O nouă sancțiune aplicată de ANSPDCP

/in , /by

Conform comunicatului din data de 24/11/2020, în urma unei sesizări, ANSPDCP a sancționat operatorul DADA CREATION S.R.L. cu amendă și avertisment. Totodată, a aplicat și măsura corectivă de revizuire și actualizare a măsurilor tehnice și organizatorice.

5.000 EURO amendă

Operatorul sancționat a primit amenda pentru că prin intermediul site-ului operatorului era disponibil un document privind înregistrările detaliate ale tranzacțiilor recepționate de acest site de la clienții săi (persoane fizice) conținând date cu caracter personal:

  • adrese de e-mail;
  • numere de telefon;
  • nume și prenume clienți (persoane adulte și minori);
  • vârstă minori;
  • adrese de livrare;
  • număr comandă;
  • suma totală a comenzii;
  • produsele comandate;
  • data efectuării comenzii.

Divulgarea și accesul la datele personale au fost posibile din cauză că operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării. În urma neglijenței acestuia, datele personale ale unui număr de aproximativ 1091 persoane fizice, care au făcut comenzi pe site-ul operatorului, au putut fi accesate.

Avertisment pentru că incidentul de securitate nu a fost notificat

Avertismentul a fost aplicat operatorului sancționat, întrucât acesta nu a notificat Autorității de supraveghere incidentul de securitate, Autoritatea fiind cea care l-a informat despre incident.

Sancțiune GDPR pentru nerespectarea drepturilor persoanelor vizate

/in , /by

În data de 23/11/2020, ANSPDCP a publicat un comunicat despre sancțiunea aplicată Vodafone România S.A. pentru încălcarea dispozițiilor art. 12, art. 15 și art. 17 din GDPR.

Sancțiune: 19468,8 lei, echivalentul sumei de 4000 EURO

Concret, operatorul nu a răspuns, în termenul prevăzut de art. 12, unor cereri de exercitare a drepturilor de acces și ștergere prevăzute de art. 15 și art. 17 din GDPR. Pasivitatea operatorului a determinat persoana vizată să sesizeze autoritatea care a aplicat sancțiunea amenzii în cuantum de 19468,8 lei, echivalentul sumei de 4000 EURO, alături de măsura corectivă de a comunica un răspuns petentului la cererile sale cu privire la măsurile adoptate în baza acestora.

Furnizarea de informații către ANSPDCP – obligație a operatorilor

/in /by

Conform art. 14 alin. (2) din Legea nr. 102/2005, Autoritatea Națională de Supraveghere, prin intermediul personalului de control, poate „să ceară și să obțină de la operator și persoana împuternicită de operator, precum și, după caz, de la reprezentantul acestora, la fața locului și/sau în termenul stabilit, orice informații și documente, indiferent de suportul de stocare, să ridice copii de pe acestea, să aibă acces la oricare dintre incintele operatorului și persoanei împuternicite de operator, precum și să aibă acces și să verifice orice echipament, mijloc sau suport de stocare a datelor, necesare desfășurării investigației, în condițiile legii.” Aceasta înseamnă că, în cazul în care autoritatea solicită unui operator aflat sub investigație furnizarea unor informații, operatorul este obligat să le furnizeze. Dacă nu respectă această obligație, autoritatea îl poate sancționa prin aplicarea unei amenzi.

Recent, ANSPDCP a sancționat contravențional un operator tocmai pentru încălcarea normelor menționate mai sus.

Pentru că nu a îndeplinit obligația de a furniza informațiile solicitate de Autoritatea de supraveghere, operatorul Globus Score SRL a încălcat instrucțiunile ANSPDCP și a fost sancționat contravențional cu amendă în cuantum de 9.713,14 lei, echivalentul sumei de 2000 EURO.

Pe lângă amendă, operatorului i-a fost aplicată și măsura corectivă de a transmite autorității de supraveghere toate informațiile solicitate.

Activitatea ANSPDCP – Date statistice

/in /by

Activitatea Autorității de Naționale de Supraveghere

Conform comunicatului de presă publicat pe site-ul autorității, în perioada ianuarie 2020 – septembrie 2020, autoritatea a primit 3.952 de plângeri, 176 de sesizări și 128 de notificări privind incidente de securitate, pe baza cărora au fost deschise investigații.

