Amendă de 110.000 EUR pentru încălcarea securității datelor cu caracter personal
Gestionarea și protecția datelor personale ar trebui să fie o preocupare majoră în orice organizație. Din momentul în care datele personale au fost colectate, există riscul ca acestea să fie utilizate în mod incorect sau neautorizat. Regulamentul european GDPR impune limite și reguli privind modul în care datele pot fi colectate, stocate, utilizate și partajate, reducând astfel riscul de abuz sau utilizare inadecvată. Nerespectarea cerințelor GDPR poate duce la sancțiuni semnificative din partea autorităților de supraveghere și consecințe legale grave pentru organizațiile neconforme. Îți prezentăm în continuare ce amenzi GDPR au fost acordate în luna noiembrie 2023 de ANSPDCP, cazurile respective putând servi ca lecții pentru modul de abordare a securității datelor.
Amenzi GDPR România: cea mai mare sancțiune în noiembrie 2023 a fost de 110.000 EUR
1. S.C. Sweat Concept One SA a fost sancționată contravențional cu amendă de 10.000 Ron (aprox. 2.000 Eur) pentru folosirea fișierelor de tip cookies fără consimțământ.
Investigația s-a desfășurat ca urmare a unor plângeri prin care se reclama faptul că operatorul SC Sweat Concept One SA nu a răspuns petentei la cererea sa prin care și-a exercitat dreptul la ștergerea datelor. În cadrul verificărilor efectuate, ANSPDCP a constatat faptul că SC Sweat Concept One SA permitea stocarea de informații și obținerea accesului la informațiile stocate pe echipamentele utilizatorilor prin folosirea fișierelor de tip cookies disponibile pe site-ul operatorului, fără obținerea prealabilă a consimțământului expres.
În plus, s-a constatat că operatorul a prelucrat adresa de e-mail a petentei în scop de marketing direct fără a avea consimțământul acesteia sau un alt temei legal. Nu în ultimul rând, investigația a scos la iveală faptul că SC Sweat Concept One SA nu a comunicat petentei un răspuns la cererea prin care aceasta și-a exercitat dreptul la ștergerea datelor.
2. Libra Internet Bank SA a primit o amendă de 7.454,25 lei (1.500 Euro) pentru răspunsul inadecvat la cererea unui petent de acces la datele personale și nerespectarea unor măsuri corective anterioare.
În răspunsul trimis petentului, operatorul nu a comunicat în mod corespunzător și în termenul stabilit, toate informațiile legate de categoriile de date personale prelucrate în legătură cu petentul, scopurile prelucrării, destinatarii sau categoriile de destinatari. De asemenea, operatorul nu a prezentat dovezi privind comunicarea răspunsului de completare a informațiilor, așa cum a fost stabilită măsura corectivă.
3. Rompetrol Downstream SRL a fost sancționat contravențional cu amendă în cuantum de 546.073,00 lei (echivalentul a 110 000 Euro) pentru încălcarea securității datelor cu caracter personal.
În cadrul investigației a rezultat că s-a accesat de la nivel intern și s-au utilizat în mod neautorizat, în repetate rânduri, datele unor clienți din programul informatic deținut de companie și s-au divulgat în mod ilegal, datele personale ale unor clienți în scopul obținerii unor credite de la societăți financiare nebancare în numele acestora. Au fost divulgate neautorizat:
- date din cartea de identitate, precum: numele, prenumele, seria și numărul cărții de identitate, codul numeric personal, adresa, locul nașterii, poza
- date din adeverința de salariu, precum: numele și prenumele angajatului, data, semnătura, veniturile realizate, vechimea în muncă.
ANSPDCP a constatat că operatorul nu a luat măsuri pentru a asigura că orice persoană fizică care acționează sub autoritatea sa și are acces la datele cu caracter personal nu le prelucrează decât la cererea sa. În plus, Rompetrol nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării.
4. OTP BANK ROMANIA SA a primit o amendă în valoare de 14.889,3 lei (echivalentul a 3.000 Euro) pentru lipsa măsurilor de securitate pentru protecția datelor personale.
În cadrul investigației efectuate pe baza unei plângeri, s-a constatat faptul că operatorul nu a adoptat suficiente măsuri de securitate pentru protecția datelor. Acest fapt a condus la producerea unui incident de securitate, mai exact transmiterea pe e-mail a datelor personale ale petentei către o altă persoană.
Totodată, s-a constatat că OTP Bank România SA nu a notificat la ANSPDCP incidentul de securitate ce a afectat datele personale petentei.
Sancțiuni GDPR Europa în valoare totală de 751.840 Eur
În luna noiembrie 2023 au fost acordate în total 27 de amenzi GDPR în valoare totală de 751.840 Euro. Iată care sunt țările în care s-au primit sancțiunile:
- Spania – 21 de amenzi în valoarea totală de 562.340 Euro. Cea mai mare amendă a fost acordată operatorului de telefonie mobilă DIGI Spain Telecom (200.000 Eur) pentru furnizarea unui duplicat al cartelei SIM către un terț fără acordul acestuia și fără a fi adoptat măsuri de diligență la verificarea identității solicitantului.
- România – 4 amenzi în valoare totală de 116.500 Eur.
- Suedia – 1 amendă în cuantum de 43.000 Eur. Amenda a fost acordată unei societăți de fonduri (Indcap AB) deoarece aceasta a trimis accidental un e-mail unui număr mare de clienți care conținea un fișier cu informații despre finanțele a mii de alți clienți. Fișierul atașat incorect care a fost trimis prin e-mail clienților companiei conținea, printre altele, informații despre numele clientului, numărul de securitate socială, bancă, adresa de e-mail, selecția individuală a fondurilor și cea mai recentă valoare citită a deținerilor clientului în aceste fonduri.
- Olanda – 1 amendă de 30.000 Eur. Amenda a fost acordată consiliului municipalității Voorschoten deoarece a prelucrat ilegal date cu caracter personal ale locuitorilor orașului fără un temei legal. Concret, în contextul implementării politicii de colectare a deșeurilor în municipiu, primăria a păstrat fără consimțământul locuitorilor datele personale ale acestora o perioadă de timp mai mare decât termenul stabilit îndeplinirii sarcinilor de interes general.
Sursa: ANSPDCP
Citește și: Responsabilitățile companiilor de asset management în ceea ce privește GDPR