5.47 milioane de EURO- cea mai mare amendă GDPR în Europa. În România, amenzi ANSPDCP de 6.500 EUR

În luna octombrie 2023 Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a acordat 5 amenzi în valoare totală de 6.500 de EUR pentru nerespectarea Regulamentului GDPR. În Europa, cea mai mare amendă a fost acordată în Croația. Îți prezentăm în continuare toate detaliile despre amenzile GDPR!

Amenzi ANSPDCP în octombrie 2023 – total de 6.500 EUR

1.Asociație de proprietari din Hunedoara – amendată cu 500 de EUR pentru dezvăluirea ilegală a numelui și prenumelui proprietarilor din listele de întreținere

ANSPDCP a realizat o investigație la Asociația de Proprietari bloc A1 din str. Mureșului, nr. 2A, municipiul Hunedoara, județul Hunedoara ca urmare a unei plângeri referitoare la o posibilă încălcare a prevederilor legale privitoare la prelucrarea datelor. După efectuarea investigației, operatorul a fost sancționat cu amendă în cuantum de de 2.487,25 lei (aproximativ 500 de EUR) deoarece nu a respectat măsurile dispuse anterior de ANSPDCP și a dezvăluit, în mod ilegal, numele și prenumele proprietarilor prin afișarea acestora la listele de întreținere, fără ca persoanele vizate să-și fi exprimat consimțământul pentru această prelucrare și fără existența unei alte situații în care consimțământul nu este necesar.

2.SC Spark Car Sharing SRL a fost amendat cu 4,975.20 lei (echivalentul a 1.000 EURO) și avertisment pentru încălcarea principiilor de prelucrare a datelor personale.

Investigația a fost realizată ca urmare a unei plângeri transmise de o persoană vizată prin care s-a reclamat o posibilă încălcare a dispozițiilor Regulamentului GDPR de către operatorul SC Spark Car Sharing SRL, o companie de închirieri vehicule în regim de car-sharing.

În cadrul investigației efectuate, a rezultat că operatorul a prelucrat adresa de e-mail a clientului în scop de marketing direct fără a avea consimțământul persoanei vizate sau alt temei legal. Deși persoana fizică vizată a solicitat ștergerea tuturor datelor sale din aplicație și operatorul a informat clientul că îi va șterge datele, SC Spark Car Sharing SRL a continuat să transmită o serie de mesaje de marketing direct pe adresa de e-mail respectivă.

3. Mensajero SRL a fost sancționat cu amendă de 3.000 EURO pentru divulgarea neautorizată a datelor cu caracter personal ale clienților săi.

În cadrul investigației efectuate la operatorul Mensajero SRL, ANSPDCP a constatat încălcarea securității prelucrării datelor cu caracter personal ale clienților săi. Acest lucru s-a produs prin accesarea unui link ce afișa o listă cu numeroase fișiere descărcabile care conțineau facturi și certificate de garanție ale produselor achiziționate de clienții operatorului. Această situație a condus la divulgarea neautorizată a datelor cu caracter personal ale clienților operatorului (persoane fizice și juridice), precum: nume, prenume, adresă, adresă de e-mail, nr. și dată factură, produse achiziționate și valoarea acestora. Pentru această încălcarea a Regulamentului GDPR, operatorul a fost sancționat cu amendă în cuantum de 14.925,6 lei, echivalentul a 3.000 EURO.

4. Dante Internațional SA – amendă de 1.000 de EUR pentru prelucrarea datelor personale în scop de marketing direct fără consimțământul persoanei vizate.

Sancțiunea a fost aplicată ca urmare a unei plângeri prin care se reclama faptul că Dante Internațional SA, deținătoare a www.fashiondays.ro, a prelucrat numărul de telefon al petentului în scop de marketing direct fără consimțământul său, comunicându-i acestuia mesaje comerciale de tip SMS.

În cadrul investigației efectuate, operatorul nu a făcut dovada existenței consimțământului petentului sau a unui alt temei legal pentru prelucrarea datelor cu caracter personal ale acestuia în scop de marketing direct, respectiv transmiterea unor mesaje comerciale de tip SMS prin care era informat cu privire la anumite oferte ale operatorului, încălcându-se astfel prevederile art. 6 din RGPD.

