Aici descoperim
dreptul tehnologiei

scales-justice-gavel-sounding-block-object-law-book-working-with-judge-agreement_28283-1323.jpg

În situația aplicării amenzii GDPR, împotriva procesului-verbal de constatare/ sancţionare şi/sau a deciziei de aplicare a măsurilor corective, după caz, operatorul sau persoana împuternicită de operator poate introduce contestaţie la secţia de contencios administrativ a tribunalului competent, în termen de 15 zile de la înmânare, respectiv de la comunicare. Hotărârea prin care s-a soluţionat contestaţia poate fi atacată numai cu apel. Apelul se judecă de Curtea de Apel competentă. În toate cazurile, instanţele competente sunt cele din România. 

În materie de prelucrare a datelor cu caracter personal, conform Regulamentului privind protecția datelor cu caracter presonal, orice prelucrare neconformă a datelor va atrage cu sine și sancțiunea. Dintre sancțiunile contravenționale precizăm sancțiunea amenzii. Cu privire la această sancțiune, în nenumărate rânduri a fost aplicată în limite care au depășit și cuantumul de 10.000 euro. Există cazuri când sancțiunea amenzii poate să fie înlocuită cu avertismentul. În aceste situații instanța este cea care acționează în acest sens.

 

Te-ar putea interesa și:

 

În materie de prelucrare, din Decizia civilă nr. 1618/2008 a Curții de Apel Cluj, Secția Comercială, contencios administrativ și fiscal, aflăm că la nivel de primă instanță a fost admisă în parte plângerea contravențională formulată de (punctual) primarul municipiului Zalău în contradictoriu cu intimata Autoritatea Naţională de Supraveghere a datelor cu caracter personal şi s-a dispus înlocuirea sancţiunii amenzii contravenţionale aplicate prin procesul-verbal de constatare sancţionare nr. 22 din 12 februarie 2008, de 1500 RON, cu sancţiunea „avertisment. În vedere pronunțării acestei soluții, instanța a apreciat faptul că plângerea a fost una întemeiată, iar sancțiunea aplicată nu ar respecta legătura dintre fapta comisă și urmarea produsă. Totodată, instanța de fond a precizat că prelucrarea datelor cu caracter personal fără notificare în prealabil și dezvăluirea datelor unor persoane fără consimțământul acestora reprezintă într-adevăr contravenție, dar faptele ar reprezenta un grad de pericol social redus. În acest sens, instanța a apreciat că nu s-au produs vătămări ale drepturilor și intereselor persoanelor ale căror date au fost afișate, în acest din urmă caz neexistând reclamații către organele abilitate. Afișarea anumitor date a avut loc ca urmare a unei sesizări realizată de Ministerul de Interne. Un element important pe care l-a remarcat instanța de judecată a fost acela că instituția care a fost sancționată și-a însușit ,,starea de fapt” care fusese reținută în sarcina sa și că la momentul efectuării controlului privind încălcarea confidențialității datelor cu caracter personal, lista nu mai era disponibilă și accesibilă spre a fi consultată. În recurs, Curtea a apreciat că soluția înlocuirii amenzii contravenționale cu avertismentul este o soluție complet legală.

 

 

Schimbarea sancțiunii contravenționale a amenzii cu avertismentul se va face, mergând pe considerentele instanței în următoarele cazuri:

  • Se va realiza raportarea la gradul de pericol social produs prin încălcarea dispozițiilor legale în materie de protecție a datelor cu caracter personal și de prelucrare a acestor date;
  • Se va analiza existența/inexistența unor vătămări concrete (pentru primul caz în situația în care se va produce încălcarea propriu-zisă a prevederilor Regulamentului privind protecția datelor cu caracter personal);
  • Se va verifica împrejurarea existenței/inexistenței unei alte abateri de atare natură;

În cazul în care situațiile precizate anterior vor reflecta faptul că nu a existat o încălcare în materie de protecție a datelor cu caracter personal sau în privința prelucrării acestor date, instanța de judecată va putea proceda la înlocuirea sancțiunii contravenționale a amenzii GDPR cu avertismentul.

Curtea de Apel a constatat în cauza precizată faptul că prima instanță a realizat o determinare corectă a stării de fapt (s-a constatat că nu s-a produs o vătămare sau o prejudiciere în privința datelor cu caracter personal, având la bază inacțiunea și inexistența diseminării ulterioare informațiilor către accesul publicului) și că dispozițiile legale s-au aplicat în mod corect. Curtea de Apel a precizat că recursul formulat nu poate să fie unul adminisibil, câtă vreme prima instanță a realizat o analiză corectă, prin înlocuirea legală și corectă a sancțiunii amenzii ci avertismentul.

KIT GDPR Premium

Conform prevederilor în vigoare, împotriva procesului-verbal de constatare/ sancţionare şi/sau a deciziei de aplicare a măsurilor corective, după caz, operatorul sau persoana împuternicită de operator poate introduce contestaţie la secţia de contencios administrativ a tribunalului competent, în termen de 15 zile de la înmânare, respectiv de la comunicare. Hotărârea prin care s-a soluţionat contestaţia poate fi atacată numai cu apel. Apelul se judecă de curtea de apel competentă. În toate cazurile, instanţele competente sunt cele din România.

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



metal-security-lock-with-password-computer-keyboard_35355-5620.jpg

În România, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) are în vedere modalitatea în care persoanele respectă prevederile Regulamentului privind protecția datelor cu caracter personal. În caz contrar, Autoritatea Națională de Supraveghere este îndreptățită să aplice sancțiunile necesare.

