Amendă GDPR de 33.000 EUR pentru nereguli legate de securitatea datelor și utilizarea modulelor cookie

Cea mai mare amendă GDPR din luna septembrie 2023 acordată de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a fost în valoare de 33.000 de EUR. Compania sancționată este Restart Energy One S.A, iar motivul amenzii este detectarea unor nereguli legate de securitatea datelor și utilizarea modulelor cookie. Află care au fost celelalte sancțiuni în România, dar și în Europa!

Amenzi GDPR – România, septembrie 2023: valoare totală de 40.000 de EUR

1. ISRA Center Marketing Research SRL a fost amendată cu 9.898 RON (echivalentul a 2.000 de EUR) pentru transmiterea de mesaje nesolicitate, fără a asigura o informare clară despre datele colectate.

Investigația ANSPDCP s-a desfășurat în urma unei plângeri transmise de o persoană fizică care a reclamat faptul că operatorul îi trimite mesaje nesolicitate pe adresa de e-mail. În cursul investigației s-a constatat că ISRA Center Marketing Research SRL a colectat datele personale ale persoanei vizate (numele, prenumele, adresa de e-mail, locul de muncă) în mod indirect, din surse publice, în vederea unei propuneri de participare la o cercetare de piață. Cu toate acestea, operatorul nu a transmis persoanei vizate o informare clară și completă referitor la sursa datelor colectate. De asemenea, ISRA Center Marketing Research SRL nu a luat măsurile necesare pentru a da curs cererii de exercitare a dreptului de a se opune prelucrării datelor, continuând să prelucreze datele petentului prin trimiterea unui nou mesaj.

2. NN Asigurări de Viață S.A. a fost amendat cu 4,946.50 RON (echivalentul a 1.000 de EUR) pentru încălcarea dreptului de opoziție a unei persoane vizate, prin trimiterea acesteia mesaje în scop de marketing, prin mesageria Linkedin. 

Investigația a fost demarată tot ca urmare a unei plângeri. Persoană vizată a reclamat faptul că operatorul NN Asigurări de Viață S.A. nu a luat în considerare cererea sa transmisă prin poștă electronică, prin care și-a exprimat opțiunea de a nu mai fi contactat cu mesaje de tip marketing direct fără consimțământul său.

3. Operatorul UAT Comuna Albeni (operator autoritate din administrația publică locală) a fost sancționat cu amendă de 10.000 RON (echivalentul a 2.000 de EUR) pentru nerespectarea planului de remediere dispus anterior de ANSPDCP și pentru neinformarea cetățenilor despre drepturile lor conform GDPR.

În cadrul unei investigații anterioare efectuată de ANSPDCP, s-a constatat că UAT Comuna Albeni încalcă prevederile legale cu privire la prelucrarea datelor, prin monitorizarea video neautorizată a angajaților și a fost supusă unor măsuri corective. Operatorul sancționat nu a adus la îndeplinire măsurile dispuse anterior de ANSPDCP și nu a răspuns solicitărilor Autorității. De asemenea, operatorul nu a informat persoanele vizate despre drepturile cu caracter personal și nu a adoptat măsuri de securitate și confidențialitate adecvate pentru protecția datelor personale prelucrate prin intermediul sistemului de supraveghere video deținut.

4. O persoană fizică (medic) a fost sancționat cu amendă în cuantum de 9.919,2 RON (echivalentul a 2000 euro) deoarece a filmat și postat neautorizat imagini pe rețelele sociale.

Concret, medicul a postat cu telefonul personal, o pacientă a spitalului în care lucrează, fără consimțământul acesteia și ulterior a postat filmarea respectivă pe pagina sa de Facebook.  Înregistrarea audio-video a condus la dezvăluirea datelor personale ale pacientei, precum imagine, voce, nume, prenume și stare de sănătate. Deși operatorul a șters în cursul aceleiași zile înregistrarea de pe pagina sa de Facebook, postarea a fost vizualizată de un număr foarte mare de persoane și a fost preluată și diseminată pe diverse site-uri de internet și canale mass-media.

5. Restart Energy One S.A a fost sancționat contravențional cu amendă în cuantum de 124.150 RON (echivalentul a 25.000 EURO) pentru nereguli legate de securitatea datelor și utilizarea modulelor cookie și 40.000 lei pentru încălcarea (echivalentul a 8.000 EURO) pentru lipsa măsurilor de securitate a datelor pe site-ul lor.

Investigația a fost demarată ca urmare a unei sesizări cu privire la o potențială încălcare a securității datelor cu caracter personal pe site-ul operatorului. În cadrul investigației efectuate, s-a constatat că un fișier din site-ul operatorului care conținea date cu caracter personal (nume, prenume, adresă, numere de telefon, adrese de email, număr de contract și data încheierii acestuia) pentru un număr de cel puțin 750 persoane vizate, a fost accesibil public, prin accesarea unui link generat de motoarele de căutare, pentru o perioadă de aproximativ 2 ani și jumătate.

De asemenea, s-a constatat și că prin accesarea website-ului administrat de operator se instalau pe dispozitivul utilizatorului module cookie care nu sunt necesare din punct de vedere tehnic, înainte de acordarea consimțământului prin apăsarea butonului de Accept. Mai mult decât atât, exprimarea dezacordului prin accesarea butonului Refuz cu privire la instalarea acestor module cookies nu avea nicio influență asupra acestora, ele rămânând instalate în forma inițială, pentru o anumită perioadă de timp, pe dispozitivul utilizatorului.

Sancțiuni GDPR Europa: TikTok Irlanda-amendă de 345 milioane EUR

Cea mai mare amendă GDPR acordată în Europa în septembrie 2023 a fost în Irlanda. Compania TikTok Limited a fost sancționată cu 345 milioane de EUR pentru încălcarea legilor privind confidențialitatea privind prelucrarea datelor cu caracter personal ale copiilor în Uniunea Europeană.

Platforma din China, care a crescut rapid în rândul adolescenților din întreaga lume în ultimii ani, a încălcat o serie de legi UE privind confidențialitatea între 31 iulie 2020 și 31 decembrie 2020,conform DPC, principalul organism de reglementare din UE privind protecția datelor.

DPC a spus că încălcările TikTok au inclus modul în care în 2020 conturile pentru utilizatorii cu vârsta sub 16 ani au fost setate la „publice” în mod implicit și că TikTok nu a verificat dacă un utilizator era de fapt părintele sau tutorele unui utilizator copil.

TikTok are trei luni pentru a aduce toate procesele sale în conformitate în cazul în care au fost constatate încălcări. De asemenea, compania are o a doua anchetă deschisă cu privire la transferul datelor cu caracter personal către China și dacă respectă legislația UE privind datele atunci când transferă date cu caracter personal în țări din afara blocului.

Citește și: Responsabilitățile companiilor de asset management în ceea ce privește GDPR

Sursa articol: ANSPDCP, Enforcement tracker