Raportul măsurilor corective luate de către ANSPDCP

Raportul măsurilor corective luate de către ANSPDCP în urma investigațiilor derulate in anul 2019

În urma investigațiilor întreprinse de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal („ANSPDCP”) au fost luate masuri corectiva fata de un numar de 55 de operatori de date cu caracter personal.

În continuare urmează să prezentăm cele mai importante măsuri luate de catre ANSPDCP, astfel:

2. 07.2019- UniCredit – 130.000 EUR. Unicredit Bank a fost sancționat deoarece operatorul nu a pus în aplicare măsuri tehnice și organizatorice adecvate, atat în momentul stabilirii mijloacelor de prelucrare cât și în cel al prelucrarii în sine, pentru a îndeplini cerințele RGPD şi a proteja drepturile persoanelor vizate, ceea ce a condus la dezvăluirea în documentele ce conțin detaliile tranzacțiilor și care sunt puse online la dispoziția clienților beneficiari ai plăților într-o anumită perioadă, a datelor privind CNP-ul și adresa persoanei care a efectuat plata/plătitorului, respectiv a datelor privind adresa plătitorului, pentru un număr de mare persoane vizate, deși, potrivit art. 5 alin. 1 lit. c) din RGPD, avea obligația de a prelucra date limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate.
3. 07.2019- World Trade Center- 15.000 EUR. World Trade Center a fost sancționat pentru încălcarea art. 32 alin. (4) raportat la art. 32 alin. (1) și alin. (2) din RGPD, deoarece operatorul nu a implementat măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării generat în special, în mod accidental sau ilegal, de divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal, ceea ce a condus la accesul neautorizat la datele cu caracter personal ale unui număr mare de clienți, printate pe suport de hârtie din aplicația hotelieră a operatorului, și divulgarea neautorizată a acestor date, în mediul on-line.

• 07.2019 – Avocatoo.ro – 3000 EUR. Avocatoo.ro a fost sancționat pentru încălcarea art. 32 alin. (1) și alin. (2) din RGPD, întrucât operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurarii unui nivel de securitate corespunzator riscului prelucrării, ceea ce a condus la divulgarea neautorizată și accesul neautorizat la datele cu caracter personal ale persoanelor care au efectuat tranzacții recepționate de site-ul avocatoo.ro, documente accesibile publicului pe aceste site, timp de aproape doua luni, deși avea aceasta obligație potrivit art. 5 alin. (1) lit. f din RGPD.