Sancțiuni aplicabile versus atenție sporită la respectarea GDPR

În conformitate cu Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), există sancțiuni aplicabile persoanelor pentru nerespectarea prevederilor privind protecția datelor cu caracter personal. Conform prevederilor art. 12 din Legea nr. 190/2018, încălcarea anumitor dispozițiilor art. 83, alin. (4)-(6) din Regulamentul general privind protecția datelor cu caracter personal constituie contravenție.

            Conform art. 12 din Legea nr. 190/2018, sancțiunile contravenționale principale aplicabile sunt:

Constatarea contravențiilor se va realiza de către Autoritatea Națională de Supraveghere, respectând dispozițiile Legii nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal

În privința sancțiunilor aplicabile, Autoritatea Națională de Supraveghere, în urma efectuării investigațiilor necesare la un operator din România, a constatat încălcarea prevederilor art. 13, alin. (1), lit. q) din Legea nr. 506/2004, coroborând acest aspect cu restul prevederilor legale. Sancțiunea aplicată a fost amenda în valoare de 10.000 lei. În evaluarea acestei sume, cadrul legislativ este clar, prevăzând care sunt sumele în care sancțiunea aplicată se va încadra.

Aplicarea unei atare sancțiuni a avut la bază transmiterea de mesaje promoționale, mesaje cu privire la concursuri, deși petentul a adus la cunoștința operatorului că nu dorește să mai primească aceste mesaje și informații.

Deși petentul a primit confirmarea dezabonării de la mesajele și informațiile comerciale, ulterior a primit alte mesaje pe care nu le solicitase, de la același operator. Pe lângă sancțiunea aplicată de Autoritatea de Supraveghere, operatorului în cauză i s-a pus în vedere respectarea doleanțelor petentului.

În coformitate cu dispozițiile legale, este interzisă efectuarea de comunicări comerciale prin utilizarea unor sisteme automate de apelare şi comunicare care nu necesită intervenţia unui operator uman, prin fax ori prin poştă electronică sau prin orice altă metodă care foloseşte serviciile de comunicaţii electronice destinate publicului, cu excepţia cazului în care abonatul sau utilizatorul vizat şi-a exprimat în prealabil consimțământul. 

 

Te-ar putea interesa și:

 

 

În viziunea Regulamentului privind protecția datelor cu caracter personal, consimțământul persoanei este unul esențial pentru transmiterea de date și informații. Conform pct. (32) din Regulament consimțământul trebuie să respecte anumite cerințe; el ar trebui acordat printr-o acțiune neechivocă care să constituie o manifestare liber exprimată, specifică, în cunoștință de cauză și clară a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declarație făcută în scris, inclusiv în format electronic, sau verbal (în acest sens, Regulamentul include bifarea unei căsuțe atunci când persoana vizitează un site, alegerea parametrilor tehnici pentru serviciile societății informaționale sau orice altă declarație sau acțiune care indică în mod clar în acest context acceptarea de către persoana vizată a prelucrării propuse a datelor sale cu caracter personal).

Per a contrario, absența unui răspuns, căsuțele bifate în prealabil sau absența unei acțiuni nu ar trebui să constituie un consimțământ. Consimțământul ar trebui să vizeze toate activitățile de prelucrare efectuate în același scop sau în aceleași scopuri. Dacă prelucrarea datelor se face în mai multe scopuri, consimțământul ar trebui dat pentru toate scopurile prelucrării. În cazul în care consimțământul persoanei vizate trebuie acordat în urma unei cereri transmise pe cale electronică, cererea respectivă trebuie să fie clară și concisă și să nu perturbe în mod inutil utilizarea serviciului pentru care se acordă consimțământul.

KIT GDPR Premium

 

La ce trebuie să fim atenți?

Având în vedere analiza practică anterioară, atenția sporită trebuie acordată solicitării sau solicitărilor primite de către un operator ce prelucrează date cu caracter personal în sensul dorit de către solicitant.

Protecția datelor persoanelor poate fi realizată cu ușurință de către orice operator, dar, atunci când acesta se consideră depășit de situație, trebuie să apeleze la un specialist în domeniu sau să recurgă la o soluție KIT GDPR. Această din urmă situație se aplică cu precădere măsurilor de implementare privind Regulamentul privind protecția datelor cu caracter personal.

În prezent, în scopul implementării conforme a Regulamentului privind protecția datelor cu caracter perosnal, sunt de real folos pachetele GDPR pentru site-uri, acestea fiind accesibile online (cu titlu exemplificativ a se vedea, https://legalup.ro/gdpr-pentru-site/). Pentru o atenție sporită este nevoie ca la bază să existe toate mijloacele necesare în scopul implementării Regulamentului.

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



gdpr-general-data-protection-regulation-protection-personal-data_68196-50.jpg

Cadrul legislativ actual prevede și modalitatea prin care putem contesta sancțiunea primită ca urmare a încălcării prevederilor legale. În acest sens este relevant art. 28 din Decizia nr. 161/2018 privind aprobarea procedurii de efectuare a investigațiilor.

Amendă sau avertisment?

