
Amenzi GDPR și Ghidul nr. 1/2025 privind pseudonimizarea
La începutul noului an, Autoritatea Națională de Supraveghere și-a menținut activitatea intensă în domeniul protecției datelor, aplicând sancțiuni semnificative. De asemena, în data de 16 ianuarie 2025, s-a desfășurat în format online Plenara Comitetului European pentru Protecția Datelor (EDPB), unde a fost adoptat un document important – Ghidul nr. 1/2025 privind pseudonimizarea. Vă oferim în acest articol mai multe informații despre documentul GDPR și vă prezentăm amenzile din luna ianuarie 2025!
Amenzi GDPR – ianuarie 2025
La începutul noului an, amenzile GDPR au fost semnificative. Iată care au fost acestea:
1. Orange Romania SA – 40.000 EUR. Compania a fost sancționată cu două amenzi totalizând 199.020 lei (40.000 euro) pentru gestionarea inadecvată a cererilor de ștergere a datelor personale și colectarea excesivă a unor documente de identitate. Investigația a evidențiat nerespectarea dreptului la ștergere și stocarea nejustificată de documente, contrar principiilor de legalitate și minimizare a datelor.
2. Softehnica SRL – 5.000 EUR. Operatorul a fost sancționat cu 24.866 lei (5.000 euro) pentru lipsa aplicării de măsuri de securitate și a testărilor periodice. Un atac ransomware a permis acces neautorizat la datele persoanelor vizate (nume, prenume, domiciliu, e-mail, date de contact).
3. Vodafone România S.A. – 15.000 EUR. Investigații multiple au evidențiat divulgarea neautorizată a datelor clienților (nume, prenume, e-mail, CNP, cod client, adresă). Motivele sancțiunii includ transmiterea neautorizată de documente, neutilizarea opțiunii BCC și partajarea neadecvată a informațiilor prin WhatsApp.
4. Delivery Solutions S.A. – 2.000 EUR. O breșă de securitate a expus datele clienților (nume, prenume, adresă, număr de telefon, e-mail). Investigația a scos la iveală faptul că atacatori neautorizați au obținut credențiale valabile pentru interfața web a unei aplicații interne, iar operatorul nu a implementat suficiente măsuri tehnice și organizatorice.
5. Centrul Medical Unirea S.R.L. – 2.000 EUR. Expunerea publică a credențialelor de acces la un cont de e-mail, afișate pe un monitor într-un punct de recoltare, a condus la o amendă de 9.953 lei (2.000 euro). Autoritatea a cerut instruirea personalului și implementarea unei politici stricte privind parolele.
6. S.P.E.E.H. Hidroelectrica S.A – 15.000 EUR. În urma investigației s-a descoperit că breșa de securitate a datelor personale s-a produs în momentul lansării aplicației companiei, din cauza unei erori tehnice și a testării insuficiente. Operatorul nu a simulat corespunzător în mediul de test toate procesele și interacțiunile cu celelalte aplicații utilizate.
Consecințele acestei deficiențe au fost grave, ducând la compromiterea integrității și disponibilității datelor personale. Mai exact, un număr considerabil de persoane au fost afectate prin expunerea neautorizată a datelor lor personale și/sau prin accesul neautorizat la acestea.
7. Red&White 2022 Management S.A – 5.000 EUR. Investigația a fost inițiată după ce Autoritatea a primit notificări atât de la operator, cât și de la împuternicitul acestuia, privind o posibilă încălcare a GDPR în contextul unei campanii de crowdfunding.
S-a constatat că operatorul, care deține pachetul majoritar de acțiuni al unui club de fotbal, a organizat o campanie de strângere de fonduri pentru echipă. În acest scop, a trimis un email către o bază de date extinsă, care conținea adresele de email ale persoanelor ce cumpăraseră anterior bilete la meciurile echipei. Emailul a fost transmis prin intermediul unui împuternicit, iar baza de date folosită includea informații personale (nume, prenume și adrese de email) aparținând atât suporterilor clubului, cât și altor persoane.
Un aspect crucial descoperit în timpul investigației a fost lipsa unor instrucțiuni clare și documentate din partea operatorului către împuternicit. Aceste instrucțiuni ar fi trebuit să specifice exact categoria de persoane vizate (suporterii) din baza de date către care urma să fie transmis emailul referitor la campania de finanțare, email care fusese conceput și aprobat de operator.
Concluzii și recomandări
Companiile trebuie să pună un accent deosebit pe conformitatea cu reglementările GDPR și să transforme protecția datelor într-un avantaj competitiv, demonstrând în același timp respect și angajament față de confidențialitatea clienților. Atenție la:
- Revizuirea măsurilor de securitate: Lunile de iarnă nu aduc doar bilanțuri, ci și atacuri cibernetice. Verificați dacă măsurile tehnice și organizatorice sunt actualizate și eficiente.
- Respectarea drepturilor persoanelor vizate: De la cereri de ștergere până la gestionarea consimțământului, fiecare solicitare trebuie soluționată complet și la timp.
- Minimizarea datelor: Colectați și stocați doar informațiile strict necesare, evitând încălcări prin stocarea excesivă și nejustificată de documente.
- Instruire periodică: Asigurați-vă că echipa dvs. înțelege riscurile asociate prelucrării datelor și responsabilitățile ce revin conform GDPR.
Ghidul nr. 1/2025 privind pseudonimizarea
Ghidul nr. 1/2025 privind pseudonimizarea a fost pus în consultare publică pentru o perioadă de șase săptămâni. Acest document aduce clarificări esențiale privind natura datelor pseudonimizate, subliniind că acestea continuă să fie considerate date cu caracter personal atât timp cât pot fi atribuite unei persoane prin folosirea unor informații suplimentare. Mai precis, dacă există posibilitatea ca operatorul de date sau orice altă persoană să coreleze datele cu o persoană fizică, acestea rămân în sfera datelor cu caracter personal.
Ghidul evidențiază totodată beneficiile pseudonimizării: poate reduce riscurile asociate prelucrării datelor și poate facilita utilizarea intereselor legitime ca temei juridic (conform articolului 6 alineatul (1) litera (f) din RGPD), cu condiția respectării tuturor cerințelor RGPD. În plus, pseudonimizarea poate contribui la asigurarea compatibilității prelucrării cu scopul inițial, așa cum este prevăzut în articolul 6 alineatul 4 din RGPD.
Găsiți mai multe detalii despre Ghid pe site-ul ANSPDCP – AICI>>>
Sursa articol: gdprcomplet.ro, dataprotection.ro
Sursa foto: Pexels.com

