Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal a comunicat anul acesta aplicarea a nu mai putin de 7 amenzi totalizand 122503.70 lei, atat pentru incalcarea Regulamentului 679/2016 (GDPR) cat si a Legii 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice.

Adoptarea masurilor tehnice si organizatorice insuficiente pentru a proteja intr-un mod adecvat datele cu caracter personal ramane motivul cel mai des pentru care operatorii romani sunt amendati si in 2021.

Cele mai afectate domenii in urma aplicarii acestor sanctiuni in Romania, sunt cel al telecomunicatiilor si sistemul bancar, aceste doua domenii cumuland peste 70% valoarea totala a amenzilor aplicate in 2021. Conform legislatiei, operatorii au posibilitatea de a contesta aceste amenzi si ramane sa aflam in urmatoarele luni daca aceste valori au ramas definitive.

TELEKOM ROMÂNIA MOBILE COMMUNICATIONS S.A.

In cazul TELEKOM ROMÂNIA MOBILE COMMUNICATIONS S.A., Autoritatea de Supraveghere constatat încălcarea prevederilor art. 32 alin. (1) și alin. (2) din Regulamentul General privind Protecția Datelor și încălcarea prevederilor art. 3 alin. (1) și alin. (3) lit. a) și lit. b) din Legea nr. 506/2004, modificată şi completată astfel ca operatorul a fost sancționat contravențional cu amendă în cuantum de 48.748,00 lei (echivalentul a 10.000 EURO), pentru încălcarea art. 32 alin. (1) și alin. (2) din Regulamentul General privind Protecția Datelor si cu amendă în cuantum de 15.000 lei, pentru săvârşirea contravenţiei prevăzută de art. 13 alin. (1) lit. a) din Legea nr. 506/2004. 

În investigația efectuată s-a constatat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării, ceea ce a condus la divulgarea neautorizată și/sau accesul neautorizat la datele cu caracter personal, precum: client ID, cod client, nume și prenume, CNP, data nașterii, sex, număr telefon, e-mail, adresă (țară, oraș, stradă), valoarea debitelor asociate codului de client ale unui număr de 99.210 persoane vizate/clienți. Astfel, adresele de facturare ale acestora au fost introduse eronat în baza de date cu clienți persoane fizice, transmisă unui partener contractual în baza unui contract de cesiune creanțe, ceea ce a determinat expedierea către adrese greșite a notificărilor transmise clienților.

De asemenea, s-a constatat că operatorul nu a luat măsuri tehnice și organizatorice adecvate în vederea asigurării securității prelucrării datelor cu caracter personal, de natură să protejeze datele cu caracter personal stocate sau transmise împotriva stocării, prelucrării, accesării ori divulgării ilicite, ceea ce a condus la accesul neautorizat la datele personale din conturile MyAccount (numele titularului de cont; data nașterii; numere de telefon utilizate; adresa de domiciliu; adresa e-mail; codul de abonat; serviciile contractate; extraopțiuni active pe cont; istoricul facturilor simple) ale unui număr de 413 persoane vizate/clienți Telekom România. Subliniem că, operatorul avea obligația de a garanta că datele cu caracter personal pot fi accesate numai de persoane autorizate, în scopurile menționate de lege, încălcându-se astfel prevederile art. 3 alin. (1) și alin. (3) lit. a) și b) din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice, modificată și completată.

TIP TOP FOOD INDUSTRY S.R.L

A doua amendă ca marime, în cuantum de 24.362,50 lei (echivalentul în lei al sumei de 5.000 Euro), a fost aplicata operatorului Tip Top Food Industry S.R.L dupa ce ANSPDCP a constatat încălcarea dispozițiilor art. 5 alin. (1) lit. b) și c) și alin. (2) și art. 6 și art. 7 din Regulamentul General privind Protecția Datelor.

În urma investigației, Autoritatea Națională de Supraveghere a constatat că operatorul a prelucrat imaginea angajaților săi, în mod excesiv, prin intermediul camerelor video instalate în spații cu destinația de vestiare și în zona destinată servirii mesei, invocând scopul protejării bunurilor și a produselor societățiii, precum și al descurajării furtului.

În acest context, Autoritatea Națională de Supraveghere a apreciat că prelucrările datelor personale nu au fost adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate („reducerea la minimum a datelor”), încălcându-se astfel principiile art. 5 alin. (1) lit. b) și c) din Regulamentul General privind Protecția Datelor. Autoritatea Națională de Supraveghere a apreciat că scopul declarat de operator (protejarea bunurilor, a produselor societății și descurajarea furtului) se putea realiza prin mijloace mai puțin intruzive pentru viața privată a angajaților.

