Aici descoperim
dreptul tehnologiei

GDPR.jpg

Ieri, 25 martie 2020, Autoritatea Națională de Supraveghere a Prelucării Datelor cu Caracter Personal (ANSPDCP) a dat publicității patru noi amenzi date pentru nerespectarea prevederilor GDPR. Relatăm mai jos comunicatele de presă (sursa dataprotection.ro).

1. Amendă GDPR Emag

În data de 27.02.2020, Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul Dante Internațional S.A., deținătorul e-MAG.ro și a constatat că acesta a încălcat prevederile art. 6 din Regulamentul General privind Protecția Datelor, prin raportare la dispozițiile art. 21 alin. (3) din Regulament.

Operatorul Dante Internațional SA a fost sancționat contravențional cu amendă în cuantum de 14.420,4 lei, echivalentul sumei de 3000 EURO.

Sancțiunea a fost aplicată operatorului întrucât la sfârsitul anului 2019 a transmis unei persoane fizice un mesaj comercial, deși la începutul anului 2019 operatorul ii confirmase acesteia dezabonarea de la comunicările comerciale.

Totodată, operatorului Dante Internațional SA i s-au aplicat și două măsuri corective, în temeiul prevederilor art. 58 alin. (2) lit. c) și d) din Regulamentul General privind Protecția Datelor.

Astfel, operatorul a fost obligat să implementeze solicitarea persoanei fizice de a-i fi dezactivată din baza de date setarea privind transmiterea pe adresa de sa de e-mail a mesajelor comerciale, în termen de 3 zile lucrătoare de la comunicarea procesului-verbal. Totodată, operatorul a fost obligat să ia măsuri astfel încât să fie respectate prevederile art. 21 din Regulament, în termen de 20 zile de la data comunicării procesului-verbal.

În acest context menționăm că art. 21 alin. (3) din Regulamentul General privind Protecția Datelor, prevede că ”în cazul în care persoana vizată se opune prelucrării în scopul marketingului direct, datele cu caracter personal nu mai sunt prelucrate în acest scop.”

Vrei să faci e-mail marketing și să respecți GDPR? Ai putea avea nevoie de o Politică Anti-Spam și de marketing legal. O astfel de politică se regăsește aici. 

Te-ar putea interesa și: Comunicare comercială pe e-mail sau SPAM? Ce spune legea?

 

 

2. Amendă GDPR Vodafone România

În data de 13.02.2020, Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul Vodafone România SA și a constatat că acesta a încălcat dispozițiile Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, cu modificările și completările ulterioare.

Operatorul Vodafone România SA a fost sancționat contravențional cu două amenzi în cuantum total de 20.000 lei.

Sancțiunile au fost aplicate operatorului ca urmare a unei sesizări cu privire la faptul că Vodafone România SA a încălcat securitatea și confidențialitatea datelor cu caracter personal.

Astfel, o petentă a Autorității a susținut că a solicitat o ofertă pe telefon, prin intermediul site-ului operatorului Vodafone România SA și că, ulterior, a primit pe adresa sa de e-mail, un contract încheiat de operator cu o altă persoană fizică, petenta având suspiciuni că datele sale cu caracter personal ar fi putut fi dezvăluite acestei persoane.

 

Te-ar putea interesa și:

 

Ca urmare a investigației efectuate la operator, Autoritatea a constatat că Vodafone România SA nu a respectat dispozițiile art. 3 alin. (1) – (3) din Legea nr. 506/2004, cu modificările și completările ulterioare, potrivit cărora furnizorul unui serviciu de comunicaţii electronice destinat publicului are obligaţia de a lua măsuri tehnice şi organizatorice adecvate în vederea asigurării securităţii prelucrării datelor cu caracter personal, că acestea trebuie să asigure un nivel de securitate proporţional cu riscul existent, având în vedere posibilităţile tehnice de ultimă oră şi costurile implementării acestor măsuri și să respecte cel puţin următoarele condiţii:

a) să garanteze că datele cu caracter personal pot fi accesate numai de persoane autorizate, în scopurile autorizate de lege;

b) să protejeze datele cu caracter personal stocate sau transmise împotriva distrugerii accidentale ori ilicite, împotriva pierderii sau deteriorării accidentale şi împotriva stocării, prelucrării, accesării ori divulgării ilicite;

c) să asigure punerea în aplicare a politicii de securitate elaborate de furnizor în ceea ce priveşte prelucrarea datelor cu caracter personal

De asemenea, s-a constatat faptul că nu au fost respectate dispozițiile art. 3 alin.  (6) din Legea nr. 506/2004, cu modificările și completările ulterioare, conform cărora ”În cazul unei încălcări a securităţii datelor cu caracter personal, furnizorii de servicii de comunicaţii electronice destinate publicului vor notifica ANSPDCP, fără întârziere, la respectiva încălcare.”

Pe lângă sancțiunile cu amenda aplicate operatorului Vodafone România SA, Autoritatea Națională de Supraveghere a recomandat acestuia ca, în termen de 30 zile de la data comunicării procesului-verbal, să ia măsurile necesare respectării prevederilor art. 3 alin. (1) – (3) din Legea nr. 506/2004, cu modificările și completările ulterioare, în vederea implementării unor măsuri adecvate de securitate a prelucrării datelor personale, inclusiv sub aspectul asigurării confidenţialității și protejării datelor cu caracter personal împotriva divulgării ilicite

De asemenea, s-a recomandat operatorului Vodafone România SA ca, pe viitor, să notifice breșele de securitate, fără întârzieri, Autorităţii Naționale de Supraveghere.

 

KIT GDPR Premium

 

3. Amendă GDPR Enel Energie Muntenia SA

În data de 25.02.2020, Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul Enel Energie Muntenia SA și a constatat că acesta a încălcat prevederile art. 32 din Regulamentul General privind Protecţia Datelor, referitoare la securitatea prelucrării.

Operatorul Enel Energie Muntenia SA a fost sancționat contravențional cu amendă în cuantum de 14.423,7 lei, echivalentul sumei de 3000 EURO.

Încălcarea securității și confidențialității datelor cu caracter personal a constat în faptul că operatorul Enel Energie Muntenia SA a transmis pe adresa de e-mail a unui client persoană fizică, date personale (nume și prenume, adresă, adresă de e-mail, cod client, cod eneltel) ale unui alt client.

Operatorul Enel Energie Muntenia SA a fost sancționat deoarece nu a implementat măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării generat în special, în mod accidental sau ilegal, de divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal.

Autoritatea Naţională de Supraveghere a efectuat investigația ca urmare a unei sesizări transmise de un client al operatorului, aceasta fiind însoțită de dovezi concludente cu privire la cele sesizate.

