Daniel Suciu: A fost nevoie de două amenzi pentru a readuce GDPR-ul în vizorul operatorilor

Amenzi GDPR

Vizualizari: 1981

Facebooktwittergoogle_plusredditpinterestlinkedinmail

În cei peste 30 de ani de activitate profesională, Daniel Suciu s-a implicat activ în aproape toate ariile de interes pentru Protecția datelor. A avut curiozitatea și oportunitatea de a vedea problemele și soluțiile din aproape toate perspectivele, începând cu IT-ul, ca programator, administrator, tester, analist, PM, manager, auditor dar și din perspectivă financiară, HR sau relații cu clienții, managementul contractelor sau a proceselor, vânzări, audit, risk management, marketing sau juridic. A avut norocul să lucreze în multe proiecte crosfuncționale și să invețe de la specialiști din mai multe domenii, la toate nivelurile. În ciuda multor standarde sau metodologii studiate și aplicate, a încercat mereu să extragă principii și bune practici care să poată fi utilizate efectiv in toate mediile, atât cele formale cât și cele informale.

A trecut un an de la intrarea în vigoare a GDPR-ului. Ce s-a schimbat în decursul acestui an?

D.S.: În bine? Nu prea multe. Pentru cititorii în alte limbi au apărut foarte multe materiale utile, ghiduri, instrumente, clarificări... De asemenea au mai dispărut de pe piață o parte a vânzătorilor de conformitate care oricum nu aveau prea multe în comun cu domeniul, dar au văzut o oportunitate. Au apărut sau s-au maturizat în timp organizații private  - cum este si DPO.NET (și nu o spun din politețe) care contribuie, direct sau indirect, la conștientizarea si instruirea publicului si a operatorilor.

In rău, mult mai multe, pentru că până acuma s-au adeverit atitudinea celor ce spuneau că e doar o modă și o să treacă. Din păcate așa pare și chiar avântul celor inițial implicați in conformare a scăzut, în multe cazuri nici măcar nu s-au obosit să schimbe abordările inițiale, chiar dacă între timp s-au lămurit că nu erau cele mai bune, sau măcar legale. Alte priorități au luat locul GDPR-ului. Probabil o să se reia ciclul odată cu apariția amenzilor sau a proceselor intentate de către cei afectați.

În România, până în acest moment, s-au dat două amenzi pentru nerespectarea GDPR deși autoritatea condus aproape 1.000 de investigații, adoptând o atitudine orientată spre prevenție și dispunerea de măsuri corective. Considerați că amenzile au un rol important în aplicarea GDPR-ului? Din experienta dvs practică, cei mai mult operatori se conformează cu GDPR-ul din responsabilitate sau de frica amenzilor?

D.S.: Amenzile sunt, sau ar trebui să fie, doar un instrument de descurajare a practicilor ilegale, nu numai de pedepsire. De aceea peste tot în lume, indiferent de domeniu, acolo unde s-a obținut un grad mare de respectare a legislației, există pedepse care se aplică în mod consecvent. Contează foarte mult și cui vor fi aplicate amenzile și pentru ce motive, pentru a putea obține un efect de descurajare a comportamentelor ilegale.

Despre motivele reale ale conformării la GDPR, ce pot fi doar intuite de cei din domeniu, eu aș pune pe primul loc presiunea din partea acționarilor sau a partenerilor, mai ales pentru operatorii ce aparțin unor entități străine, care este generată de frica unor consecințe – amenzi sau procese care pot duce la afectarea imaginii. La modul real, cele mai multe companii nu-și propun de fapt conformarea la GDPR, ci doar acoperirea cu hărtii, fără a schimba prea mult din procesele existente. Asta e valabil și la marii operatori, unde majoritatea schimbărilor în relația cu consumatorii au constat în mai multe hîrtii, cererea consimțămîntului pentru orice, dar fără o schimbare a formularelor pline de date colectate excesiv. La fel în relațiile între companii, s-au adăugat clauze la contract, obligatoriu unul fiind operator iar altul împuternicit, fără a verifica cîtuși de puțin dacă aceștia chiar respectă legea. Practic, în cel puțin 90% din cazuri eu cred că schimbările au fost mai mult de formă, fără a adresa fondul problemei. Cred ca acest lucru va fi adresat în urmatorii ani, ca urmare a problemelor ivite și a constatării inutilității schimbărilor de formă.