Pe de altă parte, în investigația efectuată, având în vedere relația angajator-angajat, s-a reținut faptul că nu a putut fi considerat liber exprimat consimțământul persoanei vizate și nici nu a putut fi identificat alt temei legal de prelucrare, operatorul neputând face dovada respectării principiilor de prelucrare, prin raportare și la art. 5 alin. (2) din Regulamentul General privind Protecția Datelor.

De asemenea, operatorului respectiv i-au fost aplicate și următoarele măsuri corective:

• măsura corectivă de a asigura conformitatea operațiunilor de prelucrare a datelor personale în activitatea de monitorizare video, cu respectarea principiului „reducerii la minimum a datelor”, raportat la art. 5 alin. (1) lit. c);
• să reanalizeze orientarea unghiului de captare a imaginilor video astfel încât aceastea să nu monitorizeze activitatea angajaților săi în spații cu destinația de vestiare și în sala de mese, raportat la scopul prelucrării.

Investigația a fost demarată ca urmare a unei sesizări a unei persoane fizice care a semnalat faptul că societatea S.C. TIP TOP FOOD INDUSTRY SRL prelucrează date cu caracter personal (respectiv imaginea), prin intermediul camerelor video instalate în birourile angajaților, în vestiare și în sala de mese.

BNP PARIBAS PERSONAL FINANCE SA PARIS SUCURSALA BUCUREȘTI

Și în cazul operatorului BNP Paribas Personal Finance SA Paris Sucursala București ANSPDCP a constatat săvârșirea faptei de ”nerespectarea prevederilor art. 12 referitoare la comunicările nesolicitate”, prevăzută de art. 13 alin. (1) lit. q) din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice, modificată și completată și astfel operatorul a fost sancționat contravențional cu amendă în cuantum de 10 000 lei.

Investigația a fost demarată ca urmare a unei plângeri transmise de persoana vizată cu privire la faptul că pe numărul său de telefon a primit un mesaj comercial de tip SMS din partea BNP Paribas Personal Finance S.A. Paris Sucursala București.

În urma investigației s-a constatat că operatorul nu a făcut dovada existenței consimțământului prealabil al persoanei respective, conform art. 12 din Legea nr. 506/2004, modificată și completată, deși petenta își exercitase anterior, în repetate rânduri, dreptul de opoziție față de prelucrarea datelor sale în scop de marketing.

MEDICOVER S.R.L.

In urma investigatiei la operatorul Medicover S.R.L. ANSPDCP a constatat încălcarea dispozițiilor art. 32 alin. (1) lit. b) și alin. (2) și (4) din Regulamentul General privind Protecția Datelor si ca urmare operatorul a fost sancționat contravențional cu amendă în cuantum de 9.749,6 lei (echivalentul a 2000 EURO).

Investigația a fost demarată ca urmare a transmiterii de către operator a unor notificări succesive de încălcare a securității datelor cu caracter personal, prin care s-a semnalat divulgarea neautorizată și accesul neautorizat la datele cu caracter personal precum: nume și prenume, CNP, serie și nr. CI, adresă CI, adresa de corespondență, telefonul de contact și e-mail, respectiv nume și date privind starea de sănătate, transmise altor persoane fizice decât destinatarii, la adresa de e-mal sau adresa poștală.

În urma investigației, autoritatea de supraveghere a constatat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate pentru a asigura faptul că orice persoană fizică care acționează sub autoritatea operatorului și care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului, fapt ce a condus la divulgarea neautorizată și accesul neautorizat la datele cu caracter personal transmise altor persoane fizice decât destinatarii, la adresa de e-mail sau adresa poștală.

De asemenea, operatorului i-au fost aplicate și următoarele măsuri corective:

• revizuirea și actualizarea măsurilor tehnice și organizatorice implementate ca urmare a evaluării privind riscul pentru drepturile și libertățile persoanelor, inclusiv a procedurilor de lucru referitoare la protecția datelor cu caracter personal, precum și implementarea unor măsuri privind instruirea periodică a persoanelor care acționează sub autoritatea sa, referitor la obligațiile ce le revin conform prevederilor RGPD, inclusiv cu privire la riscurile pe care le comportă prelucrarea datelor cu caracter personal, în funcţie de specificul activităţii, inclusiv a procedurilor de lucru referitoare la protecția datelor cu caracter personal și instruirea personalului propriu;
• identificarea și implementarea unor măsuri  pentru a se asigura că datele cu caracter personal prelucrate sunt exacte și actualizate, având în vedere scopurile pentru care sunt prelucrate, iar cele inexacte să fie şterse sau rectificate fără întârziere (spre exemplu, un mecanism de verificare a validității adresei de e-mail la momentul colectării).