6. 08.2019 – Uttis Industries- 2500 EUR. Uttis Industries a fost sancționat cu amendă în cuantum de 1000 E, pentru încălcarea art. 12 din RGPD deoarece operatorul nu a putut face dovada realizării informării persoanelor vizate cu privire la prelucrarea datelor cu caracter personal/imagini prin intermediul sistemului de supraveghere video, pe care o realizează începând din anul 2016, deși avea obligația de a lua măsuri adecvate pentru a furniza persoanelor vizate orice informații menționate la art. 13 – 14 și orice comunicări în temeiul art. 15 – 22 și art. 34 referitoare la prelucrare, într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu, în special pentru orice informații adresate în mod specific unui copil. De asemenea, ulterior acestui moment operatorul a fost sanctionat cu amendă în cuantum de 1500 E, pentru încălcarea art. 5 alin. (1) lit. c) din RGPD, deoarece prelucrarea/dezvăluirea CNP-ului angajaților prin afișarea unui referat la avizier, nu era adecvată, relevantă și limitată în raport cu scopul în care acesta era prelucrat, respectiv preîntâmpinarea oricărui accident de muncă. Totodată operatorul nu a putut face dovada legalității prelucrării CNP-ului, prin dezvăluire la avizier, potrivit art. 6 RGPD;
7. 10.2019 – Artmark – 10.000 lei. Artmark a fost sancționat cu amendă în cuantum de 10.000 lei pentru contravenția prevăzută de art. 13 alin. (1) lit. q) din Legea nr. 506/2004, coroborat cu art. 13 alin. (5) din Legea nr. 506/2004 și cu art. 7 din OG 2/2001, deoarece operatorul nu a făcut dovada obținerii consimțământului prealabil expres și neechivoc al petentului pentru transmiterea de mesaje comerciale pe adresa sa de email la o anumită data. De asemenea, autoritatea a recomandat operatorului să ia măsurile necesare respectării prevederilor art. 12 din Legea nr. 506/2004, în vederea transmiterii de mesaje comerciale prin mijloace de comunicare electronică numai cu consimţământul expres prealabil al destinatarilor.
8. 10.2019- Raiffeisen -150.000 EUR & Vreau Credit SRL- 20.000 EUR.  În ceea ce privește Raiffeisen Bank S.A., Autoritatea Naţională de Supraveghere a demarat o investigație, ca urmare a transmiterii de către bancă a unei notificări privind încălcarea securității datelor cu caracter personal prin completarea formularului privind încălcarea securității conform Regulamentului (UE) 2016/679. Încălcarea securității a constat în faptul că doi angajați ai Raiffeisen Bank S.A., utilizând datele din documentele de identitate ale unor persoane fizice, transmise de către angajați ai societății Vreau Credit S.R.L. prin intermediul aplicației mobile WhatsApp, au efectuat interogări ale sistemului Biroului de Credit pentru a obține datele necesare în vederea determinării eligibilității la creditare a respectivelor persoane fizice, prin simulări de prescoring. În acest sens, au fost efectuate 1194 simulări, cu privire la 1177 persoane fizice. De asemenea, pentru 124 de persoane fizice s-a efectuat și consultarea bazei de date a ANAF. Simulările de prescoring menționate mai sus au fost efectuate prin intermediul aplicației informatice utilizate de Raiffeisen Bank S.A. în activitatea de creditare, iar decizia negativă de creditare a fost comunicată de către angajații Raiffeisen Bank S.A. către angajații Vreau Credit S.R.L., cu încălcarea procedurilor interne. Sancțiunea a fost aplicată operatorului ca urmare  a faptului că acesta nu a luat măsurile corespunzătoare pentru a se asigura că orice persoană fizică care acționează sub autoritatea acestuia și care are acces la date cu caracter personal, nu le prelucrează decât la cererea sa, cu excepția cazului în care această obligație îi revine în temeiul dreptului Uniunii sau al dreptului intern. De asemenea, operatorul nu a implementat măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător și nu a evaluat riscurile pe care le prezintă prelucrarea. Această situație a condus la accesul neautorizat la datele cu caracter personal prelucrate prin aplicația informatică utilizată de Raiffeisen Bank S.A. în activitatea de creditare și la divulgarea neautorizată a datelor cu caracter personal de către angajați ai băncii. În ceea ce privește operatorul Vreau Credit S.R.L., acesta a fost sancționat, de asemenea, pentru încălcarea securității datelor, dar și pentru faptul că până la finalizarea investigației nu a notificat autorității de supraveghere încălcarea securității datelor cu caracter personal, fără întârzieri nejustificate, deși constatase producerea acestui incident de securitate încă din luna decembrie 2018, ceea ce a condus la încălcarea confidențialității datelor cu caracter personal ale clienților proprii (persoanele vizate) și la prelucrarea neautorizată/ilegală a datelor cu caracter personal ale acestora.

