laptop care are pe ecran protectie parola
GDPR

Amenzi ANSPDCP în decembrie 2024 – valoare totală de 22.000 EUR

Luna decembrie 2024 nu a fost lipsită de sancțiuni impuse companiilor care nu au respectat prevederile Regulamentului General privind Protecția Datelor (GDPR). Autoritatea de supraveghere din România, dar și din Uniunea Europeană au continuat să monitorizeze cu strictețe conformitatea cu reglementările, aplicând amenzi pentru încălcări care au pus în pericol securitatea și confidențialitatea datelor personale. În acest articol, vom detalia cele mai importante amenzi din această lună și motivele care au stat la baza sancțiunilor.

Amenzi ANSPDCP în România

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a aplicat șase sancțiuni pentru încălcări ale legislației GDPR, semn că protecția datelor continuă să fie o prioritate pe agenda autorităților de supraveghere. În luna decembrie, accentul s-a pus pe respectarea drepturilor persoanelor vizate, utilizarea nejustificată a sistemelor de supraveghere și implementarea măsurilor tehnice și organizatorice pentru protejarea datelor. 

Synobis Medical SRL – amendă 2.000 EUR pentru utilizarea cookie-urilor fără consimțământ 

Operatorul a fost sancționat deoarece site-ul său nu oferea posibilitatea accesării fără a accepta colectarea de informații prin tehnologiile cookies și nici nu asigura informarea persoanelor vizate, conform prevederilor legale în domeniu. Concret, în cadrul investigației s-a constatat că SYNOBIS MEDICAL S.R.L.:

  • permitea stocarea de informații și obținerea accesului la informațiile stocate pe echipamentele utilizatorilor prin folosirea fișierelor de tip cookies disponibile pe site-ul său, fără respectarea condițiilor legale privind obținerea prealabilă a consimțământului expres și fără informarea utilizatorilor, așa cum prevede art. 4 alin. (5) din Legea nr. 506/2004, cu modificările și completările ulterioare;
  • nu asigura o informare completă a persoanelor vizate ale căror date personale le colectează și prelucrează prin intermediul site-ului său, potrivit art. 12-14 din Regulamentul (UE) 2016/679.

Compania de Transport Public Cluj-Napoca SA- amendată cu 4.000 EUR pentru utilizarea nejustificată a sistemelor de supraveghere

Sistemele de supraveghere audio-video instalate în cabinele de conducere au fost utilizate nejustificat, afectând drepturile angajaților și ale călătorilor. Compania trebuie să reevalueze proporționalitatea și legalitatea acestor sisteme.

Unicredit Consumer Financing IFN SA -amendă 5.000 EUR pentru utilizarea de date personale nejustificativ

Operatorul a fost sancționat pentru utilizarea datelor personale ale foștilor angajați în documente contractuale fără temei legal.

Investigația a fost demarată ca urmare a transmiterii de către operator a unei notificări de încălcare a securității datelor cu caracter personal. Concret, s-a raportat faptul că date cu caracter personal precum: nume, prenume, funcție, semnătură aparținând unor persoane vizate (foști angajați), au fost prelucrate prin includerea acestora în anumite documente contractuale și utilizate în relația cu clienții și colaboratorii operatorului, deși contractele individuale de muncă ale acestora erau încetate.

În cadrul investigației, s-a constatat că operatorul a prelucrat datele ca urmare a unor erori operaționale. De asemenea, s-a constatat că operatorul nu a monitorizat în mod responsabil aplicarea procedurilor ce asigură confidențialitatea și securitatea datelor cu caracter personal, ceea ce a condus la utilizarea unor versiuni de documente cu semnatari neactualizați.

ANSPDCP a impus, pe lângă amendă și aplicarea unor măsuri corective pentru monitorizarea strictă a aplicării procedurilor interne.

Electrica Furnizare SA – sancțiune de 3.000 EUR pentru divulgarea neautorizată a datelor unui client către o terță persoană

Investigația a fost demarată ca urmare a unor sesizări transmise de o persoană fizică care a reclamat faptul că a primit de la Electrica Furnizare SA informații care conțineau date personale ale unei persoane abonate la societate, iar acele informații nu îi erau destinate.

În cadrul investigației, Autoritatea Națională de Supraveghere a constatat faptul că operatorul, în cadrul activității desfășurate pentru gestionarea tichetelor clienților săi, a înregistrat o solicitare de restituire a unei sume din partea unui client. Solicitarea respectivă avea anexate documente ale unui titular de contract care conțineau date personale din actul de identitate, contul bancar, adresa persoanei vizate și certificatele de stare civilă ale titularului de contract.

