Marriott International riscă o amendă astronomică: peste 110 milioane €

Amenzi GDPR

Vizualizari: 3571

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Marriott International este a doua "victimă" a autorității de supraveghere a Marii Britanii, de săptămâna asta. După ce British Airways a primit ieri vestea că riscă a amendă de peste 200 milioane de euro, astăzi a venit rândul lanțului hotelier Marriott să primească o notificare din partea Biroului Comisarului pentru Informații (ICO) prin care i se aduce la cunoștință intenția acesteia de a-l sancționa cu o amendă de £ 99,200,396, echivalentul a peste 120 de milioane de euro.

De la ce a plecat ancheta ICO?

În noiembrie 2018, Marriott a dezvăluit că baza lor de rezervări Starwood a fost compromisă în perioada 2014 și 2018.

Breșa de securitate a dus la expunerea la aproximativ 339 milioane de înregistrări la nivel global, dintre care aproximativ 30 de milioane au fost legate de rezidenții din 31 de țări din Spațiul Economic European (SEE).

Marriott a achiziționat în 2016 grupul de hoteluri Starwood împreuna cu sistemul de rezervări de rezervări al acestuia însă abia în noiembrie 2018 au depistat breșa de securitate, prin care hackerii aveau “acces neautorizat” la datele clienților încă din 2014.

Organizațiile trebuie să fie responsabile pentru datele personale pe care le dețin

În urma anchetei efectuate de ICO, aceasta a constatat că Marriott nu a realizat o analiza atentă, sistematică și detaliată atunci când a realizat achiziția și nici ulterior acesteia, astfel încât să poată sa-și securizeze sistemele și să asigure o protecție adecvată datelor clienților săi.

Comisarul pentru informații, Elizabeth Denham, a declarat:

"GDPR spune clar faptul că organizațiile trebuie să fie responsabile pentru datele personale pe care le dețin. Aceasta poate include efectuarea unei verificări corecte în momentul realizării unei achiziții corporative și punerea în aplicare a unor măsuri adecvate de responsabilizare pentru a evalua nu numai datele personale dobândite, ci și modul în care acestea sunt protejate.”

"Datele personale au o valoare reală, astfel încât organizațiile au datoria legală de a-și asigura securitatea, la fel cum ar face și cu orice alt activ. Dacă acest lucru nu se întâmplă, nu vom ezita să luăm măsuri puternice atunci când este necesar pentru a proteja drepturile persoanelor".

Marriott se declară dezamăgită de decizia autorității engleze 

Deși Marriott a cooperat cu ICO pe durata investigației și a depus eforturi pentru a îmbunătățiri securitate sistemelor sale, valoarea sancțiunii depășește cu mult așteptările companiei.

Arne Sorenson, Directorul executiv al Marriott, a declarat: "Suntem dezamăgiți de această declarație de intenție din partea ICO, pe care o vom contesta".

De ce nu este definitivă sancțiunea?

Așa cum a fost și în cazul British Airways, în care ICO si-a delcarat intenția de a sancționa British Airways cu o amendă de 183,39 milioane de lire sterline, nici această amendă nu este definitivă.

ICO a condus investigația acestui caz în calitate de autoritate de supraveghere principala în numele altor autorități de supraveghere din UE. Cu toate acestea, autoritățile de supraveghere din UE, ale căror rezidenți au fost afectați de aceasta încălcare a GDPR, vor avea, de asemenea, posibilitatea de a comenta concluziile ICO. 

Astfel, ICO a declarat că va lua în considerare cu atenție declarațiile făcute de companie și celelalte autorități de protecție a datelor înainte de a lua o decizie finală.

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Serviciul Postal din Austria a fost amendat pentru vânzarea datelor clienților

Amenzi GDPR

Vizualizari: 3849

Facebooktwittergoogle_plusredditpinterestlinkedinmail

 

Comitetul European pentru Protecția Datelor a anunțat în cursul săptămânii trecute decizia Autorității de supraveghere austriece privind sancționarea Serviciului postal național pentru încălcarea protecției datelor clienților săi, impunând o amendă administrativă de 18 milioane de Euro.

După efectuarea unei audieri orale, Autoritatea de supraveghere austriacă a considerat, în baza dovezilor, că Serviciului postal austriac a încălcat GDPR-ul folosind datele clienților, cum ar fi vârstele și adresele, pentru a calcula probabilitatea afinității politice a acestora și a vândut constatările sale.