Evident că există si excepții (cum ar fi clienții mei sau ai voștri J) care au înțeles necesitatea adresării problemelor de fond sau a oportunităților oferite de GDPR.

Ce înseamă mai exact primă amendă GDPR în Romania acordată Bancii Unicredit ? Ce sfaturi le dați operatorilor care doresc să evite să facă obiectul unei anchete și eventual a unei amenzi din partea autorității?

D.S.: Un prim pas în direcția potrivită, în special pentru motivele acestei amenzi, adresând probleme de fond ce ar trebui sau ar fi trebuit implementate. Pentru toți operatorii, indiferent de stadiul confomării, le-aș transmite că nu este prea târziu pentru a începe tratarea problemelor de fond. Mai bine mai târziu decât prea tarziu! Oricum varianta de a le ignora în continuare va fi sigur una pierzătoare.  Pentru a-și minimiza riscurile unei amenzi, eu i-aș sfătui să trateze cu mare atenție toate solicitările sau observațiile venite din partea persoanelor vizate, fie ei clienți, angajați, colaboratori. Să nu neglijăm aspectul că problemele pentru care a fost amendat operatorul în cauză sunt comune foarte multor operatori, dar investigațiile autorității au pornit de la o reclamație.

In decurs de doar cateva zile a fost anuntata si a doua amenda GDPR in Romania, acordata unui operator din turism pentru implementarea deficitara a masurilor tehnice si organizatorice. Ce ar trebui sa invatam din acest studiu de caz ? Din experienta relatiei cu proprii clienti, cat de mult accent pune un operator pe aceste masuri ?

D.S.: Cred ca mesajul transmis de către autoritate este unul cât se poate de simplu: operatorii ar trebui să se focalizeze pe identificarea riscurilor asupra securitatii datelor prelucrate și implementarea de masuri efective pentru a elimina sau minimiza aceste riscuri, prin modificarea proceselor operaționale în acest sens. Cred ca începe sa fie vizibilă și necesitatea unei abordări multidisciplinare, necesitatea implicării funcțiilor operaționale în procesul de conformare.

Scopul GDPR-ului nu este de a da amenzi ci de a proteja persoanele. Cu toate acestea, după 3 ani de la intrarea în vigoare a Regulamentului doar 67% dintre Europeni au auzit de GDPR, în timp ce doar 36% au declarat că știu ce este acest regulament (date prezentate de Comisia Europeana în sondajul Eurobarometru). Credeți ca aceste cifre sunt rezultatul dezinteresului persoanelor în ceea ce privește de protejarea datelor lor?

D.S.: Nu cred că este dezinteres. Cred că procentul este unul incurajator în conjunctura actuală, având in vedere că este „doar” una din multitudinea de legi Europene și naționale, iar numărul persoanelor afectate personal de incidente din acest domeniu nu este prea mare... nu încă.  De fapt, cred ca procentele sunt chiar exagerate, cel puțin procentul de 36% care „cunosc” legea.

Care credeți ca vor fi consecințele acestei lipse de conștientizări a importantei datelor în rândul persoanelor, pe termen lung?

D.S.: Din păcate, lipsa de cunoștințe minime în acest domeniu o să-i găsească nepregătiți în utilizarea în siguranță a internetului în general, vor accepta mai ușor comportamente iresponsabile ale operatorilor – considerîndu-le „normale”, nu vor putea să-și protejeze informațiile sensibile sau copiii de pericolele activităților online și vor învăța doar din greșeli, unele potențial costisitoare.