5. Cez Vânzare S.A a fost amendat cu 1.000 de EUR pentru divulgarea neautorizată a datelor cu caracter personal ale unor persoane fizice și juridice.

În urma investigației finalizată cu amendă, ANSPDCP a constat că operatorul a transmis clienților beneficiari ai serviciului de furnizare gaze naturale, prin intermediul adresei de e-mail, preavize de deconectare, întrucât aceștia nu au permis accesul personalului operatorului de distribuție gaze pentru citirea sau înlocuirea echipamentelor de măsurare de la locul de consum. În timpul transmiterii mesajului prin poșta electronică au fost transcrise eronat unele adrese ale destinatarilor, astfel că avizele de deconectare au fost comunicate altor clienți decât titularilor locului de consum.

Prin incidentul produs au fost dezvăluite numele și prenumele, adresa de corespondență, adresa locului de consum, codul de client, codul locului de consum, ceea ce a condus la încălcarea securității datelor (prin divulgarea neautorizată sau accesul neautorizat) atât ale unor persoane fizice, cât și ale unor persoane juridice.

Sancțiuni GDPR Europa: cea mai mare amendă a fost de 5.47 milioane EUR

Cea mai mare amendă acordată în Europa în octombrie 2023 a fost de 5.47 milioane de EURO. Sancțiunea a fost înregistrată în Croația de către o companie de colectare a debitelor, EOS Matrix d.o.o. Ca urmare a investigației efectuate de Autoritatea locală de supraveghere a datelor cu caracter personal la compania EOS Matrix d.o.o, s-au constatat următoarele încălcări ale Regulamentului GDPR:

• Operatorul a prelucrat datele (număr de telefon, nume, prenume și adresa de domiciliu) ale persoanelor care nu erau debitoare și nici reprezentanți legali ai moștenitorilor în relațiile debitor-creditor în baza de date.
• Operatorul a prelucrat date cu caracter personal dintr-o categorie specială (date de sănătate) a persoanei vizate în baza sa de date fără un temei juridic.
• Operatorul de date nu a informat persoana vizată într-o manieră transparentă și prescrisă cu privire la prelucrarea datelor sale de sănătate. Operatorul a înregistrat în mod activ comentarii referitoare la starea de sănătate a debitorului în baza de date internă, expunând detaliile diagnosticelor individuale celor care erau autorizați să acceseze baza de date a EOS Matrix d.o.o.
• Operatorul de date a înregistrat convorbirile telefonice cu persoanele vizate în perioada 25 mai 2018 – 16 ianuarie 2019, fără un temei juridic și nu a informat persoanele vizate într-un mod clar și înțeles despre înregistrarea convorbirilor telefonice

Alte amenzi importante acordate în Europa:

În Franța a fost acordată o amendă de 600.000 de EUR companiei Groupe Canal +, editor de canale și distribuitor de oferte de televiziune cu plată.

Sancțiunea a fost acordată pentru:

• Nerespectarea obligației de a obține consimțământul persoanelor fizice pentru a primi prospectări comerciale pe cale electronică
• Nerespectarea obligației de a furniza diverse informații GDPR
• Încălcarea exercitării drepturilor persoanelor vizate (încălcarea dreptului de acces, netrimiterea unui răspuns la reclamații în termenul de o lună prevăzut de regulament)
• Încălcarea obligației de a asigura securitatea datelor cu caracter personal (stocarea parolelor angajaților companiei nu era suficient de sigură)

În Suedia, au fost acordate 2 amenzi GDPR:

• Operatorul H&M a fost amendat cu 30.000 de EUR pentru prelucrarea datelor cu caracter personal în scop de marketing direct fără consimțământ. O altă amendă importantă a fost acordată unei școli din Stockholm (70.000 de EUR).

Spania a avut un număr de 10 amenzi în valoare totală de 28.440 de EUR.

Sursa articol: ANSPDCP, Enforcementtracker.com