În plus, o altă încălcare a fost determinată din cauza prelucrării ulterioare a datelor privind frecvența pachetului și frecvența relocărilor în scopul comercializării directe, deoarece aceasta nu este acoperită de GDPR, informează EDPB.

În stabilirea cuantumului amenzii, Autoritatea austriacă a avut în vedere faptul că aceste încălcări ale GDPR au fost comise în mod ilegal și culpabil. Aceasta a considerat că amenda administrativă menționată mai sus este adecvată pentru a preveni alte încălcări sau similare.

Pedeapsa nu este definitivă, deoarece poate fi atacată în fața Curții Administrative Federale în termen de patru săptămâni de la data comunicării.

Vezi aici comunicatul de presă al  Comitetului European pentru Protecția Datelor

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Prima persoană fizică din RO sancţionată contravenţional și importanța dublului opt-in

Amenzi GDPR

Vizualizari: 5060

Facebooktwittergoogle_plusredditpinterestlinkedinmail

DA! Persoanele fizice pot face obiectul unei sancțiuni GDPR

Nu cu mult timp în urma, cândva prin mijlocul verii, s-a viralizat o știre potrivit căreia  Regulamentului General privind Protecția Datelor (GDPR) nu se aplică persoanelor fizice, astfel că acestea nu pot fi sancționate pentru încălcare Regulamentului.

Nu ne-am putut abține de la a sancționa un asemenea derapaj, astfel că am sărit să dezamorsam această „bombă”, explicând în ce condiții persoanele fizice pot fi operatori de date cu caracter personal și drept urmare pot fi sancționate pentru încălcarea GDPR-ului.

Vezi aici articolul Persoanele fizice pot fi amendate, conform GDPR!

Poate n-o fi prima prima persoana sancționată pentru nerespectarea GDPR-ului, însa cu siguranță este prima despre aflăm oficial, cu subiect și predicat.

Autoritatea a publicat săptămâna trecută cele 55 de măsuri corective (inclusiv amenzi și avertismente) pe care le-a impus în perioada 01.06.2019-30.09.2019,  în urma investigațiilor pe care le-a efectuat.

Interesant este că printre operatorii vizați de măsurile corective, pe lângă nume mari precum Emag, Raiffeisen, Marriot, Vola, Altex, Vodafone, Orange, Unicredit și nu numai, figurează instituții publice, companii din sectorul medical, asociații de proprietari dar și persoane fizice!

Vezi aici articolul ANSPDCP: lista măsurilor (55) dispuse în urma investigațiilor, în ultimele 3 luni

Olarian Augustin, deținătorul domeniului olarian.ro, este prima persoană sancționată pentru nerespectarea GDPR, a cărei identitate a fost făcută publică de către autoritate.

Oralian.ro este un site care oferă servicii de optimizare a site-urilor construite pe platforma wordpress și care a transmis mesaje comerciale fără a se baza pe consimțământul destinatarilor, încălcând astfel prevederile art. 6 și 7 din GDPR.

În urma investigației, Autoritatea a decis impunerea unei sancțiuni contravenționale, constând într-un avertisment însoțit de o serie de măsuri corective.

Una dintre măsurile corective impuse operatorului Olarian Augustin a fost „să nu mai prelucreze datele personale fără consimțământul persoanelor vizate în conformitate cu art. 6 și 7 din RGPD, inclusiv în cazul transmiterii de mesaje comerciale prin mijloace de comunicare electronică”.  

Autoritatea a recomandat în acest caz utilizarea metodei „dublu opt-in” pentru colectarea adreselor de e-mail.

Ce este acest dublu opt-in

Dublul opt-in reprezintă o dublă acțiune atunci când un utilizator se înscrie la o listă de e-mail marketing. Mai exact, după ce o persoană se înscrie pentru a primi mesaje prin e-mail, va apărea un mesaj rugându-i să-și verifice e-mailul pentru a-și confirma abonamentul.

Când își va verifica e-mailul va vedea ceva de genul: „Tocmai v-ați înscris pentru a primi newsletter-ul. Vă rugăm să faceți clic aici pentru a vă activa abonamentul.”. Când persoana face clic pe link, e-mailul său este adăugat în lista abonaților.