LUGERA & MAKLER BROKER S.R.L

In urma cu cateva zile, Autoritatea de Supravghere a anuntat faptul ca a incheiet o investigatie la operatorul Lugera & Makler Broker S.R.L., constatând încălcarea dispozițiilor art. 29 și art. 32 alin. (2) și (4) din Regulamentul General privind Protecția Datelor. Ca atare, operatorul Lugera & Makler Broker S.R.L. a fost sancționat contravențional cu amendă în cuantum de 7.331,85 lei lei (echivalentul sumei de 1500 EURO).

Investigația a fost demarată ca urmare a unei sesizări primite din partea unei persoane fizice și a unei notificări de încălcare a securității datelor cu caracter personal transmisă de Raiffeisen Bank SA. din care a rezultat că Lugera & Makler Broker S.R.L (persoană împuternicită de operatorul Raiffeisen Bank SA) nu a predat Raiffeisen Bank SA documentele aferente activităților de prescoring efectuate de un angajat al său, pe motiv că acestea au fost distruse.

În cadrul investigației, Autoritatea Națională de Supraveghere a constatat că opeatorul Lugera & Makler Broker S.R.L. (în calitate de persoană împuternicită de operatorul Raiffisen Bank SA) nu a luat măsuri pentru a se asigura că orice persoană fizică care acționează sub autoritatea sa și care are acces la date cu caracter personal nu le prelucrează decât la cererea sa și nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării generat în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.

De asemenea, ca urmare a efectuării a 1372 de prescoringuri de către un agent de vânzări, angajat al Lugera & Makler Broker S.R.L., au fost afectate de incidentul de securitate 1058 de persoane fizice vizate, întrucât documentația originală aferentă prescoringurilor nu a fost predată de agent, ci distrusă, ceea ce a generat incidentul de securitate notificat de Raiffesien Bank la ANSPDCP, încălcându-se astfel prevederile art. 29, art. 32 alin.(2) și (4) din Regulamentul General privind Protecția Datelor.

ING BANK N.V. AMSTERDAM, SUCURSALA BUCUREȘTI

In cazul  ING Bank N.V. Amsterdam, Sucursala București, Autoritatea de Supraveghere a constatat încălcarea dispozițiilor art. 29 și art. 32 alin. (2) și (4) din Regulamentul General privind Protecția Datelor si a decis sancționarea contravenționala cu amendă în cuantum de 4.874,40 lei (echivalentul a 1000 EURO).

În urma primirii unei notificări de încălcare a securității datelor din partea ING Bank N.V. Amsterdam s-a demarat o investigație și s-a constatat că acest operator a transmis, la două date diferite, unele fișiere către un partener contractual, prin intermediul unei societăți mandatare, în vederea emiterii unor polițe de asigurare. Fișierele transmise conțineau informații neactualizate, întrucât angajații departamentului de monitorizare al polițelor de asigurare nu au verificat și procesat polițele de asigurare în conformitate cu Procedura de lucru, fiind afectate 270 de persoane fizice.

Având în vedere aceste aspecte, s-a stabilit că nu au fost suficiente măsurile tehnice și organizatorice implementate de operator înainte de incident, ceea ce a condus la încălcarea confidențialității datelor cu caracter personal.

PERSOANA FIZICA

Una din cele mai interesante amenzi ale Autoritatii de Supraveghere din 2021 a fost aplicata unei persoane fizice, ce deținea, în același timp, funcția de Secretar General în cadrul unei filiale de sector din Municipiul București a unui partid politic care a  încălcat dispozițiilor art. 32 alin. (1) și (2) și a prevederilor art. 58 alin. (1) lit. a) și e) din Regulamentul General privind Protecția Datelor. Persoana fizică, în calitate de operator, a fost sancționată contravențional cu amendă în cuantum total de 2.437,35 lei (echivalentul în lei a 500 EURO).