Totodată, operatorului Enel Energie Muntenia SA i s-a aplicat și o măsura corectivă, în temeiul prevederilor art. 58 alin. (2) lit. i) din Regulamentul General privind Protecția Datelor.

Astfel, operatorul a fost obligat să asigure conformitatea cu Regulamentul General privind Protecția Datelor prin implementarea unor măsuri adecvate și eficiente de securitate, atât din punct de vedere tehnic, cât și din punct de vedere organizatoric, în termen de 30 de zile lucrătoare de la comunicării procesului-verbal.

 

4. Amendă GDPR Asociația „SOS Infertilitatea”

Autoritatea Națională de Supraveghere a finalizat în data de 13.02.2020 o investigație la operatorul Asociația „SOS Infertilitatea” și a constatat că acesta nu a transmis informațiile solicitate de Autoritatea de supraveghere în temeiul art. 58 alin. (1) lit. a) și lit. e) din Regulamentul General privind Protecția Datelor.

Operatorul a fost sancționat contravențional cu amendă în cuantum de 9529,2 lei, echivalentul sumei de 2000 EURO, în temeiul art. 83 alin. (5) lit. e) din Regulamentul (UE) 679/2016.

Autoritatea Naţională de Supraveghere a fost sesizată cu privire la faptul că Asociația „SOS Infertilitatea” a dezvăluit date cu caracter personal fără consimțământul persoanei vizate.

Autoritatea de supraveghere a solicitat Asociației mai multe informații referitoare la aspectele sesizate, dar operatorul nu a răspuns solicitărilor instituției noastre. În urma contactării telefonice a operatorului, președintele asociației și-a exprimat opțiunea de a i se transmite solicitarea Autorității de supraveghere prin e-mail la o adresă indicată de acesta.

Întrucât Asociația „SOS Infertilitatea” nu a transmis informațiile solicitate până la data încheierii procesului-verbal de constatare/sancționare, aceasta a fost sancționată cu amendă.

Totodată, operatorului i s-a aplicat și măsura corectivă de a transmite Autorității, în scris, toate informațiile solicitate, în termen de 5 zile lucrătoare de la comunicarea procesului-verbal.

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 



top-view-female-hands-counting-money-various-banknotes-salary-concept-bribe-concept_79075-5433.jpg

În data de 11.02.2020, Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul Vodafone România SA și a constatat că acesta a încălcat  principiile de prelucrare a datelor personale stabilite prin prevederile art. 5 alin. (1) lit. d) și f) coroborate cu art. 5 alin. (2) din Regulamentul General privind Protecția Datelor.

Operatorul Vodafone România SA a fost sancționat contravențional cu amendă în cuantum de 14308,8 lei, echivalentul a 3.000 euro.

Sancțiunea a fost aplicată operatorului întrucât a prelucrat greșit date personale ale unei persoane fizice în scopul soluționării reclamației acesteia, ceea ce a determinat ulterior  transmiterea răspunsului operatorului către o adresă de e-mail eronată, nefiind adoptate suficiente măsuri de securitate împotriva prelucrării ilegale a datelor personale ale persoanei respective, cu încălcarea principiilor de prelucrare prevăzute de art. 5 alin. (1) lit. d) și f) coroborat cu art. 5 alin. (2) din Regulamentul General privind Protecția Datelor.

 

 

 

Totodată, operatorului Vodafone România SA i s-a aplicat și o măsură corectivă, în temeiul prevederilor art. 58 alin. (2) lit. d) din Regulamentul General privind Protecția Datelor.

Astfel, operatorul a fost obligat să asigure conformitatea cu Regulamentul General privind Protecția Datelor a operațiunilor de colectare și prelucrare ulterioară a datelor personale, prin implementarea unor metode eficiente de respectare a exactității datelor, inclusiv în cazul colectării datelor, precum adresa de poștă electronică. În acest sens, s-a dispus punerea în practică a unor măsuri adecvate și eficiente de securitate din punct de vedere tehnic și organizatoric, inclusiv prin instruirea regulată a persoanelor ce prelucrează date sub autoritatea operatorului, în termen de 30 zile de la data comunicării procesului-verbal de sancționare.

 

Te-ar putea interesa și:

 

KIT GDPR Premium

În acest context, reliefăm prevederile art. 5 alin. (1) din Regulament General privind Protecția Datelor,  care prevăd că ”datele cu caracter personal sunt:

d) exacte şi, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt şterse sau rectificate fără întârziere (“exactitate”);

f) prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecţia împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare (“integritate şi confidenţialitate”).”

De asemenea, art. 5 alin. (2) din Regulament prevede că ”Operatorul este responsabil de respectarea alineatului (1) şi poate demonstra această respectare (“responsabilitate”)”.

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



How-to-Avoid-Becoming-the-Next-Victim-of-a-Data-Breach-825x500-1.jpg

O breșă de securitate înseamnă riscuri pentru persoanele fizice ale căror date au fost compromise, riscuri reputaționale și riscul de a fi amendat de ANSPDCP. O breșă de securitate înseamnă panică, însă gestionarea cu succes te poate feri de riscuri, așa cum voi explica în cele ce urmează. Totuși, când vorbim de breșe de securitate, cel mai bine este să le previi prin luarea unor măsuri tehnice și organizatorice adecvate. Dar ce se întâmplă în situația în care nu ai luat astfel de măsuri și ai o breșă de securitate? Primul și cel mai important element este să îți păstrezi calmul. Știu, sunt doar 72 de ore și amenzile pot ajunge până la 4% din cifra de afaceri, iar tu trebuie să notifici corect autoritatea de supraveghere. Dar deciziile rapide te pot conduce către riscuri reputaționale și/sau amenzi din partea ANSPDCP.

Te-ar putea interesa și:

 

Sfat #1. Analizează riscul 

Potrivit GDPR, nu orice breșă de securitate trebuie notificată către ANSPDCP, ci doar breșele care prezintă risc pentru drepturile persoanelor fizice. Incidentele de securitate care prezintă riscuri ridicate trebuie notificate atât către ANSPDCP, cât și pentru persoanele vizate. Dacă nu ai implementat o procedură pentru gestionarea incidentelor de securitate (o astfel de procedură se regăsește aici), este indicat să iei rapid legătura cu un consultant GDPR pentru a afla dacă este nevoie să notifici. De ce ai notifica un incident care nu prezintă risc și a risca o investigație dacă nu este cazul?

