Prima sancțiune GDPR în SUEDIA: monitorizarea ilegală a elevilor

Amenzi GDPR

Vizualizari: 2562

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Autoritatea de supraveghere suedeză, Datainspektion, a anunțat ieri (21.08.2019) impunerea primei sale amenzi din era GDPR.

O unitate de învățământ fost prima „victimă”

O școală din Skellefteå a încercat să folosească o cameră cu recunoaștere facială pentru a înregistra prezența elevilor în clasă.

Datele biometrice, care sunt utilizate pentru recunoașterea facială, sunt considerate categorii speciale de date cu caracter personal conform articolului 9 GDPR, și este necesară o excepție specifică pentru a le putea prelucra. 

Liceul a susținut că au obținut consimțământul explicit din partea celor 22 de elevi afectați însă autoritatea suedeză a decis că respectivele consimțăminte nu întrunesc condițiile de valabilitate. 

Amenda, cât e amenda?

Valoarea amenzii a fost una moderată, 200 000 SEK reprezentând aproximativ 20 000 EURO. La stabilirea cuantumului amenzii a fost luat în considerare faptul că Skellefteå este o entitate publică și că prelucrarea ilegală s-a realizat într-o perioadă limitată. Amenzile maxime pentru entitățile publice din Suedia sunt 10.000.000 SEK, adică aproape 1.000.000 Euro. 

Nu putem să nu subliniem faptul că amenda maximă pentru entitățile publice suedeze este cu muuult peste valoarea maximă prevăzută de legea 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 pentru entitățile publice române (100.000 lei reprezentând aproximativ 21.000 euro).

Concluziile autorității suedeze:

  • utilizarea unei camere cu recunoașterea facială a elevilor presupune monitorizarea continuă a acestora în mediul lor zilnic
  • monitorizarea facială a reprezentat o încălcare a intimității lor
  • controlul prezenței la clasă se poate face într-un mod mai puțin intruziv

Dezechilibrul de putere

Considerentul 43 indică în mod clar că este puțin probabil ca autoritățile publice pot să se bazeze pe consimțământul acordat pentru Prelucrarea datelor întrucât de fiecare dată când Operatorul este o autoritate publică, deseori există un dezechilibru clar al puterilor în relația dintre Operator și persoana vizată” opinează Grupul de lucru „Articolul 29” (WP29) in ghidul intitulat „Orientări asupra Consimțământului în temeiul Regulamentului 2016/679”, adoptat la 28 noiembrie 2017 si revizuit la 10 aprilie 2018. Vizualizează sau descarcă ghidu aici.

Mai mult,  WP29 consideră problematică prelucrarea de către angajator a datelor cu caracter personal a angajaților pe baza consimțământului, având în vedere că acesta este puțin probabil de a fi oferit în mod liber.

Prin urmare, angajații nu sunt aproape niciodată în măsură să își exprime, să refuze sau să își revoce în mod liber consimțământul, având în vedere dependența care rezultă din relația dintre angajator și angajat, același dezechilibru de putere existând și în relația elev-școală.

Obținerea unui consimțământ valabil este una dintre cele mai mari provocări în procesul de aliniere la GDPR. Este mereu ultimul dintre cele 6 temeiuri pe care ne putem baza atunci când prelucrăm date personale. Mai mult, existența acestuia trebuie sa poată fi dovedită și totodată să poată fi retras în orice moment.

Astfel, este de preferat să prelucrați date în baza consimțământului doar dacă nu exista alta variantă și doar dacă acesta poate fi obținut prin respectarea criteriilor de valabilitate:

  • liber exprimat;
  • specific;
  • informat;
  • lipsită de ambiguitate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate.

Citește aici cum poți efectua monitorizarea video cu respectarea GDPR. 

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Serviciul Postal din Austria a fost amendat pentru vânzarea datelor clienților

Amenzi GDPR

Vizualizari: 3839

Facebooktwittergoogle_plusredditpinterestlinkedinmail

 

Comitetul European pentru Protecția Datelor a anunțat în cursul săptămânii trecute decizia Autorității de supraveghere austriece privind sancționarea Serviciului postal național pentru încălcarea protecției datelor clienților săi, impunând o amendă administrativă de 18 milioane de Euro.

După efectuarea unei audieri orale, Autoritatea de supraveghere austriacă a considerat, în baza dovezilor, că Serviciului postal austriac a încălcat GDPR-ul folosind datele clienților, cum ar fi vârstele și adresele, pentru a calcula probabilitatea afinității politice a acestora și a vândut constatările sale.

În plus, o altă încălcare a fost determinată din cauza prelucrării ulterioare a datelor privind frecvența pachetului și frecvența relocărilor în scopul comercializării directe, deoarece aceasta nu este acoperită de GDPR, informează EDPB.

În stabilirea cuantumului amenzii, Autoritatea austriacă a avut în vedere faptul că aceste încălcări ale GDPR au fost comise în mod ilegal și culpabil. Aceasta a considerat că amenda administrativă menționată mai sus este adecvată pentru a preveni alte încălcări sau similare.

Pedeapsa nu este definitivă, deoarece poate fi atacată în fața Curții Administrative Federale în termen de patru săptămâni de la data comunicării.

Vezi aici comunicatul de presă al  Comitetului European pentru Protecția Datelor

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Prima persoană fizică din RO sancţionată contravenţional și importanța dublului opt-in

Amenzi GDPR

Vizualizari: 5050

Facebooktwittergoogle_plusredditpinterestlinkedinmail

DA! Persoanele fizice pot face obiectul unei sancțiuni GDPR

Nu cu mult timp în urma, cândva prin mijlocul verii, s-a viralizat o știre potrivit căreia  Regulamentului General privind Protecția Datelor (GDPR) nu se aplică persoanelor fizice, astfel că acestea nu pot fi sancționate pentru încălcare Regulamentului.

Nu ne-am putut abține de la a sancționa un asemenea derapaj, astfel că am sărit să dezamorsam această „bombă”, explicând în ce condiții persoanele fizice pot fi operatori de date cu caracter personal și drept urmare pot fi sancționate pentru încălcarea GDPR-ului.

Vezi aici articolul Persoanele fizice pot fi amendate, conform GDPR!

Poate n-o fi prima prima persoana sancționată pentru nerespectarea GDPR-ului, însa cu siguranță este prima despre aflăm oficial, cu subiect și predicat.

Autoritatea a publicat săptămâna trecută cele 55 de măsuri corective (inclusiv amenzi și avertismente) pe care le-a impus în perioada 01.06.2019-30.09.2019,  în urma investigațiilor pe care le-a efectuat.

Interesant este că printre operatorii vizați de măsurile corective, pe lângă nume mari precum Emag, Raiffeisen, Marriot, Vola, Altex, Vodafone, Orange, Unicredit și nu numai, figurează instituții publice, companii din sectorul medical, asociații de proprietari dar și persoane fizice!

Vezi aici articolul ANSPDCP: lista măsurilor (55) dispuse în urma investigațiilor, în ultimele 3 luni

Olarian Augustin, deținătorul domeniului olarian.ro, este prima persoană sancționată pentru nerespectarea GDPR, a cărei identitate a fost făcută publică de către autoritate.

Oralian.ro este un site care oferă servicii de optimizare a site-urilor construite pe platforma wordpress și care a transmis mesaje comerciale fără a se baza pe consimțământul destinatarilor, încălcând astfel prevederile art. 6 și 7 din GDPR.

În urma investigației, Autoritatea a decis impunerea unei sancțiuni contravenționale, constând într-un avertisment însoțit de o serie de măsuri corective.

Una dintre măsurile corective impuse operatorului Olarian Augustin a fost „să nu mai prelucreze datele personale fără consimțământul persoanelor vizate în conformitate cu art. 6 și 7 din RGPD, inclusiv în cazul transmiterii de mesaje comerciale prin mijloace de comunicare electronică”.  

Autoritatea a recomandat în acest caz utilizarea metodei „dublu opt-in” pentru colectarea adreselor de e-mail.

Ce este acest dublu opt-in

Dublul opt-in reprezintă o dublă acțiune atunci când un utilizator se înscrie la o listă de e-mail marketing. Mai exact, după ce o persoană se înscrie pentru a primi mesaje prin e-mail, va apărea un mesaj rugându-i să-și verifice e-mailul pentru a-și confirma abonamentul.

Când își va verifica e-mailul va vedea ceva de genul: „Tocmai v-ați înscris pentru a primi newsletter-ul. Vă rugăm să faceți clic aici pentru a vă activa abonamentul.”. Când persoana face clic pe link, e-mailul său este adăugat în lista abonaților.

