Incalcarea GDPR: Amenzi de peste 320.000 de euro date de catre ANSPDCP. Ce companii au fost sanctionate

In data de 27 aprilie 2016, Parlamentul European si Consiliul European au adoptat Regulamentul UE 2016/679 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrograre a Directivei 95/46/CE (Regulamentul General privind Protectia Datelor - RGPD). Regulamentul a fost publicat in Jurnalul Oficial al Uniunii din 4 mai 2016, iar prevederile acestuia sunt direct aplicabile in toate statele membre ale Uniunii Europene (UE), incepand cu data de 25 mai 2018.

Companiile care incalca noul GDPR sunt sanctionate cu amenzi de pana la 10 milioane de euro sau 2% din cifra de afaceri globala anuala pentru incalcari ale normelor privind protectia datelor, respectiv de pana la 20 de milioane de euro sau 4% din cifra de afaceri globala anuala pentru incalcari ale principiilor de baza privind prelucrarea datelor, luandu-se in calcul cea mai mare valoare.

De la intrarea in vigoare a regulamentului GDPR si pana in prezent, Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal a aplicat 8 amenzi, al caror cuantum total s-a ridicat la 329.500 de euro. Va prezentam mai jos entitatile sanctionate, motivul si suma amenzii pe care au primit-o.

ANSPDCP a anuntat prima amenda data in Romania pentru incalcarea GDPR pe data de 4 iulie 2019, entitatea sanctionata fiind UniCredit Bank. Amenda a fost de 130.000 de euro, iar motivul acordarii a fost urmatorul:

"Sanctiunea a fost aplicata ca urmare a unei sesizari a Autoritatii Nationale de Supraveghere din data de 22.11.2018 prin care se semnala faptul ca datele privind CNP-ul si adresa persoanelor care efectuau plati la UNICREDIT BANK S.A., prin intermediul tranzactiilor on-line, erau dezvaluite catre beneficiarul tranzactiei, prin formularele de extras de cont/detalii", se arata in anuntul publicat de ANSPDCP

Pe data de 8 iulie 2019, ANSPDCP a anuntat cea de-a doua amenda acordata pentru incalcarea regulamentului GDPR, entitatea sanctionata fiind World Trade Center Bucharest S.A.. Amenda a fost in valoare de 15.000 de euro, iar motivul acordarii a fost urmatorul:

"Incalcarea securitatii datelor cu caracter personal a constat in faptul ca o lista printata pe suport de hartie, utilizata pentru verificarea clientilor care serveau micul dejun si care continea date cu caracter personal ale unui numar de 46 de clienti, cazati la unitatea hoteliera apartinand WORLD TRADE CENTER BUCHAREST S.A., a fost fotografiata de catre persoane neautorizate din afara societatii, ceea ce a condus la dezvaluirea in mediul on-line a datelor cu caracter personal ale unor clienti, prin publicare. Operatorul WORLD TRADE CENTER BUCHAREST S.A. a fost sanctionat deoarece nu a luat masuri pentru a se asigura ca angajatii sai care au acces la date cu caracter personal nu le prelucreaza decat la cererea sa, potrivit legii", preciza ANSPDCP.

La 4 zile distanta de la amendarea World Trade Center, ANSDPC a anuntat o noua amenda, de data aceasta pentru Legal Company & Tax Hub SRL, in valoare de 3.000 de euro. Motivul din spatele amenzii este urmatorul:

"Sanctiunea a fost aplicata operatorului intrucat nu a implementat masuri tehnice si organizatorice adecvate, in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii. Aceasta a condus la divulgarea neautorizata si accesul neautorizat la datele cu caracter personal ale persoanelor care au efectuat tranzactii receptionate de site-ul avocatoo.ro (nume, prenume, adresa de corespondenta, email, telefon, loc de munca, detalii tranzactii efectuate), documente accesibile public, in perioada 10 decembrie 2018 – 1 februarie 2019", se arata in anuntul publicat de catre ANSDCP.

Luna august a acestui an a inceput cu acordarea unei amenzi pentru Uttis Industries SRL in valoare de 2.500 de euro, deoarece a incalcat doua prevederi ale regulamentului GDPR.

• amenda in cuantum de 4.733,70 lei (echivalentul sumei de 1000 euro) pentru incalcarea dispozitiilor art. 12 din RGPD si
• amenda in cuantum de 7.100,55 lei (echivalentul sumei de 1500 euro) pentru incalcarea dispozitiilor art. 5 alin. (1) lit. c) coroborate cu art. 6 din RGPD.

Sanctiunile i-au fost aplicate operatorului deoarece:

• nu a putut face dovada realizarii informarii persoanelor vizate cu privire la prelucrarea datelor cu caracter personal/imagini prin intermediul sistemului de supraveghere video, pe care o realiza incepand din anul 2016;
• a efectuat dezvaluirea CNP-ul angajatilor, prin afisarea Referatului pentru instruirea personalului autorizat ISCIR aferent anului 2018 la avizier societatii si nu a putut face dovada legalitatii prelucrarii CNP-ului, prin dezvaluire, potrivit art. 6 RGPD.

In data de 1 octombrie 2019, Autoritatea Nationala de Supraveghere a finalizat doua investigatii care i-au vizat pe operatorii Raiffeisen Bank S.A si Vreau Credit S.R.L. Amenzile incasate de acestia sunt urmatoarele:

• Raiffeisen Bank S.A. a incalcat prevederile art. 32 alin. (4) coroborat cu art. 32 alin. (1) si alin. (2) din RGPD, ceea ce a condus la aplicarea unei amenzi contraventionale in cuantum de 150.000 Euro
• Vreau Credit S.R.L. a incalcat prevederile art. 32 alin. (4) coroborat cu art. 32 alin. (1) si alin. (2) din RGPD, precum si ale art. 33 alin. (1) din RGPD, ceea ce a condus la aplicarea unei amenzi contraventionale in cuantum de 20.000 Euro.

"Incalcarea securitatii a constat in faptul ca doi angajati ai Raiffeisen Bank S.A., utilizand datele din documentele de identitate ale unor persoane fizice, transmise de catre angajati ai societatii Vreau Credit S.R.L. prin intermediul aplicatiei mobile WhatsApp, au efectuat interogari ale sistemului Biroului de Credit pentru a obtine datele necesare in vederea determinarii eligibilitatii la creditare a respectivelor persoane fizice, prin simulari de prescoring. In acest sens, au fost efectuate 1194 simulari, cu privire la 1177 persoane fizice", se arata in anuntul publicat de ANSPDPC.

Ultima amenda GDPR a fost acordata companiei Inteligo Media SA, fiind in valoare de 9.000 de euro. Sanctiunea a fost aplicata ca urmare a unor sesizari prin care se semnala faptul ca pentru crearea unui cont nou pe website-ul avocatnet.ro - ce apartine operatorului Inteligo Media SA, se afiseaza o casuta nebifata, cu un text alaturat cu urmatorul continut: «Nu vreau sa primesc "Personal Update", informarea trimisa zilnic, gratuit, pe email, de avocatnet.ro», conform precizarilor facute de ANSPDCP.

Conform unui studiu publicat de Deloitte Legal in urma cu cateva luni, ANSPDCP avea la finalul lunii mai in desfasurare aproximativ 1.000 de investigatii. Studiul mai arata ca in cazul contestatiilor inregistrate pe rolul sectiilor de contencios administrativ si fiscal ale tribunalelor suspenda doar plata amenzii, nu si obligatia de a aplica masuri corective, asadar cel mai probabil acestea vor fi dublate de cereri de suspendare a masurilor corective, in temeiul prevederilor din Legea contenciosului administrativ.