Totuși, orice incident de securitate, chiar dacă nu prezintă riscuri și nu trebuie notificat trebuie documentat intern. (un model de registru al breșelor de securitate se regăsește aici)

Sfat #2. Notifică ANSPDCP corect

Utilizează formularul disponibil pe site-ul ANSPDCP pentru a notifica în mod legal incidentul. Dacă incidentul prezintă riscuri ridicate pentru persoanele vizate, notifică-le și pe acestea (un model de formular de notificare către persoanele vizate se regăsește aici). Reține că ai doar 72 de ore de la descoperirea incidentului și dacă nu ai suficiente informații, trebuie să revii ulterior cu informațiile pe care le-ai obținut.

 

 

Sfat #3. Nu notifica ANSPDCP dacă ești persoană împuternicită

Conform GDPR, persoanele împuternicite nu trebuie să notifice autoritatea, ci operatorul, prin urmare, trebuie să notifici fără întârziere operatorul cu privire la breșa de securitate.

 

Sfat #4. Nu te grăbi în decizii

Deși ai doar 72 de ore, nu te grăbi atunci când completezi formularele. La urma-urmei, nu ai vrea ca notificarea să aducă organizației tale mai mult rău decât bine. Dacă unele informații nu îți sunt clare, păstrează-le pentru mai târziu când se vor clarifica și notifică doar informațiile sigure.

KIT GDPR Premium

 

Sfat #5. Prioritizează

Deși ai putea crede că cel mai important este să transmiți notificarea către ANSPDCP, adevărul e că cel mai important și primul lucru pe care trebuie să îl faci (după ce te calmezi, evident) este să iei măsuri pentru reducerea riscurilor pentru persoanele vizate. Oricum, către ANSPDCP trebuie să explici ce măsuri ai luat. Luarea acestor măsuri va conta la decizia finală: dacă vei primi un avertisment sau o amendă și, în cazul amenzii, dacă va fi orientată spre minim sau spre maxim.

 

Sfat #6. Înțelege consecințele

Dacă ai o breșă de securitate nu înseamnă automat că vei primi o amendă, dar deschiderea unei investigații este probabilă. Amenda o vei primi dacă nu ai luat măsuri tehnice și organizatorice adecvate pentru evitarea acestor evenimente neplăcute (astfel de măsuri se regăsesc aici). Dacă breșa s-a produs ca urmare a faptei tale, de exemplu, nu ai oferit un training adecvat angajaților sau nu ai încheiat acorduri de confidențialitate, sunt șanse mari să primești o amendă, însă, dacă breșa de securitate este urmarea unui eveniment extern față de care, deși ai luat toate măsurile pentru prevenire, s-a întâmplat, este posibil ca dosarul să se închidă sau să primești doar un avertisment. Cu toate acestea, pentru a evita amenzile trebui să implementezi măsuri tehnice și organizatorice și să le îmbunătățești în mod constant. În lipsa unor măsuri tehnice și organizatorice, riscul de a primi o amendă este ridicat. Măsurile de securitate ar trebuie implementate pentru a preveni incidentul de securitate până nu e prea târziu.

 

Cum te putem ajuta:

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



pile-3d-facebook-logos_1379-875-2.jpg

Compania Facebook din Germania a fost amendată cu 51.000 euro pentru că a eșuat să desemneze în mod corect un DPO (responsabil cu protecția datelor).

În timp ce amenda pare minusculă pentru gigantul rețelei de socializare, ea vizează doar compania Facebook din Germania și nu „compania mamă miliardară”, a declarat Autoritatea de Protecție a datelor din Hamburg, Germania, în raportul său anual publicat joi.

„Acest caz ar trebui să fie un avertisment clar pentru toate celelalte companii: numirea unui responsabil cu protecția datelor când este obligatoriu și comunicarea datelor acestuia către Autoritatea de supraveghere”, au spus reprezentanții Autorității de supraveghere din germania. „Chiar și încălcări mai mici ca acestea pot duce la sancțiuni substanțiale.”

Te-ar putea interesa și:

Sancțiunea a fost dată în conformitate cu noile norme de confidențialitate  datelor ale Uniunii Europene, care se aplică 2018. Regulamentul General privind Protecția Datelor, sau GDPR, acordă autorităților de supravraghere din fiecare stat membru puteri de a acorda amenzi de până la 4% din cifra de afaceri pentru nerespectarea prevederilor GDPR.

Reacția rapidă a Facebook a evitat acordarea unei amenzi și mai mari, conform celor declarate de reprezentanții autorității de supraveghere din Germania. Facebook a oprit imediat încălcarea și a comunicat datele responsabilului cu protecția datelor către autoritatea de supraveghere.

Sursa: Bloomberg.com

 

KIT GDPR Premium

 

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



closeup-accountant-hands-counting-calculator_1262-3170.jpg

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal este entitatea de la nivel intern îndreptățită să aplice sancțiuni în materie de încălcare a prelucrării datelor cu caracter personal. Sancțiunile care se pot aplica de Autoritatea de Supraveghere sunt avertismentul și amenda.

În prezentul articol vom analiza modalitatea de aplicare a sancțiunilor de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal. Prin trimitere la un caz practic, vom avea în vedere o investigație efectuată la un operator. Investigația este realizată în temeiul puterii de investigare de care Autoritatea de Supraveghere dispune, în temeiul Regulamentului privind protecția datelor cu caracter personal. În urma investigației efectuate, s-a constatat încălcarea prevederilor Regulamentului General privind Protecția Datelor. Operatorul în cauză a fost sancționat cu următoarele:

  • avertisment pentru încălcarea dispozițiilor art. 12 și art. 13 din RGPD, întrucât operatorul nu a prezentat dovezi din care să rezulte că a asigurat o informare clară, completă și corectă a persoanelor vizate;
  • amendă în cuantum de 23.893 lei, echivalentul a 5.000 euro, pentru încălcarea dispozițiilor art. 5 alin. (1) lit. c), art. 6 și art. 7 din RGPD, întrucât operatorul a prelucrat în mod excesiv datele cu caracter personal (imaginea) ale angajaților săi prin intermediul camerelor video instalate în birourile în care aceștia își desfășoară activitatea și în locurile în care există dulapuri unde angajații își depozitează hainele de schimb (vestiare);
  • amendă în cuantum de 23.893 lei, echivalentul a 5.000 euro, pentru încălcarea dispozițiilor art. 5 alin. (1) lit. c), art. 9 și art. 7 din RGPD, întrucât operatorul a prelucrat date biometrice (amprente) ale angajaților putând fi utilizate şi alte mijloace pentru atingerea acestui scop, mai puţin intruzive pentru viața privată a persoanelor vizate;
  • avertisment pentru încălcarea dispozițiilor art. 5 alin. (1) lit. a), b) și e) și art. 6 din RGPD, întrucât operatorul a prelucrat ilegal datele cu caracter personal ale unui fost angajat prin utilizarea acestora în cadrul corespondenței prin poșta electronică, în scopul desfăşurării activităţii societăţii, ulterior încetării relației contractuale cu acesta.

