Lista cu sancţiuni pentru încălcarea GDPR: Avertismente şi recomandări pentru eMAG, Vola.ro, Altex

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a făcut public un raport al măsurilor corective luate în urma investigţiilor din perioada iunie-septembrie, cu privire la încălcarea regulamentului european de protecţie a datelor. Retaileri precum eMAG, Vola.ro şi Altex au primit avertismente sau li s-au cerut să aplice anumite modificări, la fel şi operatorilor telecom Vodafone şi Orange, iar câteva instituţii importante şi firme au fost amendate.

Vola.RO SRL a primit un avertisment nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării pentru drepturile și libertățile persoanelor fizice, prin transmiterea unei serii de e-mailuri destinate unui client al societății către mai mulți destinatari, aspect ce a dus la divulgarea neautorizată a acestor date către persoane neautorizate și compromiterea confidențialității, se arată în raportul ANSPDCP.

Altex România SRL a transmis unui petent mesaje comerciale promoționale nesolicitate prin email, fără a dovedi existența consimțământului expres prealabil al acestuia, încălcându-se astfel prevederile art. 12 din Legea nr. 506/2004 referitoare la comunicările nesolicitate.

Companiei Dante International SA (care deţine eMAG) ANSPDCP îi cere să ia toate măsurile necesare asigurării securității conturilor create pe platforma e-Mag și implicit a datelor cu caracter personal aferente clienților săi. De asemenea, să instruiască operatorii telefonici în legătură cu respectarea Procedurii şi să ia toate măsurile de securitate tehnice și organizatorice necesare, astfel încât să asigure un nivel corespunzător de securitate, inclusiv confidenţialitatea datelor, în scopul prevenirii accesului neautorizat la datele cu caracter personal pe care le prelucrează.

Companiei Orange Romania SA i se cere să comunice petentului (unui client care a făcut solilcitarea), în conformitate cu prevederile art. 15 din RGPD, un răspuns la cererea sa.

Amenzile date în intervalul mai sus menţionat:

Inteligo Media SA: amendă - în cuantum de 9.000 Euro, pentru încălcarea principiilor de bază pentru prelucrare, inclusiv condițiile privind consimțământul în conformitate cu art. 5, alin. (1) lit. a) și b), art. 6 alin.(1) lit. a) și art. 7 din RGPD, întrucât operatorul nu a putut face dovada obținerii consimțământului explicit, pentru un număr de mare de utilizatori cărora le-a prelucrat datele cu caracter personal, pe o perioadă de 15 luni. De asemenea operatorul a prelucrat date cu caracter personal pentru acești utilizatori în baza unui temei legal neadecvat scopului prelucrării în cauză, respectiv a colectat datele personale ale utilizatorilor respectivi într-un mod nelegal și netransparent față de persoana vizată, ulterior fiind prelucrate într-un mod incompatibil cu scopul în care au fost colectate inițial.

Unicredit Bank: amendă -în cuantum de 130.000 Euro pentru încălcarea art. 25 alin. (1) din RGPD coroborat cu art. 5 alin. 1 lit. c) din RGPD, deoarece operatorul nu a pus în aplicare măsuri tehnice şi organizatorice adecvate, atât în momentul stabilirii mijloacelor de prelucrare, cât şi în cel al prelucrării în sine, pentru a îndeplini cerințele RGPD şi a proteja drepturile persoanelor vizate, ceea ce a condus la dezvăluirea în documentele ce conțin detaliile tranzacțiilor și care sunt puse on-line la dispoziția clienților beneficiari ai plăților într-o anumită perioadă, a datelor privind CNP-ul și adresa persoanei care a efectuat plata/plătitorului, respectiv a datelor privind adresa plătitorului, pentru un număr de mare persoane vizate, deși, potrivit art. 5 alin. 1 lit. c) din RGPD, avea obligația de a prelucra date limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate.

World Trade Center: amendă - în cuantum de 15.000 Euro pentru încălcarea art. 32 alin. (4) raportat la art. 32 alin. (1) și alin. (2) din RGPD, deoarece operatorul nu a implementat măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării generat în special, în mod accidental sau ilegal, de divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal, ceea ce a condus la accesul neautorizat la datele cu caracter personal ale unui număr mare de clienți, printate pe suport de hârtie din aplicația hotelieră a operatorului, și divulgarea neautorizată a acestor date, în mediul on-line.

Legal Company & Tax Hub SRL: amendă - în cuantum de 3.000 Euro, pentru încălcarea art. 32 alin. (1) și alin. (2) din RGPD, întrucât operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurarii unui nivel de securitate corespunzator riscului prelucrării, ceea ce a condus la divulgarea neautorizată și accesul neautorizat la datele cu caracter personal ale persoanelor care au efectuat tranzacții recepționate de site-ul avocatoo.ro, documente accesibile publicului pe aceste site, timp de aproape doua luni, deși avea aceasta obligație potrivit art. 5 alin. (1) lit. f din RGPD.

Uttis Industries: amendă - în cuantum de 1000 E, pentru încălcarea art. 12 din RGPD, deoarece operatorul nu a putut face dovada realizării informării persoanelor vizate cu privire la prelucrarea datelor cu caracter personal/imagini prin intermediul sistemului de supraveghere video, pe care o realizează începând din anul 2016, deși avea obligația de a lua măsuri adecvate pentru a furniza persoanelor vizate orice informații menționate la art. 13 – 14 și orice comunicări în temeiul art. 15 – 22 și art. 34 referitoare la prelucrare, într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu, în special pentru orice informații adresate în mod specific unui copil;

Amendă în cuantum de 1.500 Euro, pentru încălcarea art. 5 alin. (1) lit. c) din RGPD, deoarece prelucrarea/dezvăluirea CNP-ului angajaților prin afișarea unui referat la avizier, nu era adecvată, relevantă și limitată în raport cu scopul în care acesta era prelucrat, respectiv preîntâmpinarea oricărui accident de muncă. Totodată operatorul nu a putut face dovada legalității prelucrării CNP-ului, prin dezvăluire la avizier, potrivit art. 6 RGPD;

Societatea Artmark Holding SRL: amendă - în cuantum de 10.000 lei pentru contravenția prevăzută de art. 13 alin. (1) lit. q) din Legea nr. 506/2004, coroborat cu art. 13 alin. (5) din Legea nr. 506/2004 și cu art. 7 din OG 2/2001, deoarece operatorul nu a făcut dovada obținerii consimțământului prealabil expres și neechivoc al petentului pentru transmiterea de mesaje comerciale pe adresa sa de email la o anumită dată.