Aici descoperim
dreptul tehnologiei

gdpr-general-data-protection-regulation-protection-personal-data_68196-50.jpg

Regulamentul privind protecția datelor cu caracter personal nu mai este o necunoscută la nivel juridic și social. Prevederile sale sunt aplicabile erga omnes și presupun, în caz de încălcare, aplicarea sancțiunilor necesare. Actualmente s-a statuat că și persoanele fizice se vor conforma și pot să fie sancționate prin prezentul regulament. Ce se întâmplă însă cu asociațiile de proprietari? Au acestea calitatea de subiect activ – prin aceasta înțelegându-se subiectul asupra căruia se va aplica sancțiunea pentru încălcarea prevederilor privind protecția datelor cu caracter personal?

Înainta de a trata propriu-zis problematica enunțată, este necesar să pornim de la pct. (129) din Regulamentul privind protecția datelor cu caracter personal. În acest sens, sunt precizate următoarele:

  • pentru a se asigura consecvența monitorizării și a aplicării prezentului regulament în întreaga Uniune, autoritățile de supraveghere ar trebui să aibă în fiecare stat membru aceleași sarcini și competențe efective, inclusiv competențe de investigare, competențe corective și sancțiuni, precum și competențe de autorizare și de consiliere, în special în cazul plângerilor depuse de persoane fizice, precum și, fără a aduce atingere competențelor autorităților de urmărire penală în temeiul dreptului intern, de a aduce în atenția autorităților judiciare cazurile de încălcare a prezentului regulament și de a se implica în proceduri judiciare. Aceste competențe ar trebui să includă și competența de a impune o limitare temporară sau definitivă, inclusiv o interdicție, asupra prelucrării.

Atare prevederi conferă o protecție sporită persoanei, în sensul de a preciza modalitatea în care se va realiza protecția datelor cu caracter personal, dacă se produce o încălcare a acestora. Astfel, Regulamentul prevede posibilitatea de stabilire a unor competențe clare, care se vor subsuma în competențe de investigare, corective și sancționatorii, dar și în competențe de consiliere și autorizare.

 

 

La nivel intern, în ceea ce privește aplicarea sancțiunilor privind încălcarea prevederilor în materie de protecție a datelor cu caracter personal, regăsim ca entitate îndreptățită Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).  În privința subiectului aplicării sancțiunilor, apare întrebarea cu privire la calitatea de subiect ,,activ” în materie de nerespectare a prelucrării datelor cu caracter personal a asociațiilor de proprietari.

Asociația de proprietari este definită drept o formă de asociere autonomă și nonprofit a majorității proprietarilor dintr-un codominiu. Poate aceasta fi sancționată pentru nerespectarea prevederilor privind protecția datelor cu caracter personal?

 

Te-ar putea interesa și:

 

Pentru lămurirea acestei problematici vom porni de la un caz practic, anume de la sancțiunea aplicată de către Autoritatea Națională de Supraveghere unei asociații de proprietari. Sancțiunea aplicată a fost urmare a unei plângeri, ce avea ca obiect accesarea, utilizarea și dezvăluirea către terțe persoane, fără temei legal, a unor imagini cu persoana în cauză. Imaginile respective proveneau de la sistemul de supraveghere al asociației. Investigarea realizată de către Autoritatea de Supraveghere a condus la concluzia că nu s-au adoptat măsurile de securitate pentru protejarea datelor personale colectate.

Sancțiunea aplicată a fost amenda în valoare de 500 de euro, pentru încălcarea prevederilor art. 83, alin. (5), lit. a) și b) și ale art. 83, alin. (4) din Regulamentul privind protecția datelor cu caracter personal. De asemenea, s-au aplicat următoarele măsuri corective:

  • de a asigura conformitatea cu RGPD a operațiunilor de prelucrare efectuate prin intermediul sistemului de supraveghere video în sensul informării persoanelor vizate conform art. 12 și 13 din RGPD, inclusiv prin postarea unor avertizări și note de informare în apropierea locurilor unde sunt montate camerele video, în termen de 10 zile lucrătoare de la data comunicării prezentului proces-verbal (art. 58 alin. (2) lit. d) din RGPD);

 

KIT GDPR Premium

 

  • de a asigura conformitatea cu RGPD a operațiunilor de prelucrare prin adoptarea unor măsuri de securitate, tehnice și organizatorice, adecvate pentru protejarea datelor personale colectate prin intermediul sistemului de supraveghere video, inclusiv sub aspectul integrării principiilor de protecție a datelor (cum ar fi cel al stocării limitate a înregistrărilor), al stabilirii unui număr limitat de persoane care să aibă acces la acest sistem, al drepturilor ce pot fi alocate fiecăreia dintre acestea, al prevederii unor instrucțiuni clare de prelucrare pentru persoanele care prelucrează date sub autoritatea asociației, astfel încât să se evite accesarea, diseminarea sau prelucrarea în alt mod neautorizat a datelor personale prelucrate prin intermediul acestui sistem, conform art. 25 și art. 32 din RGPD, în termen de 30 zile de la data comunicării prezentului proces-verbal (art. 58 alin. (2) lit. d) din RGPD).

Măsurile au fost aplicate în scopul asigurării conformității operațiunilor de prelucrare cu prevederile Regulamentului privind protecția datelor cu caracter personal. Pe aceste considerente și având în vedere cazul expus anterior, asociațiile de proprietari pot să fie supuse aplicării sancțiunilor în materie de prelucrare a datelor cu caracter personal (punctual în stituația în care se realizează stocări ale anumitor înregistrări video, care pot să fie accesate, diseminate sau prelucrate în mod neautorizat).

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



padlock-computer-circuit-board_93675-6912.jpg

Autoritatea Națională de Supraveghere a finalizat, pe data de 13.12.2019, o investigație la operatorul Entirely Shipping & Trading S.R.L., constatând  următoarele:

  • încălcarea dispozițiilor art. 12 și art. 13 din Regulamentul General privind Protecția Datelor (RGPD);
  • încălcarea dispozițiilor art. 5 alin. (1) lit. c), art. 6 și art. 7 din RGPD;
  • încălcarea dispozițiilor art. 5 alin. (1) lit. c), art. 9 și art. 7 din RGPD;
  • încălcarea dispozițiilor art. 5 alin. (1) lit. a), b) și e) și art. 6 din RGPD.