În urma investigațiilor efectuate, sancțiunile aplicate au fost:

  • amenda – 22 amenzi în cuantum total de 68.900 euro și respectiv 10.000 lei, o amendă aplicată în temeiul Legii nr. 506/2004;
  • avertismentul – 46 de avertismente;
  • măsuri corective – 42 de măsuri corective.

Măsuri corective

Printre măsurile corective aplicate, autoritatea le menționează în comunicat pe următoarele:

  • respectarea cererilor persoanelor vizate prin care acestea și-au exercitat drepturile în temeiul RGPD;
  • asigurarea conformității operațiunilor de prelucrare cu dispozițiile RGPD;
  • revizuirea și actualizarea măsurilor tehnice și organizatorice implementate, inclusiv a procedurilor de lucru referitoare la protecția datelor cu caracter personal, precum și implementarea unor măsuri privind instruirea periodică a persoanelor care acționează sub autoritatea operatorului, referitor la obligațiile ce îi revin conform prevederilor RGPD, inclusiv cu privire la riscurile pe care le comportă prelucrarea datelor cu caracter personal, în funcție de specificul activității;
  • efectuarea unei evaluări privind riscul pentru drepturile și libertățile persoanelor care să cuprindă inclusiv încadrarea într-un grad de risc, ținând seama de natura, domeniul de aplicare, contextul și scopurile prelucrării;
  • revizuirea și actualizarea măsurilor tehnice şi organizatorice implementate ca urmare a evaluării privind riscul pentru drepturile și libertățile persoanelor, inclusiv a procedurilor de lucru referitoare la protecția datelor cu caracter personal.

GDPR – Noi sancțiuni

/in , /by

Potrivit comunicatului ANSPDCP din data de 01/10/2020, societatea Megareduceri TV S.R.L. și Asociația de proprietari Militari R au primit sancțiuni pentru nerespectarea GDPR.

Operatorul Megareduceri TV S.R.L. a primit următoarele sancțiuni:

  • amendă în cuantum de 14519,1 lei (echivalentul sumei de 3000 EURO) pentru neîndeplinirea măsurii corective dispuse de autoritate (de a răspunde la solicitările autorității);
  • măsură corectivă, de a transmite autorității un răspuns la adresele comunicate anterior în termen de 5 zile calendaristice.

Operatorul a fost investigat în urma sesizărilor persoanelor vizate cu privire la faptul că au primit prin sms mesaje comerciale care promovează serviciile de pe site-ul www.reducerazi.ro, fără să-și fi exprimat consimțământul pentru a primi astfel de mesaje pe numerele personale de telefon.

Operatorul Asociația de proprietari Militari R a primit următoarele sancțiuni:

  • amendă în cuantum de 9659 lei, echivalentul sumei de 2000 EURO, pentru că nu a adus la îndeplinire măsura corectivă dispusă de a transmite răspuns la solicitările autorității;
  • măsură corectivă, de a transmite în scris autorității toate informațiile solicitate prin adresa comunicată anterior, în termen de 5 zile calendaristice.

Ca și în primul caz, investigația a pornit ca urmare a plângerii unei persoane vizate căreia nu i s-a răspuns la cererea transmisă asociației de proprietari.

Pentru a afla noutățile din domeniul protecției datelor, urmăriți-ne pe blog și pe Facebook!

Proiect ANSPDCP – Decizie privind Cerințele suplimentare pentru acreditarea organismelor de certificare

/in , /by

Conform comunicatului de presă din data de 10/09/2020, ANSPDCP a publicat pentru a fi supus dezbaterii publice „Proiectul de Decizie a ANSPDCP privind Cerințele suplimentare pentru acreditarea organismelor de certificare în temeiul art. 43 din Regulamentul (UE) 2016/679”.

Asociația de Acreditare din România – RENAR a fost consultată la elaborarea cerințelor suplimentare din proiect.

