Amendă de 10.000 EUR pentru nerespectarea normelor GDPR. Care sunt cele mai mari amenzi acordate vreodată?

În luna august 2022 Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a amendat 6 companii pentru nerespectarea normelor GDPR. Cea mai mare amendă acordată a fost în valoare de 10.000 de euro. Află motivele sancțiunilor și care au fost cele mai mari amenzi GDPR acordate vreodată în UE și România!

Amenzi GDPR România – august 2022

• Sancțiune în valoare de 2000 de euro aplicată operatorului Sephora Cosmetics România SA

Compania Sephora Cosmetics a fost amendată pentru nerespectarea dreptului de opoziție, care permite persoanele vizate de a se opune prelucrării datelor cu caracter personal dacă acestea sunt prelucrate pentru marketing direct. Operatorul nu a respectat acest drept, continuând să trimită mesaje comerciale persoanei vizate care solicitase, de altfel, în repetate rânduri să nu-i mai fie utilizate datele în scop de marketing.

• Amendă în cuantum de 2500 Euro pentru operatorulde date Denmar Năcruț SRL

Amenda a fost aplicată pentru neconformarea sistemelor de supraveghere video la prevederile GDPR precum și lipsa informării persoanelor vizate despre monitorizarea video în timpul prestării serviciilor cosmetice.

Denmar Nacrut SRL deținea un sistem de supraveghere video montat atât în interiorul, cât și în exteriorul spațiului unde își desfășoară activitatea, însă nu exista o informare clară, completă și corectă a angajaților și clienților despre prelucrarea datelor personale (imaginea) prin intermediul camerelor video de supraveghere.

Întrucât operatorul nu a făcut dovada unor incidente existente anterior care să justifice interesul său legitim care să prevaleze asupra intereselor sau drepturilor și libertăților fundamentale ale persoanelor vizate, s-a constatat că operatorul a prelucrat în mod excesiv datele clienților și angajaților săi.

• Sancțiune în valoare de 1000 Euro aplicată operatorului de date Wabag Water Services

Amenda a fost acordată pentru nerespectarea principiului legalității, echității și transparenței în raport cu angajații. Mai exact, operatorul a folosit datele cu caracter personal al unei angajate pentru a o înscrie și programa, fără consimțământul său, pe platforma națională de vaccinare împotriva Covid-19 în anul 2021.

• Amendă de 7000 Euro și un avertisment- aplicate operatorului de date CDI Transport Intern și Internațional SRL

Amenda a fost acordată din cauza lipsei unei informări clare, complete și corecte asupra modului în care sunt colectate și prelucrate datele cu caracter personal. Concret, pe site-ul societății nu se regăsesc informații referitoare la modalitatea de colectare a datelor cu caracter personal, la drepturile persoanelor vizate conferite de GDPR și la modul de exercitare a acestor drepturi. De asemenea, nu existau informații cu privire la faptul că operatorul are obligația de a informa persoanele vizate în situația unei încălcări a securităţii datelor cu caracter personal.

Avertismentul a fost acordat operatorului pentru că nu a furnizat informațiile solicitate de ANSPDCP, în termenul legal.

• Amendă de 1000 Euro pentru operatorul Alpha Bank SA

Amenda a fost acordată pentru încălcarea securității prelucrării datelor. Mai exact, s-a trimis, din greșeală, un document altui destinatar, prin aplicația de Whatsapp.

Această încălcare a condus la divulgarea neautorizată sau accesul neautorizat la anumite date cu caracter personal. În urma incidentului au fost divulgate date personale, precum:

• Numele și prenumele
• CNP
• Funcția și semnătura
• Tipul de credit
• Numărul și data semnării contractului
• Perioada de creditare
• Data ultimei scadențe.

Pe lângă sancțiunea de 1000 de euro s-a dispus și revizuirea și actualizarea măsurilor tehnice și organizatorice implementate precum și instruirea persoanelor care acționează sub autoritatea operatorului referitor la interzicerea utilizării echipamentului personal al angajaților în relațiile cu clienții (de ex., telefonul mobil) pentru aplicații de comunicare/servicii de chat online neautorizate de Bancă.

• Amendă de 10.000 Euro și un avertisment pentru operatorul de date Enel Energie Muntenia SA

Cea mai mare amendă din luna august 2022 a fost acordată operatorului Enel Energie Muntenia SA pentru insuficiența măsurilor de securitate adoptate. Mai exact, în urma unei solicitări telefonice către Enel Energie Muntenia S.A., o persoană fizică a primit pe adresa sa de email un răspuns adresat altui client. Respectivul email conținea documente cu date cu caracter personal. Operatorul nu a prezentat informații clare cu privire la motivele pentru care angajatul său a trimis răspunsul din greșeală petentului și nu a prezentat dovezi din care să rezulte că au fost luate măsuri de remediere.

Avertismentul a fost acordat pentru că operatorul nu a notificat incidentul de securitate la Autoritatea de supraveghere.

Lista completă de amenzi din România poate fi consultată pe site-ul GDPR.

Cele mai mari amenzi GDPR aplicate în UE și România

Conform reglementărilor europene în ceea ce privește protecția datelor cu caracter personal, autoritățile naționale pot acorda amenzi pentru încălcări specifice ale protecției datelor în conformitate cu Regulamentul general privind protecția datelor.