 

Te-ar putea interesa și:

 

 

Din sancțiunea aplicată de către Autoritatea de Supraveghere a Prelucrării Datelor cu Caracter Personal putem deduce următoarele aspecte, prin analiză:

  • este necesar ca operatorul să facă dovada unui interes legitim în materie de supraveghere video;
  • interesul legitim trebuie să prevaleze asupra intereselor persoanelor vizate;
  • interesul legitim trebuie să prevaleze asupra drepturilor și libertăților fundamentale ale persoanelor vizate;
  • este necesară consultarea reprezentanților angajaților înainte de monitorizarea acestora din urmă;
  • este necesară dovada unor politici adecvate în materie de protecție a datelor;
  • prelucrarea datelor (în special a celor biometrice) trebuie să se realizeze în scopuri care să fie adecvate, relevante, limitate la ce este necesar în raport cu scopurile care sunt prelucrate;
  • este necesară efectuarea unei evaluări a impactului asupra protecției datelor persoanelor.

Informarea pesoanelor vizate trebuie să fie una corectă, iar comunicarea trebuie să se facă în manieră concisă, transparentă, inteligibilă și ușor accesibilă. Poți afla mai multe despre informare persoanei vizate din acest articol. În acest caz trebuie respectat principiul ,,reducerii la minimum a datelor”. Totodată, trebuie să se asigure conformitatea operațiunilor de prelucrare cu prevederile Regulamentului privind protecția datelor cu caracter personal.

 

KIT GDPR Premium

 

Sancțiunile aplicate de către Autoritatea de Supraveghere se vor realiza în temeiul legii și implicit al prevederilor Regulamentului privind protecția datelor cu caracter personal, iar orice operator care realizează o supraveghere video este obligat să informeze persoanele cu privire la aceasta. Atare reglementare este necesară pentru asigurarea unei protecții sporite a persoanei și a vieții sale private. Interesul legitim este o cerință esențială pentru a putea exista o prelucrare a datelor conformă cu legea. Acesta trebuie să fie ,,superior” drepturilor și libertăților persoanelor, în sensul că trebuie să primeze pentru a putea exista o prelucrare conformă. Informarea persoanelor ale căror date sunt prelucrare (incluzând în această categorie supravegherea video, stocarea și prelucrarea de date biometrice) este esențială pentru legalitatea sa. Orice metode de prelucrare care nu sunt conforme cu prevederile legale pot să fie sancționate de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), în temeiul puterii sau competenței de investigare și sancționare.

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Te-ar putea interesa și:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



gdpr-general-data-protection-regulation-protection-personal-data_68196-50.jpg

Regulamentul privind protecția datelor cu caracter personal nu mai este o necunoscută la nivel juridic și social. Prevederile sale sunt aplicabile erga omnes și presupun, în caz de încălcare, aplicarea sancțiunilor necesare. Actualmente s-a statuat că și persoanele fizice se vor conforma și pot să fie sancționate prin prezentul regulament. Ce se întâmplă însă cu asociațiile de proprietari? Au acestea calitatea de subiect activ – prin aceasta înțelegându-se subiectul asupra căruia se va aplica sancțiunea pentru încălcarea prevederilor privind protecția datelor cu caracter personal?

Înainta de a trata propriu-zis problematica enunțată, este necesar să pornim de la pct. (129) din Regulamentul privind protecția datelor cu caracter personal. În acest sens, sunt precizate următoarele:

  • pentru a se asigura consecvența monitorizării și a aplicării prezentului regulament în întreaga Uniune, autoritățile de supraveghere ar trebui să aibă în fiecare stat membru aceleași sarcini și competențe efective, inclusiv competențe de investigare, competențe corective și sancțiuni, precum și competențe de autorizare și de consiliere, în special în cazul plângerilor depuse de persoane fizice, precum și, fără a aduce atingere competențelor autorităților de urmărire penală în temeiul dreptului intern, de a aduce în atenția autorităților judiciare cazurile de încălcare a prezentului regulament și de a se implica în proceduri judiciare. Aceste competențe ar trebui să includă și competența de a impune o limitare temporară sau definitivă, inclusiv o interdicție, asupra prelucrării.

Atare prevederi conferă o protecție sporită persoanei, în sensul de a preciza modalitatea în care se va realiza protecția datelor cu caracter personal, dacă se produce o încălcare a acestora. Astfel, Regulamentul prevede posibilitatea de stabilire a unor competențe clare, care se vor subsuma în competențe de investigare, corective și sancționatorii, dar și în competențe de consiliere și autorizare.

 

 

La nivel intern, în ceea ce privește aplicarea sancțiunilor privind încălcarea prevederilor în materie de protecție a datelor cu caracter personal, regăsim ca entitate îndreptățită Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).  În privința subiectului aplicării sancțiunilor, apare întrebarea cu privire la calitatea de subiect ,,activ” în materie de nerespectare a prelucrării datelor cu caracter personal a asociațiilor de proprietari.

Asociația de proprietari este definită drept o formă de asociere autonomă și nonprofit a majorității proprietarilor dintr-un codominiu. Poate aceasta fi sancționată pentru nerespectarea prevederilor privind protecția datelor cu caracter personal?

 

Te-ar putea interesa și:

 

Pentru lămurirea acestei problematici vom porni de la un caz practic, anume de la sancțiunea aplicată de către Autoritatea Națională de Supraveghere unei asociații de proprietari. Sancțiunea aplicată a fost urmare a unei plângeri, ce avea ca obiect accesarea, utilizarea și dezvăluirea către terțe persoane, fără temei legal, a unor imagini cu persoana în cauză. Imaginile respective proveneau de la sistemul de supraveghere al asociației. Investigarea realizată de către Autoritatea de Supraveghere a condus la concluzia că nu s-au adoptat măsurile de securitate pentru protejarea datelor personale colectate.