Este esențial ca persoanele să identifice prelucrările ilegale de date pentru a-și putea exercita drepturile. Cât este de important sa-ți cunoști drepturile atâta timp cât nu poți identifica o prelucrare ilegală? Pe ce ar trebui să se axeze campaniile de informare a persoanelor?

D.S.:Eu cred că informarea populației ar trebui axată pe aspecte concrete, întâlnite in viața de zi cu zi, cu exemple clare de „așa DA” și „așa NU”. Insistarea pe aspectele teoretice, eventual cu citarea legii, nu-și vor atinge scopul. Un rol major cred că l-ar avea și exemplele de pedepsire a celor ce încalcă flagrant legislația, pentru ca altfel se va accentua ideea existentă că oricum nu va fi nimeni pedepsit dacă le încalcă.

Cine credeți ca ar trebui să se implice mai mult în diseminarea importantei datelor personale? Instituțiile publice, Autoritățile naționale de supraveghere sau ONG-urile din domeniul protecției datelor?

D.S.: Nu cred ca este relevant cine ar trebui, pentru că răspunsul e clar, definit atât în lege cât și în documentele ce definesc anumite organizații. Important este cine o va face și cred că rolul esențial îl vor avea ONG-urile, firmele private (în general cele mici, nu marile nume), precum și specialiștii independenți. În plus organismele Europene sau autoritățile din țările cu tradiție sau interes in acest domeniu sunt foarte utile, fiind o lege Europeană cu intenția declarată de a fi implementată uniform in cadrul țărilor din SEE. Chiar dacă există unele diferențe, rolul de conștientizare poate fi atins și cu ajutorul acestora.

Care credeți că ar fi cea mai scurta cale spre creșterea gradului de conștientizare și complianta GDPR: educarea persoanelor sau educarea operatorilor?

D.S.:: Pentru mine este evident ca ambele au rolul lor și cel mai eficiente ar fi împreună. Aș menționa aici necesitatea unei abordări diferențiate la nivelul operatorilor și a persoanelor împuternicite, și anume „traducerea” legii în recomandări concrete, punerea la dispoziția operatorilor de instrumente pentru a-și evalua conformitatea, riscurile generice sau specifice unor domenii (resurse umane, contabilitate, vanzari online...). Exemplul autorității din UK este unul ce ar putea fi copiat, chiar dacă nu este perfect. Pe site-ul ICO există materiale dedicate micilor întreprinzători, ghiduri si chestionare pe anumite teme, cum ar fi securitatea datelor.

Credeți că instituțiile publice ar trebui sa fie un exemplu pentru restul operatorilor? Punem această întrebare pentru că în Romania avem un tratament preferențial pentru instituțiile publice, amenda maxima pentru nerespectarea GDPR-ului fiind de 200.000 lei (aproximativ 42.000 euro), cu mult inferior față de ceea ce risca operatorii privați.

D.S.:: Doamne ferește!  Până site-ul guvernului nici măcar nu se sinchisește să ia la cunoștință că există GDPR, nemaivorbind de implementarea unor obligații minime, nu cred că ar trebui să vorbim de exemplul instituțiilor publice în privința GDPR. Dacă mai adaugăm și lipsa de personal calificat, sau numirea unor DPO cu salariul minim pe economie la instituții de stat cu mii de angajați (caz concret cunoscut de mine) nu cred ca această problemă se va rezolva curănd. Mai rău este să fie luate ca exemplu.

Cu toate că România înregistrează cel mai scăzut nivel de utilizare a serviciilor de internet dintre statele membre ale UE, 86 % dintre utilizatorii români de internet au conturi pe rețelele sociale, ceea ce ne face campionii Europei la acest capitol. Având în vedere scandalurile imense în care au fost implicate rețelele de socializare, fie prin breșele de securitate, fie prin utilizarea ilicită a datelor, putem considera că suntem și cei mai vulnerabili. Cum considerați ca ar trebui să se comporte un utilizator de internet, dacă ar fi conștienți de riscurile pe care internetul le ascunde?