Cerințele suplimentare pentru acreditarea organismelor de certificare se transmit pentru aviz Comitetului European pentru Protecția Datelor, în concordanță cu art. 64 din Regulamentul (UE) 2016/679.

În termen de 10 zile calendaristice de la data publicării anunțului, persoanele interesate pot transmite ANSPDCP propuneri și sugestii cu privire la proiectul de decizie.

Interesul legitim – cazul Forbes Ungaria

/in /by

Interesul legitim al Forbes Ungaria verificat de NAIH

Conform comunicatului postat pe site-ul EDBP, Forbes Ungaria a fost amendată de Autoritatea Națională pentru Protecția Datelor și Libertatea Informațiilor din Ungaria (NAIH) pentru nerespectarea prevederilor GDPR.

Operatorul Forbes Ungaria a fost investigat în două cazuri pentru:

  • publicarea listei cu cele mai mari întreprinderi familiale – decizia nr. NAIH/2020/1154/9 din 23/07/2020;
  • publicarea listei cu cei mai bogați 50 de cetățeni unguri – decizia nr. NAIH/2020/838/2 of 23/07/020.

Investigațiile au fost demarate ca urmare a plângerilor formulate de persoanele vizate ale căror drepturi au fost încălcate.

Amenda aplicată pentru ambele cazuri a fost în total de 4,5 milioane de forinți, operatorul primind alături de amendă, măsura mustrării și măsuri corective. Ambele decizii de sancționare au fost atacate la Tribunalul Budapesta.

Cauzele sancționării

Motivele pentru care operatorul a fost sancționat au fost:

  • nerespectarea prevederilor privind interesul legitim;
  • lipsa informării persoanelor vizate;
  • neacordarea posibilității persoanelor vizate de a-și exercita drepturile conform GDPR.

În această speță, operatorul a prelucrat date cu caracter personal pe baza interesului său legitim și al terțelor persoane interesate – publicul. În urma investigațiilor, autoritatea a constatat că operatorul:

  • nu a efectuat o evaluare a interesului legitim conform prevederilor GDPR;
  • nu a informat în prealabil persoanele vizate despre rezultatul evaluării interesului legitim atât pentru operator, cât și pentru public;
  • nu a informat persoanele vizate despre circumstanțele esențiale ale prelucrării și despre drepturile lor de a se opune prelucrării;
  • în răspunsurile furnizate reclamanților, nu a informat asupra modalităților de exercitare a dreptului de opoziție.

Cum ar trebui să procedeze un operator care prelucrează date personale pe baza interesului legitim?

Dacă pentru prelucrarea datelor personale se utilizează ca temei juridic interesul legitim, operatorul trebuie:

  • să evalueze interesul legitim și să efectueze testul de echilibru în urma căruia să reiasă că prelucrarea datelor este necesară și proporțională cu interesele, drepturile și libertățile persoanei vizate;
  • să informeze persoanele vizate, mai înainte de prelucrarea datelor lor, despre:
    • rezultatele evaluării interesului legitim;
    • dreptul lor de a se opune prelucrării;
    • modurile în care își pot exercita dreptul la opoziție.

Polonia – Școală mustrată pentru nerespectarea GDPR

/in /by

Prin intermediul comunicatului din data de 02/09/2020, Autoritatea pentru protecția datelor din Polonia (UODO) a anunțat că a mustrat o școală pentru prelucrarea fără temei legal a datelor personale ale elevilor. Concret, în anul școlar 2019/2020, școala a efectuat un sondaj intitulat „Diagnosticarea situației elevului la domiciliu și la școală” cu ajutorul căruia a examinat situația personală a elevilor. Scopul sondajului a fost să identifice elevii care necesită sprijin psihologic de la școala pe care o frecventează.

„Școala, ca entitate publică, poate prelucra date cu caracter personal în cadrul sarcinilor sale impuse de lege. La rândul lor, conform Legii educației, școlile prelucrează date cu caracter personal în măsura necesară pentru îndeplinirea sarcinilor și obligațiilor care decurg din aceste reglementări.”

Ce date au fost colectate de către școală?