Prin procesul de dublu opt-un, puteți fi sigur că persoanele și-au introdus corect informațiile, ceea ce înseamnă că veți obține o listă mai precisă și mai puține date de respingere. Acest sistem înseamnă, de asemenea, mai puține reclamații împotriva spamului, deoarece oamenii sunt obligați să facă un pas suplimentar și să își confirme consimțământul.

Probabilitatea este mai mare ca o persoana care a fost dispusă să facă acest pas suplimentar să deschidă e-mailurile și să acceseze link-urile. Răspunsurile pozitive cresc ratele de livrare și îți îmbunătățesc reputația expeditorului.

Există însă și unele dezavantaje în ceea ce privește dubla opțiune. Aproximativ 20% dintre persoanele care se înscriu la newsletter-ul dvs. sau la alt conținut nu vor finaliza procesul de înregistrare. Unii dintre ei își șterg din greșeală e-mailurile de confirmare sau aceste e-mailuri se blochează în filtrele lor de spam. 

Alte persoane fizice au mai fost sancționate pentru încălcarea GDPR-ului

  • Un primar al unui oraș belgian a trimis un e-mail conținând propagandă electorală către 2 locuitori ai orașului său cu care intrase în contact comunicând prin e-mail, în vederea derulării unui proiect urban. Cu o zi înainte de alegerile locale, primarul a folosit apoi funcția "reply" a e-mail-ului pentru a trimite un mesaj electoral reclamanților. Camera de litigii a autorității belgiene a constatat utilizarea abuzivă a datelor cu caracter personal în scop electoral, impunând o sancțiune financiara de 2000 de euro și o mustrare primarului. 
Citește aici articolul: Prima amendă GDPR în Belgia a fost aplicată unui primar
  • În Austria a fost aplicată amenda de 2200 euro împotriva unei persoane private care a folosit într-un mod ilegal supravegherea video a parcărilor, trotuarelor, grădini și zonei de acces la complexul rezidențial în care locuia și în plus, supravegherea video acoperea și zonele de grădină ale unei proprietăți adiacente. În acest caz, supravegherea video nu a fost proporțională cu scopul și nu s-a limitat la ceea ce este strict necesar și nu a fost semnalizată corespunzător.
  • Un antrenor de fotbal feminin a filmat în secret jucătoare în timp ce făceau duș.  Autoritatea din austria a aplicat o amendă administrativă de 11.000 de euro.
  • O persoană privată a trimis mai multe e-mailuri, către mai multe adrese de e-mail personale (CC), astfel că adresele de e-mail au fost vizibile pentru toți destinatarii. Autoritatea de supraveghere din Sachsen-Anhalt a dispus o sancțiune de 2000 de euro.
  • Un ofițerul de poliție a interogat bazele de date ale poliției obținând acces la date precum nume, adresa numere de telefon pe care le-a utilizat în interes personal. Acesta a fost sancționat cu 1.400 de euro

 

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

ANSPDCP: lista măsurilor (55) dispuse în urma investigațiilor, în ultimele 3 luni

Săptămâna trecută, Autoritatea de supraveghere națională (ANSPDCP) a publicat Raportul activității sale în decursul anului 2018 (vezi aici cele mai interesante date desprinse din raport). Conform acestui raport, […]

Cât ne poate costa pierderea unui stick cu date personale? Un polițist a aflat!

V-ați întrebat vreodată cât v-ar putea costa pierderea unui stick cu date personale? O încălcare a securității datelor cu care ne putem confrunta oricare dintre noi, oricât de […]

55.000 euro amenda GDPR aplicată unui SPITAL pentru nedesemnarea DPO-ului

Conform unui comunicat al Comitetul European pentru Protecția Datelor, la 12 august 2019, Autoritatea de supraveghere austriacă a aplicat o amendă administrativă unui operator care activează în sectorul […]

Avocatnet.ro a fost sancționat cu 9000 € pentru lipsa consimțământului explicit

Ziua și amenda, așa pare să ne obișnuiască Autoritatea națională de supraveghere. „Victima” de astăzi este INTELIGO MEDIA SA, administratorul platformei online avocatnet.ro, un website care „explică legislația […]

Elefant.ro sancționat pentru newslettere trimise fără existența consimțământului destinatarului