Operatorul Entirely Shipping & Trading S.R.L. a fost sancționat astfel:

  • avertisment pentru încălcarea dispozițiilor art. 12 și art. 13 din RGPD, întrucât operatorul nu a prezentat dovezi din care să rezulte că a asigurat o informare clară, completă și corectă a persoanelor vizate; Citește acest articol pentru a afla cum trebuie să informezi persoana vizată. 
  • amendă în cuantum de 23.893 lei, echivalentul a 5.000 euro, pentru încălcarea  dispozițiilor art. 5 alin. (1) lit. c), art. 6 și art. 7 din RGPD, întrucât operatorul a prelucrat în mod excesiv datele cu caracter personal (imaginea) ale angajaților săi prin intermediul camerelor video instalate în birourile în care aceștia își desfășoară activitatea și în locurile în care există dulapuri unde angajații își depozitează hainele de schimb (vestiare); Citeste acest articol pentru a afla cum poți supraveghea video legal angajații.
  • amendă în cuantum de 23.893 lei, echivalentul a 5.000 euro, pentru încălcarea dispozițiilor art. 5 alin. (1) lit. c), art. 9 și art. 7 din RGPD, întrucât operatorul a prelucrat date biometrice (amprente) ale angajaților putând fi utilizate şi alte mijloace pentru atingerea acestui scop, mai puţin intruzive pentru viața privată a persoanelor vizate;
  • avertisment pentru încălcarea dispozițiilor art. 5 alin. (1) lit. a), b) și e) și art. 6 din RGPD, întrucât operatorul a prelucrat ilegal datele cu caracter personal ale unui fost angajat prin utilizarea acestora în cadrul corespondenței prin poșta electronică, în scopul desfăşurării activităţii societăţii, ulterior încetării relației contractuale cu acesta. Citește acest articol pentru a afla în ce condiții poți accesa e-mailul unui fost angajat. 

 

Sancțiunile au fost aplicate ca urmare a unei plângeri prin care se reclama faptul că Entirely Shipping & Trading S.R.L. a instalat camere de supraveghere audio-video în birourile angajaților, în vestiare și în sala de mese și că, în anumite locații (spații cu acces restricționat), accesul se realiza pe bază de amprentă.

De asemenea, s-a reclamat faptul că operatorul s-a folosit de identitatea unui fost angajat în transmiterea unor e-mail-uri în interes de serviciu fără ca acesta din urmă să fi fost informat în prealabil.

În cadrul investigației, s-au constatat următoarele:

KIT GDPR Premium

 

Totodată, operatorului i s-au aplicat și următoarele măsuri corective:

  • măsura corectivă de a asigura informarea corectă a persoanelor vizate prin comunicarea într-o formă concisă, transparentă, inteligibilă și ușor accesibilă a tuturor informațiilor prevăzute de art. 13 din RGPD și în condițiile de transparență menționate la art. 12 din RGPD, precum și de a modifica documentele prin care se realizează în prezent informarea; (modele de note de informare conforme GDPR se găsesc aici)
  • măsura corectivă de a asigura conformitatea operațiunilor de prelucrare a datelor personale în activitatea de monitorizare video, cu respectarea principiului “reducerii la minimum a datelor”;
  • măsura corectivă de a asigura conformitatea operațiunilor de prelucrare a datelor personale în activitatea de control acces, cu respectarea principiului “reducerii la minimum a datelor”;
  • măsura corectivă de a asigura conformitatea operațiunilor de prelucrare a datelor personale cu dispozițiile RGPD, prin realizarea unei politici de securitate și implementarea unor măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscurilor. (modele de politici și proceduri GDPR se găsesc aici)

Sursa: dataprotection.ro

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Te-ar putea interesa și:

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



abstract-technology-binary-code-background-with-gdpr-icons_158941-1.jpg

Autoritatea Națională de Supraveghere a finalizat, în data de 16.12.2019, o investigație la operatorul SC Enel Energie S.A., constatând  următoarele:

Operatorul S.C. Enel Energie S.R.L. a fost sancționat contravențional cu două amenzi, fiecare în cuantum de 14.334,30 lei, echivalentul sumei de 3000 EURO pentru încălcarea art. 5 alin. (1) lit. d) (principiul exactității), art. 6 alin. (1) lit. a) (consimțământ) și art. 7 alin. (1) din Regulamentul General privind Protecția Datelor, respectiv pentru încălcarea dispozițiilor art. 21 alin. (1) (dreptul la opoziție) din Regulamentul General privind Protecția Datelor.

Sancțiunile au fost aplicate ca urmare a unei plângeri prin care se reclama faptul că S.C Enel Energie S.A. a prelucrat nelegal datele petentului, neputând face dovada obținerii consimțământului acestuia pentru transmiterea de notificări pe această adresă de e-mail și fără respectarea principiului exactității. În plus, operatorul nu a luat măsurile necesare pentru dezactivarea transmiterii de notificări, deși petentul și-a exercitat dreptul de opoziție în mai multe rânduri.

Amenda a fost achitată de operator.

 

Te-ar putea interesa și:

 

KIT GDPR Premium

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



abstract-technology-binary-code-background-with-gdpr-icons_158941-1.jpg

Autoritatea Națională de Supraveghere a finalizat, în data de 10.12.2019, o investigație la o Hora Credit IFN S.A. și a constatat încălcarea anumitor dispoziții din Regulamentul General privind Protecția Datelor (RGPD).

Operatorul a fost sancționat astfel:

  • pentru contravenția constatată potrivit art. 12 din Legea nr. 190/2018, prin raportare la dispozițiile enumerate la art. 83 alin. (5) lit. a) din RGPD – amendă în cuantum de 14336,1 lei, echivalentul a 3000 euro;
  • pentru contravenția constatată potrivit art. 12 din Legea nr. 190/2018, prin raportare la dispozițiile enumerate la art. 83 alin. (4) lit. a) din RGPD – amendă în cuantum de 47787 lei, echivalentul a 10.000 euro;
  • pentru contravenția constatată potrivit art. 12 din Legea nr. 190/2018, prin raportare la dispozițiile enumerate la art. 83 alin. (4) lit. a) din RGPD (raportat la art. 33 alin. (1) din RGPD) – amendă în cuantum de 4778,7 lei, echivalentul a 1000 euro.

Te-ar putea interesa și:

 

Sancțiunile au fost aplicate ca urmare a unei plângeri prin care s-a reclamat faptul că Hora Credit IFN SA a transmis pe adresa de e-mail documente ce conțineau datele personale ale unei alte persoane.

Deși respectiva eroare a fost sesizată atât operatorului, cât și call center-ului acestuia, Hora Credit IFN SA nu a remediat acest aspect, transmițând în continuare mesaje pe adresa de e-mail.

În urma investigației s-a constatat că Hora Credit IFN SA a prelucrat datele fără să dovedească aplicarea unor mecanisme eficiente de verificare și validare a exactității datelor colectate și ulterior prelucrate, respectiv, de păstrare a confidențialității acestora, conform principiilor prevăzute la art. 5 din RGPD.

De asemenea, s-a constatat că operatorul nu a luat suficiente măsuri de securitate a datelor personale, potrivit art. 25 și 32 din RGPD, astfel încât să evite dezvăluirea neautorizată și accesibilă a datelor persoale către terți.

Totodată, Hora Credit IFN SA nu a notificat Autorității de supraveghere incidentul de securitate ce i-a fost adus la cunoștință, potrivit art. 33 din RGPD, în termen de 72 de ore de la data la care a luat cunoștință de acesta.