În conformitate cu Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), există sancțiuni aplicabile persoanelor pentru nerespectarea prevederilor legale. În sensul precizat anterior, conform art. 12 din Legea nr. 190/2018, încălcarea anumitor dispozițiilor art. 83, alin. (4)-(6) din Regulamentul general privind protecția datelor cu caracter personal constituie contravenție. Conform art. 12 din prezenta lege, sancțiunile contravenționale principale aplicabile sunt avertismentul și amenda contravențională. Constatarea acestor contravenții se va realiza de către Autoritatea națională de supraveghere, respectând dispozițiile Legii nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal.

Articol recomandat: Cum se calculează amenzile pentru încălcarea GDPR?

Modalitatea prin care se realizează individualizarea amenzii are în vedere prevederile legale, în speță dispozițiile art. 83 din Regulamentul privind protecția datelor cu caracter personal, și anume:

  • Natura, gravitatea și durata încălcării;
  • Modalitatea de comitere a încălcării (cu intenție, din neglijență);
  • Acțiunile întreprinse de operator/persoana împuternicită de acesta pentru reducerea prejudiciului suferit de către persoana vizată;
  • Gradul de responsabilitate al operatorului/persoanei împuternicite de acesta, având în vedere măsurile tehnice și organizatorice implementate;
  • Potențialele încălcări anterioare comise de către operator/persoana împuternicită;
  • Gradul de cooperare cu autoritatea de supraveghere pentru remedierea încăcării/atenuarea efectelor încălcării;
  • Categoriile de date cu caracter pesonal ce au fost afectate de către încălcare;
  • Modalitatea în care încălcarea a fost adusă la cunoștința autorității de supraveghere;
  • Verificarea respectării anumitor măsuri dispuse anterior împotriva operatorului/persoanei împuternicite

 

 

În temeiul Deciziei nr. 161/2018 privind aprobarea procedurii de efectuare a investigațiilor, conform art. 24, sancțiunile contravenționale pe care ANSPDCP le poate aplica sunt avertismentul și amenda. Procedura este una simplă, astfel că în primă etapă se vor efectua anumite investigații. Ulterior acestor investigații, se poate emite o avertizare pentru entitatea supusă controlului, prin intermediul unui proces-verbal de constatare sau de sancționare, ori printr-o decizie a președintelui ANSPDCP. Acest caz se aplică în situația în care există posibilitatea ca operatorul să încalce legislația în vigoare.Aplicarea acestor sancțiuni se va face prin procesul-verbal de constatare sau sancționare încheiat de personalul de control, sau prin decizie a președintelui ANSPDCP . Decizia președintelui este aplicabilă în situația în care cuantumul amenzii depășește echivalentul în lei a sumei de 300.000 de euro

KIT GDPR Premium

Cum pot contesta sancțiunea primită?

Cadrul legislativ actual prevede și modalitatea prin care putem contesta sancțiunea primită ca urmare a încălcării prevederilor legale. În acest sens este relevant art. 28 din Decizia nr. 161/2018 privind aprobarea procedurii de efectuare a investigațiilor. Astfel, împotriva procesului-verbal de contestare ori sancționare și împotriva deciziei de aplicare a măsurilor corective, fie operatorul, fie persoana împuternicită de către acesta are la îndemână contestația ca mijloc de apărare cu privire la încălcarea dispozițiilor legale. Contestația se va putea introduce la secția de contencios administrativ a tribunalului competent. Legea prevede că termenul în care se poate formula contestația este de 15 zile de la data înmânării, respectiv de la data comunicării procesului-verbal de constatare sau sancționare, precum și a deciziei președintelui ANSPDCP.

Te-ar putea interesa și:

Efectele introducerii contestației vizează suspendarea, dar aceasta vizează numai plata amenzii. Plata amenzii se va suspenda astfel până la pronunțarea unei hotărâri judecătorești defintive. Mijlocul pe care legiuitorul l-a prevăzut este unul benefic de ambe părți. În acest sens, orice încălcare produsă cu privire la lege poate să atragă sancțiunea, dar această sancțiune poate să fie uneori inaplicabilă, lipsită de temeinicie sau eronat aplicată. De aceea, contestația este o modalitate prin care persoana își poate valorifica propriile drepturi și poate dispune de protecția oferită prin cadrul legal și, în subsidiar, acesta își poate demonstra nevinovăția cu privire la săvârșirea unei încălcări.

Contestația, ca mijloc de protecție conferit persoanelor, va urma procedura contencioasă, în cadrul secției de contencios administrativ a tribunalului competent. Dacă persoana în cauză nu formulează contestație la instanța menționată și în termenul de 15 zile, în conformitate cu prevederile art. 32, alin. (5) ale Deciziei nr. 161/2018 privind aprobarea procedurii de efectuare a investigațiilor, procesul-verbal de constatare ori sancționare constituie titlu executoriu, fără îndeplinirea unei alte formalități.

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



golden-dollar-sign-midst-silver-dollar-signs-3d-rendering_118019-252-1.jpg

Autoritatea Națională de Supraveghere a finalizat în data de 01.10.2019 două investigații la operatorii Raiffeisen Bank S.A. și Vreau Credit S.R.L. constatând următoarele:

  • Raiffeisen Bank S.A. a încălcat prevederile art. 32 alin. (4) coroborat cu art. 32 alin. (1) și alin. (2) din RGPD, ceea ce a condus la aplicarea unei amenzi contravenționale în cuantum de 150.000 Euro
  • Vreau Credit S.R.L. a încălcat prevederile art. 32 alin. (4) coroborat cu art. 32 alin. (1) și alin. (2) din RGPD, precum și ale art. 33 alin. (1) din RGPD, ceea ce a condus la aplicarea unei amenzi contravenționale în cuantum de 20.000 Euro.