Prin procesul de dublu opt-un, puteți fi sigur că persoanele și-au introdus corect informațiile, ceea ce înseamnă că veți obține o listă mai precisă și mai puține date de respingere. Acest sistem înseamnă, de asemenea, mai puține reclamații împotriva spamului, deoarece oamenii sunt obligați să facă un pas suplimentar și să își confirme consimțământul.

Probabilitatea este mai mare ca o persoana care a fost dispusă să facă acest pas suplimentar să deschidă e-mailurile și să acceseze link-urile. Răspunsurile pozitive cresc ratele de livrare și îți îmbunătățesc reputația expeditorului.

Există însă și unele dezavantaje în ceea ce privește dubla opțiune. Aproximativ 20% dintre persoanele care se înscriu la newsletter-ul dvs. sau la alt conținut nu vor finaliza procesul de înregistrare. Unii dintre ei își șterg din greșeală e-mailurile de confirmare sau aceste e-mailuri se blochează în filtrele lor de spam. 

Alte persoane fizice au mai fost sancționate pentru încălcarea GDPR-ului

  • Un primar al unui oraș belgian a trimis un e-mail conținând propagandă electorală către 2 locuitori ai orașului său cu care intrase în contact comunicând prin e-mail, în vederea derulării unui proiect urban. Cu o zi înainte de alegerile locale, primarul a folosit apoi funcția "reply" a e-mail-ului pentru a trimite un mesaj electoral reclamanților. Camera de litigii a autorității belgiene a constatat utilizarea abuzivă a datelor cu caracter personal în scop electoral, impunând o sancțiune financiara de 2000 de euro și o mustrare primarului. 
Citește aici articolul: Prima amendă GDPR în Belgia a fost aplicată unui primar
  • În Austria a fost aplicată amenda de 2200 euro împotriva unei persoane private care a folosit într-un mod ilegal supravegherea video a parcărilor, trotuarelor, grădini și zonei de acces la complexul rezidențial în care locuia și în plus, supravegherea video acoperea și zonele de grădină ale unei proprietăți adiacente. În acest caz, supravegherea video nu a fost proporțională cu scopul și nu s-a limitat la ceea ce este strict necesar și nu a fost semnalizată corespunzător.
  • Un antrenor de fotbal feminin a filmat în secret jucătoare în timp ce făceau duș.  Autoritatea din austria a aplicat o amendă administrativă de 11.000 de euro.
  • O persoană privată a trimis mai multe e-mailuri, către mai multe adrese de e-mail personale (CC), astfel că adresele de e-mail au fost vizibile pentru toți destinatarii. Autoritatea de supraveghere din Sachsen-Anhalt a dispus o sancțiune de 2000 de euro.
  • Un ofițerul de poliție a interogat bazele de date ale poliției obținând acces la date precum nume, adresa numere de telefon pe care le-a utilizat în interes personal. Acesta a fost sancționat cu 1.400 de euro

 

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

ANSPDCP: lista măsurilor (55) dispuse în urma investigațiilor, în ultimele 3 luni

Săptămâna trecută, Autoritatea de supraveghere națională (ANSPDCP) a publicat Raportul activității sale în decursul anului 2018 (vezi aici cele mai interesante date desprinse din raport). Conform acestui raport, […]

Cât ne poate costa pierderea unui stick cu date personale? Un polițist a aflat!

V-ați întrebat vreodată cât v-ar putea costa pierderea unui stick cu date personale? O încălcare a securității datelor cu care ne putem confrunta oricare dintre noi, oricât de […]

55.000 euro amenda GDPR aplicată unui SPITAL pentru nedesemnarea DPO-ului

Conform unui comunicat al Comitetul European pentru Protecția Datelor, la 12 august 2019, Autoritatea de supraveghere austriacă a aplicat o amendă administrativă unui operator care activează în sectorul […]

Avocatnet.ro a fost sancționat cu 9000 € pentru lipsa consimțământului explicit

Ziua și amenda, așa pare să ne obișnuiască Autoritatea națională de supraveghere. „Victima” de astăzi este INTELIGO MEDIA SA, administratorul platformei online avocatnet.ro, un website care „explică legislația […]

Elefant.ro sancționat pentru newslettere trimise fără existența consimțământului destinatarului

Autoritatea Națională de Supraveghere a publicat pe site-ul său  o nouă amendă în aplicarea Legii nr. 506/2004. Conform comunicatului, Elefant Online S.A., care administrează magazinul online elefant.ro, a […]