Prin intermediul sondajului, școala a prelucrat date cu caracter personal ale elevilor, inclusiv minori, cum ar fi:

  • numele și prenumele;
  • cursurile la care participă;
  • indicarea tutorilor legali (părinților);
  • statutul familial (monoparental, familie completă);
  • informații despre:
    • decesul unui tutore (părinte);
    • separarea tutorilor legali (părinți);
    • educația și situația profesională a acestora;
    • numărul de persoane din gospodărie;
    • situația financiară, starea de sănătate și dependențele tutorilor legali (părinților);
    • situația locuințelor;
    • ajutoarele sociale.

Cum au fost prelucrate datele?

Sondajul a fost realizat de către profesorii claselor 7-8 ale școlii elementare și de către profesorii claselor de liceu. Modul de colectare a fost completarea unui formular pe baza instrucțiunilor directe ale directorului școlii.

Conform constatărilor din urma inspecției efectuate de personalul autorității, datele personale nu au fost copiate, înregistrate sau introduse în sisteme electronice de telecomunicații. Toate exemplarele formularelor completate în cadrul sondajului au fost distruse de o comisie oficială iar datele personale ale elevilor obținute în legătură cu sondajele nu au mai fost prelucrate. S-a mai constatat faptul că sondajul s-a realizat într-un mod care exclude posibilitatea divulgării neautorizate a datelor prelucrate.

De ce a fost aplicată mustrarea?

Școala nu a respectat principiul legalității prelucrării datelor conform căruia datele cu caracter personal trebuie prelucrate în mod legal, echitabil și transparent. Pentru a prelucra datele personale în conformitate cu GDPR, școala trebuia să aibă o obligație legală privind efectuarea unui sondaj în rândul elevilor.

Autoritatea pentru protecția datelor a reținut că „Școala, ca entitate publică, poate prelucra date cu caracter personal în cadrul sarcinilor sale impuse de lege. La rândul lor, conform Legii educației, școlile prelucrează date cu caracter personal în măsura necesară pentru îndeplinirea sarcinilor și obligațiilor care decurg din aceste reglementări. Actele legale care reglementează funcționarea instituțiilor de învățământ nu specifică astfel de sarcini și obligații ale școlilor care ar justifica prelucrarea datelor cu caracter personal ale elevilor în modul în care s-a făcut în entitatea penalizată, în legătură cu sondajul efectuat.”

Cum ar fi trebuit să procedeze pentru o prelucrare corectă?

Scopul prelucrării fiind deja stabilit – identificarea elevilor care necesită sprijin psihologic, pasul următor era alegerea temeiul juridic în baza căruia se va face prelucrarea. Apoi, temeiul fiind corect identificat, urmează să se stabilească:

  • modurile concrete de prelucrare, inclusiv prelucrarea cu ajutorul programelor informatice;
  • măsurile de securitate adecvate;
  • destinatarii datelor, persoanele care au acces la date, inclusiv cele către care vor fi transferate datele, dacă este cazul;
  • perioada de păstrare și modul de arhivare;
  • data și modalitatea de distrugere/ștergere a datelor.

La final, după ce toate aspectele de mai sus vor fi clarificate, se va întocmi nota de informare a persoanelor vizate, conform GDPR, și se va comunica persoanelor vizate. Dacă temeiul juridic pentru prelucrare este consimțământul (în cazul în care niciunul dintre celelalte temeiuri nu sunt aplicabile), doar copii peste 16 ani pot semna declarația de acordare a consimțământului.

3 sfaturi pentru asociațiile de proprietari, extrase din ultimul comunicat al ANSPDCP

/in /by

Proprietari sau nu, GDPR nu se aplică doar atunci când vrem noi.

Cu toate că au trecut 2 ani de la aplicarea GDPR, nu toți realizăm importanța protejării datelor cu caracter personal și a drepturilor persoanelor vizate. Sunt unele persoane cărora li se pare perfect justificată nerespectarea drepturilor unei alte persoane atunci când se pune problema apărării unui interes pe care îl consideră superior. În acele situații nu mai contează ce spune legea. Și dacă ar conta, legea nu se aplică decât în favoarea lor, conform interpretării proprii. Interpretarea legislației este o operațiune destul de dificilă pentru care este nevoie de studii de specialitate. Mulți uită lucrul ăsta și, oricum, ei știu cel mai bine.