Adresa de e-mail a fost asociată cu cea a unei terțe persoane, astfel că informațiile referitoare la datele personale ale unui titular de contract au fost transmise către un alt client.

Această situație a condus la divulgarea neautorizată a datelor cu caracter personal (numele, prenumele, adresa, numărul de telefon, adresa de email, seria și nr. cărții de identitate, codul numeric personal, starea civilă), ca urmare a transmiterii prin e-mail de către operator către o terță persoană a unor documente aparținând unui alt client.

Pansiprod Distribuție SRL – amendă de 1.000 EUR pentru nerespectarea obligației de a răsunde unei cereri de acces

Pe data de 19. 02. 2024, Autoritatea Națională de Supraveghere a sancționat operatorul pentru că nu a răspuns solicitării unei persoane vizate privind dreptul de acces la datele personale. Ulterior investigației, persoana vizată a revenit cu o plângere prin care reclama operatorul pentru modalitatea în care acesta i-a răspuns la cererea sa de acces la date, iar în cadrul unei noi investigații la Pansiprod Distribuție SRL, Autoritatea de Supraveghere a constatat că operatorul nu a dat curs integral măsurii corective din procesul-verbal. Astfel, Pansiprod a fost sancționat cu o nouă amendă.

English Home SRL – amendă 5.000 EUR pentru timiterea de mesaje comerciale nesolicitate

Investigația a demarat ca urmare a unei plângeri transmise de o persoană vizată care a semnalat faptul că primea pe numărul de telefon mesaje comerciale nesolicitate din partea operatorului. Deși persoana fizică a solicitat dezabonarea, în scris, prin e-mail și prin accesarea unui link pus la dispoziția persoanelor vizate, operatorul a continuat să transmită acesteia noi mesaje comerciale.

În cadrul investigației, s-a constatat că operatorul nu a dat curs cererii petentului de exercitare a dreptului la opoziție cu privire la prelucrarea adresei de e-mail și a numărului de telefon în scop de marketing direct. Totodată, a rezultat că operatorul nu a răspuns solicitării petiționarului în termenele legale.

Fan Courier Express S.R.L – amendă de 2.000 EUR pentru nerespectarea dreptului de acces

Investigația a fost demarată ca urmare a unei plângeri transmise de un angajat care a semnalat o posibilă încălcare a Regulamentului (UE) 2016/679, ca urmare a lipsei unui răspuns adecvat și complet din partea operatorului la cererea prin care și-a exercitat dreptul de acces.  

În cadrul investigației efectuate, s-a constatat că operatorul Fan Courier Express S.R.L. a omis să comunice persoanei vizate o copie a datelor sale cu caracter personal, așa cum acesta a solicitat în mod corect prin cererea transmisă electronic la adresa operatorului. Operatorul a tergiversat soluționarea cererii persoanei vizate prin direcționarea către alt departament intern, solicitându-i să depună o nouă cerere la un alt sediu al operatorului. De asemenea, s-a constatat că în sistemul de evidență al operatorului exista adresa de e-mail asociată persoanei vizate pentru comunicări.

Amendă GDPR în Europa: platforma Meta Irlanda – 251 mil EURO

Comisia irlandeză pentru protecția datelor (DPC) a anunțat pe 17 decembrie 2024 deciziile finale în urma a două anchete în Meta Platforms Ireland Limited („MPIL”). Aceste anchete au fost lansate de către DPC în urma unei încălcări a datelor cu caracter personal, care a fost raportată de MPIL în septembrie 2018.

Încălcarea datelor a afectat aproximativ 29 de milioane de conturi Facebook la nivel global, dintre care aproximativ 3 milioane au avut sediul în UE/SEE. Categoriile de date cu caracter personal afectate au inclus:

  • numele complet al utilizatorului;
  • adresa de e-mail;
  • număr de telefon;
  • locaţie;
  • locul de munca;
  • data nașterii;
  • religie;
  • gen;
  • postări pe cronologie;
  • grupurile din care un utilizator a fost membru;
  • datele personale ale copiilor.

Încălcarea a apărut în urma exploatării de către terți neautorizați a token-urilor de utilizator pe platforma Facebook. Încălcarea a fost remediată de MPIL și de compania mamă din SUA la scurt timp după descoperirea sa.

Surse articol: dataprotection.ro, dataprotection.ie

Sursa foto: 123rf.com

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *