În prima jumătate a anului 2020, Autoritatea Națională de Supraveghere Prelucrării Datelor cu Caracter Personal a aplicat nouă amenzi GDPR în cadrul investigaţiilor finalizate în acest an. Sectorul telecom a fost cel mai afectat, în acest domeniu fiind aplicate trei amenzi. Cea mai mare amendă a revenit însă unei bănci.
Juridic06 iulie, 2020
GDPR: Lista companiilor sancţionate în primul semestru al anului
I. 02.2020 – Vodafone România SA – 3.000 euro
Transmiterea răspunsului către o persoană eronată
„Sancțiunea a fost aplicată operatorului întrucât a prelucrat greșit date personale ale unei persoane fizice în scopul soluționării reclamației acesteia, ceea ce a determinat ulterior transmiterea răspunsului operatorului către o adresă de e-mail eronată, nefiind adoptate suficiente măsuri suficiente de securitate împotriva prelucrării ilegale a datelor personale ale persoanei respective, cu încălcarea principiilor de prelucrare prevăzute de art. 5 alin. (1) lit. d) și f) coroborat cu art. 5 alin. (2) din Regulamentul General privind Protecția Datelor.”
Comunicat din 18.03.2020
Comunicat din 18.03.2020
II. 02.2020 – Enel Energie Muntenia SA – 3.000 euro
Transmiterea pe e-mail către un client a datelor personale ale altui client
„Încălcarea securității și confidențialității datelor cu caracter personal a constat în faptul că operatorul Enel Energie Muntenia SA a transmis pe adresa de e-mail a unui client persoană fizică, date personale (nume și prenume, adresă, adresă de e-mail, cod client, cod eneltel) ale unui alt client.
Operatorul Enel Energie Muntenia SA a fost sancționat deoarece nu a implementat măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării generat în special, în mod accidental sau ilegal, de divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal.”
Comunicat din 25.03.2020
Operatorul Enel Energie Muntenia SA a fost sancționat deoarece nu a implementat măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării generat în special, în mod accidental sau ilegal, de divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal.”
Comunicat din 25.03.2020
III. 02.2020 – Asociația „SOS Infertilitatea” – 2.000 euro
Netransmiterea informațiilor către Autoritate până la data încheierii procesului verbal
„Autoritatea Naţională de Supraveghere a fost sesizată cu privire la faptul că Asociația „SOS Infertilitatea” a dezvăluit date cu caracter personal fără consimțământul persoanei vizate.
Autoritatea de supraveghere a solicitat Asociației mai multe informații referitoare la aspectele sesizate, dar operatorul nu a răspuns solicitărilor instituției noastre. În urma contactării telefonice a operatorului, președintele asociației și-a exprimat opțiunea de a i se transmite solicitarea Autorității de supraveghere prin e-mail la o adresă indicată de acesta.
Întrucât Asociația „SOS Infertilitatea” nu a transmis informațiile solicitate până la data încheierii procesului-verbal de constatare/sancționare, aceasta a fost sancționată cu amendă.”
Comunicat din 25.03.2020
Autoritatea de supraveghere a solicitat Asociației mai multe informații referitoare la aspectele sesizate, dar operatorul nu a răspuns solicitărilor instituției noastre. În urma contactării telefonice a operatorului, președintele asociației și-a exprimat opțiunea de a i se transmite solicitarea Autorității de supraveghere prin e-mail la o adresă indicată de acesta.
Întrucât Asociația „SOS Infertilitatea” nu a transmis informațiile solicitate până la data încheierii procesului-verbal de constatare/sancționare, aceasta a fost sancționată cu amendă.”
Comunicat din 25.03.2020
IV. 02.2020 – Vodafone România SA 20.000 lei
Primirea pe mail a unui contract încheiat de operator cu o altă persoană
„Sancțiunile au fost aplicate operatorului ca urmare a unei sesizări cu privire la faptul că Vodafone România SA a încălcat securitatea și confidențialitatea datelor cu caracter personal.
Astfel, o petentă a Autorității a susținut că a solicitat o ofertă pe telefon, prin intermediul site-ului operatorului Vodafone România SA și că, ulterior, a primit pe adresa sa de e-mail, un contract încheiat de operator cu o altă persoană fizică, petenta având suspiciuni că datele sale cu caracter personal ar fi putut fi dezvăluite acestei persoane.”
Comunicat din 25.03.2020
Astfel, o petentă a Autorității a susținut că a solicitat o ofertă pe telefon, prin intermediul site-ului operatorului Vodafone România SA și că, ulterior, a primit pe adresa sa de e-mail, un contract încheiat de operator cu o altă persoană fizică, petenta având suspiciuni că datele sale cu caracter personal ar fi putut fi dezvăluite acestei persoane.”
Comunicat din 25.03.2020
V. 02.2020 – Dante Internațional S.A., deținătorul e-MAG.ro – 3.000 euro
Transmiterea unui mesaj comercial unei persoane dezabonate de la comunicările comerciale
„Sancțiunea a fost aplicată operatorului întrucât la sfârşitul anului 2019 a transmis unei persoane fizice un mesaj comercial, deși la începutul anului 2019 operatorul ii confirmase acesteia dezabonarea de la comunicările comerciale.”
Comunicat din 25.03.2020
Comunicat din 25.03.2020
VI. 04.2020 – Estee Lauder Romania SRL – 3.000 EURO
Dezvăluirea și colectarea de date fără temei legal sau consimțământ
„Sancțiunea a fost aplicată operatorului ca urmare a unei plângeri prin care s-a reclamat prelucrări ilegale de date prin dezvăluirea și, respectiv, colectare de date personale (numele, prenumele, numărul de telefon, data nașterii și informații privind starea de sănătate), fără consimțământ sau alt temei legal.”