 

 

În același timp, oeratorului i s-au aplicat și următoarele măsuri corective:

  • măsura corectivă de a asigura conformitatea cu RGPD a operațiunilor de colectare și prelucrare ulterioară a datelor personale în scopul încheierii și executării contractelor de împrumut, în special, sub aspectul verificării datelor personale colectate, precum adresa de poștă electronică, ce permit comunicarea la distanță a datelor personale, prin implementarea unor metode eficiente de validare a exactității datelor – în termen de 30 zile de la data comunicării procesului-verbal de contravenție (art. 58 alin. (2) lit. d) din RGPD);
  • măsura corectivă de a asigura conformitatea cu RGPD a operațiunilor de prelucrare a datelor personale în scopul încheierii și executării contractelor de împrumut, în vederea respectării secretului profesional și a confidențialității datelor personale ale clienților săi, în special, în cazul transmiterii unor documente și mesaje ce conțin date personale la distanță (de exemplu, prin poșta electronică), prin implementarea unor măsuri adecvate și eficiente de securitate, atât din punct de vedere tehnic (precum criptarea), cât și din punct de vedere organizatoric, prin instruirea persoanelor ce prelucrează date sub autoritatea sa, în vederea identificării și limitării imediate a riscurilor ce pot afecta persoanele vizate – în termen de 30 zile de la data comunicării procesului-verbal de contravenție (art. 58 alin. (2) lit. d) din RGPD);
  • măsura corectivă de a asigura conformitatea cu RGPD a operațiunilor de prelucrare a datelor personale în scopul implementării unei politici interne adecvate pentru identificarea riscurilor, analiza acestora și notificarea către ANSPDCP în cazul producerii unei încălcări a securității, în condițiile prevăzute de art. 33 alin. (1) din RGPD – în termen de 30 zile de la data comunicării procesului-verbal de contravenție (art. 58 alin. (2) lit. d) din RGPD).

KIT GDPR Premium

 

 

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



uber.jpg

Îți amintești de amenda aplicată de către ANSPDCP în 2018 (înainte de aplicarea GDPR în România) companiei UBER pentru breșa de securitate din 2016? Dacă nu îți amintești, nu îți face probleme, vom detalia în continuare tot ce trebuie să știi despre acest caz. Nouă ni se pare un caz interesant pentru că releva informații importante despre (1) modalitatea de desfășurare concretă a investigației ANSPDCP la sediul Uber; (2) mecanisme contractuale interesante între operatori și persoane împuternicite prin explicarea relațiilor dintre companiile afiliate Uber și (3) clarificarea anumitor elemente de drept în zona sferei online.

Nr. Hotărârii: 8719/2018, rămasă definitivă prin respingerea apelului la Tribunalul București

Instanța: Judecătoria Sectorului 1 București

Sursa: rolii.ro

Ce s-a întâmplat?

Conform informațiilor transmise de Uber prin intermediul plângerii contravenționale, în urma unei breșe de securitate a aplicației Uber, datele cu caracter personal a aproximativ 30.000 de persoane fizice au fost compromise (șoferi și călători Uber). Echipa de securitate a companiei a stabilit că persoana neautorizată, care acționase împreună cu o a doua persoană, a obținut acces la un cod sursă stocat pe o pagină pusă la dispoziția UBER de un furnizor de servicii cloud, numită GitHub. Utilizând credențialele acolo disponibile, persoana neautorizată (exterioară organizației) a reușit să acceseze și să descarce anumite date arhivate privind Șoferii și Călătorii Uber.

Echipa de securitate a stabilit rapid modul de acces, a închis accesul persoanelor neautorizate și a luat celelalte măsuri pentru a confirma faptul că persoanele au distrus și nu vor utiliza sau disemina informațiile în continuare. De asemenea, Uber a implementat măsuri suplimentare pentru îmbunătățirea securității datelor, inclusiv instituirea autentificării prin recurs la două elemente (two-factor authentication – user și parolă, plus un alt element exterior pe care numai userul autorizat ar putea să îl cunoască) pentru GitHub.

Accesul neautorizat la aceste date a început pe 13 octombrie 2016 și a ținut până pe 15 noiembrie 2016.

Întrucât printre persoanele fizice vizate se aflau și cetățeni români, ANSPDCP a sancționat în luna mai 2018 (cu doar câteva zile înainte de aplicarea GDPR), în urma unei investigații care s-a întins pe câteva luni, compania UBER SYSTEMS ROMÂNIA S.R.L. cu amendă și cu sancțiunea complementară de a notifica cei 30.000 utilizatori cu privire la breșa de securitate din anul 2016 și de a plăti amenzi cominatorii în cuantum de 5.000 lei/zi întârziere până la notificarea efectivă a utilizatorilor.

 

 

Uber a atacat procesul-verbal de constatare a contravenției în instanță și a câștigat la Judecătoria Sectorului 1 București. ANSPDCP a formulat apel împotriva hotărării și a pierdut la Tribunalul București. Pentru că în acest caz sunt informații importante despre interpretarea normelor privitoare la protecția datelor cu caracter personal, în continuare, vom prezenta sintetic apărările Uber, apărările ANSPDCP și concluziile instanței de judecată.

 

Apărările Uber pe scurt

1. Uber Systems Romania SRL nu poate fi trasă la răspundere pentru eventualele breșe de securitate, deoarece nu este operator de date, ci o persoană împuternicită a operatorului de date UBER BV cu sediul în Olanda. Conform argumentelor Uber, compania UBER BV cu sediul în Olanda este operatorul de date inclusiv pentru utilizatorii din România. Uber a detaliat mecanismul contractual prin care a reușit să scoată Uber Systems Romania SRL din sfera răspunderii în România:

„În ceea ce privește protecția datelor cu caracter personal ale utilizatorilor aplicației Uber, operatorul de date cu caracter personal este Uber BV pentru toți utilizatorii – Călători și Șoferi – care se află în afara Statelor Unite ale Americii (așa cum rezultă inclusiv din Termenii și Condițiile de folosire a aplicației)..

Ca urmare, Uber BV este operatorul care colectează și care ulterior prelucrează datele cu caracter personal ale utilizatorilor aplicației, inclusiv ale utilizatorilor de pe teritoriul României, în special deoarece aceste este singurul deținător al licenței de utilizare a aplicației Uber în afara Statelor Unite. Colectarea și prelucrarea datelor cu caracter personal se realizează în scopurile și în conformitate cu Politica de Confidențialitate a Uber BV.

 

Te-ar putea interesa și:

 

În ceea ce o privește pe Uber Systems România, activitatea acesteia nu are o implicare directă în operarea propriu-zisă a aplicației Uber. Uber Systems România realizează activități de marketing și suport pentru Uber B.V. (…)

Așadar, Uber Systems România nu este operator de date cu caracter personal în ceea ce privește utilizatorii aplicației. Uber Romania oferă anumite servicii de asistență pentru Uber B.V., respectiv asistență pentru clienți și marketing, și acționează în calitate de persoană împuternicită de către operator pentru Uber B.V. în acest scop specific.