În ceea ce privește Raiffeisen Bank S.A., Autoritatea Naţională de Supraveghere a demarat o investigație, ca urmare a transmiterii de către bancă a unei notificări privind încălcarea securității datelor cu caracter personal prin completarea formularului privind încălcarea securității conform Regulamentului (UE) 2016/679.

Încălcarea securității a constat în faptul că doi angajați ai Raiffeisen Bank S.A., utilizând datele din documentele de identitate ale unor persoane fizice, transmise de către angajați ai societății Vreau Credit S.R.L. prin intermediul aplicației mobile WhatsApp, au efectuat interogări ale sistemului Biroului de Credit pentru a obține datele necesare în vederea determinării eligibilității la creditare a respectivelor persoane fizice, prin simulări de prescoring. În acest sens, au fost efectuate 1194 simulări, cu privire la 1177 persoane fizice.

De asemenea, pentru 124 de persoane fizice s-a efectuat și consultarea bazei de date a ANAF.

Simulările de prescoring menționate mai sus au fost efectuate prin intermediul aplicației informatice utilizate de Raiffeisen Bank S.A. în activitatea de creditare, iar decizia negativă de creditare a fost comunicată de către angajații Raiffeisen Bank S.A. către angajații Vreau Credit S.R.L., cu încălcarea procedurilor interne.

Sancțiunea a fost aplicată operatorului ca urmare  a faptului că acesta nu a luat măsurile corespunzătoare pentru a se asigura că orice persoană fizică care acționează sub autoritatea acestuia și care are acces la date cu caracter personal, nu le prelucrează decât la cererea sa, cu excepția cazului în care această obligație îi revine în temeiul dreptului Uniunii sau al dreptului intern.

De asemenea, operatorul nu a implementat măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător și nu a evaluat riscurile pe care le prezintă prelucrarea.

Această situație a condus la accesul neautorizat la datele cu caracter personal prelucrate prin aplicația informatică utilizată de Raiffeisen Bank S.A. în activitatea de creditare și la divulgarea neautorizată a datelor cu caracter personal de către angajați ai băncii.

În ceea ce privește operatorul Vreau Credit S.R.L., acesta a fost sancționat, de asemenea, pentru încălcarea securității datelor, dar și pentru faptul că până la finalizarea investigației nu a notificat autorității de supraveghere încălcarea securității datelor cu caracter personal, fără întârzieri nejustificate, deși constatase producerea acestui incident de securitate încă din luna decembrie 2018, ceea ce a condus la încălcarea confidențialității datelor cu caracter personal ale clienților proprii (persoanele vizate) și la prelucrarea neautorizată/ilegală a datelor cu caracter personal ale acestora.

 

Te-ar putea interesa și:

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 



person-s-hand-putting-money-glass-jar-near-decreasing-stacked-coins_23-2147919232.jpg

În luna iulie, Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul UTTIS INDUSTRIES SRL și a constatat că acesta a încălcat prevederile art. 12 și art. 5 alin. (1) lit. c) coroborate cu art. 6 din Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor).

Operatorul UTTIS INDUSTRIES SRL a fost sancționat contravențional cu amendă în cuantum total de 11.834,25 lei (echivalentul sumei de 2500 euro).

Astfel, a fost aplicată:

  • amendă în cuantum de 4.733,70 lei (echivalentul sumei de 1000 euro) pentru încălcarea dispoziţiilor art. 12 din RGPD şi
  • amendă în cuantum de 7.100,55 lei (echivalentul sumei de 1500 euro) pentru încălcarea dispoziţiilor art. 5 alin. (1) lit. c) coroborate cu art. 6 din RGPD.

Sancțiunile au fost aplicate operatorului deoarece:

  • nu a putut face dovada realizării informării persoanelor vizate cu privire la prelucrarea datelor cu caracter personal/imagini prin intermediul sistemului de supraveghere video, pe care o realiza începând din anul 2016;
  • a efectuat dezvăluirea CNP-ul angajaţilor, prin afișarea Referatului pentru instruirea personalului autorizat ISCIR aferent anului 2018 la avizier societăţii și nu a putut face dovada legalității prelucrării CNP-ului, prin dezvăluire, potrivit art. 6 RGPD.

Autoritatea Naţională de Supraveghere a aplicat sancțiunea ca urmare a unor sesizări din data de 21.03.2019 prin care se semnala faptul că UTTIS INDUSTRIES SRL are instalate camere de supraveghere video, fără a efectua informarea legală privind supravegherea video, precum şi faptul că acesta a dezvăluit în mod ilegal numele şi CNP-ul salariaţilor, prin afişarea acestor date personale la avizierul societăţii.

Potrivit art. 12 din RGPD, operatorul avea obligaţia de a lua măsuri adecvate pentru a furniza persoanei vizate orice informaţii menţionate la art. 13 şi 14.

Dacă vrei să afli mai multe despre cum poți utiliza monitorizare CCTV fără să ai probleme cu GDPR, recomandăm articolul nostru de aici .

 

Te-ar putea interesa și:


 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 


tsunami-2400x1350-wallpaper-1200x675.jpg

În data de 02.07.2019,  Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul  WORLD TRADE CENTER BUCHAREST S.A. și a constatat că acesta a încălcat prevederile art. 32 alin. (4) raportat la art. 32 alin. (1) și alin. (2) din Regulamentul General privind Protecţia Datelor, referitoare la securitatea prelucrării.

