Amenzi GDPR pentru netransmiterea în termenul legal a răspunsului la solicitarea persoanei vizate
Regulamentul General privind Protecția Datelor (GDPR), adoptat de Uniunea Europeană în 2016 și intrat în vigoare în 2018, stabilește standarde stricte pentru gestionarea datelor personale și impune sancțiuni severe în caz de neconformitate. Amenzile GDPR nu doar că au rolul de a penaliza organizațiile care încalcă normele, dar și de a descuraja practicile neetice sau neglijente în manipularea informațiilor sensibile. În acest articol vă prezentăm amenzile GDPR aplicate în luna septembrie, atât în România, cât și Europa!
Amenzi GDPR în România în valoare de 10.000 Euro
În luna septembrie 2024, ANSPDCP a aplicat 5 amenzi pentru nerespectarea reglementărilor Regulamentului GDPR.
3 sancțiuni pentru netransmiterea în termenul legal a unui răspuns la solicitarea persoanei vizate
Trei operatori au fost sancționați în septembrie deoarece nu au răspuns în termenul legal la solicitarea unor petenți privind ștergerea datelor cu caracter personal. Operatorii amendați au fost:
1. PPC ENERGIE MUNTENIA S.A. – amendă de 2.000 Euro. Investigația a fost demarată ca urmare a unei plângeri prin care petentul a comunicat autorității de supraveghere faptul că PPC ENERGIE MUNTENIA S.A (fostă ENEL ENERGIE MUNTENIA S.A.) nu i-a comunicat un răspuns la solicitarea prin care și-a exercitat dreptul de ștergere a datelor cu caracter personal.
În cadrul investigației s-a constatat faptul că operatorul nu a prezentat dovezi cu privire la transmiterea unui răspuns la cererea petentului în termenul de cel mult o lună sau maximum 3 luni de la primirea solicitării, răspunsul fiind comunicat după expirarea termenului legal menționat mai sus.
Prin urmare, ANSPDCP a sancționat contravențional operatorul cu amendă în cuantum de 9.947,6 lei (echivalentul a 2.000 EURO).
2. Vodafone România SA – sancționat cu 3.000 Euro. Sancțiunea a fost aplicată ca urmare a unei plângeri prin care se reclama faptul că operatorul nu a răspuns solicitării prin care petentul își exercita drepturile de acces și ștergere prevăzute de RGPD. În cursul desfășurării investigației, Autoritatea Națională de Supraveghere a constatat că Vodafone România SA nu a făcut dovada că a transmis un răspuns petentului la cererea sa de exercitare a drepturilor de acces și ștergere în termen de 30 de zile, răspunsul fiindu-i comunicat de operator după efectuarea demersurilor de către instituția noastră.
Pe lângă sancțiunea de 14.930 lei (echivalentul a 3 000 de EURO), operatorului Vodafone România SA i s-a aplicat și măsura corectivă de a adopta o procedură internă privind modul de soluționare a cererilor depuse de persoanele vizate în temeiul RGPD, precum și de a instrui regulat personalul.
3. SC Class IT Outsourcing SRL – sancțiune de 1.000 Euro. Investigația a fost demarată ca urmare a unei plângeri prin care se reclama faptul că operatorul nu a răspuns solicitării de exercitare a dreptului de ștergere. În cadrul investigației, operatorul nu a făcut dovada că a transmis un răspuns petentului la cererea sa de exercitare a dreptului de ștergere în termen de 30 de zile, răspunsul fiindu-i transmis după efectuarea demersurilor de către autoritatea de supraveghere. Prin urmare, SC Class IT Outsourcing SRL a fost sancționat cu amendă de 4.976,7 lei (echivalentul a 1 000 de EURO).
Constanța South Container Terminal SRL – sancțiune de 3.000 Euro
Investigația a fost demarată ca urmare a unei notificări de încălcare a securității datelor. Aceasta se referea la accesarea neautorizată a unui terț la datele personale (respectiv la numele complet, data nașterii, adresele, numerele de telefon de domiciliu și e-mailuri personale) ale angajaților operatorului din România. Aceste date se aflau pe o platformă de administrare de fișiere utilizată de operator și care era publică pe internet, fără a avea implementate măsuri de securitate adecvate.
Ca urmare a investigației operatorul a fost sancționat contravențional cu amendă în cuantum de 14.929,50 lei (echivalentul a 3.000 EURO). De asemenea, i s-a aplicat și măsura corectivă de a revizui și actualiza măsurile tehnice și organizatorice implementate care privesc securitatea datelor cu caracter personal prelucrate prin intermediul infrastructurii IT utilizate, în special cele care privesc conectarea din exteriorul rețelei la serverele de date.
Fundația Pro Economica Alapítvány – amendă de 1.000 Euro
Investigația a fost demarată ca urmare a transmiterii de către operator a notificării de încălcare a securității datelor, care s-a produs ca urmare a unui atac informatic. În cadrul acestui atac, s-au șters date personale de pe server-ul propriu deținut de Fundație, astfel că a fost afectată disponibilitatea datelor stocate.
Din verificările efectuate, a rezultat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării. Aceste măsuri includ capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare. Lipsa acestor măsuri a condus la ștergerea datelor existente pe serverul propriu și indisponibilizarea acestora pe o anumită perioadă de timp.
În consecință, această încălcare a condus la accesul neautorizat la datele cu caracter personal ale unor persoane vizate. Datele se referă la: nume, prenume, CNP, adresa, e-mail, nr. telefon, funcția, salariul, indemnizația, valoarea finanțării nerambursabile de care a beneficiat, bunurile achiziționate din finanțarea nerambursabilă și semnătura reprezentantului legal.
Ca atare, Fundația Pro Economica Alapítvány a fost sancționată contravențional cu amendă în cuantum de 4.976,70 lei (echivalentul a 1000 EURO).
Amenzi GDPR în Europa în valoare de 40.700 Euro
În luna septembrie 2024, în Europa au fost acordate două amenzi, în Norvegia și Polonia, astfel:
- Autoritatea norvegiană pentru protecția datelor a aplicat în septembrie 2024 o amendă în valoare de 20.900 Euro. Sancțiunea a fost dată Municipalității orașului Eidskog pentru încălcarea dreptului comunitar. Municipalitate a oferit informații confidențiale despre o persoană vizată în evidența poștală publică de-a lungul mai multor ani. Informațiile dezvăluite erau inclusiv despre sănătatea fizică și psihică a persoanei, precum și despre condițiile financiare.
- Autoritatea de protecția datelor din Polonia a impus o amendă Parchetului Național pentru divulgarea datelor unei persoane vătămate într-o infracțiune. Amenda a fost în valoare de 19.800 Euro.
Citește și: Considerente GDPR cu privire la includerea CNP-ului în facturi
Sursa articol: Dataprotection.ro, Enforcementtracker.com
Sursa foto: Vecteezy.com