Amenzi GDPR acordate în luna mai 2023 – în România și Europa

Așa cum v-am obișnuit în fiecare lună, vă prezentăm cele mai recente amenzi acordate de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) în luna mai 2023 în România. Află care sunt și sancțiunile aplicate în Europa de autoritățile locale reglementate! 

Amenzi GDPR acordate în România – mai 2023

În luna mai 2023, ANSPDCP a aplicat 6 amenzi în valoare totală de 37.500 Euro pentru nerespectarea Regulamentului General privind Protecția Datelor cu caracter personal.

1.Libra Internet Bank SA a primit o amendă de 11.000 Euro pentru nerespectarea dreptului de acces al persoanei vizate la propriile date cu caracter personal. Investigația a fost demarată ca urmare a unei plângeri prin care s-a reclamat refuzul operatorului de a da curs integral cererii de exercitare a dreptului de acces a persoanei vizate, precum și omisiunea de a fi furnizate anumite informații acesteia. În cadrul investigației, operatorul de date nu a prezentat dovezi din care să rezulte că a transmis un răspuns complet la cererea persoanei vizate. Răspunsul trimis persoanei viate prin e-mail nu conținea informații cu privire la posibilitatea de a depune o plângere în faţa unei autorităţi de supraveghere şi de a introduce o cale de atac judiciară pentru refuzul de a-i comunica o copie a înregistrării video solicitate. În plus, Libra Internet Bank SA nu a prezentat dovezi din care să rezulte că a adoptat măsuri prin care să faciliteze exercitarea dreptului de acces al persoanelor vizate la copiile înregistrărilor video ce le privesc, prelucrate de către operator, aspect care a afectat inclusiv modul de soluționare a cererii petentului Autorității.

2. NN Pensii Societate de Administrare a unui Fond de Pensii Administrat Privat S.A. și NN Asigurări de Viață S.A. au fost sancționați contravențional cu amenzi de 1.500 Euro, respectiv 1.000 Euro, întrucât nu au implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării. Mai exact, acești operatori au efectuat o serie de modificări la configurația echipamentului care asigură stocarea temporară a paginilor web ale aplicației NN Direct, care au determinat vizualizarea, pentru o perioadă de timp, de către unii utilizatori ai aplicației operatorului, a datelor personale care nu le aparțineau. În cadrul investigației, s-a constatat faptul că, anterior punerii la dispoziția publicului a aplicației NN Direct, modificările de configurație specifice echipamentului care asigură memoria temporară a paginilor web ale acesteia nu au fost supuse unui proces de testare la nivelul operatorului.

3. Compania Națională Poșta Română S.A. a fost amendată cu 5.000 Euro, deoarece a prelucrat date cu caracter personal ale propriilor angajați fără a avea un temei legal. Mai exact, operatorul a completat parțial Formularul 230 cu date ale angajaţilor în vederea redirecționării procentului de 3,5% din impozitul anual pe venit al acestora către o fundație aparținând aceluiași operator, fără consimțământul salariaților.

4. Societatea Automobile Bavaria SRL a fost sancționată cu amendă de 18.000 Euro întrucât nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării. Investigația a fost demarată ca urmare a transmiterii de către operator a unei notificări de încălcare a securității datelor cu caracter personal. Încălcarea securității datelor s-a produs ca urmare a divulgării neautorizate a datelor cu caracter personal (nume, prenume, oraș, adresa de email, număr de telefon, model autoturism curent, an fabricație autoturism curent, opțiune buy-back, termen și modalitate achiziție, buget aproximativ disponibil, opțiuni consimțământ marketing) pentru un număr de 290 clienți/potențiali clienți ai operatorului, în perioada iulie 2022 – 04.08.2022, aceste date fiind accesibile public pe pagina web a operatorului.

5. Compania Global Baby Brands SRL a fost sancționată contravențional cu amendă de 1.000 Euro întrucât a prelucrat date cu caracter personal fără a avea un temei legal și nu a respectat dreptul de opoziție a persoanei vizate. Investigația a fost demarată ca urmare a unei plângeri prin care s-a reclamat faptul că operatorul a transmis petentului mai multe mesaje comerciale tip SMS, fără consimțământul acestuia.