D.S.: „Decât” responsabil. Nu cred că ar fi rezonabil să pretindem ca toți utilizatorii să respecte bunele practici in domeniu, și nici măcar să citească și să aplice măsurile de bază din domeniul securității informatice. Cred că cea mai bună și cea mai simplă măsură ar fi să limiteze cantitatea de date postate, sau măcar să o facă pentru cei direcți interesați. Citirea efectivă a avertismentelor și mesajelor de „consimțământ” ar fi utilă pentru conștientizare.

Restul de educare va veni cu timpul, din păcate majoritar în urma unor experiențe neplăcute. Cred ca și publicitatea în jurul breșelor de securitate are un rol pozitiv, de „sperietoare”, făcând publicul mai atent la aspectele securității informatice.

Accesul copiilor la internet este deja o normalitate. Ar trebui acest lucru sa ne îngrijoreze? Considerați că o educație privind privind accesul la internet al copiilor ar trebui sa fie o sarcina a părinților sau sistemul de învățământ ar trebui să-și asume acest rol?

D.S.: Din păcate acest aspect este unul mult prea puțin discutat și adresat, cel puțin la nivel național. Inclusiv materialele de conștientizare existente par să ocolească acest subiect. Faptul că mulți utilizatori nu-și protejează datele personale este trist, dar faptul că nu-și pot proteja copiii este mult mai grav și cu efect și pe termen lung. Din observațiile mele, de multe ori cei mai mici știu mai multe decât părinții lor despre pericolele activităților online, doar că acest lucru nu-i face neapărat să le și evite. Sistemul de învățământ ar trebui să se implice în mod evident, dar nu au nici cunoștințele și nici autoritatea in fața copiilor in acest domeniu. Cred că cea mai bună măsură ar fi obligarea producătorilor de software, în special jocuri si social media să contribuie mai mult la educarea copiilor. Rolul specialiștilor în domeniu, firme de consultanță, ONG-uri, specialiști independenți cred că poate fi un factor mai mult decăt util în acest demers.

Facebook a lansat Study, un program de cercetare de piață bazat pe recompense. Cum vi se pare un asemenea concept: să fim plătiți pentru datele pe care le facem publice? Este acesta direcție una corectă?

D.S.: Din perspectiva mea personală, cred că nu este cea mai bună metodă. Inclusiv pe plan personal eu unul nu cred în educarea prin recompense și pedepse. Mie îmi seamănă prea mult a dresaj, nu a educație. Recompensele, ca și pedepsele pot avea rolul lor în stimularea unui comportament dorit, dar doar ca măsură secundară, după educarea propriuzisă prin înțelegerea fenomenelor și a posibilelor repercursiuni.

Aspectul pozitiv al acțiunii este conștientizarea publicului că aceste date au o valoare, precum și a scopurilor în care pot fi utilizate.

Conform unui raport DLA Piper (GDPR data breach survey: February 2019), de la data aplicării GDPR-ului și pana în februarie 2019, Autoritatea de supraveghere din Olanda înregistrase 15,400 de notificări de breșe, în timp ce România număra la acea vreme doar 270. Care credeți că este motivul acestei discrepanțe? Suntem noi romanii un popor norocos și breșele de securitate ne evită, ori nu recunoaștem o breșă de securitate nici dacă ne împiedicăm de ea?

D.S.: Nu cred că problema noastră este lipsa de inteligență, implicit recunoașterea unei breșe de securitate, ci resposabilitatea. Întrebarea pe care și-o puni mulți factori responsabili din organizații este de ce ar raporta ei o breșă? Pentru a fi investigați de către autoritate? Si ce se întamplă daca nu se raportează? Se pare că nimic, deci de ce ar raporta? Adică ei sunt mai fraieri?  Ca specialist în domeniu este imposibil să nu vezi încălcări ale GDPR și chiar breșe de securitate la aproape orice interacțiune cu vreun operator de date, unele fragrante, inclusiv la marii operatori.