Am auzit destul de des următoarea replică: „Nu avem nevoie de proceduri GDPR pentru că nu se aplică în cazul nostru. Montăm camere pentru siguranța locatarilor în spațiul nostru privat. E proprietatea noastră și facem ce vrem.” E inutil să explicăm cât de greșită este această abordare. În loc de explicații lungi și plictisitoare mai bine prezentăm speța din ultimul comunicat al ANSPDCP.

Ce aflăm din comunicatul ANSPDCP?

În urma unei plângeri, ANSPDCP a sancționat Asociația de proprietari Bl. FC 5, orașul Năvodari, județul Constanța, pentru nerespectarea GDPR.

Sancțiunile aplicate au fost:

  • amendă în cuantum de 2417,55 lei ( echivalentul a 500 euro) pentru prelucrarea ilegală a imaginii unei persoane fizice, provenită din sistemul de supraveghere video al asociației, prin afișare la avizierul imobilului, cu încălcarea principiilor de prelucrare a datelor personale;
  • avertisment pentru neadoptarea de măsuri de securitate, tehnice și organizatorice, adecvate pentru protejarea datelor personale colectate prin intermediul sistemului de supraveghere video;
  • avertisment pentru lipsa unei informări complete a persoanelor vizate ale căror date personale le prelucrează prin intermediul sistemului de supraveghere video deținut.

Asociației de proprietari i s-au aplicat și măsuri corective în sensul remedierii deficiențelor: informarea persoanelor vizate și adoptarea unor măsuri de securitate, tehnice și organizatorice, adecvate.

Ce se poate învăța din această speță?

1. Atunci când prelucrați imaginea unei persoane fizice, provenită din sistemul de supraveghere video al asociației, prin afișare la avizierul imobilului, respectați principiile de prelucrare a datelor personale prevăzute de art. 5 din GDPR, coroborat cu art. 6 alin. (1) din GDPR, articol care prevede temeiurile de prelucrare!

Conform GDPR, orice prelucrare trebuie să se facă respectând următoarele principii:

  1. Legalitate, echitate și transparență;
  2. Limitări legate de scop – să fie determinat, explicit și legitim;
  3. Reducerea la minimum a datelor colectate – adecvate, relevante și limitate la ceea ce este necesar;
  4. Exactitate – datele trebuie să fie exacte și actualizate;
  5. Limitări legate de stocare – să nu fie păstrate mai mult decât este necesar;
  6. Integritate și confidențialitate – modul de prelucrare să asigure o securitate adecvată.

Pentru ca o prelucrare de date cu caracter personal să fie legală, trebuie să se bazeze cel puțin pe unul dintre temeiurile de prelucrare prevăzute de art. 6 alin. (1) din GDPR:

  • consimțământul persoanei vizate;
  • prelucrarea este necesara pentru încheierea sau executarea unui contract;
  • prelucrarea este necesara pentru îndeplinirea unei obligații legale;
  • prelucrare este necesara pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
  • prelucrare este necesara pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;
  • prelucrare este necesara în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate.

Toate acestea nu sunt noutăți. Totuși, oricât le-am repeta se pare că nu e de ajuns.

2. Pentru protejarea datelor personale colectate prin intermediul sistemului de supraveghere video trebuie să implementați măsuri de securitate, tehnice și organizatorice, adecvate, în conformitate cu dispozițiile art. 25 și 32 din GDPR!

În speța prezentată, ANSPDCP, pe lângă măsurile generale implicite, recomandă următoarele măsuri pentru protejarea datelor personale:

  • imaginile să nu mai poată fi accesibile oricărei persoane – de exemplu, prin intermediul monitorului amplasat pe hol;
  • accesul imaginilor să nu se facă la distanță prin internet – cu ajutorul unor aplicații;
  • stabilirea, în cadrul Adunării Generale a Asociației de Proprietari, următoarelor:
    • un număr limitat de persoane care să aibă acces la acest sistem;
    • drepturile ce pot fi alocate fiecăreia dintre persoanele cu drept de acces;
    • întocmirea unor instrucțiuni clare de prelucrare pentru persoanele care prelucrează date sub autoritatea asociației.