Operatorul WORLD TRADE CENTER BUCHAREST S.A. a fost sancționat contravențional cu amendă în cuantum de 71.028 lei, echivalentul sumei de 15.000 euro.

Încălcarea securității datelor cu caracter personal a constat în faptul că o listă printată pe suport de hârtie, utilizată pentru verificarea clienților care serveau micul dejun și care conținea date cu caracter personal ale unui număr de 46 de clienți, cazați la unitatea hotelieră aparținând WORLD TRADE CENTER BUCHAREST S.A., a fost fotografiată de către persoane neautorizate din afara societății, ceea ce a condus la dezvăluirea în mediul on-line a datelor cu caracter personal ale unor clienți, prin publicare.

Operatorul WORLD TRADE CENTER BUCHAREST S.A. a fost sancționat deoarece nu a luat măsuri pentru a se asigura că angajații săi care au acces la date cu caracter personal nu le prelucrează decât la cererea sa, potrivit legii.

De asemenea, operatorul nu a implementat măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării generat în special, în mod accidental sau ilegal, de divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal. Aceasta a condus la accesul neautorizat la datele cu caracter personal ale unui număr de 46 de clienți ai WORLD TRADE CENTER BUCHAREST S.A și divulgarea neautorizată a acestor date, în mediul on-line, ceea ce a condus la afectarea drepturilor la viață privată și la protecția datelor cu caracter personal, garantate de art. 7 și art. 8 din Carta Drepturilor Fundamentale a Uniunii Europene și de art. 16 din Tratatul privind Funcționarea Uniunii Europene.

Autoritatea Naţională de Supraveghere a efectuat investigația ca urmare a transmiterii de către WORLD TRADE CENTER BUCHAREST S.A. a unei notificări privind încălcarea securității datelor cu caracter personal prin completarea formularului privind încălcarea securității datelor cu caracter personal, prevăzută de art. 33 din RGPD.

Regulamentul General privind Protecţia Datelor instituie, prin art. 24, principiul responsabilității operatorului, potrivit căruia: ”Ținând seama de natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi de riscurile cu grade diferite de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice, operatorul pune în aplicare măsuri tehnice şi organizatorice adecvate pentru a garanta şi a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc şi se actualizează dacă este necesar.”

Te-ar putea interesa și:

Totodată,  considerentul (75) din RGPD precizează:

”Riscul pentru drepturile şi libertăţile persoanelor fizice, prezentând grade diferite de probabilitate de materializare şi de gravitate, poate fi rezultatul unei prelucrări a datelor cu caracter personal care ar putea genera prejudicii de natură fizică, materială sau morală, în special în cazurile în care: prelucrarea poate conduce la discriminare, furt sau fraudă a identităţii, pierdere financiară, compromiterea reputaţiei, pierderea confidenţialităţii datelor cu caracter personal protejate prin secret profesional, inversarea neautorizată a pseudonimizării sau la orice alt dezavantaj semnificativ de natură economică sau socială; persoanele vizate ar putea fi private de drepturile şi libertăţile lor sau împiedicate să-şi exercite controlul asupra datelor lor cu caracter personal; (…) sunt evaluate aspecte de natură personală, în special analizarea sau previzionarea unor aspecte privind randamentul la locul de muncă, situaţia economică, starea de sănătate, preferinţele sau interesele personale, fiabilitatea sau comportamentul, locaţia sau deplasările, în scopul de a se crea sau de a se utiliza profiluri personale; sunt prelucrate date cu caracter personal ale unor persoane vulnerabile, în special ale unor copii; sau prelucrarea implică un volum mare de date cu caracter personal şi afectează un număr larg de persoane vizate.”

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:



tsunami-2400x1350-wallpaper-1200x675.jpg

Prima amendă GDPR în România a adus, așa cum era de așteptat, un val de opinii și analize ale profesioniștilor în domeniu. Deși ne putem pune semne de întrebare serioase cu privire la validitatea unor opinii care se bazează doar pe un comunicat de presă al ANSPDCP, fără a cunoaște detaliile investigației (care s-a desfășurat pe o perioadă de 7 luni) și fără a vedea procesul-verbal de contravenție, reiese clar că UniCredit Bank a fost amendată cu 130.000 euro pentru încălcarea GDPR. Cred că ar trebui să evităm analizele superficiale care folosesc termeni precum măsuri organizaționale  organizatorice, politici adecvate, privacy by design, minimizare, fără a explica adevăratul sens și implicația practică.

Păreri sunt multe și cred că e prea devreme pentru a trage concluzii. Urmează un val de amenzi? Probabil, dar ar trebui să iei în calcul că eu sunt avocat, nu futurolog. Pot să spun că în trecut ANSPDCP a sancționat pe vechea lege mii de companii din România, fără a discrimina în funcție de cifra de afaceri sau domeniul de activitate. Probabil la fel va fi situația și cu GDPR. Dar eu nu pot să prevăd viitorul și nici nu îmi doresc să fac politică. Situația poate fi rezumată într-o frază: există o lege, respectarea ei nu este opțională și pot exista consecințe.

Probabil ne-am grăbit să emitem predicții cu privire la comportamentul ANSPDCP și am uitat să analizăm esențialul. Și cred că prima întrebare pe care trebuie să ne-o punem este:

Pentru ce a fost amendată UniCredit?

