Claudiu Zamfir

Noi amenzi GDPR în România: eMag, Vodafone și Enel, sancționate cu zeci de mii de euro

Thumbnail

GDPR aduce noi amenzi în România: zeci de mii de euro de la magazinul online eMag, operatorul de telecomunicații Vodafone și distribuitorul de energie Enel Muntenia, companii care au avut împreună venituri de circa 10,5 miliarde de lei (aproape 2,2 miliarde de euro). Sancțiunile în baza GDPR  au fost aplicate de Autoritatea Națională de  Supraveghere a Prelucrării Datelor cu Caracter Personal, care le-a făcut publice miercuri.

  • eMag: 3.000 de euro pentru un mail

În data de 27.02.2020, Autoritatea Națională de Supraveghere a finalizat o investigație la compania Dante Internațional S.A., deținătorul eMAG.ro, a aplicat o amendă de 14.420,4 lei, echivalentul sumei de 3000 de euro. Compania deținută de fondul de investiții sud-african Naspers a avut venituri de peste 4,2 miliarde de lei, în 2018 și un număr mediu de 2720 de angajați, potrivit datelor oficiale colectate de Termene.ro

Autoritatea acuză eMag că, la sfârsitul anului 2019, a transmis unei persoane fizice un mesaj comercial, deși la începutul anului 2019 operatorul îi confirmase acesteia dezabonarea de la comunicările comerciale.

Totodată, operatorului Dante Internațional SA i s-au aplicat și două măsuri corective.

Astfel, operatorul a fost obligat să implementeze solicitarea persoanei fizice de a-i fi dezactivată din baza de date setarea privind transmiterea pe adresa de sa de e-mail a mesajelor comerciale, în termen de 3 zile lucrătoare de la comunicarea procesului-verbal. Totodată, operatorul a fost obligat să ia măsuri astfel încât să fie respectate prevederile art. 21 din Regulament, în termen de 20 zile de la data comunicării procesului-verbal.

Art. 21 alin. (3) din Regulamentul General privind Protecția Datelor, prevede că ”în cazul în care persoana vizată se opune prelucrării în scopul marketingului direct, datele cu caracter personal nu mai sunt prelucrate în acest scop.”

 

  • Vodafone, amendată cu 23.000 Euro

Compania de telefonie mobilă Vodafone România a primit și ea 3 amenzi, în valoare totală de 23.000 de euro, pentru că ar fi încălcat regulamentul european privind protecția datelor personale, celebrul GDPR.

În data de 13.02.2020, Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul Vodafone România SA și i-a aplicat două amenzi de 20.000 de euro în total.

Vodafone fusese reclamată de o petentă că i-ar fi încălcat securitatea și confidențialitatea datelor cu caracter personal.

Astfel, reclamanta a susținut că a solicitat o ofertă pe telefon, prin intermediul site-ului Vodafone România și că, ulterior, a primit pe adresa sa de e-mail, un contract încheiat de operator cu o altă persoană fizică, petenta având suspiciuni că datele sale cu caracter personal ar fi putut fi dezvăluite acestei persoane.

Autoritatea a constatat că Vodafone România SA nu a respectat dispozițiile art. 3 alin. (1) – (3) din Legea nr. 506/2004, cu modificările și completările ulterioare, potrivit cărora furnizorul unui serviciu de comunicaţii electronice destinat publicului are obligaţia de a lua măsuri tehnice şi organizatorice adecvate în vederea asigurării securităţii prelucrării datelor cu caracter personal, că acestea trebuie să asigure un nivel de securitate proporţional cu riscul existent, având în vedere posibilităţile tehnice de ultimă oră şi costurile implementării acestor măsuri și să respecte cel puţin următoarele condiţii:

a) să garanteze că datele cu caracter personal pot fi accesate numai de persoane autorizate, în scopurile autorizate de lege;

 b) să protejeze datele cu caracter personal stocate sau transmise împotriva distrugerii accidentale ori ilicite, împotriva pierderii sau deteriorării accidentale şi împotriva stocării, prelucrării, accesării ori divulgării ilicite;

c) să asigure punerea în aplicare a politicii de securitate elaborate de furnizor în ceea ce priveşte prelucrarea datelor cu caracter personal

De asemenea, s-a constatat faptul că nu au fost respectate dispozițiile art. 3 alin.  (6) din Legea nr. 506/2004, cu modificările și completările ulterioare, conform cărora ”În cazul unei încălcări a securităţii datelor cu caracter personal, furnizorii de servicii de comunicaţii electronice destinate publicului vor notifica ANSPDCP, fără întârziere, la respectiva încălcare.”