• 10.2019 Elefant.ro – 10.000 lei. Sancțiunea a fost aplicată întrucât operatorul nu a făcut dovada obținerii consimțământului prealabil expres și neechivoc pentru transmiterea de mesaje comerciale prin e-mail încălcându-se dispozițiile referitoare la comunicările nesolicitate prevăzute de art. 13 alin. (1) lit. q) din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice. În acest context, s-a recomandat societății luarea măsurilor necesare respectării prevederilor art. 12 din Legea nr. 506/2004, în vederea transmiterii de mesaje comerciale prin mijloace de comunicare electronică numai cu consimţământul expres prealabil al destinatarilor. Autoritatea Naţională de Supraveghere a aplicat sancțiunea ca urmare a unei plângeri prin care se reclama faptul că operatorul Elefant Online S.A. a transmis petentului mesaje comerciale nesolicitate pe adresa de e-mail a acestuia fără consimțământul său. Astfel, deși petentul se dezabonase atât pe site-ul operatorului, cât și prin link-urile de dezabonare din newslettere, acesta a continuat să primească din partea Elefant Online S.A. mesaje comerciale nesolicitate pe adresa sa de e-mail.
• 10.2019 INTELIGO MEDIA – Avocatnet.ro – 9000 EUR. Sancțiunea a fost aplicată ca urmare a unor sesizări prin care se semnala faptul că pentru crearea unui cont nou pe website-ul avocatnet.ro – ce aparține operatorului Inteligo Media SA, se afișează o căsuță nebifată, cu un text alăturat cu următorul conținut: «Nu vreau să primesc “Personal Update”, informarea trimisă zilnic, gratuit, pe email, de avocatnet.ro». Potrivit acestor condiții stabilite de operator, în măsura în care un utilizator omite bifarea acestei căsuțe, el este automat abonat, respectiv e-mailul său este introdus automat în baza de abonați la această informare. Astfel, abonarea a avut loc în absența unei manifestări de voință din partea utilizatorilor, care să indice în mod clar acceptarea prelucrării în scopul stabilit de operator. În cadrul controlului, operatorul nu a putut face dovada obținerii unui consimțământ explicit, în condițiile prevăzute de art. 7 din RGPD, pentru un număr de 4357 de utilizatori, cărora le-a prelucrat datele cu caracter personal. De asemenea, pentru transmiterea prin e-mail a informării zilnice, operatorul a prelucrat datele în baza unui temei legal neadecvat scopului, respectiv ”executarea unui contract”. În acest context, subliniem că potrivit art. 7 din RGPD, în cazul în care prelucrarea se bazează pe consimţământ, operatorul trebuie să fie în măsură să demonstreze că persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter personal. Totodată, considerentul (32) din același regulament prevede următoarele: ”Consimţământul ar trebui acordat printr-o acţiune neechivocă care să constituie o manifestare liber exprimată, specifică, în cunoştinţă de cauză şi clară a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declaraţie făcută în scris, inclusiv în format electronic, sau verbal. Acesta ar putea include bifarea unei căsuţe atunci când persoana vizitează un site, alegerea parametrilor tehnici pentru serviciile societăţii informaţionale sau orice altă declaraţie sau acţiune care indică în mod clar în acest context acceptarea de către persoana vizată a prelucrării propuse a datelor sale cu caracter personal. Prin urmare, absenţa unui răspuns, căsuţele bifate în prealabil sau absenţa unei acţiuni nu ar trebui să constituie un consimţământ. Consimţământul ar trebui să vizeze toate activităţile de prelucrare efectuate în acelaşi scop sau în aceleaşi scopuri. Dacă prelucrarea datelor se face în mai multe scopuri, consimţământul ar trebui dat pentru toate scopurile prelucrării. În cazul în care consimţământul persoanei vizate trebuie acordat în urma unei cereri transmise pe cale electronică, cererea respectivă trebuie să fie clară şi concisă şi să nu perturbe în mod inutil utilizarea serviciului pentru care se acordă consimţământul.”

De asemenea, ANSPDCP a sancționat cu avertismet multi alți operatori și a emis recomandari în vederea remedierii inadvertențelor constatate, spre exemplu: Vola.RO SRL –a fost sanctionață cu avertisment pentru încălcarea art. 32 alin. 1 lit. b) și d) raportat la art. 32 alin.(2) din RGPD, întrucât operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării pentru drepturile și libertățile persoanelor fizice, prin transmiterea unei serii de e-mailuri destinate unui client al societății către mai mulți destinatari, aspect ce a dus la divulgarea neautorizată a acestor date către persoane neautorizate și compromiterea confidențialității; RD Office Solutions SRL- recomandare: să ia măsurile necesare astfel încât, pe viitor, să fie evitate prelucrările nelegale ale datelor cu caracter personal, fără existența unui temei legal clar determinat, cu respectarea principiilor și a condițiilor de legalitate prevăzute de RGPD si să dea curs solicitării petentului și să îi transmită un răspuns petentului la cererea sa prin care și-a exercitat dreptul de ștergere a datelor cu caracter personal; Deichmann Comercializare Încălțăminte SRL – recomandare: Revizuirea şi actualizarea măsurilor tehnice şi organizatorice implementate ca urmare a evaluării privind riscul pentru drepturile și libertățile persoanelor, inclusiv a procedurilor referitoare la comunicațiile electronice, astfel încât să fie evitate incidente similare de dezvăluire neautorizată a datelor cu caracter personal prelucrate.

 

Avocat Ana Anton