Am fost plăcut surprinsă când am aflat că prima amendă GDPR în România a fost dată pentru nerespectarea principiilor „Privacy by design” și „Privacy by default”. Nerespectarea acestor principii a condus către încălcarea principiului minimizării datelor: au fost procesate mai multe date decât era necesar, în speță, beneficiarii plăților puteau vedea CNP-urile plătitorilor. Nu există nicio justificare pentru care cel care primește o plată să aibă nevoie să cunoască CNP-ul plătitorului. S-a ajuns în această situație pentru că nu au fost implementate măsuri adecvate pentru confidențialitatea datelor, încă din momentul conceperii respectivului sistem informatic (Privacy by design) și nici după ce a fost pus la dispoziția clienților (Privacy by default).

Te-ar putea interesa și:

Ce înseamnă Privacy by Design?

Pe scurt, „Privacy by design” înseamnă că ar trebui să ne gândim la confidențialitatea și protecția datelor cu caracter personal încă din momentul în care proiectul (aplicație/site/platformă/alt sistem informatic) se află în fază de concept. Majoritatea companiilor se orientează în prezent pe optimizarea proceselor de business, dezvoltând sisteme și produse care să le ajute să lucreze mai simplu. Dar au apus vremurile când pasai proiectul către IT și îl utilizai imediat ce era implementat tehnic. Acum, când ai un proiect pe masă, trebuie să îți pui întrebări cu privire la cum vei proteja datele cu caracter personal. Ai putea găsi utile întrebările de mai jos:

KIT GDPR Premium

 

Respectă proiectul legislația?

Este puțin probabil ca proiectul să respecte legislația încă din faza de concept fără a fi implementat și recomandările avocaților/consilierilor juridici. Cu cât e mai nou proiectul, cu atât este nevoie de opinia unui specialist. GDPR este doar unul dintre domeniile de drept care își pot spune cuvântul cu privire la legalitatea unui proiect informatic. În funcție de specificul proiectului, va trebui să respecți și alte legi: legislația comerțului electronic, legislația consumatorului, legislația publicității, concurenței, proprietate intelectuală etc.

Ca avocat specializat pe dreptul tehnologiei, am lucrat la o serie de proiecte inovative în România și m-am ocupat de conformitatea cu GDPR și alte dispoziții legale. Toate proiectele online trebuie să respecte GDPR, dar în funcție de activitatea desfășurată, este posibil să fie incidente și alte dispoziții legale. E mai ușor să previi decât să repari, de aceea ar trebui să îți pui întrebările potrivite încă din faza de concept. Un avocat te poate ajuta să identifici probleme și să găsești soluțiile potrivite.

  • magazine online. Deși majoritatea magazinelor online trebuie să acorde o atenție deosebită legislației protecției consumatorului, GDPR, legislației comerțului electronic, legislației publicității, concurenței și proprietății intelectuale, în funcție de specificul activității este posibil să fie incidende și alte acte normative.
  • platforme de e-learning. Exemple de întrebări: Ce garanții ofer? Cui aparține proprietatea intelectuală? Ce se întâmplă dacă serviciul nu este mulțumitor? Este incident dreptul de retragere? Cum mă protejetez suficient de bine, respectând totuși toate drepturile utilizatorilor? 
  • platforme de e-mail marketing/sms marketing. Exemple de întrebări: Răspund dacă utilizatorul face SPAM sau trimite conținut ilegal? Ce măsuri pot întreprinde pentru a determina utilizatorul să respecte legislația și pentru a mă exonera de răspundere?
  • servicii de cloud. Exemplu de întrebare: Cum protejez utilizatorii și cum îmi pot minimiza răspunderea în situația unui incident?
  • aplicații de programări online. Exemple de întrebări: Cine se ocupă de respectarea drepturilor în temeiul GDPR al utilizatorului final? Ce se întâmplă dacă clientul meu nu respectă drepturile utilizatorului, dar aplicația procesează datele acestuia din urmă?
  • Platforme peer-to-peer (pe modelul Uber, Airbnb). Exemple de întrebări: Ce actori sunt implicați și care sunt drepturile și obligațiile fiecăruia? Care sunt riscurile platformei și cum poate minimiza platforma riscurile? 

Proiectele inovative ar trebui să țină cont de anumite întrebări-cheie precum:

  • Cum respect legislația?
  • Care sunt riscurile?
  • Care este cea mai simplă și eficientă modalitate să respect legislația?

Conformarea cu GDPR este deosebit de importantă, dar profită de această ocazie pentru a discuta cu avocatul și despre alte probleme juridice care pot influența evoluția business-ului tău. Ar trebui să fii atent la detalii, dar nu să te pierzi în ele, ci să ai focusul potrivit pe lucrurile esențiale. Compliance-ul este o călătorie, nu o destinație. În compliance, riscul de a te pierde în detalii este foarte mare, de aceea echipa ta trebuie să își păstreze focusul pe rezultate. 

Cum respectăm legislația?

Când e vorba de sisteme informatice, primul pas pe care trebuie să îl faci este să explici și să arăți avocatului, în detaliu, cum funcționează tehnologia. Doar după ce a înțeles tehnologia, îți poate spune ce modificări sunt necesare pentru a respecta legislația. Nu poate funcționa altfel. E ca și cum ai încerca să obții autorizație de construire fără documentație. O parte de modificări vor însemna acte și documente (i.e. Termene și Condiții, Politici de confidențialitate, Contracte, Avize, Autorizații), iar altele vor ține de implementarea tehnică.