Un exemplu elocvent, întâlnit de mine în mod constant, și ușor de tratat, este modul de tratare a formularelor greșite ( inclusiv de către bănci, operatori telecom, furnizori de servicii, unități medicale...). Aproape în mod invariabil, acestea ajung la gunoi, eventual rupte în două ca „anonimizare”. Dacă întrebați de ce nu folosesc un „tocător” de documente o să vă răspundă cel mai probabil că vor folosi dacă cineva le va cumpăra unul.... Este un aspect minor, dar cred că este reprezentativ pentru „seriozitatea” cu care sunt tratate datele personale.

Identificarea riscurilor este unul din cei mai importanți pași spre complianta GDPR. Dar dacă noi nu resuim sa identificam nici breșele, cum am putea identifica riscurile?

D.S.: E mai simplu decât pare, chiar in lipsa unui proces formal de management al riscurilor, problemă întâlnită și la companiile cu sute sau mii de angajați. Cum anume? Citind care sunt amenințările generice pentru orice activitate sau cele specifice domeniului. Există foarte multe materiale gratuite în care acestea sunt evidențiate și chiar se oferă recomandări pentru adresarea lor.  Dacă s-ar rezolva măcar cele mai comune riscuri ar fi un mare pas inainte. Care sunt cele mai comune? Cred că utilizarea emailului personal în scopuri de business sau utilizarea unui email gratuit (Gmail, Yahoo,...) ar fi cap de listă. Utilizarea unor softuri licențiate si actualizate ar fi pasul următor. La nivel individual utilizarea unor parole adecvate sau mai bine a autentificarii prin doi factori ar fi de dorit, precum și utilizarea doar a rețelelor sigure de comunicare, evitarea retelelor publice wi-fi. La nivel de organizații, crearea unor copii de rezervă, o politică de acordare a drepturilor pe bază de nevoi și protejarea rețelei de calculatoare ar fi un minim de multe ori ignorat. Comunicarea cu partenerii de business sau furnizorii de servicii ar fi bine să nu fie facută pe email fără criptarea datelor. Nu e o lista completă, dar de multe ori cel puțin una dintre aceste reguli, dacă nu majoritatea, sunt complet ignorate. De conștientizarea și instruirea angajaților este inutil să menționez, pentru că deși este cea mai sigură metodă este și cea mai ignorată.

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Vodafone amendat cu 10.000 lei de catre ANSPDCP

Amenzi GDPR

Vizualizari: 1581

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal, în urma investigației finalizate pe data de 15.10.2019, a constatat încălcarea prevederilor art. 13 alin. (1) lit. q) din Legea nr. 506/2004, coroborat cu art. 13 alin. (5) din Legea nr. 506/2004 și cu art. 8 din OG 2/2001 de catre operatorul Vodafone România S.A. și a sancționat contravențional cu amendă în cuantum de 10.000 lei.

Sancțiunea a fost aplicată întrucât operatorul nu a luat în considerare opțiunea unui petent de a nu mai primi mesaje cu promoții, concursuri și orice alte mesaje în afara celor ce privesc costurile și securitatea convorbirilor, opțiune adusă la cunoștința operatorului. Deși ulterior solicitării sale i s-a confirmat dezabonarea de la comunicările comerciale trimise de operator, acesta a primit pe adresa sa de poștă electronică un alt mesaj nesolicitat din partea Vodafone România S.A., încălcându-se astfel dispozițiile art. 12 alin. (1) din Legea nr. 506/2004 referitoare la comunicările nesolicitate.

În acest context, s-a recomandat societății să respecte solicitarea petentului de a nu mai primi mesaje cu promoții, concursuri și orice alte mesaje în afara celor ce privesc costurile și securitatea convorbirilor. Totodată, s-a recomandat operatorului luarea măsurilor necesare respectării prevederilor art. 12 din Legea nr. 506/2004, în vederea transmiterii de mesaje comerciale prin mijloace de comunicare electronică numai cu consimţământul expres prealabil al destinatarilor.

Reamintim baza legală invocată:

Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice

ARTICOLUL 12 - Comunicările nesolicitat

(1)Este interzisă efectuarea de comunicări comerciale prin utilizarea unor sisteme automate de apelare şi comunicare care nu necesită intervenţia unui operator uman, prin fax ori prin poştă electronică
sau prin orice altă metodă care foloseşte serviciile de comunicaţii electronice destinate publicului, cu excepţia cazului în care abonatul sau utilizatorul vizat şi-a exprimat în prealabil consimţământul
expres pentru a primi asemenea comunicări.

(2)Fără a aduce atingere prevederilor alin. (1), dacă o persoană fizică sau juridică obţine în mod direct adresa de poştă electronică a unui client, cu ocazia vânzării către acesta a unui produs sau serviciu, în conformitate cu
prevederile Legii nr. 677/2001, persoana fizică sau juridică în cauză poate utiliza adresa respectivă, în scopul efectuării de comunicări comerciale referitoare la produse sau servicii similare pe care acea persoană le
comercializează, cu condiţia de a oferi în mod clar şi expres clienţilor posibilitatea de a se opune printr-un mijloc simplu şi gratuit unei asemenea utilizări, atât la obţinerea adresei de poştă electronică, cât şi cu ocazia
fiecărui mesaj, în cazul în care clientul nu s-a opus iniţial.

(3)În toate cazurile este interzisă efectuarea prin poşta electronică de comunicări comerciale în care identitatea reală a persoanei în numele şi pe seama căreia sunt făcute este ascunsă, cu încălcarea
art. 5 din Legea nr. 365/2002, republicată, sau în care nu se specifică o adresă valabilă la care destinatarul să poată transmite solicitarea sa referitoare la încetarea efectuării unor asemenea comunicări ori în
care sunt încurajaţi destinatarii să viziteze pagini de internet care contravin art. 5 din Legea nr. 365/2002, republicată.)

(4)Prevederile alin. (1) şi (3) se aplică în mod corespunzător şi abonaţilor persoane juridice.

ARTICOLUL 13 - Regim sancționator

(1)Constituie contravenţii următoarele fapte:
a)neîndeplinirea obligaţiei prevăzute la art. 3 alin. (1), în condiţiile stabilite potrivit art. 3 alin. (2)-(4);
b)neîndeplinirea obligaţiei de informare prevăzute la art. 3 alin. (5);
c)neîndeplinirea obligaţiei de informare prevăzute la art. 3 alin. (6);
d)neîndeplinirea obligaţiei de informare prevăzute la art. 3 alin. (7);
e)nerespectarea prevederilor art. 3 alin. (10);
f)nerespectarea măsurilor stabilite de ANSPDCP potrivit prevederilor art. 3 alin. (11);
g)nerespectarea prevederilor art. 3 alin. (12);
h)nerespectarea prevederilor art. 4 alin. (2) referitoare la interdicţia interceptării şi supravegherii comunicărilor şi datelor de trafic aferente;
i)nerespectarea condiţiilor prevăzute la art. 4 alin. (5);
j)nerespectarea prevederilor art. 5 referitoare la prelucrarea datelor de trafic;
k)nerespectarea condiţiilor de emitere a facturilor, stabilite potrivit art. 6;
l)încălcarea obligaţiilor referitoare la disponibilitatea mijloacelor de ascundere a identităţii sau de respingere a apelurilor, precum şi la informarea publicului, prevăzute la art. 7;
m)nerespectarea prevederilor art. 8 referitoare la prelucrarea datelor de localizare, altele decât datele de trafic;
n)nerespectarea prevederilor art. 9 referitoare la condiţiile în care se poate deroga de la prevederile art. 7 sau 8;
o)încălcarea obligaţiilor referitoare la posibilitatea de a bloca redirecţionarea automată a apelurilor, prevăzute la art. 10;
p)neîndeplinirea obligaţiilor referitoare la întocmirea registrelor abonaţilor, prevăzute la art. 11;
q)nerespectarea prevederilor art. 12 referitoare la comunicările nesolicitate.