Amenzi acordate în Europa în mai 2023 pentru nerespectarea Regulamentului GDPR

În luna mai 2023, în Europa au fost acordate 21 de amenzi, în valoare totală de 1.207.734.860 Euro.

Cea mai mare amendă a fost în valoare de 1.200.000.000 de Euro și a fost acordată în Irlanda operatorului de date Meta Platforms Ireland Limited pentru transferarea de date cu caracter personal fără a avea un temei juridic solid.

Conform datelor oficiale prezentate de autoritățile europene de supraveghere, Meta Ireland a continuat să transfere date personale din UE/SEE în SUA după pronunțarea hotărârii Curții de Justiție Europene – Data Protection Commissioner împotriva Facebook Ireland și Maximillian Schrems, prin care se decidea că transferul de date de către Facebook Ireland către entitatea centrală din SUA constituie un risc asupra drepturilor individuale și ar trebui suspendat.

Pe locul 2 în topul amenzilor acordate în mai 2023 se află Spania cu o sancțiune de 5.200.000 Euro acordată companiei Clearview AI pentru lipsa cooperării cu autoritățile de supraveghere.

CLEARVIEW AI colectează fotografii de pe o gamă largă de site-uri web, inclusiv rețele sociale, și vinde acces la baza sa de date cu imagini ale oamenilor printr-un motor de căutare în care o persoană poate fi căutată folosind o fotografie. Tehnologia de recunoaștere facială este utilizată pentru a interoga motorul de căutare și a găsi o persoană pe baza fotografiei sale.

Într-o decizie din 17 octombrie 2022, autoritatea de supraveghere și aplicare de amenzi GDPR din Franța (CNIL) a aplicat o amendă de 20 de milioane de Euro companiei pentru colectarea și prelucrarea de date privind persoanele fizice aflate în Franța fără niciun temei legal. Compania trebuia să șteargă datele acestor persoane, după ce a răspuns solicitărilor de acces pe care le-a primit. CNIL a mai decis că, dacă societatea nu respectă ordinul în termen de două luni, trebuie să plătească o penalitate de 100.000 de euro pe zi restante.

CLEARVIEW AI nu a trimis nicio dovadă de conformitate în acest termen. Prin urmare, la 13 aprilie 2023, CNIL a considerat că ordinul nu a fost respectat și, în consecință, a impus o penalizare restante de 5.200.000 de euro companiei Clearview AI.

Croația se află și ea în top 3, cu o amendă de 2.265.000 Euro acordată unei companii de colectare debite. Sancțiunea a fost acordată pentru lipsa unor măsuri tehnice și organizatorice pentru asigurarea securității informațiilor cu privire la datele cu caracter personal. Mai exact, operatorul de date nu și-a informat persoanele vizate, într-un mod corect și clar, cu privire la prelucrarea datelor lor personale prin politica de confidențialitate.

Spania, România și Cipru completează lista țărilor cu amenzi GDPR primite în mai 2023 cu 223.360 Euro, respectiv 37.500 Euro și 9.000 Euro.

Statistici amenzi GDPR în Europa

Până în prezent, în topul țărilor cu cele mai multe amenzi GDPR acordate, pe locul 1 se află Spania cu 651 de amenzi în valoare totală de 59.575.030 Euro, urmată de Italia cu 265 de amenzi în valoare totală de 123.369.596 Euro și Germania cu 148 amenzi în valoare de 54.810. 633 Euro. România se află pe locul 4 cu 144 de amenzi în cuantum de 786.750 Euro.

Iată cum arată top 10:

În ceea ce privește topul țărilor în funcție de sumă, pe locul 1 se află Irlanda cu amenzi în valoare de 2.510.340.900 Euro, pe locul 2- Luxemburg cu 746.311.500 Euro și Franța cu 298.744.300 Euro.

Iată cum arată top 10:

Sursa: enforcementtracker.com, dataprotection.ro