Cum ajunge o copie de buletin să coste 10.000 €? Încălcând GDPR-ul, desigur!

Amenzi GDPR

Vizualizari: 7994

Facebooktwittergoogle_plusredditpinterestlinkedinmail

În data de 19 septembrie 2019, autoritatea de supraveghere belgiană a publicat un comunicat prin care a anunțat o sancțiune de 10.000 de euro pentru nerespectarea minimizării datelor prelucrate și justificarea prelucrării în baza unui consimțământ invalid.

Citirea eID-ului în schimbul unui card de fidelitate

Autoritatea a primit o reclamație cu privire la utilizarea cărții electronice de identitate (eID) de către un comerciant pentru furnizarea unui serviciu comercial, și anume crearea unui card de fidelitate. Deoarece reclamantul a refuzat să-și ofere cartea de identitate, oferindu-se totodată să-și trimită datele în scris, comerciantul a refuzat eliberarea cardului de fidelitate. 

Autoritatea a evaluat această practică din mai multe motive ca nerespectând Regulamentul general privind protecția datelor (GDPR):

  • Nerespectarea principiului minimizării datelor prelucrate

Principiul minimizării prelucrărilor de date este un principiu important în GDPR, care impune operatorului să limiteze cantitatea de date cu caracter personal colectate și perioada de stocare la ceea ce este strict necesar pentru scopul urmărit.

Pentru a crea cardul de fidelitate, comerciantul necesită citirea datelor de pe eID, cum ar fi numele, prenumele, adresa etc., dar și fotografia și codul de bare care este legat de numărul Registrului național belgian. 

Autoritatea subliniază că numărul registrului național (echivalentul CNP-ului) este un subiect care este supus unor reguli stricte în ceea ce privește consultarea și utilizarea sa.

Prin urmare, autoritatea a opinat că citirea și utilizarea tuturor datelor de pe cardul de identitate electronic într-un context comercial reprezintă o prelucrare disproporționată în raport cu scopul creării unui card de client.

  • Fără un consimțământ valabil

Pentru a fi legală, prelucrarea datelor cu caracter personal trebuie să se bazeze pe una din cele șase baze legale ale GDPR. Comerciantul se bazează pe consimțământ ca bază legală pentru a justifica prelucrarea datelor din eID, dar Autoritatea a contestat validitatea acestuia.

Pentru a fi valabil, consimțământul trebuie să fie gratuit, specific și informat. Autoritatea a opinat că prelucrarea datelor din eID în baza consimțământului, în acest caz, nu poate fi considerat ca fiind oferit liber, deoarece clientului nu i se oferă o altă alternativă. Dacă clientul refuză să permită utilizarea cărții sale de identitate electronică pentru crearea unui card de client, acesta va fi penalizat și nu se va putea bucura de beneficii și reduceri, deoarece nu i se va oferi o alternativă.

„Companiile sau comercianții trebuie să gestioneze datele cu caracter personal mai conștient atunci când solicită tot felul de date cu caracter personal pentru un serviciu, mai ales dacă acest lucru se întâmplă fără acordul valid al clientului. GMS oferă principii și obligații care ar trebui să ghideze servesc la procesarea corectă a datelor cu caracter personal” a explicat Hielke Hijmans, președintele Camerei Disputelor a autorității de supraveghere belgiene.

O copie de buletin la preț de xerox profesional

Având în vedere nerespectarea principiului minimizării datelor prelucrate și lipsa unei baze legale valabile, autoritatea a  decis să aplice o amendă administrativă de 10.000 de euro.

„Utilizarea cărților de identitate electronice drept card de client este o practică obișnuită. Cu toate acestea, accesul la multe date cu caracter personal nu este permis în cadrul GDPR dacă nu este strict necesar pentru furnizarea unui serviciu și nu există o bază legală valabilă pentru aceasta. Camera litigiilor consideră că aceasta a fost o încălcare gravă și, prin urmare, impune o amendă” , concluzionează Hielke Hijmans, președintele Camerei Disputelor.

David Stevens, președintele autorității de supraveghere: „Această decizie este un element important așezat pe drumul către o mai bună protejare a vieții private a cetățenilor noștri”.