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Serviciul Postal din Austria a fost amendat pentru vânzarea datelor clienților

Amenzi GDPR

Vizualizari: 5772

Facebooktwittergoogle_plusredditpinterestlinkedinmail

 

Comitetul European pentru Protecția Datelor a anunțat în cursul săptămânii trecute decizia Autorității de supraveghere austriece privind sancționarea Serviciului postal național pentru încălcarea protecției datelor clienților săi, impunând o amendă administrativă de 18 milioane de Euro.

După efectuarea unei audieri orale, Autoritatea de supraveghere austriacă a considerat, în baza dovezilor, că Serviciului postal austriac a încălcat GDPR-ul folosind datele clienților, cum ar fi vârstele și adresele, pentru a calcula probabilitatea afinității politice a acestora și a vândut constatările sale.

În plus, o altă încălcare a fost determinată din cauza prelucrării ulterioare a datelor privind frecvența pachetului și frecvența relocărilor în scopul comercializării directe, deoarece aceasta nu este acoperită de GDPR, informează EDPB.

În stabilirea cuantumului amenzii, Autoritatea austriacă a avut în vedere faptul că aceste încălcări ale GDPR au fost comise în mod ilegal și culpabil. Aceasta a considerat că amenda administrativă menționată mai sus este adecvată pentru a preveni alte încălcări sau similare.

Pedeapsa nu este definitivă, deoarece poate fi atacată în fața Curții Administrative Federale în termen de patru săptămâni de la data comunicării.

Vezi aici comunicatul de presă al  Comitetului European pentru Protecția Datelor

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Prima persoană fizică din RO sancţionată contravenţional și importanța dublului opt-in

DA! Persoanele fizice pot face obiectul unei sancțiuni GDPR Nu cu mult timp în urma, cândva prin mijlocul verii, s-a viralizat o știre potrivit căreia  Regulamentului General privind […]

ANSPDCP: lista măsurilor (55) dispuse în urma investigațiilor, în ultimele 3 luni

Săptămâna trecută, Autoritatea de supraveghere națională (ANSPDCP) a publicat Raportul activității sale în decursul anului 2018 (vezi aici cele mai interesante date desprinse din raport). Conform acestui raport, […]

Cât ne poate costa pierderea unui stick cu date personale? Un polițist a aflat!

V-ați întrebat vreodată cât v-ar putea costa pierderea unui stick cu date personale? O încălcare a securității datelor cu care ne putem confrunta oricare dintre noi, oricât de […]

55.000 euro amenda GDPR aplicată unui SPITAL pentru nedesemnarea DPO-ului

Conform unui comunicat al Comitetul European pentru Protecția Datelor, la 12 august 2019, Autoritatea de supraveghere austriacă a aplicat o amendă administrativă unui operator care activează în sectorul […]

Avocatnet.ro a fost sancționat cu 9000 € pentru lipsa consimțământului explicit

Ziua și amenda, așa pare să ne obișnuiască Autoritatea națională de supraveghere. „Victima” de astăzi este INTELIGO MEDIA SA, administratorul platformei online avocatnet.ro, un website care „explică legislația […]

Elefant.ro sancționat pentru newslettere trimise fără existența consimțământului destinatarului

Autoritatea Națională de Supraveghere a publicat pe site-ul său  o nouă amendă în aplicarea Legii nr. 506/2004. Conform comunicatului, Elefant Online S.A., care administrează magazinul online elefant.ro, a […]

British Airways se îndreaptă spre noi recorduri privind costurile unei breșe de securitate