Investigația a fost demarată ca urmare a primirii unei sesizări prin care s-a reclamat faptul că pe o rețea de socializare, pe pagina personală a unei persoane fizice ce deținea funcția de Secretar General în cadrul unei filiale de sector a unui partid politic, a fost publicată o listă cuprinzând 10 poziții cu persoane semnatare/susținători pentru alegerea Consiliului General și a Primarului Municipiului București, în cadrul căreia datele cu caracter personal ale acestora sunt accesibile, fiind dezvăluite numele și prenumele, semnătura, cetățenia, data nașterii, adresa, seria și numărul actului de identitate, opțiunea politică a persoanelor semnatare/susținătorilor.

În cursul desfășurării investigației Autoritatea Națională de Supraveghere a constatat că operatorul, contrar obligațiilor stabilite de art. 32 din RGPD, nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării pentru drepturile și libertățile persoanelor fizice, ceea ce a condus la divulgarea către publicul larg și la accesul neautorizat la datele cu caracter personal ale unui număr de 10 persoane fizice vizate, susținători ai unui candidat la alegerile locale din septembrie 2020, deși potrivit art. 5 lit. f) din RGPD, avea obligația de a respecta principiul ,,integritate și confidențialitate”.

Așadar, operatorul a fost sancționat contravențional pentru încălcarea dispozițiilor art. 32 RGPD referitoare la securitatea prelucrărilor.

Totodată, operatorul a fost sancționat contravențional și pentru fapta prevăzută de art. 83 alin. (5) din Regulamentul (UE) 679/2016, raportat la art. 58 alin. (1) lit. a) și lit. e) și coroborat cu art. 8 din O.G. nr. 2/2001 întrucât nu a răspuns solicitărilor Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal.

Autoritatea a aplicat operatorului și măsura corectivă de ștergere a datelor dezvăluite prin postarea pe pagina personală de pe o rețea de socializare a listei cu persoane semnatare/susținătoare pentru alegerea Consiliului General și a Primarului Municipiului București.

In domeniul protecției datelor în România, anul 2021 a debutat cu relansarea pe piață a carții "GDPR Aplicat. Instrumente de lucru pentru implementarea Regulamentului UE 679/2016" ( Editia 1, Editura Wolters Kluwer). Cartea este disponibilă în webshop-ul dpo-net.ro si poate fi comandată la prețul promoțional de 110 lei. 

Conf. Univ. Dr. Nicolae Ploeșteanu - Directorul Centrului pentru Protecția Datelor - Universitatea de Medicină, Farmacie, Științe și Tehnologie „George Emil Palade” din Târgu Mureș a avut amabilitatea sa semneze prefața acestei ediții:

"Apariția volumului GDPR Aplicat, ediția a I-a, elaborat de autorii Daniela Simionovici, Daniela-Irina Cireașă, Cătălina Pantilimon și Marius-Florian Dan, reprezintă valorificarea de către aceștia, într-o editură de prestigiu precum Wolters Kluwer, a unui „succes editorial”. Prima ediție a apărut în editura Lumen și, cred eu, că datorită confirmării valorii practice a volumului, autorii au trecut de faza „timidității” începutului editorial și se adresează în prezent prin elaborarea acestei a doua ediții către dimensiunea reală a publicului interesat de domeniul protecției datelor cu caracter personal și, mai ales, către nevoile pieței de a implementa exhaustiv Regulamentul General privind Protecția Datelor, la nivelul operatorilor de date din România.

Volumul GDPR Aplicat este o idee strălucită a unui colectiv de persoane cu experiență practică și însuflețite să își pună amprenta proprie într-un domeniu în emergență, anume domeniul protecției datelor cu caracter personal. Legislația specifică pe care o abordează într-o manieră utilă și formativă este aceea care privește mai ales „GDPR”. Autorii doresc atât să se implice cât și să ofere un instrument antrenant și imediat pentru probleme practice serioase și multiplicate în activitățile curente ale operatorilor de date cu caracter personal. Toate entitățile publice și private sunt interesate să se pună de acord cu ceea ce la momentul de față este „sperietoarea” activității lor. Această intenție are sinuozități și îndoieli dar, în final, se impune practic asemănător unui standard de calitate și, în același timp, complet diferit: este diferența dintre un tablou pictat, privit ca o operă și, pe de altă parte, evoluția și inițierea unui proces juridic; oare cine are dreptate? Răspunsul este oferit cu precauție în paginile volumului acestor pionieri….În final, practica și viitorul vor fi circumstanțele în baza cărora vom argumenta liniile decisive ale acestei îndrăznețe acțiuni: protecția datelor din perspectiva unei societăți mai sigure și a unei vieți private intime fiecărei persoane fizice.