British Airways se îndreaptă spre noi recorduri privind costurile unei breșe de securitate

British Airways este pe cale să bată cu mult recordul pentru cea mai mare sancțiune financiară din Europa în era postGDPRistă. ICO, omologul englez al ANSPDCP-ului nostru, în […]

Noi amenzi GDPR: două instituții financiare din România sancționate

Autoritatea Națională de Supraveghere a anunțat astăzi finalizarea a două investigații care vizează operatorii Raiffeisen Bank S.A. și Vreau Credit S.R.L. În urma investigațiilor, autoritatea de supraveghere a constat următoarele: […]

Cea mai mare amenda GDPR din Grecia: operator de telefonie sancționat pentru SPAM

În data de 07.10.2019, Autoritatea de supraveghere din Grecia a emis un comunicat de presa anunțând cea mai mare sancțiune pe care a emis-o în baza Regulamentului general […]

O nouă amendă impusă de Autoritatea Națională de Supraveghere

Autoritatea Națională de Supraveghere a anunțat, printr-un comunicat de presă publicat astăzi pe site-ul său, finalizarea unei investigații în urma căreia operatorul Artmark Holding SRL  fost sancționat contravențional […]

Cum ajunge o copie de buletin să coste 10.000 €? Încălcând GDPR-ul, desigur!

În data de 19 septembrie 2019, autoritatea de supraveghere belgiană a publicat un comunicat prin care a anunțat o sancțiune de 10.000 de euro pentru nerespectarea minimizării datelor […]

Amendă GDPR uriașă primită de un magazin online

Morele.net, primul magazin online de electronice din Polonia, fost sancționat cu cea mai consistentă sancțiune emisă de autoritatea de supraveghere poloneză pentru încălcarea reglementărilor de protecție a datelor […]

Amendă GDPR pentru sancționarea unui angajat folosind filmările făcute cu telefonul

Autoritatea de supraveghere spaniolă  a sancționat un restaurant cu amendă de 12.000 EURO pentru aplicarea unei sancțiuni disciplinare unui angajat, în baza înregistrărilor video realizate cu telefonului mobil […]

Bulgaria: Cea mai mare amendă GDPR acordată unei autorități publice europene

Cel mai mare furt de date din Balcani (așa cum l-am numit în  articolul din iulie) s-a lăsat și cu cea mai mare sancțiune financiară din zona balcanică, […]

Cine sunt campionii GDPR Summer Challenge 2019 ?

68 de participanți, grupati in 14 echipe, au luat startul in concursul GDPR Summer Challenge 2019 GDPR Summer Challenge este o competitie organizata de Dpo-NET.ro – Data Protection […]

Peste 500.000 Euro amendă GDPR pentru o bancă din Bulgaria

Autoritatea pentru protecția datelor cu caracter personal din Bulgaria a anuțat pe data de 28 august 2019, aplicarea unei amenzi în valoare de un milion de leva (aproximativ […]

Prima sancțiune GDPR în SUEDIA: monitorizarea ilegală a elevilor

Autoritatea de supraveghere suedeză, Datainspektion, a anunțat ieri (21.08.2019) impunerea primei sale amenzi din era GDPR. O unitate de învățământ fost prima „victimă” O școală din Skellefteå a […]

A început GDPR Summer Challenge 2019!

68 de participanți din 14 echipe au luat startul in concursul GDPR Summer Challenge 2019. GDPR Summer Challenge este o simulare de caz la care participă mai multe […]

A patra amendă GDPR în România

În luna iulie, Autoritatea Națională de Supraveghere a Prelucrarea a Datelor cu Caracter Personal a finalizat o investigație la operatorul UTTIS INDUSTRIES SRL și a constatat că acesta […]

GDPR Summer Challenge este pregătit de lansare!

Sâmbătă, 10 August 2019, începe primul concurs național din România destinat aprofundarii și mai ales verificării cunoștințelor în domeniul protecției datelor. Scopul este ca participantii să dobândească cât […]

Te-ai înscris la GDPR Summer Challenge?

Peste 50 de persoane s-au înscris până acum în concursul „GDPR Summer Challenge”, motiv pentru care organizatorii au decis creșterea numărului de membrii într-o echipă la 5 persoane, […]