Acest aspect rezultă din Acordul de procesare a datelor din data de 31.03.2016 încheiat între Uber BV și afiliații săi, printre care și Uber Systems România , care stipulează foarte clar:

a) Uber BV este operatorul de date cu caracter personal al utilizatorilor din afara teritoriilor Statelor Unite ale Americii; acesta este de asemenea și exportator al datelor personale colectate, date pe care afiliații acestuia urmează să le proceseze în conformitate cu Contractul și cu standardele Uber BV (așa cum rezultă din preambulul Acordului și din Anexa 1 la Clauzele contractuale standard anexate Acordului);

b) că Uber Systems Romania este doar persoană împuternicită să prelucreze date cu caracter personal după instrucțiunile Uber BV;, operațiunile de prelucrare și scopul acestora sunt descrise în Acord (în special Anexa 1 la Clauzele contractuale standard anexate Acordului);

c) care sunt datele cu caracter personal exportate, scopul și modul prelucrării acestora (Clauza 3 și Anexa 1 la Contract, astfel cum a fost ulterior completată);

d) care sunt drepturile utilizatorilor aplicației (persoanele vizate de la care se colectează datele) față de UberBV, față de afiliații acestuia și inclusiv față de subcontractorii agreați (Clauza 3 a Contractului) și cum se exercită acestea.”

Din păcate, instanța a admis plângerea contravențională pe altă argumentație, și nu a răspuns la această apărare, considerând-o ca nerelevantă pentru soluționarea cauzei, dar a oferit un indiciu important: „Referitor la apărările intimatei în sensul că a admite că Uber Systems ROMANIA S.R.L. nu este responsabilă de modalitatea de prelucrare a datelor si implicit de asigurarea securității acestora, înseamna a se ajunge în situația în care societatea nu ar raspunde sub nicio formă pentru încălcarea legilor romane privind protecția datelor, în măsura în care operatorul este situat în afara Romaniei, deși prelucreaza datele persoanelor fizice situate pe teritoriul Romaniei, prin mijloace de comunicatii electronce va fi înlăturată ca nerelevantă, întrucât în cauză s-a pus în discuție doar raspunderea contravențională a societății petente.”

KIT GDPR Premium

 

2. Dispozițiile Legii nr. 506/2004 (legea în baza căreia s-a sancționat) nu sunt aplicabile întrucât nici Uber BV nici Uber Systems România deoarece aceștia nu sunt furnizori deservicii de comunicații electronice destinate publicului.”

Este foarte important a se face distincția între servicii ale societății informaționale, pe de o parte, și servicii de comunicații electronice, pe de altă parte.

Referitor la cadrul normativ național, petenta a arătat că activitatea de furnizare de rețele si servicii de comunicații electronice este reglementata la nivelul legislației primare de către Ordonanța de urgenta a Guvernului nr. 111/2011 privind comunicațiile electronice, aprobata, cu modificări si completări, prin Legea nr. 140/2002, cu modificările si completările ulterioare („OUG nr. 111/2011”). De altfel, dispozițiile art. 2 alin. (2) din Legea nr. 506/2004 fac trimitere expresa la definițiile relevante prevăzute in cuprinsul OUG nr. 111/2011, inclusiv “rețea de comunicații electronice” (art. 4 alin. (1) pct. 6 din OUG nr. 111/2011), “furnizor de rețele de comunicații electronice” (art. 4 alin. (1) pct. 8 din OUG nr. 111/2011) si “serviciu de comunicații electronice” (art. 4 alin. (1) pct. 9 din OUG nr. 111/2011).

Se observa, așadar, ca, pentru a dobândi calitatea de furnizor de retele/servicii de comunicații electronice, este necesara transmiterea unei notificări către Autoritatea Naționala pentru Administrare si Reglementare in Comunicații (“ANCOM”).  Textul partii introductive a art. 6 alin. (1) din OUG nr. 111 /2011 face referire la “orice persoana care intenționează sa furnizeze rețele de servicii de comunicații electronice”, care “are obligația să transmită ANCOM o notificare (…)”, ceea ce inseamna ca, in lipsa/anterior transmiterii unei notificări către ANCOM, persoana respectiva nu are calitatea de furnizor de retele/servicii de comunicații electronice. De asemenea, transmiterea notificării se realizeaza “in scopul realizării unei evidente oficiale a furnizorilor”, calitatea de furnizor de retele/servicii de comunicații electronice avand-o, deci, persoanele care sunt inscrise in evidenta oficiala realizata de ANCOM pe baza notificărilor transmise.

Având in vedere, printre altele, dispozițiile art. 6 si art. 8 din OUG nr. 111 /2011, președintele ANCOM a emis Decizia nr. 987/2012 privind regimul de autorizare generală pentru furnizarea rețelelor și a serviciilor de comunicații electronice. Acest act normativ reglementează atat procedura de notificare a intenției de a furniza retele/servicii de comunicații electronice, cat si drepturile si obligațiile generale ale persoanelor care au dobândit calitatea de furnizor de rețele/servicii de comunicarii electronice în urma transmiterii notificarii (autorizația generală).

Potrivit dispozițiilor art. 8 alin. (1) din Decizia nr. 987/2012, „Solicitantul care a realizat notificarea în termenul și în condițiile prevăzute de prezenta decizie este considerat furnizor de rețele sau de servicii de comunicații electronice pentru tipurile de rețele ori de servicii de comunicații electronice indicate în notificare, denumit în continuare furnizor, și dobândește drepturile și obligațiile specifice prevăzute de autorizația generală pentru tipurile de rețele sau de servicii de comunicații electronice indicate în notificare, de la data prevăzută la art. 5 alin. (4) sau (5), după caz.” .

Așadar, calitatea de furnizor de r etele/servicii de comunicații electronice este dobândita de solicitantul care a transmis notificarea cu respectarea termenelor si cerințelor legale, in lipsa transmiterii notificării neexistand calitatea de furnizor de retele/servicii de comunicații electronice. De altfel, textul art. 8 alin. (1) din Decizia nr. 987/2012 si interpretarea acestuia sunt in deplin acord cu prevederile art. 6 alin. (1) din OUG nr. 111/2011, citate in cuprinsul paragrafului 73 de mai sus, si cu interpretarea ce rezulta din acestea, menționata in cuprinsul aceluiași paragraf.

Astfel, calitatea de furnizor de servicii de comunicații electronice este detinuta de persoanele inscrise in Registrul public al furnizorilor de retele/servicii de comunicații electronice, disponibil pe pagina de internet http://www.ancom.org.ro/furnizoricomunicatii-electronice_133, inscriere care se realizeaza in urma transmiterii unei notificări cu respectarea termenelor si cerințelor legale. Or, U___ nu este inscrisa in registru si, ca urmare, nu are calitatea de furnizor de servicii de comunicații electronice.