Este necesară această lucrare și îi felicit pe autori și pe cei care au contribuit pe această linie, într-un fel sau altul, la formarea acestora, iar aici mă gândesc în special la cei care au avut inițiativa de a întreprinde la Universitatea suceveană un curs postuniversitar de protecție a datelor, pe care toți autorii acestui volum l-au urmat!

Volumul este consistent: are 752 de pagini și, în esență, 14 capitole tematice, la care se adaugă anexe, bibliografie, figuri și tabele. Volumul se remarcă prin utilitate, nu prin argumentare științifică. Principala metodă de investigație utilizată în realizarea volumului este metoda experimentală.  În cele 14 capitole se tratează atât ideile de esență și directoare ale protecției datelor, precum și măsurile, acțiunile care trebuie întreprinse pentru a asigura implementarea GDPR la nivelul entităților, oferindu-se în mod constant exemple. În partea finală, referitoare la proceduri, modele și tabele ni se prezintă o varietate de exemple. Legat de structura volumul în acest context de evaluare pot fi extrem de încrezător în a afirma că este complet antamat pe necesitățile practice. Demersul autorilor va fi îmbogățit în edițiile viitoare, prin practica viitoare și abordarea unor tematici de nișă, cum este aceea a transferului internațional de date.

Pentru elaborarea volumului GDPR aplicat este cert că autorii au alocat un timp prețios și o disponibilitate aparte, poate chiar încercată și deloc ușoară. La momentul de față, astfel  cum se numește în partea secundă a sa, „Instrument de lucru pentru implementarea Regulamentului UE 679/2016” este instrumentul cel mai valoros de pe piața din România, pentru toți cei implicați în acest fenomen. Nu este un volum științific ci este exact ceea ce se numește: „Instrument de lucru…”. Dar este cel mai bun în domeniul GDPR. Îndrăznesc să afirm, pentru întreaga masă de profesioniști și interesați în domeniu, că utilizând acest volum pot să aibă siguranța conformității pentru o medie a entităților, într-un procent de aproximativ 90%. Oricum, până la apariția vreunui volum mai exhaustiv sau sintetic, acesta este, în opinia mea, sub aspect practic numărul 1 în România.

În mod interesant, lucrarea este utilă atât pentru practicieni cât și pentru directorii executivi ai companiilor. În prima parte, se oferă lecții nenumărate pentru management cum ar trebui să regândească sistemul propriu în care activează și, sigur că da, în același timp practicienii vor avea nenumărate soluții și documente la dispoziție pentru a sprijini companiile sau autoritățile în implementarea GDPR. Spre exemplu, la nivel de management este expusă povestea așteptării unui standard cumpărat și implementat imediat, cu deziluzia că așa ceva nu s-a putut întâmpla…Se caută vina la consultant și nu se poate direcționa juridic. Ce facem de aici încolo? Cât mai trebuie să stăm împiedicați de protecția datelor?

La nivel de executiv, lucrurile se complică deoarece pe lângă aceste instruiri, adevăratul specialist în protecția datelor trebuie să devină un real confident al companiei și să contribuie la rebreduirea acesteia. Va fi acceptat? Va fi înghițit? Volumul răspunde acestor întrebări într-o manieră sinceră și corectă!

Autorii au investit pasiune și interes suprapuse pe ideea importanței formării continue și a observației și cercetării cu demonstrații. Spuneam că autorii sunt într-o mare măsură pionieri: au simțit flexibilitatea și dinamica domeniului și au considerat că pot să afirme reguli, aspect care s-a confirmat în mod evident. De aici, apare una din primele trăsături ale lucrării, anume că la fiecare domeniu și secțiune se începe cu o „poveste” legată de ce se întâmplă în practică atunci când se urmărește implementarea GDPR: totul prinde contur și devine extrem de narativ și util în același timp. Spre exemplu, cuvântul introductiv debutează exact cu cea mai importantă parte a implementării GDPR, anume aceea a conștientizării și educației: „Etica reprezintă o invitație la conștientizarea consecințelor a ceea ce se face”

În al doilea rând, se face o descriere juridică a fiecărui concept principal utilizat în GDPR, inclusiv descrierea faptică alăturată. Dacă deschid la întâmplare volumul, ajung, spre exemplu la pagina 59, unde se vorbește de pseudonimizare, despre care se afirmă în mod corect că „are o componentă obligatorie și anume reversibilitatea acesteia. Reversibilitatea este tehnica inversă pseudonimizării, adică, folosind informații suplimentare, pe care doar operatorul le are, datele pot deveni, din nou, „clare”(…)” Aceasta este o obligație specifică în anumite condiții a operatorului de date.

