În ultimii doi ani, Autoritățile de Supraveghere din România și Slovacia au aplicat operatorului Telekom un avertisment și 3 amenzi, totalizând 45,000 Euro, pentru faptul că nu au fost luate măsuri de securitate adecvate în privința prelucrării datelor cu caracter personal.

• La sfarșitul anului 2019, ANSPDCP aplica o modestă amendă de 2000 Euro după ce a constatat încălcarea principiului prelucrării datelor cu caracter personal prevăzut la art. 5 alin. (1) lit. d) din GDPR (exactitatea datelor) și securitatea datelor cu caracter personal, respectiv art. 32 alin. (1) lit. b) și art. 32 alin. (2). Cu alte cuvinte, pe lângă faptul că Telekom nu a luat toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte sunt șterse sau rectificate fără întârziere, autoritatea a constatat și faptul că operatorul de telecomunicații „nu a luat măsuri tehnice și organizatorice adecvate în vederea asigurării confidențialității datelor cu caracter personal, fapt care a condus la dezvăluirea datelor cu caracter personal ale unui client al operatorului prin expedierea pe adresa petentului a unor facturi emise pe numele clientului respectiv.”
• Filiala din Slovacia a companiei Telekom a primit, tot în 2019, o amendă de 40,000 euro din partea Autorității de Supraveghere, tot pentru încălcarea art. 32.
• Mai mult, din raportul de activitate a Autorității de Supraveghere din România pentru anul 2018, am aflat că Telekom a primit ca măsură obligația de a răspunde unei cereri de stergere precum și un avertisment prentru săvârşirea contravenţiei prevăzută de art. 13 alin. (1) lit. a) din Legea nr. 506/2004, deoarece operatorul nu a luat măsuri tehnice și organizatorice adecvate în vederea asigurării securității prelucrării datelor cu caracter personal, ceea ce a condus la transmiterea eronată a unor e-mail-uri conținând link-urile aferente facturilor unor clienți, către alți clienți decât titularii facturilor, precum și la accesarea și divulgarea ilicită a unor date cu caracter personal ale clienților.

În data de 11 iunie 2020 ANSPDCP a anunțat finalizarea unei noi investigații, constatând încălcarea tot a dispozițiilor art. 32 din Regulamentul General privind Protecția Datelor și a decis aplicarea unei amenzi în cuantum de 14524.2 lei, echivalentul a 3.000 EURO.

Investigația a fost demarată în urma primirii unor plângeri prin care petentul a reclamat utilizarea frauduloasă a datelor sale personale la încheierea unor contracte pe numele său de către Telekom Romania Communications SA. În cursul desfășurării investigației Autoritatea Națională de Supraveghere a constatat că operatorul nu a implementat suficiente măsuri de securitate care să includă verificarea exactității datelor personale colectate telefonic (la distanță) în scopul încheierii contractelor.

Acest fapt a condus la o prelucrare ilegală a datelor petentului prin încheierea unor contracte de abonament pe numele său, folosind datele personale din contractul preexistent, fără verificarea corectitudinii acestora, contrar obligațiilor prevăzute de art. 32 din RGPD. În acest sens, art. 32 prevede, printre altele, la alin. (1) lit. b) și obligația operatorului de a implementa măsuri tehnice şi organizatorice adecvate, incluzând capacitatea de a asigura confidenţialitatea, integritatea, disponibilitatea şi rezistenţa continue ale sistemelor şi serviciilor de prelucrare.

De asemenea, operatorului i s-a aplicat și măsura corectivă de a asigura conformitatea cu RGPD a operațiunilor de colectare și prelucrare ulterioară a datelor personale, prin implementarea unor proceduri eficiente de identificare a persoanelor, care să prevină prelucrarea ilegală a datelor personale și dezvăluirea lor neautorizată, atât de către angajații/colaboratorii Telekom Romania Communications SA, cât și de către persoanele împuternicite și angajații/colaboratorii acestora,  precum și instruirea regulată a acestora și verificarea periodică a respectării instrucțiunilor date, raportat la art. 58 alin. (2) lit. d) din RGPD.

