Amenzi GDPR aprilie 2023 în România și Europa: TikTok amendată cu 14.5 mil EUR
Regulamentul general privind protecția datelor (GDPR) este o legislație care stabilește regulile de protecție a datelor pentru entitățile care operează în Uniunea Europeană. Regulamentul a intrat în vigoare în 2018, iar pentru nerespectarea normelor sale sunt aplicate sancțiuni. Află care sunt amenzile acordate de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) în luna aprilie 2023 în România, dar și sancțiunile aplicate în Europa de autoritățile locale reglementate!
Amenzi GDPR acordate în România – aprilie 2023
ANSPDCP a aplicat 5 amenzi în valoare totală de 12.000 EUR pentru nerespectarea Regulamentului GDPR. Din cele 5 sancțiuni, 2 sunt acordate aceluiași operator de date.
1. Societatea Regency Company SRL a fost amendată cu 14.764,2 lei, echivalentul a 3.000 Euro. Sancțiunea a fost aplicată deoarece compania a prelucrat date cu caracter personal în mod excesiv, cu nerespectarea principiilor de prelucrare și în lipsa unui temei legal de prelucrare. Mai exact, operatorul își supraveghează angajații și colaboratorii săi audio/video la locul de muncă (birouri și sala de mese) fără acordul lor.
2. Operatorul Tensa Art Design SRL a fost sancționat cu două amenzi în valoare totală de 14.755,5 lei, echivalentul a 3.000 Euro. Amenda a fost aplicată pentru nerespectarea drepturilor persoanelor vizate și folosirea datelor personale pentru marketing direct. Investigația s-a desfășurat ca urmare a plângerilor unor persoane fizice care au primit mesaje comerciale pe telefon și e-mail, deși aceștia și-au exprimat opoziția. Deoarece operatorul nu a respectat opoziția petenților și a folosit datele lor personale pentru marketing direct, compania a fost sancționată. În plus, societatea trebuie să adopte proceduri interne adecvate și eficiente de protecție a datelor cu caracter personal, să soluționeze reclamațiile în temeiul RGPD și să instruiască personalul despre regulile GDPR.
3. Partidul Uniunea Salvați România (USR) a fost sancționat cu amendă în cuantum de 14.776,50 lei, (echivalentul sumei de 3 000 EURO). Investigația a început ca urmare a unor sesizări, redirecționate de instituția Avocatul Poporului, prin care se reclama faptul că pe site-ul partidului au fost postate date cu caracter personal ale unor persoane cu dizabilități. ANSPDCP a constatat faptul că operatorul a preluat date cu caracter personal ale unor persoane vizate (nume, prenume, CNP, adresa, serie și număr act de identitate, număr certificat de expertiză medicală, grad de handicap) din documentele oficiale ale autorităților și instituțiilor publice și le-a publicat pe site-ul partidului, fără să aibă un temei legal pentru acea prelucrare.
4. Banca Transilvania SA a fost sancționată contravențional cu amendă în cuantum de 9.841,80 lei (echivalentul sumei de 2 000 EURO). Amenda a fost aplicată pentru nerespectarea prevederilor GDPR privind furnizarea de informații transparente și accesibile despre destinatarii sau categoriile de destinatari ai datelor cu caracter personal. Investigația a fost demarată ca urmare a unei plângeri transmisă de o persoană fizică, client al băncii amintite. Petentul a solicitat Băncii Transilvania SA eliberarea unui card pe numele unei rude, cu posibilitatea accesării de către aceasta doar a contului în EURO. Cu toate acestea, ruda petentului a putut accesa neautorizat toate conturile titularului prin aplicația de Internet Mobile Banking. Operatorul nu a informat persoana vizată că datele bancare aferente tuturor conturilor sale urmau să fie dezvăluite către ruda sa.
5. Societatea Tensa Art SRL a primit o nouă amendă în valoare de 4.947,9 lei (echivalentul a 1.000 EURO). Amenda a fost aplicată pentru nerespectarea drepturilor persoanelor vizate. ANSPDCP a desfășurat investigația ca urmare a unei sesizări transmise de o persoană vizată. Aceasta a reclamat faptul că a primit de la operatorul de date mesaje comerciale nesolicitate prin SMS, deși aceasta solicitase anterior, prin poșta electronică, dezabonarea de la serviciul de newsletter. În cadrul investigației, operatorul de date nu a prezentat dovezi din care să rezulte că a soluționat cererea persoanei vizate și nici nu i-a comunicat acesteia un răspuns, în termenul legal, referitor la măsurile adoptate în urma exercitării dreptului de opoziție.
Amenzi GDPR acordate în Europa – aprilie 2023
În luna aprilie 2023, în Europa au fost acordate 22 de amenzi, în valoare totală de 15.057.100 Euro.
Cea mai mare amendă acordată în aprilie 2023 a fost în Marea Britanie, în valoare de 14.500.000 Euro. Sancțiunea a fost aplicată operatorului TikTok pentru o serie de încălcări ale legii privind protecția datelor, inclusiv neutilizarea legală a datelor cu caracter personal ale copiilor. Autoritățile britanice estimează că TikTok a permis ca până la 1,4 milioane de copii sub 13 ani din Marea Britanie să folosească platforma în 2020, în ciuda regulilor proprii care nu le permit copiilor de această vârstă să își creeze un cont.
Legea privind protecția datelor din Marea Britanie spune că entitățile care utilizează date cu caracter personal ale copiilor sub 13 ani trebuie să aibă consimțământul părinților sau tutorilor lor. TikTok nu a reușit să facă asta, chiar dacă ar fi trebuit să știe că există copii sub 13 ani care foloseau platforma. De asemenea, TikTok nu a reușit să efectueze verificări adecvate pentru a identifica și elimina copiii minori de pe platforma sa.
În urma investigațiilor desfășurate, autoritățile britanice au considerat TikTok a încălcat Regulamentul GDPR din Regatul Unit între mai 2018 și iulie 2020 prin:
- Furnizarea serviciilor sale copiilor cu vârsta sub 13 ani din Marea Britanie și prelucrarea datelor lor personale fără consimțământul sau autorizația părinților sau tutorilor acestora;
- Eșecul de a furniza informații adecvate persoanelor care folosesc platforma despre modul în care datele lor sunt colectate, utilizate și partajate într-un mod ușor de înțeles. Fără aceste informații, este puțin probabil ca utilizatorii platformei, în special copiii, să poată face alegeri în cunoștință de cauză privind dacă și cum să se implice cu aceasta; și
- Neasigurarea faptului că datele cu caracter personal aparținând utilizatorilor săi din Marea Britanie au fost prelucrate în mod legal, corect și transparent.
Alte amenzi asemănătoare aplicate platformei TikTok
Platforma chineză TikTok a mai primit o amendă GDPR în 2021, de data aceasta de la Autoritatea olandeză pentru protecția datelor (DPA). Compania a primit o sancțiune de 750.000 de Euro pentru încălcarea vieții private a copiilor. Mai exact, DPA a considerat că informațiile furnizate de TikTok utilizatorilor olandezi – dintre care mulți sunt copii mici – la instalarea și utilizarea aplicației erau în limba engleză și, prin urmare, nu erau ușor de înțeles. Prin faptul că nu a pus la dispoziția utilizatorilor declarația de confidențialitate în olandeză, TikTok nu a oferit o explicație adecvată a modului în care aplicația colectează, procesează și utilizează datele personale. Aceasta este o încălcare a legislației privind confidențialitatea, care se bazează pe principiul conform căruia oamenilor trebuie să li se ofere întotdeauna o idee clară despre ceea ce se face cu datele lor personale.
La începutul anului 2023, de data aceasta în Franța, TikTok a primit o amendă de 5 milioane de EUR pentru deficiențe legate de ”cookies”. Mai exact CNIL, organul francez de supraveghere a datelor, a constatat că mecanismul de refuzarea cookie-urilor a fost atât de greu, încât majoritatea utilizatorilor au fost descurajați să facă acest lucru. CNIL a declarat că investigația sa a vizat doar site-ul web tiktok.com și nu aplicațiile pentru smartphone-uri, care sunt mult mai utilizate.
„Existența unui mecanism de refuz mai complex i-a descurajat de fapt pe utilizatori să refuze cookie-urile și i-a încurajat să prefere ușurința butonului „accept all””, au explicat autoritățile în declarație.
De asemenea, autoritățile au constatat că utilizatorii de internet nu au fost suficient de informați despre utilizarea cookie-urilor de către TikTok.
Alte amenzi în Europa – aprilie 2023
Alte amenzi acordate în luna aprilie 2023 în Europa au fost:
- Spania – 15 amenzi, în valoare totală de 515.300 Euro (Cea mai mare amendă a fost acordată băncii BANCO BILBAO VIZCAYA ARGENTARIA, S.A. pentru lipsa unui temei juridic pentru prelucrarea unor date cu caracter personal
- Suedia – 1 amendă, în valoare de 17.600 Euro – acordată Skane region – pentru lipsa unor măsuri tehnice și organizatorice adecvate care să asigure securitatea informațiilor
- Ungaria – 1 amendă, în cuantum de 13.300 Euro – acordată unei companii pentru nerespectarea obligațiilor de informare
Citește și: Reclamație GDPR: Cum depui o plângere dacă ți-au fost încălcate drepturile privind protecția datelor?