3. Informați complet persoanele vizate ale căror date personale sunt prelucrate prin intermediul sistemului de supraveghere video, cu privire la prelucrarea prin intermediul acestui sistem, potrivit cerințelor art. 12 și 13 din GDPR!

Informarea persoanelor vizate este prezentată destul de clar în cuprinsul art. 12 și 13 din GDPR. Pentru că nu a făcut o informare corespunzătoare, asociația de proprietari a fost obligată de autoritate să asigure informarea completă a persoanelor vizate, prin furnizarea tuturor informațiilor prevăzute de art. 12-13 din RGPD, la loc vizibil, în apropierea camerelor de supraveghere.

Chiar dacă pare dificilă, conformarea cu regulile GDPR se poate face atunci când se dorește acest lucru. Este nevoie de timp și de răbdare. Și, poate cel mai important, de o nouă perspectivă asupra dreptului la viața privată a celuilalt, drept care de cele mai multe ori este uitat.

Despre prelucrarea datelor cu caracter personal prin intermediul unui sistem CCTV, alături de Roxana Păunescu, am mai scris:

GDPR – Noi sancțiuni aplicate în UE

/in /by

GDPR contează și se aplică

Chiar dacă majoritatea operatorilor, din diferite motive, ignoră prevederile GDPR și drepturile persoanelor vizate, mai devreme sau mai târziu, vor trebui să implementeze standardele de protecție necesare unor prelucrări legale de date cu caracter personal.

După cum veți observa în cele ce urmează, în UE autoritățile pentru protecția datelor pun în aplicare prevederile GDPR și sancționează încălcările acestora. Încet, dar sigur, operatorii nu vor mai vedea normele privind protecția datelor ca pe ceva facultativ și le vor acorda atenția cuvenită.

Spania

Autoritatea pentru protecția datelor din Spania (AEPD) a aplicat mai multe amenzi pentru nerespectarea normelor GDPR. Faptele sancționate au fost următoarele:

  • nerespectarea principiului confidențialității, prevăzut la articolul 5 alineatul (1) litera (f) din GDPR. – societatea XFERA MOVILES a primit o amendă de 70.000 EUR pentru dezvăluirea datelor personale ale unui client către o terță parte; (detalii puteți găsi aici↵)
  • încălcarea articolului 6 alineatul (1) din GDPR, referitor la prelucrarea datelor cu caracter personal ale reclamantului fără nicio bază legală – VODAFONE ESPAÑA a primit o amendă de 75.000 EUR pentru prelucrarea numărului de telefon al persoanei vizate în scop de marketing după ce aceasta și-a exercitat dreptul la ștergerea datelor; (detalii puteți găsi aici↵)
  • nerespectarea art. 58 alin. (1) it. e) din GDPR privind comunicarea informațiilor necesare soluționării plângerii – solicitarea de informații formulată pentru a investiga faptele identificate într-o plângere – IBERDROLA CLIENTES a fost sancționată cu 5.000 de euro; (detalii puteți găsi aici↵)

Norvegia

Autoritatea pentru protecția datelor din Norvegia a amendat municipalitatea Rælingen pentru că a prelucrat datele privind sănătatea copiilor cu nevoi speciale prin intermediul platformei digitale de învățare Showbie fără ca aplicația să fi avut testări și evaluări de risc necesare, precum și o evaluare de impact asupra vieții private (DPIA) mai înainte de a fi utilizată. Amenda aplicată este de 47.500 EUR. (detalii puteți găsi aici↵)

Polonia

Autoritatea pentru protecția datelor din Polonia (UODO) a aplicat o amendă de 5 000 PLN unui antreprenor care deține o creșă și unități de învățământ preșcolar pentru nerespectarea art. 58 alin. (1) it. e) din GDPR privind comunicarea informațiilor necesare autorității pentru desfășurarea investigației. Sancțiunea a fost aplicată pentru că operatorul nu a furnizat autorității accesul la datele cu caracter personal și la alte informații necesare îndeplinirii sarcinilor sale. (detalii puteți găsi aici↵)