Gânduri de încheiere

De câte ori nu vi s-a cerut buletinul la bancă pentru a putea face o amărăciune de plată?! Poate n-or avea toate aceleași politici și nu vreau sa generalizez, însă este clar că încă suntem departe de a înțelege cum ne afectează indolența cu care împărțim date, asemeni un dealer la masa de poker, fără a fi conștienți că datele noastre sunt potul și suntem all in.

Abia când nepăsarea noastră va produse efecte, ne vom face curaj și vom îndrăzni să ne împotrivim când ne vor fi solicitate date în mod excesiv sau chiar ilegal. Însă până vom ajunge în acel punct, avem de parcurs un drum lung, anevoios, cu mersul piticului. 

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Corespondența de Marketing fără consimțământ a costat EMAG 3000 euro

Amenzi GDPR

Vizualizari: 3895

Facebooktwittergoogle_plusredditpinterestlinkedinmail

În data de 27.02.2020, Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul Dante Internațional S.A., deținătorul e-MAG.ro și a constatat că acesta a încălcat prevederile art. 6 din Regulamentul General privind Protecția Datelor, prin raportare la dispozițiile art. 21 alin. (3) din Regulament.

Operatorul Dante Internațional SA a fost sancționat contravențional cu amendă în cuantum de 14.420,4 lei, echivalentul sumei de 3000 EURO.

Sancțiunea a fost aplicată operatorului întrucât la sfârsitul anului 2019 a transmis unei persoane fizice un mesaj comercial, deși la începutul anului 2019 operatorul ii confirmase acesteia dezabonarea de la comunicările comerciale.

Totodată, operatorului Dante Internațional SA i s-au aplicat și două măsuri corective, în temeiul prevederilor art. 58 alin. (2) lit. c) și d) din Regulamentul General privind Protecția Datelor.

Astfel, operatorul a fost obligat să implementeze solicitarea persoanei fizice de a-i fi dezactivată din baza de date setarea privind transmiterea pe adresa de sa de e-mail a mesajelor comerciale, în termen de 3 zile lucrătoare de la comunicarea procesului-verbal. Totodată, operatorul a fost obligat să ia măsuri astfel încât să fie respectate prevederile art. 21 din Regulament, în termen de 20 zile de la data comunicării procesului-verbal.

În acest context menționăm că art. 21 alin. (3) din Regulamentul General privind Protecția Datelor, prevede că ”în cazul în care persoana vizată se opune prelucrării în scopul marketingului direct, datele cu caracter personal nu mai sunt prelucrate în acest scop.”

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Trei amenzi pentru Vodafone România SA în numai trei zile

Amenzi GDPR

Vizualizari: 3392

Facebooktwittergoogle_plusredditpinterestlinkedinmail

În data de 11.02.2020, Autoritatea Națională de Supraveghere a finalizat o primă investigație la operatorul Vodafone România SA și a constatat că acesta a încălcat  principiile de prelucrare a datelor personale stabilite prin prevederile art. 5 alin. (1) lit. d) și f) coroborate cu art. 5 alin. (2) din Regulamentul General privind Protecția Datelor,  Vodafone România SA fiind sancționată contravențional cu amendă în cuantum de 14308,8 lei, echivalentul a 3.000 euro. 

La numai doua zile după aceea, în data de 13.02.2020, Autoritatea Națională de Supraveghere a finalizat o a doua investigație la operatorul Vodafone România SA și a constatat că acesta a încălcat și dispozițiile Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, cu modificările și completările ulterioare.

Operatorul Vodafone România SA a fost sancționat contravențional cu două amenzi în cuantum total de 20.000 lei.

Sancțiunile au fost aplicate operatorului ca urmare a unei sesizări cu privire la faptul că Vodafone România SA a încălcat securitatea și confidențialitatea datelor cu caracter personal.

Astfel, o petentă a Autorității a susținut că a solicitat o ofertă pe telefon, prin intermediul site-ului operatorului Vodafone România SA și că, ulterior, a primit pe adresa sa de e-mail, un contract încheiat de operator cu o altă persoană fizică, petenta având suspiciuni că datele sale cu caracter personal ar fi putut fi dezvăluite acestei persoane.

Ca urmare a investigației efectuate la operator, Autoritatea a constatat că Vodafone România SA nu a respectat dispozițiile art. 3 alin. (1) – (3) din Legea nr. 506/2004, cu modificările și completările ulterioare, potrivit cărora furnizorul unui serviciu de comunicaţii electronice destinat publicului are obligaţia de a lua măsuri tehnice şi organizatorice adecvate în vederea asigurării securităţii prelucrării datelor cu caracter personal, că acestea trebuie să asigure un nivel de securitate proporţional cu riscul existent, având în vedere posibilităţile tehnice de ultimă oră şi costurile implementării acestor măsuri și să respecte cel puţin următoarele condiţii:

a) să garanteze că datele cu caracter personal pot fi accesate numai de persoane autorizate, în scopurile autorizate de lege;

b) să protejeze datele cu caracter personal stocate sau transmise împotriva distrugerii accidentale ori ilicite, împotriva pierderii sau deteriorării accidentale şi împotriva stocării, prelucrării, accesării ori divulgării ilicite;

c) să asigure punerea în aplicare a politicii de securitate elaborate de furnizor în ceea ce priveşte prelucrarea datelor cu caracter personal

De asemenea, s-a constatat faptul că nu au fost respectate dispozițiile art. 3 alin.  (6) din Legea nr. 506/2004, cu modificările și completările ulterioare, conform cărora ”În cazul unei încălcări a securităţii datelor cu caracter personal, furnizorii de servicii de comunicaţii electronice destinate publicului vor notifica ANSPDCP, fără întârziere, la respectiva încălcare.”

Pe lângă sancțiunile cu amenda aplicate operatorului Vodafone România SA, Autoritatea Națională de Supraveghere a recomandat acestuia ca, în termen de 30 zile de la data comunicării procesului-verbal, să ia măsurile necesare respectării prevederilor art. 3 alin. (1) – (3) din Legea nr. 506/2004, cu modificările și completările ulterioare, în vederea implementării unor măsuri adecvate de securitate a prelucrării datelor personale, inclusiv sub aspectul asigurării confidenţialității și protejării datelor cu caracter personal împotriva divulgării ilicite

De asemenea, s-a recomandat operatorului Vodafone România SA ca, pe viitor, să notifice breșele de securitate, fără întârzieri, Autorităţii Naționale de Supraveghere.

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Lipsa asigurării unui nivel de securitate corespunzător a condus la amendarea ENEL cu 3000 Euro

În data de 25.02.2020, Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul Enel Energie Muntenia SA și a constatat că acesta a încălcat prevederile art. 32 […]

Asociația „SOS Infertilitatea” amendată de ANSPDCP cu 2000 Euro

Autoritatea Națională de Supraveghere a finalizat în data de 13.02.2020 o investigație la operatorul Asociația „SOS Infertilitatea” și a constatat că acesta nu a transmis informațiile solicitate de Autoritatea de […]

Vodafone România SA primește o amendă GDPR de 3000 euro

În data de 11.02.2020, Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul Vodafone România SA și a constatat că acesta a încălcat  principiile de prelucrare a datelor […]

Cipru: 82.000 € amendă pentru utilizarea unui sistem automat de monitorizare a concediilor medicale ale angajaților

Autoritatea de Supraveghere din Cipru a aplicat o amendă de 82.000 de euro unui grup de companii care au folosit un instrument automat pentru a monitoriza concediile medicale […]

Fenomenul FAKENEWS pierdut de sub control. „Spălați-vă mâinile, nu creierele!”