Amenzile trebuie să fie ”eficiente, proporționale și disuasive” pentru fiecare caz în parte. Pentru încălcările deosebit de grave, cadrul amenzii poate fi de până la 20 de milioane de euro sau, în cazul unei întreprinderi, de până la 4 % din cifra de afaceri globală totală a anului fiscal precedent, oricare dintre acestea este mai mare. Pentru încălcările mai puțin grave, GDPR prevede amenzi de până la 10 milioane de euro sau, în cazul unei întreprinderi, până la 2% din întreaga sa cifra de afaceri globală a anului fiscal precedent, oricare dintre acestea este mai mare.

Top 5 cele mai mari amenzi GDPR acordate în UE

Pe site-ul Enforcement Tracker se regăsește lista oficială cu toate amenzile și sancțiunile raportate pe care autoritățile de protecție a datelor din UE le-au impus până acum.

Conform acestei liste, cea mai mare amendă GDPR a fost în valoare de 746 de milioane de EURO acordată de Autoritatea de la Luxembourg site-ului Amazon pentru nerespectarea principiilor generale de prelucrare a datelor. Concret, s-a constatat că sediul din Luxemburg al comerciantului online cu amănuntul urmărea datele utilizatorilor fără a obține consimțământul corespunzător de la utilizatori sau fără a oferi mijloacele de a renunța la această urmărire. Amenda a fost acordată în 2021.

Pe locul 2 se află amenda de 225 de milioane de EURO acordată aplicației WhatsApp din Irlanda. Sancțiunea a fost aplicată tot în 2021 pentru existența unor politici de confidențialitate neclare și o lipsă de transparență în modul în care au fost folosite datele utilizatorilor.

Locul 3 îl ocupă amenda de 90 de milioane de EURO acordată de Autoritățile din Franța operatorului Google pentru că nu a oferit utilizatorilor o modalitate ușoară de a refuza cookie-urile în conformitate cu GDPR și Directiva privind confidențialitatea electronică.

Pe locul 4, la egalitate se află amenzile în valoare de 60 de milioane de EURO acordate în 2021 de Autoritățile din Franța operatorilor Facebook Irlanda și Google Irlanda. Ambele sancțiuni au fost acordate pentru că operatorii nu au oferit utilizatorilor modalități adecvate și simple de a refuza cookie-urile.

În sfârșit, pe locul 5 se află tot Google cu o amendă de 50 de milioane de EURO. Operatorul a fost amendat în 2019 pentru acorduri de consimțământ de confidențialitate confuze și prost structurate, care i-au împiedicat pe utilizatori să înțeleagă cu ce au fost de fapt de acord.

Alte amenzi importante au primit H&M Germania (35,26 de milioane de EURO), TIM Italia (operator de telefonie cu 27,8 milioane de EURO), Enel Energie Italia (26,5 milioane de EURO), British Airways 922,05 milioane de EURO) și grupul Marriot International din Anglia (20,45 milioane de EURO).

Top 5 amenzi GDPR din România

În România, cea mai mare amendă GDPR a fost acordată Raiffeisen Bank SA în 2019. Sancțiunea a fost în valoare de 150.000 de EURO pentru încălcarea securității datelor cu caracter personal. Concret, s-a constatat faptul că 2 angajați ai operatorului prin intermediul aplicației mobile WhatsApp, au efectuat interogări ale sistemului Biroului de Credit pentru a obține datele necesare în vederea determinării eligibilității la creditare a unor persoane fizice, prin simulări de prescoring. Datele cu caracter personal ale persoanelor vizate au fost obținute de la angajații operatorului Vreau Credit S.R.L., aceștia din urmă, primind, tot prin mijloace de comunicare de tip chat, informații cu privire la cazierul fiscal și eligibilitatea de a obține un credit.

Pe locul 2 se află amenda în valoare de 130.000 de EURO acordată Unicredit Bank SA în 2019 pentru lipsa unor măsuri tehnice și organizatorice suficiente pentru asigurarea securității informațiilor.

Locul 3 este ocupat de amenda de 100.000 de EURO aplicată în 2020 operatorului Banca Transilvania pentru dezvăluirea și accesul neautorizat al datelor cu caracter personal al unui client.

Pe următoarele locuri se află amenda de 80.000 de EURO acordată ING Bank NV și 20.000 de EURO aplicată operatorului Vreau Credit SRL . Operatorul ING Bank NV a fost amendat deoarece nu a adoptat măsuri tehnice și organizatorice corespunzătoare, privind integrarea de garanții adecvate în sistemul automatizat de prelucrare a datelor cu caracter personal în cadrul procesului de decontare al tranzacțiilor cu cardul. Operatorul Vreau Credit SRL a fost amendat pentru încălcarea securității datelor și pentru faptul că nu a notificat Autoritatea de supraveghere despre încălcarea securității datelor cu caracter personal.

Statistici amenzi GDPR

Conform site-ului Enforcement Tracker, pe lista de amenzi GDPR, Luxembourg se află pe primul loc cu cea mai mare sumă de amenzi (746,27 milioane de EURO) acordate vreodată, iar Spania se află pe primul loc cu cele mai multe amenzi GDPR aplicate (471 de amenzi în valoare totală de 56,0 milioane de EURO.

Iată situația primelor 10 țări în funcție de sumă și număr de amenzi:

Sursa foto: Pixabay