A menționat ca, potrivit dispozițiilor art. 142 pct. 1 din OUG nr. 111 /2011, “furnizarea rețelelor sau a serviciilor de comunicații electronice de către o persoană care nu este autorizată în condițiile art. 6 pentru acel tip de activitate” constituie contravenție.

In orice caz, pentru evitarea oricărui dubiu, petenta a aratat ca, in subsidiar, U___ nici nu avea obligația de a transmite ANCOM notificarea prevăzută la art. 6 din OUG nr. 111/2011, intrucat serviciile furnizate de U___ nu reprezintă servicii de comunicații electronice.

Petenta a susținut că serviciile furnizate de Uber nu reprezintă servicii de comunicații electronice.”

Instanța de judecată a considerat întemeiată această apărare, considerând că Uber nu poate fi subiect activ al faptei contravenționale de a nu notifica persoanele vizate afectate în temeiul Legii nr. 506/2004, deoarece nu are calitatea de furnizor de servicii de comunicații electronice. 

„În ceea ce privește considerarea petentei drept un furnizor de servicii de comunicații electronice care ar consta în întregime/în principal în transmiterea semnalelor prin rețelele de comunicații electronice, prin intermediul internetului, instanța constată că nu s-a făcut dovada că activitatea petentei constă în transmiterea semnalelor prin rețele de comunicații electronice.

Sub acest aspect, instanța constată că nu poate fi confundată activitatea de transmitere a semnalelor prin rețelele publice de comunicații cu prestarea unor servicii prin care se furnizează conținutul informației transmise prin intermediul rețelelor. De asemenea, nu poate fi confundată activitatea de transmitere a semnalelor prin rețelele publice de comunicații cu  serviciile societății informaționale, care potrivit art.1 lit.(c) din Legea nr.365/2002, constau în efectuarea unui serviciu prin transmiterea informației la cererea individuală a destinatarului.”

În concluzie, considerând această apărare întemeiată, instanța a admis plângerea contravențională și a anulat procesul verbal de contravenție și nu s-a mai pronunțat cu privire la temeinicia celorlalte apărări Uber, considerându-le nerelevante. Hotărârea instanței a rămas definitivă prin respingerea apelului declarat de către ANSPDCP.

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

 

 

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



purple-alarm-clock-stack-increasing-coins-wooden-desk-against-blue-background_23-2147943419.jpg

Autoritatea Națională de Supraveghere, în exercitarea atribuțiilor sale de investigare, a sancționat operatoruluiModern Barber S.R.L, pe data de 26.11.2019cu amendă în cuantum de 14329,5 lei, echivalentul sumei de 3000 EURO.

Sancțiunea a fost aplicată operatorului Modern Barber S.R.L pentru fapta prevăzută de art. 83 alin. (5) din Regulamentul (UE) 679/2016, raportat la art. 58 alin. (1) lit. a) și lit. e) și coroborat cu art. 8 din O.G. nr. 2/2001.

Astfel, Modern Barber S.R.L nu a furnizat informaţiile solicitate de  Autoritatea Națională de Supraveghere, încălcându-se astfel prevederile art. 58 alin. (1) lit. a) și lit. e) din Regulamentul (UE) nr. 679/2016.

Prin urmare, s-a aplicat operatorului sancțiunea avertismentului și a fost dispusă măsura corectivă constând în obligarea operatorului de a transmite către Autoritate, în scris, toate informațiile solicitate, în termen de 10 zile calendaristice de la comunicarea procesului-verbal.

Ulterior s-a constatat că operatorul Modern Barber S.R.L nu a dus la îndeplinire măsura corectivă dispusă și s-a luat măsura amendării acestuia.

Totodată, s-a dispus și măsura corectivă de a transmite către Autoritate, în scris, toate informațiile solicitate, în termen de 5 zile calendaristice de la comunicarea procesului-verbal.

 

Autoritatea Națională de Supraveghere,în exercitarea competențelor sale de investigare, a sancționat pe data de 02.12.2019 operatorul Nicola Medical Team 17 SRLcu amendă în cuantum de 9555,4 lei, echivalentul sumei de 2000 EURO, pentru fapta prevăzută de art. 83 alin. (5) și (6) din Regulamentul (UE) 679/2016, raportat la art. 58 alin. (1) lit. a) și lit. e) și coroborat cu art. 8 din O.G. nr. 2/2001.

Astfel, Nicola Medical Team 17 SRL nu a furnizat informaţiile solicitate de  Autoritatea Națională de Supraveghere, încălcând prevederile art. 58 alin. (1) lit. a) și lit. e) din Regulamentul (UE) nr. 679/2016.

A fost aplicată sancțiunea avertismentului și a fost dispusă măsura corectivă constând în obligarea operatorului de a transmite către Autoritate, în scris, toate informațiile solicitate în termen de 10 zile calendaristice de la comunicarea procesului-verbal.

Întrucât operatorul nu a dat curs măsurii corective dispuse, acesta a fost amendat și, în același timp, s-a dispus măsura corectivă de a transmite în scris către Autoritatea Națională de Supraveghere toate informațiile solicitate anterior, ce privesc conformitatea operațiunilor de prelucrare efectuate în calitate de operator de date, în termen de 5 zile de la comunicarea procesului-verbal.

Ce alte amenzi s-au mai dat în 2019?

În România, până în prezent au fost aplicate următoarele amenzi:

KIT GDPR Premium

 

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Te-ar putea interesa și:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



friends-getting-photo_1153-166.jpg

Când am primit întrebarea din titlu de la prietena mea Andrada, răspunsul a venit natural: depinde. Dacă poți sau nu fi amendat de GDPR pentru că ai filmat un prieten (sau un membru al familiei) fără acordul lui depinde de foarte mulți factori: dacă relația este doar personală sau și profesională, contextul, ce vei face cu materialul și alți factori despre care vom discuta în continuare. Conform răspunsului oficial ANSPDCP, GDPR se aplică și persoanelor fizice.

Dar înainte să vorbesc despre excepții, adică acele invenții ale legiuitorului român care ne plac nouă avocaților pentru că jonglăm frumos cu ele (și mai facem și un ban cinstit de pe urma lor), o să expun regula. Regula este că GDPR nu se aplică activităților exclusiv personale sau domestice. Ca să explic regula de mai sus, voi da un exemplu: la petrecerea de Crăciun, prietenul tău Alin, după câteva shot-uri, sărută o altă fată decât prietena lui, iar tu surprinzi momentul pe cameră. Presupunând că petrecerea de Crăciun este un mediu exclusiv sau domestic (doar cu persoane din anturaj) și nu o petrecere publică sau o petrecere a unei companii și nu urmează să faci nimic cu acel material video, ci doar să îl păstrezi în telefon, GDPR nu se va aplica, iar tu nu poți fi amendat, în absența altor factori.

Dar cum excepția activităților exclusiv personale sau domestice este de strictă interpretare și dacă datele speței se schimbă este posibil să fii amendat sau nu în temeiul GDPR, în funcție de contextul clar: este contextul exclusiv domestic sau nu?

 

Te-ar putea interesa și:

Situația #1. Alin este un coleg de muncă

Să presupunem că petrecerea nu este organizată de o companie, ci de tine și de prietenii tăi, dar pentru că Alin, colegul tău de la muncă îți este prieten foarte bun, este invitat la petrecere și își face de cap. Având în vedere că natura relației tale cu Alin nu este exclusiv personală, ci este și una profesională, atunci contextul iese din sfera excepției GDPR, iar tu poți fi amendat de GDPR, dacă Alin decide să îți facă o plângere la ANSPDCP.

Situația #2. Petrecerea este organizată de compania la care lucrezi

Dacă petrecerea este organizată de o companie, indiferent că lucrezi la ea sau ești un simplu invitat, GDPR se va aplica, iar tu poți fi amendat de ANSPDCP dacă filmezi o persoană fără acordul ei sau nu ai alt temei legal. În principiu, în această situație, companiile ar trebui să se asigure să obțină consimțământul tuturor persoanelor la petrecere pentru a apărea în filmări sau să se bazeze pe interes legitim dacă un astfel de interes este justificat după o analiză prealabilă. În oricare situație, persoanele trebuie informate cu privire la posibilitatea ca evenimentul să fie înregistrat audio-video prin intermediul unei note de informare care poate fi afișată la intrarea la eveniment sau comunicată prin alte canale (de exemplu, pe e-mail) participanților.

 

 

Situația #3. Petrecerea este privată, dar tu postezi materialul pe Facebook

În această situație, nu este niciun fel de context profesional sau comercial. Alin îți este doar prieten, iar petrecerea este privată, dar, având în vedere că Facebook este un spațiu public conform Înaltei Curți de Casație și Justiție, GDPR se va aplica, iar tu poți fi amendat în temeiul GDPR. Aceeași este situația și celorlalte rețele de socializare: LinkedIn, Youtube, Instagram etc.

 

Situația #4. Petrecerea este privată, iar tu trimiți materialul în privat unui alt prieten

Întrucât în această situație nu există un context profesional de nicio natură, iar natura conversației este privată, GDPR nu se va aplica, iar tu nu poți fi amendat de GDPR, dar nu este etic. Deși nu poți fi amendat în temeiul GDPR, poți răspunde juridic în alt context, de exemplu pe tărâmul răspunderii civile delictuale – Alin îți poate cere daune pentru prejudiciul cauzat. Cu toate acestea, dacă persoana care primește materialul decide să o facă publică, ea poate fi amendată de GDPR. De asemenea, dacă persoana căreia îi trimiți filmarea este un coleg de muncă al lui Alin, contextul pur domestic dispare, iar tu poți fi amendat de GDPR.

KIT GDPR Premium

 

Situația #5. Petrecerea este privată, iar tu trimiți materialul prietenei lui Alin

Cu excepția situației când prietena lui Alin este și colega lui de muncă sau există un alt raport profesional între ei, tu nu poți fi amendat în temeiul GDPR, dar poți răspunde juridic în alt context, de exemplu pe tărâmul răspunderii civile delictuale – Alin îți poate cere daune pentru prejudiciul cauzat.

 

Concluzii

În principiu, GDPR nu intervine în situații amicale sau domestice, cu toate acestea, așa cum am văzut în exemplele de mai sus, linia dintre domestic și non-domestic este foarte subțire și chiar și în situația în care GDPR nu se aplică, putem fi trași la răspundere pentru prejudiciul cauzat în temeiul legislației civile. Situațiile au fost construite pornind de la exemplul inițial, dar dacă exemplul ar fi fost altul: ca de exemplu, Alin ar fi fost violent față de o persoană, cu siguranță că am fi avut un temei să îl filmăm și să transmitem materialul către organele abilitate. Cu toate acestea, chiar și în această situație, putem fi amendați de GDPR dacă publicăm filmulețul pe internet. Dreptul la viață privată este rezervat oricui și nu distinge între o persoană cu o conduită morală înaltă sau o persoană fără o astfel de conduită.

Dreptul la viață privată capătă importanță din ce în ce mai mare în actualul context digital și înainte să facem o mișcare care ar putea afecta viața privată a unei persoane, ar trebui să ne punem întrebarea dacă acțiunea noastră este etică sau nu. Nefiind o acțiune etică, pot exista consecințe juridice, chiar dacă nu neapărat în temeiul GDPR. În principiu, când e vorba de viața privată, atunci când o acțiune nu este etică, în principiu, nu respectă Regulamentul.

 

 

 

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



scales-justice-gavel-sounding-block-object-law-book-working-with-judge-agreement_28283-1323.jpg

În situația aplicării amenzii GDPR, împotriva procesului-verbal de constatare/ sancţionare şi/sau a deciziei de aplicare a măsurilor corective, după caz, operatorul sau persoana împuternicită de operator poate introduce contestaţie la secţia de contencios administrativ a tribunalului competent, în termen de 15 zile de la înmânare, respectiv de la comunicare. Hotărârea prin care s-a soluţionat contestaţia poate fi atacată numai cu apel. Apelul se judecă de Curtea de Apel competentă. În toate cazurile, instanţele competente sunt cele din România. 

În materie de prelucrare a datelor cu caracter personal, conform Regulamentului privind protecția datelor cu caracter presonal, orice prelucrare neconformă a datelor va atrage cu sine și sancțiunea. Dintre sancțiunile contravenționale precizăm sancțiunea amenzii. Cu privire la această sancțiune, în nenumărate rânduri a fost aplicată în limite care au depășit și cuantumul de 10.000 euro. Există cazuri când sancțiunea amenzii poate să fie înlocuită cu avertismentul. În aceste situații instanța este cea care acționează în acest sens.

 

Te-ar putea interesa și:

 

În materie de prelucrare, din Decizia civilă nr. 1618/2008 a Curții de Apel Cluj, Secția Comercială, contencios administrativ și fiscal, aflăm că la nivel de primă instanță a fost admisă în parte plângerea contravențională formulată de (punctual) primarul municipiului Zalău în contradictoriu cu intimata Autoritatea Naţională de Supraveghere a datelor cu caracter personal şi s-a dispus înlocuirea sancţiunii amenzii contravenţionale aplicate prin procesul-verbal de constatare sancţionare nr. 22 din 12 februarie 2008, de 1500 RON, cu sancţiunea „avertisment. În vedere pronunțării acestei soluții, instanța a apreciat faptul că plângerea a fost una întemeiată, iar sancțiunea aplicată nu ar respecta legătura dintre fapta comisă și urmarea produsă. Totodată, instanța de fond a precizat că prelucrarea datelor cu caracter personal fără notificare în prealabil și dezvăluirea datelor unor persoane fără consimțământul acestora reprezintă într-adevăr contravenție, dar faptele ar reprezenta un grad de pericol social redus. În acest sens, instanța a apreciat că nu s-au produs vătămări ale drepturilor și intereselor persoanelor ale căror date au fost afișate, în acest din urmă caz neexistând reclamații către organele abilitate. Afișarea anumitor date a avut loc ca urmare a unei sesizări realizată de Ministerul de Interne. Un element important pe care l-a remarcat instanța de judecată a fost acela că instituția care a fost sancționată și-a însușit ,,starea de fapt” care fusese reținută în sarcina sa și că la momentul efectuării controlului privind încălcarea confidențialității datelor cu caracter personal, lista nu mai era disponibilă și accesibilă spre a fi consultată. În recurs, Curtea a apreciat că soluția înlocuirii amenzii contravenționale cu avertismentul este o soluție complet legală.