Pe lângă sancțiunile cu amenda aplicate operatorului Vodafone România SA, Autoritatea Națională de Supraveghere a recomandat acestuia ca, în termen de 30 zile de la data comunicării procesului-verbal, să ia măsuri adecvate de securitate a prelucrării datelor personale, inclusiv sub aspectul asigurării confidenţialității și protejării datelor cu caracter personal împotriva divulgării ilicite

De asemenea, s-a recomandat operatorului Vodafone România SA ca, pe viitor, să notifice breșele de securitate, fără întârzieri, Autorităţii Naționale de Supraveghere.

Tot Vodafone a mai luat o amendă de 3.000 de euro de la Autoritatea de Supraveghere în urma unei investigații încheiate în 11 februarie 2020.

Autoritatea acuză Vodafone România că ar fi prelucrat greșit date personale ale unei persoane fizice în scopul soluționării reclamației acesteia, ceea ce a determinat ulterior  transmiterea răspunsului operatorului către o adresă de e-mail eronată, nefiind adoptate suficiente măsuri suficiente de securitate împotriva prelucrării ilegale a datelor personale ale persoanei respective.

Vodafone a fost obligat să asigure conformitatea cu Regulamentul General privind Protecția Datelor a operațiunilor de colectare și prelucrare ulterioară a datelor personale, prin implementarea unor metode eficiente de respectare a exactității datelor, inclusiv în cazul colectării datelor, precum adresa de poștă electronică.

În acest sens, s-a dispus punerea în practică a unor măsuri adecvate și eficiente de securitate din punct de vedere tehnic și organizatoric, inclusiv prin instruirea regulată a persoanelor ce prelucrează date sub autoritatea operatorului, în termen de 30 zile de la data comunicării procesului-verbal de sancționare.

Vodafone România a avut o cifră de afaceri de peste 3,8 miliarde de lei în anul 2018, cu un numpr mediu de 2340 de angajați.

Conform art. 5 alin. (1) din Regulament General privind Protecția Datelor (GDPR), ”datele cu caracter personal sunt:

d) exacte şi, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt şterse sau rectificate fără întârziere ("exactitate");

f) prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecţia împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare ("integritate şi confidenţialitate").”

 

  • De ce a fost amendat ENEL

Enel Energie Muntenia SA a primit o amendă de 3.000 de euro pentru încălcarea GDPR. Compania a avut o cifră de afaceri de aproape 2,5 miliarde de lei în anul 2018, cu 233 de angajați, conform Termene.ro.

În data de 25 februarie, Autoritatea Națională de Supraveghere a finalizat o investigație la Enel Energie Muntenia SA și a constatat că acesta a încălcat prevederi ale GDPR referitoare la securitatea prelucrării datelor.

Autoritatea acuză distribuitorul de energie că  a încălcat confidențialitatea și securitatea datelor personale prin faptul că a transmis pe adresa de e-mail a unui client persoană fizică, date personale (nume și prenume, adresă, adresă de e-mail, cod client, cod eneltel) ale altui  client.

Enel Energie Muntenia SA a fost sancționat deoarece nu a implementat măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării generat în special, în mod accidental sau ilegal, de divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal.

Investigația a fost demarată la sesizarea clientului.

 

  •  ONG anti-infertilitate acuzat că a dezvăluit datele unei persoane

Și o organizație neguvernamentală a fost amendată pe baza GDPR. În urma unei investigații finalizate pe 13 februarie, Autoritatea a amendat cu 2.000 de euro că Asociația „SOS Infertilitatea”.

Motivul: ONG-ul ar fi dezvăluit date cu caracter personal fără consimțământul persoanei vizate.

Autoritatea de supraveghere a solicitat Asociației mai multe informații referitoare la aspectele sesizate, dar operatorul nu a răspuns solicitărilor instituției noastre. În urma contactării telefonice a operatorului, președintele asociației și-a exprimat opțiunea de a i se transmite solicitarea Autorității de supraveghere prin e-mail la o adresă indicată de acesta.

Întrucât Asociația „SOS Infertilitatea” nu a transmis informațiile solicitate până la data încheierii procesului-verbal de constatare/sancționare, aceasta a fost sancționată cu amendă.

Totodată, operatorului i s-a aplicat și măsura corectivă de a transmite Autorității, în scris, toate informațiile solicitate, în termen de 5 zile lucrătoare de la comunicarea procesului-verbal.

Parallax

Vizualizari
15730
Conţinut
Parerea ta despre articol
Adauga comentariu

- Ultimele știri -

 


  Ultimele știri