Nouă amendă pe GDPR în România: Cum a căzut „victimă” un hotel din București

Sursa imagine

Intrat în vigoare de un an, Regulamentul General de Protecție a Datelor Personale, faimosul GDPR, mai face o „victimă” în rândul firmelor din România: un hotel a fost amendat de statul român după ce persoane neautorizate au făcut poze la o listă de clienți și numele lor au fost dezvăluite public - a anunțat luni Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

Amenda primită de World Trade Center Bucharest S.A. se ridică la 15.000 de euro.

Ce spune Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal:

În data de 02.07.2019, Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul WORLD TRADE CENTER BUCHAREST S.A. și a constatat că acesta a încălcat prevederile art. 32 alin. (4) raportat la art. 32 alin. (1) și alin. (2) din Regulamentul General privind Protecţia Datelor, referitoare la securitatea prelucrării.

Operatorul WORLD TRADE CENTER BUCHAREST S.A. a fost sancționat contravențional cu amendă în cuantum de 71.028 lei, echivalentul sumei de 15.000 euro.

Încălcarea securității datelor cu caracter personal a constat în faptul că o listă printată pe suport de hârtie, utilizată pentru verificarea clienților care serveau micul dejun și care conținea date cu caracter personal ale unui număr de 46 de clienți, cazați la unitatea hotelieră aparținând WORLD TRADE CENTER BUCHAREST S.A., a fost fotografiată de către persoane neautorizate din afara societății, ceea ce a condus la dezvăluirea în mediul on-line a datelor cu caracter personal ale unor clienți, prin publicare.

Operatorul WORLD TRADE CENTER BUCHAREST S.A. a fost sancționat deoarece nu a luat măsuri pentru a se asigura că angajații săi care au acces la date cu caracter personal nu le prelucrează decât la cererea sa, potrivit legii.

De asemenea, operatorul nu a implementat măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării generat în special, în mod accidental sau ilegal, de divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal. Aceasta a condus la accesul neautorizat la datele cu caracter personal ale unui număr de 46 de clienți ai WORLD TRADE CENTER BUCHAREST S.A și divulgarea neautorizată a acestor date, în mediul on-line, ceea ce a condus la afectarea drepturilor la viață privată și la protecția datelor cu caracter personal, garantate de art. 7 și art. 8 din Carta Drepturilor Fundamentale a Uniunii Europene și de art. 16 din Tratatul privind Funcționarea Uniunii Europene.

Autoritatea Naţională de Supraveghere a efectuat investigația ca urmare a transmiterii de către WORLD TRADE CENTER BUCHAREST S.A. a unei notificări privind încălcarea securității datelor cu caracter personal prin completarea formularului privind încălcarea securității datelor cu caracter personal, prevăzută de art. 33 din RGPD.

Regulamentul General privind Protecţia Datelor instituie, prin art. 24, principiul responsabilității operatorului, potrivit căruia: ”Ținând seama de natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi de riscurile cu grade diferite de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice, operatorul pune în aplicare măsuri tehnice şi organizatorice adecvate pentru a garanta şi a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc şi se actualizează dacă este necesar.”

Totodată, considerentul (75) din RGPD precizează:

”Riscul pentru drepturile şi libertăţile persoanelor fizice, prezentând grade diferite de probabilitate de materializare şi de gravitate, poate fi rezultatul unei prelucrări a datelor cu caracter personal care ar putea genera prejudicii de natură fizică, materială sau morală, în special în cazurile în care: prelucrarea poate conduce la discriminare, furt sau fraudă a identităţii, pierdere financiară, compromiterea reputaţiei, pierderea confidenţialităţii datelor cu caracter personal protejate prin secret profesional, inversarea neautorizată a pseudonimizării sau la orice alt dezavantaj semnificativ de natură economică sau socială; persoanele vizate ar putea fi private de drepturile şi libertăţile lor sau împiedicate să-şi exercite controlul asupra datelor lor cu caracter personal; (...) sunt evaluate aspecte de natură personală, în special analizarea sau previzionarea unor aspecte privind randamentul la locul de muncă, situaţia economică, starea de sănătate, preferinţele sau interesele personale, fiabilitatea sau comportamentul, locaţia sau deplasările, în scopul de a se crea sau de a se utiliza profiluri personale; sunt prelucrate date cu caracter personal ale unor persoane vulnerabile, în special ale unor copii; sau prelucrarea implică un volum mare de date cu caracter personal şi afectează un număr larg de persoane vizate.”

Săptămâna trecută, o bancă a fost amendată de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal. Unicredit Bank S.A. a primit 130.000 de euro amendă, „ca urmare a neaplicării măsurilor tehnice şi organizatorice adecvate, atât în momentul stabilirii mijloacelor de prelucrare, cât şi în cel al prelucrării în sine, destinate să pună în aplicare în mod eficient principiile de protecție a datelor, precum reducerea la minimum a datelor, şi să integreze garanțiile necesare în cadrul prelucrării, pentru a îndeplini cerințele RGPD şi a proteja drepturile persoanelor vizate”.

"Am luat cunoștință de decizia Autotității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal. Punctele semnalate au fost deja remediate", a transmis banca.

Un caz controversat în care statul român a folosit GDPR împotriva unei entități din România s-a consumat în noiembrie 2018. Atunci, publicația de investigații RISE Project a primit o notificare de la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, în care i se solicita divulgarea surselor în cazul anchetei #TeleormanLeaks. Potrivit celor de la RISE Project, instituția i-a „amenințat cu penalități de 20 de milioane de euro în caz că nu furnizăm acces la sistemele noastre informatice”.

În replică, autoritatea a spus că a solicitat publicației informații "ca urmare a sesizării primite de la o persoană fizică, care a semnalat posibile încălcări ale legislației privind protecția datelor cu caracter personal, prin postările realizate de Rise Project în spațiul public".

În urma acestui incident, și Comisia Europeană a intervenit public, atrâgând atenția autorităților române să nu încalce libertatea presei folosindu-se de regulamentul UE.

”Dreptul la protecția datelor personale nu este unul absolut. Articolul 85 din GDPR enunță clar că protecția datelor trebuie să fie în echilibru cu libertatea de exprimare și de informare. A folosi GDPR împotriva acestor două drepturi fundamentale ar reprezenta un abuz clar al Regulamentului”, a spus purtătorul de cuvânt al Comisiei Europene, Margaritis Schinas.

Regulamentul general pentru protecția datelor personale (GDPR) a intrat în vigpare din 25 mai 2018 în statele Uniunii Europene, inclusiv România.