 

 

Schimbarea sancțiunii contravenționale a amenzii cu avertismentul se va face, mergând pe considerentele instanței în următoarele cazuri:

  • Se va realiza raportarea la gradul de pericol social produs prin încălcarea dispozițiilor legale în materie de protecție a datelor cu caracter personal și de prelucrare a acestor date;
  • Se va analiza existența/inexistența unor vătămări concrete (pentru primul caz în situația în care se va produce încălcarea propriu-zisă a prevederilor Regulamentului privind protecția datelor cu caracter personal);
  • Se va verifica împrejurarea existenței/inexistenței unei alte abateri de atare natură;

În cazul în care situațiile precizate anterior vor reflecta faptul că nu a existat o încălcare în materie de protecție a datelor cu caracter personal sau în privința prelucrării acestor date, instanța de judecată va putea proceda la înlocuirea sancțiunii contravenționale a amenzii GDPR cu avertismentul.

Curtea de Apel a constatat în cauza precizată faptul că prima instanță a realizat o determinare corectă a stării de fapt (s-a constatat că nu s-a produs o vătămare sau o prejudiciere în privința datelor cu caracter personal, având la bază inacțiunea și inexistența diseminării ulterioare informațiilor către accesul publicului) și că dispozițiile legale s-au aplicat în mod corect. Curtea de Apel a precizat că recursul formulat nu poate să fie unul adminisibil, câtă vreme prima instanță a realizat o analiză corectă, prin înlocuirea legală și corectă a sancțiunii amenzii ci avertismentul.

KIT GDPR Premium

Conform prevederilor în vigoare, împotriva procesului-verbal de constatare/ sancţionare şi/sau a deciziei de aplicare a măsurilor corective, după caz, operatorul sau persoana împuternicită de operator poate introduce contestaţie la secţia de contencios administrativ a tribunalului competent, în termen de 15 zile de la înmânare, respectiv de la comunicare. Hotărârea prin care s-a soluţionat contestaţia poate fi atacată numai cu apel. Apelul se judecă de curtea de apel competentă. În toate cazurile, instanţele competente sunt cele din România.

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



metal-security-lock-with-password-computer-keyboard_35355-5620.jpg

În România, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) are în vedere modalitatea în care persoanele respectă prevederile Regulamentului privind protecția datelor cu caracter personal. În caz contrar, Autoritatea Națională de Supraveghere este îndreptățită să aplice sancțiunile necesare.

Sancțiuni aplicabile versus atenție sporită la respectarea GDPR

În conformitate cu Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), există sancțiuni aplicabile persoanelor pentru nerespectarea prevederilor privind protecția datelor cu caracter personal. Conform prevederilor art. 12 din Legea nr. 190/2018, încălcarea anumitor dispozițiilor art. 83, alin. (4)-(6) din Regulamentul general privind protecția datelor cu caracter personal constituie contravenție.

            Conform art. 12 din Legea nr. 190/2018, sancțiunile contravenționale principale aplicabile sunt:

Constatarea contravențiilor se va realiza de către Autoritatea Națională de Supraveghere, respectând dispozițiile Legii nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal

În privința sancțiunilor aplicabile, Autoritatea Națională de Supraveghere, în urma efectuării investigațiilor necesare la un operator din România, a constatat încălcarea prevederilor art. 13, alin. (1), lit. q) din Legea nr. 506/2004, coroborând acest aspect cu restul prevederilor legale. Sancțiunea aplicată a fost amenda în valoare de 10.000 lei. În evaluarea acestei sume, cadrul legislativ este clar, prevăzând care sunt sumele în care sancțiunea aplicată se va încadra.

Aplicarea unei atare sancțiuni a avut la bază transmiterea de mesaje promoționale, mesaje cu privire la concursuri, deși petentul a adus la cunoștința operatorului că nu dorește să mai primească aceste mesaje și informații.

Deși petentul a primit confirmarea dezabonării de la mesajele și informațiile comerciale, ulterior a primit alte mesaje pe care nu le solicitase, de la același operator. Pe lângă sancțiunea aplicată de Autoritatea de Supraveghere, operatorului în cauză i s-a pus în vedere respectarea doleanțelor petentului.

În coformitate cu dispozițiile legale, este interzisă efectuarea de comunicări comerciale prin utilizarea unor sisteme automate de apelare şi comunicare care nu necesită intervenţia unui operator uman, prin fax ori prin poştă electronică sau prin orice altă metodă care foloseşte serviciile de comunicaţii electronice destinate publicului, cu excepţia cazului în care abonatul sau utilizatorul vizat şi-a exprimat în prealabil consimțământul. 

 

Te-ar putea interesa și:

 

 

În viziunea Regulamentului privind protecția datelor cu caracter personal, consimțământul persoanei este unul esențial pentru transmiterea de date și informații. Conform pct. (32) din Regulament consimțământul trebuie să respecte anumite cerințe; el ar trebui acordat printr-o acțiune neechivocă care să constituie o manifestare liber exprimată, specifică, în cunoștință de cauză și clară a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declarație făcută în scris, inclusiv în format electronic, sau verbal (în acest sens, Regulamentul include bifarea unei căsuțe atunci când persoana vizitează un site, alegerea parametrilor tehnici pentru serviciile societății informaționale sau orice altă declarație sau acțiune care indică în mod clar în acest context acceptarea de către persoana vizată a prelucrării propuse a datelor sale cu caracter personal).

Per a contrario, absența unui răspuns, căsuțele bifate în prealabil sau absența unei acțiuni nu ar trebui să constituie un consimțământ. Consimțământul ar trebui să vizeze toate activitățile de prelucrare efectuate în același scop sau în aceleași scopuri. Dacă prelucrarea datelor se face în mai multe scopuri, consimțământul ar trebui dat pentru toate scopurile prelucrării. În cazul în care consimțământul persoanei vizate trebuie acordat în urma unei cereri transmise pe cale electronică, cererea respectivă trebuie să fie clară și concisă și să nu perturbe în mod inutil utilizarea serviciului pentru care se acordă consimțământul.

KIT GDPR Premium

 

La ce trebuie să fim atenți?

