualizari: 3675

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Autoritatea Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal a finalizat o investigație la Asociația de proprietari Militari R, comuna Chiajna, județul Ilfov, în cadrul căreia a constatat încălcarea anumitor dispoziții din Regulamentul General privind Protecția Datelor.

Astfel, asociația de proprietari a fost sancționată pentru faptul că nu a adus la îndeplinire măsura corectivă dispusă de a transmite răspuns la solicitările Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, încălcându-se astfel instrucțiunile instituției noastre, fapta prevăzută de art. 83 alin. (5) din Regulamentul (UE) 679/2016. Ca atare, operatorul a fost sancționat cu amendă în cuantum de 9659 lei, echivalentul sumei de 2000 EURO;

Totodată, asociației de proprietari i s-a aplicat și o măsură corectivă, de a transmite în scris Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal toate informațiile solicitate prin adresa comunicată anterior, în termen de 5 zile calendaristice, în temeiul art. (58) alin. (1) lit. a) și e) din Regulamentul Regulamentul (UE) nr. 679/2016.

Sancțiunile au fost aplicate ca urmare a unei plângeri prin care petentul a reclamat faptul că nu i s-a răspuns la cererea transmisă asociației de proprietari.

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

ANSPDCP a publicat Raportul de activitate aferent anului 2019

Raportul de activitate al ANSPDCP aferent anului 2019 a fost postat in data de 28 Septembrie 2020 pe site-ul instituției și conține o prezentare sintetică a activităților Autorității, […]

ASCPD a transmis 20 de propuneri către ANSPDCP privind acreditarea organismelor de certificare GDPR în România

Asociația Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD) România, în urma unei consultări cu toți membrii, a transmis către Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter […]

Când vor apărea certificările GDPR în România ?

ANSPDCP a publicat proiectul privind Cerințele suplimentare pentru acreditarea organismelor de certificare în temeiul art. 43 din Regulamentul (UE) 2016/679 care este supus dezbaterii publice, fiind accesibil aici. […]

EDPB formează grupuri de lucru Schrems II și adoptă ghiduri cu privire la operatori și imputerniciți și la targetarea utilizatorilor de social media

Comitetul European pentru Protecția Datelor („EDPB”) a anunțat în data de 4 septembrie 2020, că a format un grup de lucru pentru analiza reclamațiilor depuse în urma hotărârii […]

Două avertismente și o amendă GDPR pentru o Asociație de Proprietari

Autoritatea Națională de Supraveghere a finalizat o investigație la Asociația de proprietari Bl. FC 5, orașul Năvodari, județul Constanța, în cadrul căreia a constatat încălcarea anumitor dispoziții din […]

Recomandările ANSPDCP privind prelucrarea datelor în campania electorală

În contextul alegerilor pentru autoritățile administrației publice locale din luna septembrie 2020, Autoritatea Națională de Supraveghere recomandă tuturor entităților implicate în acest proces să acorde o atenție sporită […]

Viva Credit IFN S.A a primit o amendă GDPR de 2000 euro

Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul S.C. Viva Credit IFN S.A., constatând încălcarea art. 12 alin. (3) și (4) din Regulamentul General privind Protecția […]

Compania Națională Poșta Română a fost amendată cu 2000 euro

În data de 15.07.2020 Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul Compania Națională Poșta Română și a constatat că acesta a încălcat prevederile art. 32 din Regulamentul General privind […]

TAROM SA a fost amendată cu 5.000 Euro pentru divulgare neautorizată a datelor personale

Autoritatea Națională de Supraveghere a finalizat în data de 06.07.2020 o investigație la operatorul  SC CNTAR TAROM SA, ca urmare a transmiterii de către operator a unei notificări privind […]

Invalidarea Deciziei Comisiei Europene (UE) 2016/1250 privind Scutul de confidențialitate UE-SUA

„Prin hotărărea din data de 16 iulie 2020 pronunțată în cauza C-113/18, Curtea de Justiție a Uniunii Europene invalidează Decizia de punere în aplicare (UE) 2016/1250 a Comisiei […]

Comisia Europeană: „După doi ani de aplicare, GDPR și-a îndeplinit majoritatea obiectivelor”

În data de 24 iunie 2020 Comisia Europeană a publicat Comunicarea privind protecția datelor ca pilon al abilitării cetățenilor și abordarea UE în tranziția digitală – doi ani de […]

Proleasing Motors SRL a fost sancționat contravențional cu amendă GDPR în cuantum de 15.000 EURO

Conform unui anunț postat pe website, Autoritatea Națională de Supraveghere a finalizat în data de 23.06.2020 o investigație la operatorul Proleasing Motors SRL și a constatat încălcarea dispozițiilor […]

ASCPD solicită Ministerului Educației eliminarea consimțământului ca temei legal de prelucrare

Conform unui comunicat de presă, Asociația Specialiștilor în Confidențialitatea și Protecția Datelor (ASCPD) a sesizat Ministerul Educației și Cercetării privind articolul 5, alin. 2 din Procedura privind modul de […]

PECB semnează un parteneriat cu NeoPrivacy România și lansează cursurile recunoscute internațional

PECB Group Inc. Canada a anunțat semnarea un nou acord de parteneriat cu NeoPrivacy România, pentru a distribui cursuri de formare PECB, recunoscute internațional. „Suntem foarte încântați de […]

Spania: GLOVO a fost amendat cu 25.000 euro pentru că nu a desemnat un DPO

O amendă de 25.000 de euro a fost aplicată de Autoritatea de Supraveghere din Spania (AEPD) către compania Glovo pe motiv că nu a fost numit Responsabil cu […]

Telekom primește o nouă amendă pentru măsuri tehnice și organizatorice insuficiente

În ultimii doi ani, Autoritățile de Supraveghere din România și Slovacia au aplicat operatorului Telekom un avertisment și 3 amenzi, totalizând 45,000 Euro, pentru faptul că nu au […]

Estee Lauder Romania SRL amendată de ANSPDCP cu 3000 Euro

Autoritatea Națională de Supraveghere a finalizat în data de 10.04.2020 o investigație la operatorul Estee Lauder Romania SRL și a constatat că acesta a încălcat prevederile art. 6, art. 7 și […]

Belgia: Ghid privind verificările temperaturii la intrarea în incinte

În data de 5 iunie 2020, Autoritatea de Supraveghere din Belgia a publicat un ghid cu privire la verificările de temperatură în timpul crizei COVID-19, având în vedere […]

Olanda: Oricine postează online imagini cu minori, trebuie să obțină anterior consimțământul tutorilor legali

O instanță din Olanda a decis că o bunică trebuie să șteargă pozele nepoților săi, postate pe contul de socializare, după ce fiica sa a depus o plângere […]

ANSPDCP: Temperatura unei persoane este data cu caracter personal doar daca se înregistrează într-un sistem de evidență

Conform unui articol publicat de ActiveNews, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a transmis radacției un răspuns conform căruia „dispozițiile Regulamentului (UE) 2016/679 […]