Autoritatea Națională de Supraveghere a demarat o investigație în urma primirii unor plângeri prin care s-a reclamat faptul că operatorul Qualitance QBS SA a transmis prin e-mail o informare către 295 de persoane, dezvăluind astfel adresele de e-mail ale celorlalți destinatari și a  constat că operatorul nu a implementat suficiente măsuri de securitate pentru a asigura confidențialitatea datelor personale ale persoanelor vizate, fapt ce a condus la dezvăluirea adreselor de e-mail, contrar obligațiilor prevăzute de art. 32 din RGPD. Destinatarii emailului erau candidați care și-au furnizat datele personale în vederea recrutării pe site-ul operatorului sau prin aplicații on-line.

Operatorul Qualitance QBS SA a fost sancționat contravențional cu amendă în cuantum de 4.867,50 lei (echivalentul a 1.000 EURO). De asemenea, societății Qualitance QBS SA i s-a aplicat și măsura corectivă de a asigura conformitatea operațiunilor de prelucrare a datelor personale cu Regulamentul General privind Protecția Datelor, prin implementarea unor măsuri tehnice și organizatorice adecvate în cazul transmiterii la distanță a datelor personale, inclusiv sub aspectul instruirii regulate a persoanelor care prelucrează date sub autoritatea sa (angajați sau colaboratori).

Cum s-ar fi putut evita această amendă de 1000 Euro?

Simplu, prin trainingul personalului privind utilizarea funcțiilor "TO"(Către), "CC"(Copie de informare) și "BCC" (Copie de informare confidențială).

• “CC:” este precurtarea de la "Carbon Copy" (copie de informare). Orice persoană listată în câmpul CC: al unui mesaj primeşte o copie a mesajului, la expedierea acestuia. Toţi ceilalţi destinatari ai mesajului pot vedea că persoana specificată ca destinatar în “CC:” a primit o copie a mesajului.
• “BCC:" este prescurtarea de la "Blind Carbon Copy" (copie de informare confidenţială). Este similar cu funcţionalitatea “CC:”, cu excepţia că destinatarii din Bcc: sunt invizibili pentru ceilalţi destinatari ai mesajului, inclusiv pentru restul destinatarilor din “Bcc:”.

Procesul de digitalizare atrage după el și metode tehnice avansate de securitate, care cresc gradul de protecție al vieții private, dar trebuie să conștientizăm în primul rând că cea mai mare vulnerabilitate în cadrul unei organizații este chiar resursa umană. Este nevoie să asigurăm educația personalului înainte de a investi în soluții tehnice de securitate.

Această amendă este un semnal de alarmă și ar trebui să ne pună pe gânduri, să analizăm dacă și noi am făcut în trecut această eroare, și, cel mai important, ce putem face în perioada următoare să diminuăm semnificativ riscul de a repeta această greșeală.

O nouă amendă pentru colaborarea insuficientă cu Autoritatea de Supraveghere  tocmai a fost aplicată în România.  Operatorul C&V Water Control S.A. a primit o amendă în cuantum de 9746 lei, echivalentul sumei de 2000 EURO pentru că nu a furnizat informațiile solicitate, încălcând astfel prevederile art. 83 alin. (5) lit. e) corelate cu dispozițiile art. 58 alin. (1) lit. (a) și (e) și art. 58 alin. (2) lit. i) din Regulamentul General privind Protecția Datelor, primind totodată și măsura corectivă de a transmite toate informațiile solicitate prin adresele anterioare.

Nu este o premieră în România aplicarea de amenzi în baza Art. 58 GDPR care prevede obligația operatorului de a furniza orice informații pe care Autoritatea de Supraveghere le solicită în vederea îndeplinirii sarcinilor sale.

În trecut, în România au mai fost aplicate 7 astfel de amenzi, din totalul de 21 aplicate la nivel european, unor operatori de date cu caracter personal care omis să răspundă solicitarilor, încălcând astfel Art.58.

Cel mai îngrijorător lucru este faptul că aceste amenzi nu sunt disuasive și nu au condus la modificări fundamentale în practicile și procedurile operatorilor români, o parte din companiile anchetate preferând să își asume riscuri în privința încălcării art. 58 GDPR. Rămâne de văzut care este limita acestor operatori în privința absorbției amenzilor și dacă sunt afectați în vreun fel de riscul reputațional, în contextul în care nivelul de conștientizare a importanței datelor cu caracter personal în România este în creștere.