Având în vedere analiza practică anterioară, atenția sporită trebuie acordată solicitării sau solicitărilor primite de către un operator ce prelucrează date cu caracter personal în sensul dorit de către solicitant.

Protecția datelor persoanelor poate fi realizată cu ușurință de către orice operator, dar, atunci când acesta se consideră depășit de situație, trebuie să apeleze la un specialist în domeniu sau să recurgă la o soluție KIT GDPR. Această din urmă situație se aplică cu precădere măsurilor de implementare privind Regulamentul privind protecția datelor cu caracter personal.

În prezent, în scopul implementării conforme a Regulamentului privind protecția datelor cu caracter perosnal, sunt de real folos pachetele GDPR pentru site-uri, acestea fiind accesibile online (cu titlu exemplificativ a se vedea, https://legalup.ro/gdpr-pentru-site/). Pentru o atenție sporită este nevoie ca la bază să existe toate mijloacele necesare în scopul implementării Regulamentului.

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



gdpr-general-data-protection-regulation-protection-personal-data_68196-50.jpg

Cadrul legislativ actual prevede și modalitatea prin care putem contesta sancțiunea primită ca urmare a încălcării prevederilor legale. În acest sens este relevant art. 28 din Decizia nr. 161/2018 privind aprobarea procedurii de efectuare a investigațiilor.

Amendă sau avertisment?

În conformitate cu Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), există sancțiuni aplicabile persoanelor pentru nerespectarea prevederilor legale. În sensul precizat anterior, conform art. 12 din Legea nr. 190/2018, încălcarea anumitor dispozițiilor art. 83, alin. (4)-(6) din Regulamentul general privind protecția datelor cu caracter personal constituie contravenție. Conform art. 12 din prezenta lege, sancțiunile contravenționale principale aplicabile sunt avertismentul și amenda contravențională. Constatarea acestor contravenții se va realiza de către Autoritatea națională de supraveghere, respectând dispozițiile Legii nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal.

Articol recomandat: Cum se calculează amenzile pentru încălcarea GDPR?

Modalitatea prin care se realizează individualizarea amenzii are în vedere prevederile legale, în speță dispozițiile art. 83 din Regulamentul privind protecția datelor cu caracter personal, și anume:

  • Natura, gravitatea și durata încălcării;
  • Modalitatea de comitere a încălcării (cu intenție, din neglijență);
  • Acțiunile întreprinse de operator/persoana împuternicită de acesta pentru reducerea prejudiciului suferit de către persoana vizată;
  • Gradul de responsabilitate al operatorului/persoanei împuternicite de acesta, având în vedere măsurile tehnice și organizatorice implementate;
  • Potențialele încălcări anterioare comise de către operator/persoana împuternicită;
  • Gradul de cooperare cu autoritatea de supraveghere pentru remedierea încăcării/atenuarea efectelor încălcării;
  • Categoriile de date cu caracter pesonal ce au fost afectate de către încălcare;
  • Modalitatea în care încălcarea a fost adusă la cunoștința autorității de supraveghere;
  • Verificarea respectării anumitor măsuri dispuse anterior împotriva operatorului/persoanei împuternicite

 

 

În temeiul Deciziei nr. 161/2018 privind aprobarea procedurii de efectuare a investigațiilor, conform art. 24, sancțiunile contravenționale pe care ANSPDCP le poate aplica sunt avertismentul și amenda. Procedura este una simplă, astfel că în primă etapă se vor efectua anumite investigații. Ulterior acestor investigații, se poate emite o avertizare pentru entitatea supusă controlului, prin intermediul unui proces-verbal de constatare sau de sancționare, ori printr-o decizie a președintelui ANSPDCP. Acest caz se aplică în situația în care există posibilitatea ca operatorul să încalce legislația în vigoare.Aplicarea acestor sancțiuni se va face prin procesul-verbal de constatare sau sancționare încheiat de personalul de control, sau prin decizie a președintelui ANSPDCP . Decizia președintelui este aplicabilă în situația în care cuantumul amenzii depășește echivalentul în lei a sumei de 300.000 de euro

KIT GDPR Premium

Cum pot contesta sancțiunea primită?

Cadrul legislativ actual prevede și modalitatea prin care putem contesta sancțiunea primită ca urmare a încălcării prevederilor legale. În acest sens este relevant art. 28 din Decizia nr. 161/2018 privind aprobarea procedurii de efectuare a investigațiilor. Astfel, împotriva procesului-verbal de contestare ori sancționare și împotriva deciziei de aplicare a măsurilor corective, fie operatorul, fie persoana împuternicită de către acesta are la îndemână contestația ca mijloc de apărare cu privire la încălcarea dispozițiilor legale. Contestația se va putea introduce la secția de contencios administrativ a tribunalului competent. Legea prevede că termenul în care se poate formula contestația este de 15 zile de la data înmânării, respectiv de la data comunicării procesului-verbal de constatare sau sancționare, precum și a deciziei președintelui ANSPDCP.

Te-ar putea interesa și:

Efectele introducerii contestației vizează suspendarea, dar aceasta vizează numai plata amenzii. Plata amenzii se va suspenda astfel până la pronunțarea unei hotărâri judecătorești defintive. Mijlocul pe care legiuitorul l-a prevăzut este unul benefic de ambe părți. În acest sens, orice încălcare produsă cu privire la lege poate să atragă sancțiunea, dar această sancțiune poate să fie uneori inaplicabilă, lipsită de temeinicie sau eronat aplicată. De aceea, contestația este o modalitate prin care persoana își poate valorifica propriile drepturi și poate dispune de protecția oferită prin cadrul legal și, în subsidiar, acesta își poate demonstra nevinovăția cu privire la săvârșirea unei încălcări.

Contestația, ca mijloc de protecție conferit persoanelor, va urma procedura contencioasă, în cadrul secției de contencios administrativ a tribunalului competent. Dacă persoana în cauză nu formulează contestație la instanța menționată și în termenul de 15 zile, în conformitate cu prevederile art. 32, alin. (5) ale Deciziei nr. 161/2018 privind aprobarea procedurii de efectuare a investigațiilor, procesul-verbal de constatare ori sancționare constituie titlu executoriu, fără îndeplinirea unei alte formalități.

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



arhive-amenzi-gdpr-legalup

Ești în siguranță pe site-ul nostru.

LegalUp Innovators at Law utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru. Te informăm că ne-am actualizat politicile pentru a integra în acestea si în activitatea curentă a LegalUp.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politica privind utilizarea modulelor Cookie și Politica noastră de confidențialitate. Nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookies.

Privacy Settings saved!
Setari permisiuni

Cookie-urile sunt folosite pe acest site pentru a oferi cea mai bună experiență de utilizator. Dacă continuați, presupunem că sunteți de acord să primiți cookie-uri de pe acest site

Utilizăm fișiere de tip cookie pentru a personaliza și imbunătăți experiența ta pe website-ul nostru.

Utilizăm fișiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe website-ul nostru.
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Decline all Services
Da, Sunt de acord