Autoritatea Națională de Supraveghere a publicat pe site-ul său  o nouă amendă în aplicarea Legii nr. 506/2004. Conform comunicatului, Elefant Online S.A., care administrează magazinul online elefant.ro, a […]

British Airways se îndreaptă spre noi recorduri privind costurile unei breșe de securitate

British Airways este pe cale să bată cu mult recordul pentru cea mai mare sancțiune financiară din Europa în era postGDPRistă. ICO, omologul englez al ANSPDCP-ului nostru, în […]

Noi amenzi GDPR: două instituții financiare din România sancționate

Autoritatea Națională de Supraveghere a anunțat astăzi finalizarea a două investigații care vizează operatorii Raiffeisen Bank S.A. și Vreau Credit S.R.L. În urma investigațiilor, autoritatea de supraveghere a constat următoarele: […]

Cea mai mare amenda GDPR din Grecia: operator de telefonie sancționat pentru SPAM

În data de 07.10.2019, Autoritatea de supraveghere din Grecia a emis un comunicat de presa anunțând cea mai mare sancțiune pe care a emis-o în baza Regulamentului general […]

O nouă amendă impusă de Autoritatea Națională de Supraveghere

Autoritatea Națională de Supraveghere a anunțat, printr-un comunicat de presă publicat astăzi pe site-ul său, finalizarea unei investigații în urma căreia operatorul Artmark Holding SRL  fost sancționat contravențional […]

Cum ajunge o copie de buletin să coste 10.000 €? Încălcând GDPR-ul, desigur!

În data de 19 septembrie 2019, autoritatea de supraveghere belgiană a publicat un comunicat prin care a anunțat o sancțiune de 10.000 de euro pentru nerespectarea minimizării datelor […]

Amendă GDPR uriașă primită de un magazin online

Morele.net, primul magazin online de electronice din Polonia, fost sancționat cu cea mai consistentă sancțiune emisă de autoritatea de supraveghere poloneză pentru încălcarea reglementărilor de protecție a datelor […]

Amendă GDPR pentru sancționarea unui angajat folosind filmările făcute cu telefonul

Autoritatea de supraveghere spaniolă  a sancționat un restaurant cu amendă de 12.000 EURO pentru aplicarea unei sancțiuni disciplinare unui angajat, în baza înregistrărilor video realizate cu telefonului mobil […]

Bulgaria: Cea mai mare amendă GDPR acordată unei autorități publice europene

Cel mai mare furt de date din Balcani (așa cum l-am numit în  articolul din iulie) s-a lăsat și cu cea mai mare sancțiune financiară din zona balcanică, […]

Cine sunt campionii GDPR Summer Challenge 2019 ?

68 de participanți, grupati in 14 echipe, au luat startul in concursul GDPR Summer Challenge 2019 GDPR Summer Challenge este o competitie organizata de Dpo-NET.ro – Data Protection […]

Peste 500.000 Euro amendă GDPR pentru o bancă din Bulgaria

Autoritatea pentru protecția datelor cu caracter personal din Bulgaria a anuțat pe data de 28 august 2019, aplicarea unei amenzi în valoare de un milion de leva (aproximativ […]

A început GDPR Summer Challenge 2019!

68 de participanți din 14 echipe au luat startul in concursul GDPR Summer Challenge 2019. GDPR Summer Challenge este o simulare de caz la care participă mai multe […]

A patra amendă GDPR în România

În luna iulie, Autoritatea Națională de Supraveghere a Prelucrarea a Datelor cu Caracter Personal a finalizat o investigație la operatorul UTTIS INDUSTRIES SRL și a constatat că acesta […]

GDPR Summer Challenge este pregătit de lansare!

Sâmbătă, 10 August 2019, începe primul concurs național din România destinat aprofundarii și mai ales verificării cunoștințelor în domeniul protecției datelor. Scopul este ca participantii să dobândească cât […]

Te-ai înscris la GDPR Summer Challenge?

Peste 50 de persoane s-au înscris până acum în concursul „GDPR Summer Challenge”, motiv pentru care organizatorii au decis creșterea numărului de membrii într-o echipă la 5 persoane, […]

PwC amendată cu 150.000 EUR pentru nerespectarea GDPR!

Cine ar fi avut curaj să parieze că și companiile din Big Four vor cădea victime GDPR-ului? Acum cu siguranță s-ar fi îmbogățit de pe urma unui asemenea […]