Comunicat din 11.06.2020
Comunicat din 11.06.2020
VII. 04.2020 – Banca Comercială Română S.A. – 5.000 EURO
Colectare și transmitere a copiilor actelor de identitate ale clienților persoanelor fizice (minori și reprezentanți legali) prin intermediul telefonului personal/ Whatsapp
„Investigația a fost demarată în urma primirii unei plângeri, iar în cursul desfășurării acesteia, Autoritatea Națională de Supraveghere a constatat că Banca Comercială Română S.A. nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării. În același timp, operatorul nu a luat măsuri pentru a asigura că orice persoană fizică care acționează sub autoritatea sa și care are acces la date cu caracter personal nu le prelucrează decât la cererea sa, cu excepția cazului în care această obligație îi revine în temeiul dreptului Uniunii sau al dreptului intern.
Astfel, s-a constatat că a avut loc o colectare a copiilor actelor de identitate ale clienților persoanelor fizice (minori și reprezentanți legali) prin intermediul telefonului personal al unei angajate a operatorului, precum și transmiteri ale copiilor acestor acte la nivelul operatorului, prin aplicația Whatsapp, cu încălcarea procedurii de lucru interne.”
Comunicat din 5.05.2020
Astfel, s-a constatat că a avut loc o colectare a copiilor actelor de identitate ale clienților persoanelor fizice (minori și reprezentanți legali) prin intermediul telefonului personal al unei angajate a operatorului, precum și transmiteri ale copiilor acestor acte la nivelul operatorului, prin aplicația Whatsapp, cu încălcarea procedurii de lucru interne.”
Comunicat din 5.05.2020
VIII. 04.2020 – Telekom Romania Communications SA – 3.000 euro
Încheierea unor contracte de abonament pe numele unei persoane, folosind datele personale „în contractul preexistent, fără verificarea corectitudinii acestora”.
Investigația a fost demarată în urma primirii unor plângeri prin care petentul a reclamat utilizarea frauduloasă a datelor sale personale la încheierea unor contracte pe numele său de către Telekom Romania Communications SA.
În cursul desfășurării investigației Autoritatea Națională de Supraveghere a constatat că operatorul nu a implementat suficiente măsuri de securitate care să includă verificarea exactității datelor personale colectate telefonic (la distanță) în scopul încheierii contractelor.
Acest fapt a condus la o prelucrare ilegală a datelor petentului prin încheierea unor contracte de abonament pe numele său, folosind datele personale din contractul preexistent, fără verificarea corectitudinii acestora, contrar obligațiilor prevăzute de art. 32 din RGPD. În acest sens, art. 32 prevede, printre altele, la alin. (1) lit. b) și obligația operatorului de a implementa măsuri tehnice şi organizatorice adecvate, incluzând capacitatea de a asigura confidenţialitatea, integritatea, disponibilitatea şi rezistenţa continue ale sistemelor şi serviciilor de prelucrare.”
Comunicat din 11.06.2020
În cursul desfășurării investigației Autoritatea Națională de Supraveghere a constatat că operatorul nu a implementat suficiente măsuri de securitate care să includă verificarea exactității datelor personale colectate telefonic (la distanță) în scopul încheierii contractelor.
Acest fapt a condus la o prelucrare ilegală a datelor petentului prin încheierea unor contracte de abonament pe numele său, folosind datele personale din contractul preexistent, fără verificarea corectitudinii acestora, contrar obligațiilor prevăzute de art. 32 din RGPD. În acest sens, art. 32 prevede, printre altele, la alin. (1) lit. b) și obligația operatorului de a implementa măsuri tehnice şi organizatorice adecvate, incluzând capacitatea de a asigura confidenţialitatea, integritatea, disponibilitatea şi rezistenţa continue ale sistemelor şi serviciilor de prelucrare.”
Comunicat din 11.06.2020
IX. 05.2020 – Enel Energie Muntenia SA – 4.000 EURO
Transmiterea unor documente ce conțineau datele sale personale unui alt client Enel, utilizând poșta electronică
„Investigația a fost demarată ca urmare a unei plângeri prin care petentul a sesizat încălcarea securității și confidențialității datelor cu caracter personal de către Enel Eergie Muntenia SA, prin transmiterea unor documente ce conțineau datele sale personale unui alt client Enel, utilizând poșta electronică.
În cursul desfășurării investigației Autoritatea Națională de Supraveghere a constatat că operatorul nu a luat suficiente măsuri de securitate și confidențialitate care să prevină divulgarea accidentală a datelor cu caracter personal către persoane neautorizate, încălcându-se prevederile art. 32 din RGPD.”
Comunicat din 18.06.2020
În cursul desfășurării investigației Autoritatea Națională de Supraveghere a constatat că operatorul nu a luat suficiente măsuri de securitate și confidențialitate care să prevină divulgarea accidentală a datelor cu caracter personal către persoane neautorizate, încălcându-se prevederile art. 32 din RGPD.”
Comunicat din 18.06.2020
Sintact.ro
Lista de mai sus sintetizează situaţia sancţiunilor, cu accent pe motivele care au stat la baza lor. Investigaţiile ANSPDCP rămân o sursă importantă de informaţie practică, motiv pentru care acestea sunt relevante pentru toţi operatorii de date cu caracter personal.