Acum câteva zile am citit întâmplător pe Fecebook un îndemn, „Spălați-vă mâinile, nu creierele!”. Acesta a fost și momentul în care am realizat că fenomenul Fakenews în România […]

Participa la DPO TOOLS Workshop – 23 / 24 Martie 2020 – „Mobilitatea, o provocare pentru aplicarea GDPR”

La nivelul dispozitivelor mobile, au aparut in ultima perioada noi variante de atacuri informatice menite de a extrage informatii cu caracter personal cunoscute sub forma furtului de identitate […]

Trevor Hughes, CEO IAPP: „În domeniul protecției datelor, avem o nouă profesie hibridizată”

Participând la cea de-a 13-a ediție a Conferinței pentru informatică, confidențialitate și protecția datelor (CPDP2020), desfășurată la Bruxelles în perioada 22-24 ianuarie 2020, Trevor Hughes, Președintele Asociației Internaționale […]

Amenda GDPR primită de Facebook în Germania este un „avertisment” pentru noi toți

Facebook a primit o amendă de 51.000 de euro ( 55.500 de dolari ) pentru că nu a numit în mod corespunzător un ofițer pentru protecția datelor pentru […]

MODELE SI FORMULARE GDPR – O nouă carte în webshop-ul dpo-NET.ro

O nouă lucrare de mare interes a fost adaugată în webshop-ul dpo-NET.ro, fiind o contributie a membrilor Centrului de cercetare pentru protectia datelor, constituit in cadrul Universitatii de […]

Nicolae Ploeșteanu: „Consider că fiecare practician trebuie să aibă această carte”

In domeniul protecției datelor în România, anul 2020 a debutat cu lansarea pe piață a acestui volum, intituat „GDPR Aplicat. Instrumente de lucru pentru implementarea Regulamentului UE 679/2016”, […]

PECB semnează un acord de parteneriat cu NeoPrivacy România și lansează cursuri de certificare recunoscute internațional

PECB Group Inc. Canada a anunțat semnarea un nou acord de parteneriat cu NeoPrivacy România, pentru a distribui cursuri de formare PECB, recunoscute internațional. „Suntem foarte încântați de […]

2 amenzi, 2 avertismente și 4 măsuri corective pentru o companie din România

Relațiile dintre angajatori și angajați se pot termina cu tensiuni, care pot conduce spre deznodământuri neplăcute pentru părți. Nu este un secret faptul că, de multe ori, angajații […]

Enel Energie S.A a platit o amendă GDPR în valoare de 6000 Euro

Ca urmare a unei plângeri depusă la ANSPDCP prin care se reclama faptul că S.C Enel Energie S.A. a prelucrat nelegal datele reclamanului, in lipsa dovezii obținerii consimțământului […]

Prima amendă GDPR în 2020 aplicată către Hora Credit IFN S.A

Autoritatea Națională de Supraveghere a finalizat, în data de 10.12.2019, o investigație la o Hora Credit IFN S.A. și a constatat încălcarea anumitor dispoziții din Regulamentul General privind Protecția Datelor […]

Amendă GDPR pentru UMIDITATE: 320 000 EUR

Autoritatea engleză pentru protecția datelor (ICO), a emis o amendă de 320 000 EUR împotriva Doorstep Dispensaree Ltd. după ce a constatat că operatorul a stocat un număr […]

Prima Asociație de Proprietari amendată pentru încălcarea GDPR-ului

Autoritatea Națională de Supraveghere a anunțat pe site-ul său prima amendă care vizează o asociație de proprietari. Investigația autorității a pornit de la plângere formulată de un locatar […]

Anul 2019 văzut prin ochii unui GDPR-ist, 10 momente memorabile

Este sfarsit de an si fiind un moment de bilant nu pot sa nu ma gandesc la cat de multe lucruri am realizat pe plan profesional si mai […]

Telekom Romania amendată pentru nerespectarea principiului exactității datelor

Sancțiunile impuse de Autoritatea națională de supraveghere (ANSPDCP) în ultima perioadă ne întăresc convingerea că operatorii de date nu riscă amenzi doar în cazul unor breșe de securitate […]

Cât costă ignorarea solicitărilor ANSPDCP-ului? Două companii din România au aflat!

Autoritatea Națională de Supraveghere a anunțat astăzi două noi amenzi pentru încălcarea Regulamentului general privind protecția datelor Două companii din România, Nicola Medical Team 17 SRL și Modern […]

Un nou spital este amendat pentru nerespectarea GDPR

Comisarul pentru protecția datelor și libertatea informațiilor din Germania, a aplicat o amendă de 105.000 de euro unui spital din regiunea Renania-Palatinat. Amenda finală se bazează pe mai […]