Sancțiunea aplicată a fost amenda în valoare de 500 de euro, pentru încălcarea prevederilor art. 83, alin. (5), lit. a) și b) și ale art. 83, alin. (4) din Regulamentul privind protecția datelor cu caracter personal. De asemenea, s-au aplicat următoarele măsuri corective:

  • de a asigura conformitatea cu RGPD a operațiunilor de prelucrare efectuate prin intermediul sistemului de supraveghere video în sensul informării persoanelor vizate conform art. 12 și 13 din RGPD, inclusiv prin postarea unor avertizări și note de informare în apropierea locurilor unde sunt montate camerele video, în termen de 10 zile lucrătoare de la data comunicării prezentului proces-verbal (art. 58 alin. (2) lit. d) din RGPD);

 

KIT GDPR Premium

 

  • de a asigura conformitatea cu RGPD a operațiunilor de prelucrare prin adoptarea unor măsuri de securitate, tehnice și organizatorice, adecvate pentru protejarea datelor personale colectate prin intermediul sistemului de supraveghere video, inclusiv sub aspectul integrării principiilor de protecție a datelor (cum ar fi cel al stocării limitate a înregistrărilor), al stabilirii unui număr limitat de persoane care să aibă acces la acest sistem, al drepturilor ce pot fi alocate fiecăreia dintre acestea, al prevederii unor instrucțiuni clare de prelucrare pentru persoanele care prelucrează date sub autoritatea asociației, astfel încât să se evite accesarea, diseminarea sau prelucrarea în alt mod neautorizat a datelor personale prelucrate prin intermediul acestui sistem, conform art. 25 și art. 32 din RGPD, în termen de 30 zile de la data comunicării prezentului proces-verbal (art. 58 alin. (2) lit. d) din RGPD).

Măsurile au fost aplicate în scopul asigurării conformității operațiunilor de prelucrare cu prevederile Regulamentului privind protecția datelor cu caracter personal. Pe aceste considerente și având în vedere cazul expus anterior, asociațiile de proprietari pot să fie supuse aplicării sancțiunilor în materie de prelucrare a datelor cu caracter personal (punctual în stituația în care se realizează stocări ale anumitor înregistrări video, care pot să fie accesate, diseminate sau prelucrate în mod neautorizat).

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



padlock-computer-circuit-board_93675-6912.jpg

Autoritatea Națională de Supraveghere a finalizat, pe data de 13.12.2019, o investigație la operatorul Entirely Shipping & Trading S.R.L., constatând  următoarele:

  • încălcarea dispozițiilor art. 12 și art. 13 din Regulamentul General privind Protecția Datelor (RGPD);
  • încălcarea dispozițiilor art. 5 alin. (1) lit. c), art. 6 și art. 7 din RGPD;
  • încălcarea dispozițiilor art. 5 alin. (1) lit. c), art. 9 și art. 7 din RGPD;
  • încălcarea dispozițiilor art. 5 alin. (1) lit. a), b) și e) și art. 6 din RGPD.

Operatorul Entirely Shipping & Trading S.R.L. a fost sancționat astfel:

  • avertisment pentru încălcarea dispozițiilor art. 12 și art. 13 din RGPD, întrucât operatorul nu a prezentat dovezi din care să rezulte că a asigurat o informare clară, completă și corectă a persoanelor vizate; Citește acest articol pentru a afla cum trebuie să informezi persoana vizată. 
  • amendă în cuantum de 23.893 lei, echivalentul a 5.000 euro, pentru încălcarea  dispozițiilor art. 5 alin. (1) lit. c), art. 6 și art. 7 din RGPD, întrucât operatorul a prelucrat în mod excesiv datele cu caracter personal (imaginea) ale angajaților săi prin intermediul camerelor video instalate în birourile în care aceștia își desfășoară activitatea și în locurile în care există dulapuri unde angajații își depozitează hainele de schimb (vestiare); Citeste acest articol pentru a afla cum poți supraveghea video legal angajații.
  • amendă în cuantum de 23.893 lei, echivalentul a 5.000 euro, pentru încălcarea dispozițiilor art. 5 alin. (1) lit. c), art. 9 și art. 7 din RGPD, întrucât operatorul a prelucrat date biometrice (amprente) ale angajaților putând fi utilizate şi alte mijloace pentru atingerea acestui scop, mai puţin intruzive pentru viața privată a persoanelor vizate;
  • avertisment pentru încălcarea dispozițiilor art. 5 alin. (1) lit. a), b) și e) și art. 6 din RGPD, întrucât operatorul a prelucrat ilegal datele cu caracter personal ale unui fost angajat prin utilizarea acestora în cadrul corespondenței prin poșta electronică, în scopul desfăşurării activităţii societăţii, ulterior încetării relației contractuale cu acesta. Citește acest articol pentru a afla în ce condiții poți accesa e-mailul unui fost angajat. 

 

Sancțiunile au fost aplicate ca urmare a unei plângeri prin care se reclama faptul că Entirely Shipping & Trading S.R.L. a instalat camere de supraveghere audio-video în birourile angajaților, în vestiare și în sala de mese și că, în anumite locații (spații cu acces restricționat), accesul se realiza pe bază de amprentă.

De asemenea, s-a reclamat faptul că operatorul s-a folosit de identitatea unui fost angajat în transmiterea unor e-mail-uri în interes de serviciu fără ca acesta din urmă să fi fost informat în prealabil.

În cadrul investigației, s-au constatat următoarele:

KIT GDPR Premium

 

Totodată, operatorului i s-au aplicat și următoarele măsuri corective:

  • măsura corectivă de a asigura informarea corectă a persoanelor vizate prin comunicarea într-o formă concisă, transparentă, inteligibilă și ușor accesibilă a tuturor informațiilor prevăzute de art. 13 din RGPD și în condițiile de transparență menționate la art. 12 din RGPD, precum și de a modifica documentele prin care se realizează în prezent informarea; (modele de note de informare conforme GDPR se găsesc aici)
  • măsura corectivă de a asigura conformitatea operațiunilor de prelucrare a datelor personale în activitatea de monitorizare video, cu respectarea principiului “reducerii la minimum a datelor”;
  • măsura corectivă de a asigura conformitatea operațiunilor de prelucrare a datelor personale în activitatea de control acces, cu respectarea principiului “reducerii la minimum a datelor”;
  • măsura corectivă de a asigura conformitatea operațiunilor de prelucrare a datelor personale cu dispozițiile RGPD, prin realizarea unei politici de securitate și implementarea unor măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscurilor. (modele de politici și proceduri GDPR se găsesc aici)

Sursa: dataprotection.ro

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Te-ar putea interesa și:

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



abstract-technology-binary-code-background-with-gdpr-icons_158941-1.jpg

Autoritatea Națională de Supraveghere a finalizat, în data de 16.12.2019, o investigație la operatorul SC Enel Energie S.A., constatând  următoarele:

Operatorul S.C. Enel Energie S.R.L. a fost sancționat contravențional cu două amenzi, fiecare în cuantum de 14.334,30 lei, echivalentul sumei de 3000 EURO pentru încălcarea art. 5 alin. (1) lit. d) (principiul exactității), art. 6 alin. (1) lit. a) (consimțământ) și art. 7 alin. (1) din Regulamentul General privind Protecția Datelor, respectiv pentru încălcarea dispozițiilor art. 21 alin. (1) (dreptul la opoziție) din Regulamentul General privind Protecția Datelor.