British Airways este pe cale să bată cu mult recordul pentru cea mai mare sancțiune financiară din Europa în era postGDPRistă. ICO, omologul englez al ANSPDCP-ului nostru, în […]

Noi amenzi GDPR: două instituții financiare din România sancționate

Autoritatea Națională de Supraveghere a anunțat astăzi finalizarea a două investigații care vizează operatorii Raiffeisen Bank S.A. și Vreau Credit S.R.L. În urma investigațiilor, autoritatea de supraveghere a constat următoarele: […]

Cea mai mare amenda GDPR din Grecia: operator de telefonie sancționat pentru SPAM

În data de 07.10.2019, Autoritatea de supraveghere din Grecia a emis un comunicat de presa anunțând cea mai mare sancțiune pe care a emis-o în baza Regulamentului general […]

O nouă amendă impusă de Autoritatea Națională de Supraveghere

Autoritatea Națională de Supraveghere a anunțat, printr-un comunicat de presă publicat astăzi pe site-ul său, finalizarea unei investigații în urma căreia operatorul Artmark Holding SRL  fost sancționat contravențional […]

Cum ajunge o copie de buletin să coste 10.000 €? Încălcând GDPR-ul, desigur!

În data de 19 septembrie 2019, autoritatea de supraveghere belgiană a publicat un comunicat prin care a anunțat o sancțiune de 10.000 de euro pentru nerespectarea minimizării datelor […]

Amendă GDPR uriașă primită de un magazin online

Morele.net, primul magazin online de electronice din Polonia, fost sancționat cu cea mai consistentă sancțiune emisă de autoritatea de supraveghere poloneză pentru încălcarea reglementărilor de protecție a datelor […]

Amendă GDPR pentru sancționarea unui angajat folosind filmările făcute cu telefonul

Autoritatea de supraveghere spaniolă  a sancționat un restaurant cu amendă de 12.000 EURO pentru aplicarea unei sancțiuni disciplinare unui angajat, în baza înregistrărilor video realizate cu telefonului mobil […]

Bulgaria: Cea mai mare amendă GDPR acordată unei autorități publice europene

Cel mai mare furt de date din Balcani (așa cum l-am numit în  articolul din iulie) s-a lăsat și cu cea mai mare sancțiune financiară din zona balcanică, […]

Cine sunt campionii GDPR Summer Challenge 2019 ?

68 de participanți, grupati in 14 echipe, au luat startul in concursul GDPR Summer Challenge 2019 GDPR Summer Challenge este o competitie organizata de Dpo-NET.ro – Data Protection […]

Peste 500.000 Euro amendă GDPR pentru o bancă din Bulgaria

Autoritatea pentru protecția datelor cu caracter personal din Bulgaria a anuțat pe data de 28 august 2019, aplicarea unei amenzi în valoare de un milion de leva (aproximativ […]

Prima sancțiune GDPR în SUEDIA: monitorizarea ilegală a elevilor

Autoritatea de supraveghere suedeză, Datainspektion, a anunțat ieri (21.08.2019) impunerea primei sale amenzi din era GDPR. O unitate de învățământ fost prima „victimă” O școală din Skellefteå a […]

A început GDPR Summer Challenge 2019!

68 de participanți din 14 echipe au luat startul in concursul GDPR Summer Challenge 2019. GDPR Summer Challenge este o simulare de caz la care participă mai multe […]

A patra amendă GDPR în România

În luna iulie, Autoritatea Națională de Supraveghere a Prelucrarea a Datelor cu Caracter Personal a finalizat o investigație la operatorul UTTIS INDUSTRIES SRL și a constatat că acesta […]

GDPR Summer Challenge este pregătit de lansare!

Sâmbătă, 10 August 2019, începe primul concurs național din România destinat aprofundarii și mai ales verificării cunoștințelor în domeniul protecției datelor. Scopul este ca participantii să dobândească cât […]