noutati-gdpr-noiembrie-2022
GDPR

Noutăți GDPR – noiembrie 2022: amenzi de peste 20.000 de euro

Societățile sau entitățile care prelucrează date cu caracter personal sunt obligate să respecte legislația în vigoare cu privire la protecția datelor. Regulamentul UE 2016/679 este cel care stabilește, la nivelul UE, normele referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, precum și normele referitoare la libera circulație a acestor date.

Deși Regulamentul a intrat în vigoare în 2018, există în continuare, foarte mulți operatori de date care nu-și cunosc atribuțiile GDPR și, prin urmare, nu au implementate măsuri adecvate pentru asigurarea unui nivel de securitate corespunzător riscului prezentat de prelucrarea datelor cu caracter personal. Descoperă în acest articol amenzile aplicate de Autoritatea de Supraveghere în luna noiembrie 2022 și află mai multe informații utile despre desemnarea responsabilului cu protecția datelor!

Amenzi GDPR – noiembrie 2022

În luna noiembrie 2022, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a aplicat 8 amenzi pentru nerespectarea Regulamentului General privind Protecția Datelor cu caracter personal (RGPD), astfel:

1. O amendă de 2.000 de euro a fost primită de Compania Națională Poșta Română SA (CNPR). Sancțiunea a fost acordată deoarece, în calitate de persoană împuternicită, CNPR a pierdut mai multe trimiteri poștale care conțineau decizii de stabilire a drepturilor de pensie, carnete de muncă și certificate de deces pentru 35 de persoane fizice.

2. O amendă în valoare de 5.000 de euro a fost aplicată companiei SC Prestige Media PHG SRL. În urma investigației ANSPDCP, s-a constatat că pe site-ul operatorului erau publicate documente confidențiale ale unor angajați ai unei alte societăți.  Concret, erau afișate decizii nominale de încetare a contractelor individuale de mandate/raporturilor de muncă ale unor persoane fizice. Documentele conțineau date cu caracter personal, precum: nume, prenume, funcție, număr contract de muncă și abateri disciplinare.

3. Compania SC Das Sense Society SRL a fost sancționat contravențional cu o amendă de 1.000 euro. Acest lucru s-a întâmplat deoarece operatorul de date nu a furnizat ANSPDCP informațiile necesare pentru desfășurarea unei investigații. Împotriva companiei menționate au fost îndreptate plângeri prin care se reclama faptul că la punctul său de lucru erau instalate camere de supraveghere care surprindeau imagini atât de pe domeniul public (trotuar și stradă), cât și de pe domeniul privat (rampa și scările de acces într-un complex de locuințe, accesul într-un supermarket).

4. Două avertismente și 3 amenzi în valoare totală de 28.000 de euro au fost acordate operatorului Raiffeisen Bank S.A. În cadrul investigației desfășurate de ANSPDCP, s-au descoperit mai multe nereguli care au dus la accesul neautorizat și/sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate prin aplicațiile informatice utilizate de operatorul de date. Concret, s-au constatat următoarele:

  • Realizarea mai multor operațiuni de prescoring pentru clienți sau potențiali clienți, fără ca documentația aferentă interogării în Sistemul Biroului de Credite să fie semnată de solicitanți.
  • Transmiterea, în mod eronat prin e-mail, a unor date confidențiale către alte persoane decât cele vizate.
  • Acordarea de credite prin intermediul unei entități (persoană împuternicită a operatorului), fără ca beneficiarii creditelor să fi solicitat și fără să fi semnat documentele necesare obținerii creditelor.
  • Divulgarea neautorizată a datelor cu caracter personal ale unor clienți din serviciul de mobile banking pus la dispoziție de către Raiffeisen Bank.

5. Asociația de proprietari Bld. Pipera 1-2E a fost sancționată contravențional cu o amendă de 300 EURO. Amenda a fost aplicată deoarece președintele asociației a dezvăluit pe grupul de Whatsapp al blocului înregistrări din sistemul de supraveghere video administrat de Asociație, care cuprindeau imagini cu petiționarul.