În al treilea rând se oferă de către autori la fiecare argumentare sistematic prezentată, un exemplu, de regulă referit de ghidurile de implementare și orientare realizate de fostul Grup de lucru articolul 29, în prezent înlocuit de Comitetul european pentru protecția datelor stabilit prin GDPR. Această modalitate de expunere conferă instruire și înțelegere cititorului și practicianului, deoarece exemplele sunt extrem de relevante și fin relevate.

Nu în ultimul rând, trebuie remarcată referirea la practica instanțelor din România și a instanțelor europene în domeniul protecției datelor cu caracter personal, chestiune utilă deoarece contribuie la statuarea definitivă a unor linii de interpretare a domeniului analizat.

Consider că fiecare practician trebuie să aibă această lucrare pentru că îl va ajuta în implementarea GDPR. Lucrarea conține atât conținut cu documentare științifică cât și conținut aplicativ corect dar orientativ și specific ghidurilor.

În ceea ce mă privește, sunt încântat că autorii  Daniela Simionovici, Daniela-Irina Cireașă, Cătălina Lungu și Marius-Florian Dan, mi-au fost pentru o scurtă perioadă „studenți”, deoarece orice dascăl este împlinit când este depășit de proprii studenți. I-am întâlnit cu ocazia unei competiții în domeniul protecției datelor, desfășurată la Târgu Mureș, și am simțit că este vorba de un grup cu potențial reformator. Au demonstrat în interesul comunității din România acest lucru. Le doresc mult succes și felicitări pentru demersurile continue pe care le întreprind în domeniul protecției datelor cu caracter personal."

Autoritatea Națională de Supraveghere a demarat o investigație în urma primirii unor plângeri prin care s-a reclamat faptul că operatorul Qualitance QBS SA a transmis prin e-mail o informare către 295 de persoane, dezvăluind astfel adresele de e-mail ale celorlalți destinatari și a  constat că operatorul nu a implementat suficiente măsuri de securitate pentru a asigura confidențialitatea datelor personale ale persoanelor vizate, fapt ce a condus la dezvăluirea adreselor de e-mail, contrar obligațiilor prevăzute de art. 32 din RGPD. Destinatarii emailului erau candidați care și-au furnizat datele personale în vederea recrutării pe site-ul operatorului sau prin aplicații on-line.

Operatorul Qualitance QBS SA a fost sancționat contravențional cu amendă în cuantum de 4.867,50 lei (echivalentul a 1.000 EURO). De asemenea, societății Qualitance QBS SA i s-a aplicat și măsura corectivă de a asigura conformitatea operațiunilor de prelucrare a datelor personale cu Regulamentul General privind Protecția Datelor, prin implementarea unor măsuri tehnice și organizatorice adecvate în cazul transmiterii la distanță a datelor personale, inclusiv sub aspectul instruirii regulate a persoanelor care prelucrează date sub autoritatea sa (angajați sau colaboratori).

Cum s-ar fi putut evita această amendă de 1000 Euro?

Simplu, prin trainingul personalului privind utilizarea funcțiilor "TO"(Către), "CC"(Copie de informare) și "BCC" (Copie de informare confidențială).

• “CC:” este precurtarea de la "Carbon Copy" (copie de informare). Orice persoană listată în câmpul CC: al unui mesaj primeşte o copie a mesajului, la expedierea acestuia. Toţi ceilalţi destinatari ai mesajului pot vedea că persoana specificată ca destinatar în “CC:” a primit o copie a mesajului.
• “BCC:" este prescurtarea de la "Blind Carbon Copy" (copie de informare confidenţială). Este similar cu funcţionalitatea “CC:”, cu excepţia că destinatarii din Bcc: sunt invizibili pentru ceilalţi destinatari ai mesajului, inclusiv pentru restul destinatarilor din “Bcc:”.

Procesul de digitalizare atrage după el și metode tehnice avansate de securitate, care cresc gradul de protecție al vieții private, dar trebuie să conștientizăm în primul rând că cea mai mare vulnerabilitate în cadrul unei organizații este chiar resursa umană. Este nevoie să asigurăm educația personalului înainte de a investi în soluții tehnice de securitate.

Această amendă este un semnal de alarmă și ar trebui să ne pună pe gânduri, să analizăm dacă și noi am făcut în trecut această eroare, și, cel mai important, ce putem face în perioada următoare să diminuăm semnificativ riscul de a repeta această greșeală.