După ce se implementează tehnic și înainte de a lansa, este nevoie de o opinie finală a specialiștilor pentru a nu fi fost omis din greșeală vreun aspect esențial. Sunt convinsă că UniCredit s-a ocupat de aspectele legale, însă, din eroare sau din neglijență, CNP-urile ajungeau unde nu ar fi trebuit. Eu recomand ca în procesul de testare unui sistem informatic să fie cerută întotdeauna și opinia avocaților/consilierilor juridici. Tehnicul și juridicul trebuie să facă echipă. Nu există altă soluție.

În decembrie am ținut o prezentare la Camera de Comerț despre cum esența implementării GDPR o reprezintă comunicarea eficientă dintre IT și Juridic. Am propus cu entuziasm soluții pentru depășirea barierelor dintre tehnic și juridic și mă bucur că am anticipat bine la vremea respectivă.

Recomandări practice pentru a evita amenda

  1. Cum sarcina implementării GDPR revine operatorului, recomand companiilor să adopte rezerve în privința propunerilor de genul: „Externalizează! Ne ocupăm noi de tot!”
  2. Responsabilizarea echipa pentru deschidere față de schimbare și înțelegerea normelor GDPR.
  3. Întocmirea procedurilor și politicilor necesare (documentația GDPR). Aș recomanda companiilor să cumpere resurse și kituri de implementare din surse de încredere.
  4. Implementarea tehnică, juridică și organizatorică a procedurilor scrise.
  5. Verificarea conformității cu GDPR a fiecărui proces de business și efectuarea modificărilor necesare.
  6. Verificarea conformității cu GDPR a oricărui nou sistem informatic, încă din faza de proiect.
  7. Dacă compania nu are resurse interne, ajutorul ar trebui cerut unui consultant GDPR cu expertiză.
  8. Verificarea și actualizarea periodică a procedurilor și politicilor GDPR.
  9. Companiile ar trebui să înțeleagă că GDPR nu este un dosar pe care îl inchizi într-un sertar. Procedurile scrise și implementate ieri vor trebuie actualizate la realitatea de azi. Eu aș recomanda cel puțin de două ori pe an.

Ruxandra Sava este avocat specializat în dreptul tehnologiei și al protecției datelor cu caracter personal. Ruxandra Sava deține certificarea CIPP/E. CIPP/E este prima acreditare europeană specifică profesioniștilor europeni în domeniul protecției datelor care atestă cunoștințele teoretice și practice în domeniul confidențialității și securității datelor cu caracter personal. CIPP/E atestă cunoașterea legistației europene și naționale privind protecția datelor, aspectele practice și standardele în implementarea legislației în cadrul organizațiilor, precum și fluxurile internaționale de date.

Poți intra în legătură cu Ruxandra Sava pe LinkedIn.

 

 


GDPR.jpg

Pe data de 27.06.2019, Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul UNICREDIT BANK S.A. și a constatat că acesta a încălcat prevederile art. 25 alin. (1) din Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor) și cu această ocazie a acordat prima amendă GDPR în România.

Operatorul a fost sancționat contravențional cu amendă în cuantum de 613.912 lei, echivalentul în euro al sumei de 130.000 euro.

Sancțiunea a fost aplicată UNICREDIT BANK S.A. ca urmare  a neaplicării măsurilor tehnice şi organizatorice adecvate, atât în momentul stabilirii mijloacelor de prelucrare, cât şi în cel al prelucrării în sine, destinate să pună în aplicare în mod eficient principiile de protecție a datelor, precum reducerea la minimum a datelor, şi să integreze garanțiile necesare în cadrul prelucrării, pentru a îndeplini cerințele RGPD şi a proteja drepturile persoanelor vizate. Aceasta a condus la dezvăluirea în documentele ce conţin detaliile tranzacţiilor şi care sunt puse on-line la dispoziţia clienţilor beneficiari ai plăţilor, a datelor privind CNP-ul și adresa plătitorului (pentru situaţiile în care plătitorul efectua tranzacţia dintr-un cont deschis la o alta instituţie de credit – tranzacţii externe şi depuneri la casierie), respectiv a datelor privind adresa plătitorului (pentru situaţiile în care plătitorul efectua tranzacţia dintr-un cont deschis la UNICREDIT BANK SA – tranzacţii interne), pentru un număr de 337.042 persoane vizate, în perioada 25 mai 2018 – 10.12.2018.

Vrei să eviți amenda, dar nu ai pus încă în aplicare măsurile tehnice și organizatorice adecvate? Află mai multe despre KIT-ul nostru de implementare GDPR

Sancțiunea a fost aplicată ca urmare a unei sesizări a Autorității Naţionale de Supraveghere din data de 22.11.2018 prin care se semnala faptul că datele privind CNP-ul și adresa persoanelor care efectuau plăți la UNICREDIT BANK S.A., prin intermediul tranzacțiilor on-line, erau dezvăluite către beneficiarul tranzacției, prin formularele de extras de cont/detalii.

Potrivit art. 5 alin. 1 lit. c) din RGPD (”Principii legate de prelucrarea datelor cu caracter personal”), operatorul avea obligația de a prelucra date limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate datele.