6. O amendă de 20.000 de euro a fost aplicată băncii olandeze ING Bank NV Amsterdam -Sucursala București. Operatorul de date mai sus menționat a primit sancțiunea contravențională din cauza lipsei implementării unor măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prezentat de prelucrare. Concret, s-au accesat și divulgat neautorizat mai multe date cu caracter personal ale unor clienți ING. Accesarea datelor respective au fost urmate de operațiuni de plată efectuate de către terțe persoane.

7. Operatorul de date Medicover S.R.L. a fost sancționat cu o amendă de 1.000 EURO. Acest lucru a fost posibil deoarece compania a transmis unui client un e-mail ce conținea acte adiționale ale contractelor de prestări servicii medicale care aparțineau altor clienți ai Medicover.

8. OTP LEASING ROMANIA IFN SA a primit o amendă de 3.000 EURO. Sancțiunea a fost aplicată pentru lipsa unui nivel adecvat de securitate corespunzător riscurilor prelucrării datelor personale. Mai exact, o persoană fizică a putut accesa în mod neautorizat platforma informatică My Leasing, prin alterarea adresei URL și crearea unui cont de administrator. Acest lucru a făcut posibil accesul la datele clienților OTP Leasing care aveau cont pe platformă. OTP Leasing nu a informat persoanele vizate cu privire la producerea incidentului de securitate.

Găsești toate amenzile acordate de Autoritatea de Supraveghere pe site-ul gdprcomplet.ro.

Cunoașterea circumstanțelor care au dus la sancționarea operatorilor de date este utilă deoarece acestea te pot ajuta să înțelegi mai bine principiile care stau la baza RGPD și să implementezi în compania ta măsurile adecvate pentru respectarea integrității și confidențialității datelor cu caracter personal.

Alte informații utile GDPR: Sarcinile ofițerului responsabil cu protecția datelor

Toți angajații societăților comerciale care au calitatea de operatori de date trebuie să știe și să înțeleagă foarte bine regulile și principiile GDPR, însă o atenție deosebită ar trebui să aibă ofițerul responsabil cu protecția datelor. Acesta trebuie să-și cunoască foarte bine atribuțiile, astfel încât să asigure respectarea regulamentului RGPD.

Iată care sunt principalele sarcini ale responsabilului cu protecția datelor (RPD), conform Art. 38 și 39 al Regulamentului (UE) 2016/679:

  • Să informeze și să consilieze operatorul sau persoana împuternicită de operator, precum și angajații acestora, cu privire la obligațiile care le revin în temeiul legislației privind protecția datelor;
  • Să monitorizeze conformitatea organizației cu toată legislația în legătură cu protecția datelor, inclusiv în audituri, activități de conștientizare precum și instruirea personalului implicat în operațiunile de prelucrare;
  • Să ofere consiliere în ceea ce privește evaluarea impactului asupra protecției datelor și monitorizarea funcționării acesteia;
  • Să coopereze și să acționeze ca punct de contact pentru Autoritatea de Supraveghere în probleme legate de prelucrare;
  • Să acționeze ca punct de contact pentru solicitările persoanelor fizice privind prelucrarea datelor lor personale și exercitarea drepturilor acestora;
  • Să respecte secretul sau confidențialitatea în ceea ce privește îndeplinirea sarcinilor sale;

Responsabilul cu protecția datelor poate îndeplini și alte sarcini și atribuții. Operatorul sau persoana împuternicită de operator se asigură că niciuna dintre aceste sarcini și atribuții nu generează un conflict de interese.

Ce companii/organizații trebuie să desemneze obligatoriu un responsabil cu protecția datelor?

Conform Art.37 din Regulamentul GDPR, este obligatorie desemnarea unui responsabil cu protecția datelor în următoarele situații:

  1. În cazul unei autorități sau organism public, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale;
  2. Dacă activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă;
  3. Dacă activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date (originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenenţa la sindicate şi prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viaţa sexuală sau orientarea sexuală ale unei persoane fizice) sau a unor date cu caracter personal referitoare la condamnări penale și infracțiuni.

Citește și acest articol pentru a afla mai multe date GDPR interesante!

Un comentariu

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *