prelucrarea-datelor-cu-caracter-personal-sanctiuni
GDPR

Nerespectarea regulamentului GDPR este sancționată contravențional. Află amenzile acordate în iunie 2023!

iulie 2, 2023 / Niciun comentariu

În luna iunie 2023, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a acordat 6 sancțiuni GDPR pentru nerespectarea reglementărilor privind prelucrarea datelor cu caracter personal. Cea mai mare amendă a fost în valoare de 40.000 de EUR.

Amenzi GDPR în România – persoane juridice sancționate și motivele acordării sancțiunilor

1.Compania S.C. Apollo Salon S.R.L a fost amendată cu 3.000 de EUR pentru nerespectarea drepturilor persoanelor vizate. Investigația a fost demarată în urma unei sesizări transmise de o persoană vizată. Aceasta a reclamat faptul că a primit de la operatorul mai sus menționat mesaje nesolicitate prin SMS, în condițiile în care persoana a solicitat în repetate rânduri să nu mai primească astfel de mesaje.

2. Firma Artima S.A. a fost sancționată cu o amendă de 8000 EURO pentru încălcarea securității datelor cu caracter personal. Mai exact, câțiva angajați ai operatorului au accesat sistemul de supraveghere video al companiei și au filmat cu telefonul mobil personal monitorul pe care se derulau înregistrările sistemului. Ulterior, unul dintre angajați a transmis imaginile unei terțe persoane, care le-a postat pe rețele de socializare. Astfel, au fost dezvăluite imaginea unei persoane fizice, numărul de înmatriculare, culoarea și marca autovehiculului, ceea ce a condus la pierderea confidențialității datelor cu caracter personal. Conform legislației, Artima S.A. avea obligația de a lua măsuri pentru a se asigura că orice persoană fizică care acţionează sub autoritatea sa şi are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului.

3. BRD–Groupe Société Générale S.A. a fost sancționat contravențional cu amendă de 2.000 de EUR deoarece operatorul a divulgat ilegal date personale și financiare ale mai multor persoane. Datele au fost transmise către o instanță de judecată, fără a exista o solicitare a acesteia. În plus, nu au fost luate, în prealabil, măsuri prin care să fie verificată legitimitatea unei astfel de dezvăluiri a datelor personale.

4. Dante International SA a fost amendat cu 40.000 EURO pentru încălcarea mai multor reglementări GDPR. Investigația a fost demarată după ce ANSPDCP din România a fost sesizată de autoritatea pentru protecția datelor (DPA) din Ungaria cu privire la 3 plângeri formulate de trei persoane împotriva sa:

  • În primul caz, un petent a solicitat ștergerea contului creat pe emag.hu, însă compania nu a gestionat în mod corespunzător soluționarea cererii persoanei vizate. În cadrul investigației s-a constatat că Dante International SA nu a instruit suficient personalul implicat în prelucrarea datelor personale despre modul în care trebuie gestionate cererile primite din partea persoanelor vizate.
  • În cel de-al doilea caz, un alt petent a solicitat ștergerea datelor sale către mai multe adrese de e-mail ale operatorului, dar și prin intermediul formularului de contact existent pe site-ul acestuia. Serverele emag au respins cererea sa ca provenind de la o adresă ce nu prezintă încredere. În urma investigației, s-a constatat lipsa unei informări adecvate cu privire la anumite limitări din punct de vedere tehnic, ce pot conduce la restricționarea neîntemeiată a drepturilor persoanelor vizate.
  • Un alt petent a reclamat faptul că una dintre adresele sale de e-mail era în continuare prelucrată de Dante, deși solicitase înlocuirea acesteia cu o altă adresa de e-mail.

5. Vodafone România SA a fost sancționată cu amendă în cuantum de 1.000 EUR. Sancțiunea a fost aplicată ca urmare a unei plângeri prin care se reclama faptul că operatorul i-a încălcat petentului dreptul de acces, refuzând să-i comunice anumite înregistrări ale convorbirilor cu call-center-ul acestuia. Conform ANSPDCP, operatorul nu a făcut dovada transmiterii unui răspuns petentului în termen de 30 de zile, așa cum prevede regulamentul RGPD.

6. Farmacia Ardealul SRL a fost sancționată cu 2.500 EUR pentru încălcarea securității datelor cu caracter personal. Concret, s-a constatat că operatorul a instalat un program de tip malware pe site-ul său, care a condus la încălcarea confidențialității datelor cu caracter personal (date bancare) ale unui număr semnificativ de clienți. Programul tip malware era un formular fictiv de colectare date bancare.

Cea mai mare amendă GDPR în Europa- 40 de milioane de EUR în Franța

Cea mai mare amendă GDPR din luna iunie 2023 a fost acordată în Franța de autoritatea de supraveghere franceză CNIL. Compania sancționată este CRITEO- o firmă specializată în publicitate online. În cadrul investigațiilor sale, CNIL a constatat mai multe încălcări ale regulamentului GDPR, în special, absența dovezii privind consimțământul persoanelor fizice la prelucrarea datelor, lipsa informării scopurile urmărite prin prelucrarea datelor și nerespectarea drepturilor de ștergere a persoanelor vizate.

CRITEO este specializată în „retargeting publicitar”, care constă în urmărirea navigării utilizatorilor de Internet pentru a le afișa reclame personalizate. Pentru a face acest lucru, compania colectează date de navigare folosind cookie-uri. Datele sunt stocate în terminalele lor atunci când vizitează anumite site-uri web partenere CRITEO. Compania analizează obiceiurile de navigare pentru a determina pentru ce agent de publicitate și ce produs este cel mai relevant să afișeze o reclamă. Apoi participă la o licitație în timp real și apoi, dacă câștigă licitația, afișează anunțul personalizat.

Spotify – amendă de 4.9 milioane de EUR în Suedia

Autoritatea suedeză de supraveghere a prelucrării datelor cu caracter personal (IMY) a analizat modul în care Spotify gestionează dreptul clienților de a-și accesa datele personale. Deficiențele constatate au dus la aplicarea unei amenzi de 4.9 milioane EUR.

În urma investigației, s-a constatat încălcarea dreptului de acces a persoanelor vizate. Acesta este dreptul unei persoane fizice de a afla ce date personale prelucrează compania despre ea și de a primi informații despre modul în care datele sunt utilizate. IMY consideră că Spotify eliberează datele personale pe care compania le prelucrează atunci când persoanele solicită acest lucru, dar compania nu oferă informații suficient de clare despre modul în care aceste date sunt utilizate de companie.

Alte amenzi GDPR importante acordate în Europa în iunie 2023

Tot în Suedia, compania Bonnier News AB a fost amendată cu suma de 1.1 milioane de EUR. Sancțiunea a fost acordată pentru prelucrarea datelor cu caracter personal a clienților și vizitatorilor web fără consimțământul acestora.

IMY a analizat modul în care Bonnier News colectează și gestionează datele personale cu scopul de a le utiliza pentru marketing. Compania colectează informații din mai multe surse diferite. Acestea sunt apoi utilizate pentru publicitate direcționată pe web, marketing trimis prin poștă fizică și pentru vânzări telefonice.

Aceasta se referă, de exemplu, la informații despre achizițiile efectuate în diferite companii din grup și comportamentul de navigare. În unele cazuri, aceste informații sunt combinate și cu alte date cu caracter personal care sunt cumpărate din exterior. Aceste date se referă la informații despre sexul clientului, proprietatea mașinii și codul poștal al gospodăriei, precum și informații statistice bazate pe zona de reședință a persoanei respective. cum ar fi stadiul de viață, puterea de cumpărare și tipul de reședință.

Conform IMY, datele comportamentale ale clienților nu trebuie colectate în scopuri de marketing doar pentru că vizitează o pagină web. De asemenea, datele lor comportamentale nu trebuie să fie combinate cu informații dintr-o altă situație de cumpărare sau informații obținute din alte surse în scopul de a fi contactați pentru vânzări telefonice sau marketing direct. Conform evaluării IMY, o astfel de abordare extinsă necesită consimțământ din partea persoanelor vizate.

Alte sancțiuni importante:

  • În Franța, CNIL a aplicat o sancțiune de 150.000 de EUR companiei KG COM. Amenda a fost primită pentru nerespectarea GDPR și a Legii privind protecția datelor. Mai exact, compania a colectat date excesive, precum și date sensibile fără consimțământul prealabil și explicit și nu a asigurat suficient securitatea datelor.
  • În Grecia, Piraeus Bank a fost amendată cu suma de 210.000 de EUR. Sancțiunea a fost primită deoarece banca a prelucrat datele cu caracter personal ale unui reclamant și ale unui număr mare de clienți ai acestuia cu încălcarea principiului legalității.

În total, în luna iunie, în Europa au fost acordate 39 de amenzi în valoare totală de 47.364.560 de EUR pentru nerespectarea reglementărilor cu privire la prelucrarea datelor cu caracter personal.

Citește și: Informații utile GDPR de luat în considerare în 2023

    S-ar putea să-ți placă și

    protectia-datelor-amenzi-gdpr

    Ziua Protecției Datelor: de ce este importantă protejarea datelor personale și ce sancțiuni se aplică pentru încălcări GDPR

    ianuarie 31, 2024
    amenzi-gdpr-ianuarie-2023

    Amenzi GDPR acordate în luna ianuarie 2023 în România și Europa

    februarie 1, 2023
    anpc-sanctiune-gdpr

    ANPC – sancțiune pentru încălcarea Regulamentului GDPR

    august 2, 2023

    Lasă un răspuns

    Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *