Untold SRL – amendă GDPR de 15.000 de EUR
ANSPDCP monitorizează îndeaproape toți operatori de date și sancționează companiile care nu respectă standardele GDPR în România, aplicând amenzi usturătoare, avertismente și măsuri corective, în funcție de severitatea abaterilor. În luna octombrie se remarcă amenda acordată de ANSPDCP societății Untold SRL în valoare de 15.000 EUR. În Europa, LinkedIn Irlanda a primit o amendă semnificativă de 310 mil EUR. Află care au fost toate sancțiunile GDPR din această lună!
Untold SRL – amendă de 15.000 de Euro pentru încălcare reguli GDPR
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a aplicat societății Untold SRL sancțiuni severe pentru încălcarea drepturilor persoanelor vizate. Concret, societatea a fost amendată contravențional cu o sumă totală de 15.000 de Euro, ca urmare a mai multor nereguli identificate în procesarea datelor personale.
În cadrul investigației desfășurate, autoritățile au descoperit că societatea a ignorat în mod nejustificat cererea de acces la datele personale formulată de o persoană care furnizase deja toate informațiile de contact necesare, inclusiv adresă de e-mail, număr de telefon, nume complet și adresă poștală.
Suplimentar, s-a constatat că operatorul nu a soluționat nici cererea de ștergere a datelor personale în termenele stabilite de Regulamentul (UE) 2016/679.
Pe lângă amendă, ANSPDCP a impus societății și o serie de măsuri corective menite să remedieze deficiențele sistemice. Printre acestea se numără obligația de a răspunde în scris cererii persoanei vizate, conform prevederilor art. 15 din regulament, precum și implementarea unor măsuri tehnice și organizatorice comprehensive. Scopul acestor măsuri este asigurarea conformității cu reglementările privind protecția datelor, inclusiv prin instruirea corespunzătoare a personalului responsabil cu gestionarea cererilor privind datele cu caracter personal.
Profi Rom Food – amendă GDPR de 10.000 EUR pentru transmiterea neautorizată de cărți de identitate
Investigația a fost demarată în urma unei sesizări. Autoritatea de supraveghere a descoperit că societatea Profi Rom Food Srl a încălcat normele de protecție a datelor personale. Compania a furnizat unui prestator extern de servicii copii ale actelor de identitate aparținând mai multor angajați, fără să dețină un fundament legal pentru această acțiune.
Această transmitere neautorizată a expus informații personale sensibile ale angajaților, incluzând date precum numele și prenumele, codul numeric personal, seria și numărul cărții de identitate, adresa de domiciliu, sexul, cetățenia, locul nașterii, precum și fotografia acestora. Accesul neautorizat la aceste date confidențiale reprezintă o încălcare semnificativă a normelor privind protecția datelor cu caracter personal.
De asemenea, în cadrul investigației, s-a constatat că un angajat al operatorului a captat mai multe înregistrări video cu telefonul personal de pe monitorul companiei și a transmis apoi imaginile prin aplicația “WhatsApp” Messenger. Situația creată a condus la divulgarea neautorizată în spațiul public a datelor cu caracter personal a unor persoane fizice, încălcându-se astfel prevederile Regulamentului GDPR. ANSPDCP a constatat că operatorul nu a luat măsuri pentru a se asigura că orice persoană care acționează sub autoritatea sa și are acces la date cu caracter personal, nu le prelucrează decât la cererea operatorului.
Vodafone România S.A. – amendă de 5.000 EURO pentru dezvăluirea mai multor adrese de e-mail
Investigația a fost inițiată în urma plângerilor primite din partea unei persoane afectate, care a semnalat o problemă de confidențialitate privind comunicările electronice ale Vodafone România S.A. Situația reclamată se referea la dezvăluirea mai multor adrese de e-mail, inclusiv cea personală a reclamantului, în contextul unor notificări despre schimbarea managerului de cont pentru clienții persoane juridice din portofoliul companiei. Aceste comunicări au fost transmise prin e-mail pe parcursul a două luni distincte, ajungând atât la reprezentanți ai clienților corporativi, cât și la diverse persoane fizice.
În urma investigației desfășurate, s-a evidențiat că Vodafone România S.A. nu a implementat măsuri tehnice și organizatorice adecvate pentru a proteja confidențialitatea datelor personale procesate. Un aspect crucial al acestei deficiențe a fost omisiunea utilizării funcției „BCC” („blind carbon copy”) în transmiterea e-mailurilor, care ar fi permis ascunderea adreselor de e-mail ale destinatarilor unii față de alții.
Această neglijență a dus la o divulgare neautorizată a adreselor de e-mail între toți destinatarii mesajelor, reprezentând o încălcare clară a prevederilor articolului 32 din Regulamentul (UE) 2016/679, care stabilește standardele de securitate pentru procesarea datelor cu caracter personal.
Your Consulting – sancțiune de 3.000 EURO pentru divulgarea neautorizată de date personale
O sesizare primită de ANSPDCP semnala faptul că, prin intermediul aplicației operatorului https://your-scim.herokuapp.com au fost divulgate anumite date cu caracter personal.
În cadrul investigației s-a constatat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate în momentul stabilirii mijloacelor de prelucrare sau în momentul prelucrării în sine și nu a realizat testarea, evaluarea și aprecierea periodică ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.
Această situație a condus la accesul neautorizat la datele cu caracter personal (nume și prenume, cod numeric personal, numărul voucherelor de vacanță distribuite nominal, valoarea nominală totală a voucherelor de vacanță, data revenire din concediu creștere copil), ale unor persoane fizice, în perioada martie – aprilie 2024.
Global Port’s Services SRL – amendă de 2.000 EUR pentru monitorizare GPS fără informare prealabilă
Amenda ANSPDCP a fost aplicată în urma investigației declanșate de multiple petiții depuse de un fost angajat al companiei Global Ports’s Services S.R.L. Acesta a semnalat că a fost monitorizat prin GPS în timpul activității sale profesionale, fără să fi fost informat despre existența acestui sistem de urmărire instalat pe autovehiculul de serviciu.
De asemenea, din petițiile persoanei vizate a rezultat faptul că, în baza unui contract încheiat de operatorul Global Port’s Services S.R.L. cu o societate comercială, erau instalate sisteme GPS atât pe utilajele închiriate, cât și pe mașina de serviciu folosită de persoana vizată care, între timp, devenise angajat al celei de-a doua societăți. Global Port’s Services S.R.L. a continuat să prelucreze datele personale și ulterior datei la care reclamantul nu mai era angajat al societății, fără să prezinte dovezi cu privire la informarea transparentă și completă a persoanei vizate în legătură cu prelucrarea datelor sale.
IA Bilet SRL – amendă de 2.000 EUR pentru inactivarea neautorizată a unui cont de client
Un client al operatorului a reclamat faptul că operatorul i-a șters în mod nejustificat contul creat pe platforma iabilet.ro și a refuzat reactivarea contului acestuia după exercitarea dreptului său de ștergere, ca urmare a faptului că pe numărul său de telefon a primit mesaje comerciale nesolicitate în scop de marketing.
De asemenea, în cadrul investigației s-a constatat și faptul că în urma exercitării dreptului de opoziție cu privire la dezabonarea de la newsletter al numărului de telefon al persoanei vizate, operatorul a anonimizat (pseudonimizat) toate datele personale din contul clientului (nume, prenume, adresă de e-mail, inclusiv numărul de telefon), astfel că, aceasta nu a mai putut utiliza propriul cont.
Totodată, în cursul investigației, a reieșit că operatorul Ia Bilet SRL, deși i-a comunicat clientului faptul că a efectuat modificări în privința adresei de e-mail pentru a putea fi utilizat contul, contul a rămas inactiv.
LinkedIn Irlanda – amendă semnificativă de 310 mil. EURO
LinkedIn Irlanda a primit o sancțiune de 310 mil. de EURO pentru mai multe nereguli GDPR. Pe de o parte, consimțământul privind prelucrarea datelor personale obținut de LinkedIn nu a fost acordat în mod liber, suficient de informat sau specific, sau lipsit de ambiguitate. Pe de altă parte, compania a prelucrat date personale depășind interesele, drepturile și libertățile fundamentale ale persoanelor vizate.
În Europa, în luna octombrie, a mai fost aplicată o singură amendă GDPR băncii IBERCAJA BANCO, S.A. din Spania. Sancțiunea în valoare de 180.000 Euro a fost acordată pentru accesarea neautorizată de date personale ale unui client, după încheierea relației contractuale cu acesta.
Surse articol: dataprotection.ro, EnforcementTracker.com
Citește și: Amendă GDPR de 8.000 EUR pentru divulgarea neautorizată a datelor în urma unui atac ransomware
Sursa foto: Pexels.com