Sancțiunile au fost aplicate ca urmare a unei plângeri prin care se reclama faptul că S.C Enel Energie S.A. a prelucrat nelegal datele petentului, neputând face dovada obținerii consimțământului acestuia pentru transmiterea de notificări pe această adresă de e-mail și fără respectarea principiului exactității. În plus, operatorul nu a luat măsurile necesare pentru dezactivarea transmiterii de notificări, deși petentul și-a exercitat dreptul de opoziție în mai multe rânduri.

Amenda a fost achitată de operator.

 

Te-ar putea interesa și:

 

KIT GDPR Premium

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



abstract-technology-binary-code-background-with-gdpr-icons_158941-1.jpg

Autoritatea Națională de Supraveghere a finalizat, în data de 10.12.2019, o investigație la o Hora Credit IFN S.A. și a constatat încălcarea anumitor dispoziții din Regulamentul General privind Protecția Datelor (RGPD).

Operatorul a fost sancționat astfel:

  • pentru contravenția constatată potrivit art. 12 din Legea nr. 190/2018, prin raportare la dispozițiile enumerate la art. 83 alin. (5) lit. a) din RGPD – amendă în cuantum de 14336,1 lei, echivalentul a 3000 euro;
  • pentru contravenția constatată potrivit art. 12 din Legea nr. 190/2018, prin raportare la dispozițiile enumerate la art. 83 alin. (4) lit. a) din RGPD – amendă în cuantum de 47787 lei, echivalentul a 10.000 euro;
  • pentru contravenția constatată potrivit art. 12 din Legea nr. 190/2018, prin raportare la dispozițiile enumerate la art. 83 alin. (4) lit. a) din RGPD (raportat la art. 33 alin. (1) din RGPD) – amendă în cuantum de 4778,7 lei, echivalentul a 1000 euro.

Te-ar putea interesa și:

 

Sancțiunile au fost aplicate ca urmare a unei plângeri prin care s-a reclamat faptul că Hora Credit IFN SA a transmis pe adresa de e-mail documente ce conțineau datele personale ale unei alte persoane.

Deși respectiva eroare a fost sesizată atât operatorului, cât și call center-ului acestuia, Hora Credit IFN SA nu a remediat acest aspect, transmițând în continuare mesaje pe adresa de e-mail.

În urma investigației s-a constatat că Hora Credit IFN SA a prelucrat datele fără să dovedească aplicarea unor mecanisme eficiente de verificare și validare a exactității datelor colectate și ulterior prelucrate, respectiv, de păstrare a confidențialității acestora, conform principiilor prevăzute la art. 5 din RGPD.

De asemenea, s-a constatat că operatorul nu a luat suficiente măsuri de securitate a datelor personale, potrivit art. 25 și 32 din RGPD, astfel încât să evite dezvăluirea neautorizată și accesibilă a datelor persoale către terți.

Totodată, Hora Credit IFN SA nu a notificat Autorității de supraveghere incidentul de securitate ce i-a fost adus la cunoștință, potrivit art. 33 din RGPD, în termen de 72 de ore de la data la care a luat cunoștință de acesta.

 

 

În același timp, oeratorului i s-au aplicat și următoarele măsuri corective:

  • măsura corectivă de a asigura conformitatea cu RGPD a operațiunilor de colectare și prelucrare ulterioară a datelor personale în scopul încheierii și executării contractelor de împrumut, în special, sub aspectul verificării datelor personale colectate, precum adresa de poștă electronică, ce permit comunicarea la distanță a datelor personale, prin implementarea unor metode eficiente de validare a exactității datelor – în termen de 30 zile de la data comunicării procesului-verbal de contravenție (art. 58 alin. (2) lit. d) din RGPD);
  • măsura corectivă de a asigura conformitatea cu RGPD a operațiunilor de prelucrare a datelor personale în scopul încheierii și executării contractelor de împrumut, în vederea respectării secretului profesional și a confidențialității datelor personale ale clienților săi, în special, în cazul transmiterii unor documente și mesaje ce conțin date personale la distanță (de exemplu, prin poșta electronică), prin implementarea unor măsuri adecvate și eficiente de securitate, atât din punct de vedere tehnic (precum criptarea), cât și din punct de vedere organizatoric, prin instruirea persoanelor ce prelucrează date sub autoritatea sa, în vederea identificării și limitării imediate a riscurilor ce pot afecta persoanele vizate – în termen de 30 zile de la data comunicării procesului-verbal de contravenție (art. 58 alin. (2) lit. d) din RGPD);
  • măsura corectivă de a asigura conformitatea cu RGPD a operațiunilor de prelucrare a datelor personale în scopul implementării unei politici interne adecvate pentru identificarea riscurilor, analiza acestora și notificarea către ANSPDCP în cazul producerii unei încălcări a securității, în condițiile prevăzute de art. 33 alin. (1) din RGPD – în termen de 30 zile de la data comunicării procesului-verbal de contravenție (art. 58 alin. (2) lit. d) din RGPD).

KIT GDPR Premium

 

 

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



uber.jpg

Îți amintești de amenda aplicată de către ANSPDCP în 2018 (înainte de aplicarea GDPR în România) companiei UBER pentru breșa de securitate din 2016? Dacă nu îți amintești, nu îți face probleme, vom detalia în continuare tot ce trebuie să știi despre acest caz. Nouă ni se pare un caz interesant pentru că releva informații importante despre (1) modalitatea de desfășurare concretă a investigației ANSPDCP la sediul Uber; (2) mecanisme contractuale interesante între operatori și persoane împuternicite prin explicarea relațiilor dintre companiile afiliate Uber și (3) clarificarea anumitor elemente de drept în zona sferei online.

Nr. Hotărârii: 8719/2018, rămasă definitivă prin respingerea apelului la Tribunalul București

Instanța: Judecătoria Sectorului 1 București

Sursa: rolii.ro

Ce s-a întâmplat?

Conform informațiilor transmise de Uber prin intermediul plângerii contravenționale, în urma unei breșe de securitate a aplicației Uber, datele cu caracter personal a aproximativ 30.000 de persoane fizice au fost compromise (șoferi și călători Uber). Echipa de securitate a companiei a stabilit că persoana neautorizată, care acționase împreună cu o a doua persoană, a obținut acces la un cod sursă stocat pe o pagină pusă la dispoziția UBER de un furnizor de servicii cloud, numită GitHub. Utilizând credențialele acolo disponibile, persoana neautorizată (exterioară organizației) a reușit să acceseze și să descarce anumite date arhivate privind Șoferii și Călătorii Uber.

Echipa de securitate a stabilit rapid modul de acces, a închis accesul persoanelor neautorizate și a luat celelalte măsuri pentru a confirma faptul că persoanele au distrus și nu vor utiliza sau disemina informațiile în continuare. De asemenea, Uber a implementat măsuri suplimentare pentru îmbunătățirea securității datelor, inclusiv instituirea autentificării prin recurs la două elemente (two-factor authentication – user și parolă, plus un alt element exterior pe care numai userul autorizat ar putea să îl cunoască) pentru GitHub.

Accesul neautorizat la aceste date a început pe 13 octombrie 2016 și a ținut până pe 15 noiembrie 2016.

Întrucât printre persoanele fizice vizate se aflau și cetățeni români, ANSPDCP a sancționat în luna mai 2018 (cu doar câteva zile înainte de aplicarea GDPR), în urma unei investigații care s-a întins pe câteva luni, compania UBER SYSTEMS ROMÂNIA S.R.L. cu amendă și cu sancțiunea complementară de a notifica cei 30.000 utilizatori cu privire la breșa de securitate din anul 2016 și de a plăti amenzi cominatorii în cuantum de 5.000 lei/zi întârziere până la notificarea efectivă a utilizatorilor.

 

 

Uber a atacat procesul-verbal de constatare a contravenției în instanță și a câștigat la Judecătoria Sectorului 1 București. ANSPDCP a formulat apel împotriva hotărării și a pierdut la Tribunalul București. Pentru că în acest caz sunt informații importante despre interpretarea normelor privitoare la protecția datelor cu caracter personal, în continuare, vom prezenta sintetic apărările Uber, apărările ANSPDCP și concluziile instanței de judecată.

 

Apărările Uber pe scurt

1. Uber Systems Romania SRL nu poate fi trasă la răspundere pentru eventualele breșe de securitate, deoarece nu este operator de date, ci o persoană împuternicită a operatorului de date UBER BV cu sediul în Olanda. Conform argumentelor Uber, compania UBER BV cu sediul în Olanda este operatorul de date inclusiv pentru utilizatorii din România. Uber a detaliat mecanismul contractual prin care a reușit să scoată Uber Systems Romania SRL din sfera răspunderii în România:

„În ceea ce privește protecția datelor cu caracter personal ale utilizatorilor aplicației Uber, operatorul de date cu caracter personal este Uber BV pentru toți utilizatorii – Călători și Șoferi – care se află în afara Statelor Unite ale Americii (așa cum rezultă inclusiv din Termenii și Condițiile de folosire a aplicației)..

Ca urmare, Uber BV este operatorul care colectează și care ulterior prelucrează datele cu caracter personal ale utilizatorilor aplicației, inclusiv ale utilizatorilor de pe teritoriul României, în special deoarece aceste este singurul deținător al licenței de utilizare a aplicației Uber în afara Statelor Unite. Colectarea și prelucrarea datelor cu caracter personal se realizează în scopurile și în conformitate cu Politica de Confidențialitate a Uber BV.

 

Te-ar putea interesa și:

 

În ceea ce o privește pe Uber Systems România, activitatea acesteia nu are o implicare directă în operarea propriu-zisă a aplicației Uber. Uber Systems România realizează activități de marketing și suport pentru Uber B.V. (…)

Așadar, Uber Systems România nu este operator de date cu caracter personal în ceea ce privește utilizatorii aplicației. Uber Romania oferă anumite servicii de asistență pentru Uber B.V., respectiv asistență pentru clienți și marketing, și acționează în calitate de persoană împuternicită de către operator pentru Uber B.V. în acest scop specific.

Acest aspect rezultă din Acordul de procesare a datelor din data de 31.03.2016 încheiat între Uber BV și afiliații săi, printre care și Uber Systems România , care stipulează foarte clar:

a) Uber BV este operatorul de date cu caracter personal al utilizatorilor din afara teritoriilor Statelor Unite ale Americii; acesta este de asemenea și exportator al datelor personale colectate, date pe care afiliații acestuia urmează să le proceseze în conformitate cu Contractul și cu standardele Uber BV (așa cum rezultă din preambulul Acordului și din Anexa 1 la Clauzele contractuale standard anexate Acordului);

b) că Uber Systems Romania este doar persoană împuternicită să prelucreze date cu caracter personal după instrucțiunile Uber BV;, operațiunile de prelucrare și scopul acestora sunt descrise în Acord (în special Anexa 1 la Clauzele contractuale standard anexate Acordului);

c) care sunt datele cu caracter personal exportate, scopul și modul prelucrării acestora (Clauza 3 și Anexa 1 la Contract, astfel cum a fost ulterior completată);

d) care sunt drepturile utilizatorilor aplicației (persoanele vizate de la care se colectează datele) față de UberBV, față de afiliații acestuia și inclusiv față de subcontractorii agreați (Clauza 3 a Contractului) și cum se exercită acestea.”

Din păcate, instanța a admis plângerea contravențională pe altă argumentație, și nu a răspuns la această apărare, considerând-o ca nerelevantă pentru soluționarea cauzei, dar a oferit un indiciu important: „Referitor la apărările intimatei în sensul că a admite că Uber Systems ROMANIA S.R.L. nu este responsabilă de modalitatea de prelucrare a datelor si implicit de asigurarea securității acestora, înseamna a se ajunge în situația în care societatea nu ar raspunde sub nicio formă pentru încălcarea legilor romane privind protecția datelor, în măsura în care operatorul este situat în afara Romaniei, deși prelucreaza datele persoanelor fizice situate pe teritoriul Romaniei, prin mijloace de comunicatii electronce va fi înlăturată ca nerelevantă, întrucât în cauză s-a pus în discuție doar raspunderea contravențională a societății petente.”

KIT GDPR Premium

 

2. Dispozițiile Legii nr. 506/2004 (legea în baza căreia s-a sancționat) nu sunt aplicabile întrucât nici Uber BV nici Uber Systems România deoarece aceștia nu sunt furnizori deservicii de comunicații electronice destinate publicului.”

Este foarte important a se face distincția între servicii ale societății informaționale, pe de o parte, și servicii de comunicații electronice, pe de altă parte.

Referitor la cadrul normativ național, petenta a arătat că activitatea de furnizare de rețele si servicii de comunicații electronice este reglementata la nivelul legislației primare de către Ordonanța de urgenta a Guvernului nr. 111/2011 privind comunicațiile electronice, aprobata, cu modificări si completări, prin Legea nr. 140/2002, cu modificările si completările ulterioare („OUG nr. 111/2011”). De altfel, dispozițiile art. 2 alin. (2) din Legea nr. 506/2004 fac trimitere expresa la definițiile relevante prevăzute in cuprinsul OUG nr. 111/2011, inclusiv “rețea de comunicații electronice” (art. 4 alin. (1) pct. 6 din OUG nr. 111/2011), “furnizor de rețele de comunicații electronice” (art. 4 alin. (1) pct. 8 din OUG nr. 111/2011) si “serviciu de comunicații electronice” (art. 4 alin. (1) pct. 9 din OUG nr. 111/2011).

Se observa, așadar, ca, pentru a dobândi calitatea de furnizor de retele/servicii de comunicații electronice, este necesara transmiterea unei notificări către Autoritatea Naționala pentru Administrare si Reglementare in Comunicații (“ANCOM”).  Textul partii introductive a art. 6 alin. (1) din OUG nr. 111 /2011 face referire la “orice persoana care intenționează sa furnizeze rețele de servicii de comunicații electronice”, care “are obligația să transmită ANCOM o notificare (…)”, ceea ce inseamna ca, in lipsa/anterior transmiterii unei notificări către ANCOM, persoana respectiva nu are calitatea de furnizor de retele/servicii de comunicații electronice. De asemenea, transmiterea notificării se realizeaza “in scopul realizării unei evidente oficiale a furnizorilor”, calitatea de furnizor de retele/servicii de comunicații electronice avand-o, deci, persoanele care sunt inscrise in evidenta oficiala realizata de ANCOM pe baza notificărilor transmise.

Având in vedere, printre altele, dispozițiile art. 6 si art. 8 din OUG nr. 111 /2011, președintele ANCOM a emis Decizia nr. 987/2012 privind regimul de autorizare generală pentru furnizarea rețelelor și a serviciilor de comunicații electronice. Acest act normativ reglementează atat procedura de notificare a intenției de a furniza retele/servicii de comunicații electronice, cat si drepturile si obligațiile generale ale persoanelor care au dobândit calitatea de furnizor de rețele/servicii de comunicarii electronice în urma transmiterii notificarii (autorizația generală).

Potrivit dispozițiilor art. 8 alin. (1) din Decizia nr. 987/2012, „Solicitantul care a realizat notificarea în termenul și în condițiile prevăzute de prezenta decizie este considerat furnizor de rețele sau de servicii de comunicații electronice pentru tipurile de rețele ori de servicii de comunicații electronice indicate în notificare, denumit în continuare furnizor, și dobândește drepturile și obligațiile specifice prevăzute de autorizația generală pentru tipurile de rețele sau de servicii de comunicații electronice indicate în notificare, de la data prevăzută la art. 5 alin. (4) sau (5), după caz.” .

Așadar, calitatea de furnizor de r etele/servicii de comunicații electronice este dobândita de solicitantul care a transmis notificarea cu respectarea termenelor si cerințelor legale, in lipsa transmiterii notificării neexistand calitatea de furnizor de retele/servicii de comunicații electronice. De altfel, textul art. 8 alin. (1) din Decizia nr. 987/2012 si interpretarea acestuia sunt in deplin acord cu prevederile art. 6 alin. (1) din OUG nr. 111/2011, citate in cuprinsul paragrafului 73 de mai sus, si cu interpretarea ce rezulta din acestea, menționata in cuprinsul aceluiași paragraf.

Astfel, calitatea de furnizor de servicii de comunicații electronice este detinuta de persoanele inscrise in Registrul public al furnizorilor de retele/servicii de comunicații electronice, disponibil pe pagina de internet http://www.ancom.org.ro/furnizoricomunicatii-electronice_133, inscriere care se realizeaza in urma transmiterii unei notificări cu respectarea termenelor si cerințelor legale. Or, U___ nu este inscrisa in registru si, ca urmare, nu are calitatea de furnizor de servicii de comunicații electronice.

A menționat ca, potrivit dispozițiilor art. 142 pct. 1 din OUG nr. 111 /2011, “furnizarea rețelelor sau a serviciilor de comunicații electronice de către o persoană care nu este autorizată în condițiile art. 6 pentru acel tip de activitate” constituie contravenție.

In orice caz, pentru evitarea oricărui dubiu, petenta a aratat ca, in subsidiar, U___ nici nu avea obligația de a transmite ANCOM notificarea prevăzută la art. 6 din OUG nr. 111/2011, intrucat serviciile furnizate de U___ nu reprezintă servicii de comunicații electronice.

Petenta a susținut că serviciile furnizate de Uber nu reprezintă servicii de comunicații electronice.”

Instanța de judecată a considerat întemeiată această apărare, considerând că Uber nu poate fi subiect activ al faptei contravenționale de a nu notifica persoanele vizate afectate în temeiul Legii nr. 506/2004, deoarece nu are calitatea de furnizor de servicii de comunicații electronice. 

„În ceea ce privește considerarea petentei drept un furnizor de servicii de comunicații electronice care ar consta în întregime/în principal în transmiterea semnalelor prin rețelele de comunicații electronice, prin intermediul internetului, instanța constată că nu s-a făcut dovada că activitatea petentei constă în transmiterea semnalelor prin rețele de comunicații electronice.

Sub acest aspect, instanța constată că nu poate fi confundată activitatea de transmitere a semnalelor prin rețelele publice de comunicații cu prestarea unor servicii prin care se furnizează conținutul informației transmise prin intermediul rețelelor. De asemenea, nu poate fi confundată activitatea de transmitere a semnalelor prin rețelele publice de comunicații cu  serviciile societății informaționale, care potrivit art.1 lit.(c) din Legea nr.365/2002, constau în efectuarea unui serviciu prin transmiterea informației la cererea individuală a destinatarului.”

În concluzie, considerând această apărare întemeiată, instanța a admis plângerea contravențională și a anulat procesul verbal de contravenție și nu s-a mai pronunțat cu privire la temeinicia celorlalte apărări Uber, considerându-le nerelevante. Hotărârea instanței a rămas definitivă prin respingerea apelului declarat de către ANSPDCP.

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

 

 

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



arhive-amenzi-gdpr-legalup

Ești în siguranță pe site-ul nostru.

LegalUp Innovators at Law utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru. Te informăm că ne-am actualizat politicile pentru a integra în acestea si în activitatea curentă a LegalUp.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politica privind utilizarea modulelor Cookie și Politica noastră de confidențialitate. Nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookies.

Privacy Settings saved!
Setari permisiuni

Cookie-urile sunt folosite pe acest site pentru a oferi cea mai bună experiență de utilizator. Dacă continuați, presupunem că sunteți de acord să primiți cookie-uri de pe acest site

Utilizăm fișiere de tip cookie pentru a personaliza și imbunătăți experiența ta pe website-ul nostru.

Utilizăm fișiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe website-ul nostru.
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Decline all Services
Da, Sunt de acord