Te-ar putea interesa și:

În același timp, considerentul (78) din Regulament precizează: ”Protecţia drepturilor şi libertăţilor persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal necesită adoptarea de măsuri tehnice şi organizatorice corespunzătoare pentru a se asigura îndeplinirea cerinţelor din prezentul regulament. Pentru a fi în măsură să demonstreze conformitatea cu prezentul regulament, operatorul ar trebui să adopte politici interne şi să pună în aplicare măsuri care să respecte în special principiul protecţiei datelor începând cu momentul conceperii şi cel al protecţiei implicite a datelor. Astfel de măsuri ar putea consta, printre altele, în reducerea la minimum a prelucrării datelor cu caracter personal, pseudonimizarea acestor date cât mai curând posibil, transparenţa în ceea ce priveşte funcţiile şi prelucrarea datelor cu caracter personal, abilitarea persoanei vizate să monitorizeze prelucrarea datelor, abilitarea operatorului să creeze elemente de siguranţă şi să le îmbunătăţească. Atunci când elaborează, proiectează, selectează şi utilizează aplicaţii, servicii şi produse care se bazează pe prelucrarea datelor cu caracter personal sau care prelucrează date cu caracter personal pentru a-şi îndeplini rolul, producătorii acestor produse şi furnizorii acestor servicii şi aplicaţii ar trebui să fie încurajaţi să aibă în vedere dreptul la protecţia datelor la momentul elaborării şi proiectării unor astfel de produse, servicii şi aplicaţii şi, ţinând cont de stadiul actual al dezvoltării, să se asigure că operatorii şi persoanele împuternicite de operatori sunt în măsură să îşi îndeplinească obligaţiile referitoare la protecţia datelor.”

Sursa dataprotection.ro

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



jbareham_180405_1777_facebook_0003.0-1200x800.jpg

Autoritea de supraveghere a prelucrării datelor din Italia a amendat Facebook cu un milion de euro pentru încălcarea legislației naționale italiene cu privire la protecția datelor cu caracter personal, în legătură cu scandalul Cambridge Analytica.

Anul trecut s-a aflat că datele personale a aproape 87 de milioane de utilizatori Facebook au fost culese ilegal de către o aplicație de data mining cu scop politic, Cambridge Analytica.

Aceste acuzații au apărut înainte de aplicarea directă a Regulamentului GDPR din 25 mai 2018  care prevede amenzi de până la 20.000.ooo euro, astfel justificându-se amenda relativ mică aplicată Facebook în acest caz. Autoritatea de supraveghere din Italia și-a întemeiat amenda pe legislația națională în vigoare înainte de aplicarea GDPR, amendând Facebook cu un milion de euro.

 

 

Autoritatea de supraveghere din Italia precizează că 57 de utilizatori Facebook au downloadat Testul Thisisyourdigitallife, test psihologic folosit pentru a colecta în masă datele personale ale utilizatorilor platformei, date care ar fi fost folosite ulterior pentru manipularea campaniilor electorale. Facebook a permis acestei aplicații accesul la lista de prieteni a fiecărei persoane care a descărcat aplicația, în consecință, potrivit Autorității de supraveghere din Italua, datele a 214,077 italieni au fost prelucrate, în lipsa consimțământului sau al altui temei legal, de către aplicație.

Potrivit informațiilor transmise de Autoritatea de supraveghere din italia, cuantumul amenzii a fost stabilit luându-se în calcul numărul utilizatorilor afectați, situația economică a Facebook și numărul utilizatorilor globali și italieni ai companiei. 

Anul trecut, Facebook a fost amendată de Autoritatea de Concurență din Italia cu 10 milioane de euro pentru vânzarea datelor personale fără a informa corect utilizatorii.

Totodată, în 2017, Facebook a fost amendat cu 3 milioane de euro pentru partajarea ilegală a datelor utilizatorilor cu Whatsapp.

Vrei să înveți cum să implementezi corect GDPR și să eviți amenzile? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

Sursa

 


 

Te-ar putea interesa și:


privacy-10x10-FB-1200x1200.jpg

Autoritatea de Supaveghere din Polonia a dat prima amendă în temeiul GDPR de 220.000 euro pentru absența informării persoanelor fizice vizate.

Compania a informat 90.000 de persoane despre prelucrarea datelor cu caracter personal prin poșta electronică și a avut o politică de confidențialitate pe site, însă nu a reușit să informeze restul de șase milioane de oameni despre prelucrarea datelor, deoarece compania nu avea e-mailul acestora. Cu privire la informarea prin intermediul poștei, compania a invocat costurile operaționale ridicate.

GDPR cere companiilor să informeze persoanele vizate despre modul în care le prelucrează datele cu caracter personal, informarea fiind diferită de procedura obținerii consimțământului.

Dacă vrei să afli mai multe despre cum trebuie să informezi persoanele fizice, recomandăm articolul nostru Informarea persoanei vizate. Cum facem să corespundă cerințelor GDPR?

 



arhive-amenzi-gdpr-legalup

Ești în siguranță pe site-ul nostru.

LegalUp Innovators at Law utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru. Te informăm că ne-am actualizat politicile pentru a integra în acestea si în activitatea curentă a LegalUp.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politica privind utilizarea modulelor Cookie și Politica noastră de confidențialitate. Nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookies.

Privacy Settings saved!
Setari permisiuni

Cookie-urile sunt folosite pe acest site pentru a oferi cea mai bună experiență de utilizator. Dacă continuați, presupunem că sunteți de acord să primiți cookie-uri de pe acest site

Utilizăm fișiere de tip cookie pentru a personaliza și imbunătăți experiența ta pe website-ul nostru.

Utilizăm fișiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe website-ul nostru.
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Decline all Services
Da, Sunt de acord