Amenzi pe bandă rulantă pentru încălcarea GDPR: eMAG, Vodafone, Enel şi SOS Infertilitatea
0
Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPCP) a anunţat miercuri o serie de amenzi pentru încălcarea regulamentului privind protecţia datelor personale. Companiile sancţionate sunt eMAG, Vodafone, Enel şi SOS Infertilitatea.
Dante Internaţional SA, administratorul eMAG, a fost sancţionat contravenţional cu amendă în cuantum de 14.420,4 lei, echivalentul sumei de 3.000 euro. Sancţiunea a fost aplicată operatorului întrucât la sfârsitul anului 2019 a transmis unei persoane fizice un mesaj comercial, deşi la începutul anului 2019 operatorul îi confirmase acesteia dezabonarea de la comunicările comerciale.
Totodată, operatorului Dante Internaţional SA i s-au aplicat şi două măsuri corective. Astfel, operatorul a fost obligat să implementeze solicitarea persoanei fizice de a-i fi dezactivată din baza de date setarea privind transmiterea pe adresa de sa de e-mail a mesajelor comerciale, în termen de 3 zile lucrătoare de la comunicarea procesului-verbal. Totodată, operatorul a fost obligat să ia măsuri astfel încât să fie respectate prevederile art. 21 din Regulament, în termen de 20 zile de la data comunicării procesului-verbal. Art. 21 alin. (3) din Regulamentul General privind Protecţia Datelor, prevede că „în cazul în care persoana vizată se opune prelucrării în scopul marketingului direct, datele cu caracter personal nu mai sunt prelucrate în acest scop”.
Vodafone România SA a fost sancţionat contravenţional cu două amenzi în cuantum total de 20.000 lei.
Sancţiunile au fost aplicate operatorului ca urmare a unei sesizări cu privire la faptul că Vodafone România SA a încălcat securitatea şi confidenţialitatea datelor cu caracter personal.
Astfel, o petentă a Autorităţii a susţinut că a solicitat o ofertă pe telefon, prin intermediul site-ului operatorului Vodafone România SA şi că, ulterior, a primit pe adresa sa de e-mail, un contract încheiat de operator cu o altă persoană fizică, petenta având suspiciuni că datele sale cu caracter personal ar fi putut fi dezvăluite acestei persoane.
Ca urmare a investigaţiei efectuate la operator, Autoritatea a constatat că Vodafone România SA nu a respectat dispoziţiile art. 3 alin. (1) – (3) din Legea nr. 506/2004, cu modificările şi completările ulterioare, potrivit cărora furnizorul unui serviciu de comunicaţii electronice destinat publicului are obligaţia de a lua măsuri tehnice şi organizatorice adecvate în vederea asigurării securităţii prelucrării datelor cu caracter personal, că acestea trebuie să asigure un nivel de securitate proporţional cu riscul existent, având în vedere posibilităţile tehnice de ultimă oră şi costurile implementării acestor măsuri şi să respecte cel puţin următoarele condiţii:
a) să garanteze că datele cu caracter personal pot fi accesate numai de persoane autorizate, în scopurile autorizate de lege;
b) să protejeze datele cu caracter personal stocate sau transmise împotriva distrugerii accidentale ori ilicite, împotriva pierderii sau deteriorării accidentale şi împotriva stocării, prelucrării, accesării ori divulgării ilicite;
c) să asigure punerea în aplicare a politicii de securitate elaborate de furnizor în ceea ce priveşte prelucrarea datelor cu caracter personal
De asemenea, s-a constatat faptul că nu au fost respectate dispoziţiile art. 3 alin. (6) din Legea nr. 506/2004, cu modificările şi completările ulterioare, conform cărora „În cazul unei încălcări a securităţii datelor cu caracter personal, furnizorii de servicii de comunicaţii electronice destinate publicului vor notifica ANSPDCP, fără întârziere, la respectiva încălcare.”
Pe lângă sancţiunile cu amenda aplicate operatorului Vodafone România SA, Autoritatea Naţională de Supraveghere a recomandat acestuia ca, în termen de 30 zile de la data comunicării procesului-verbal, să ia măsurile necesare respectării prevederilor art. 3 alin. (1) – (3) din Legea nr. 506/2004, cu modificările şi completările ulterioare, în vederea implementării unor măsuri adecvate de securitate a prelucrării datelor personale, inclusiv sub aspectul asigurării confidenţialităţii şi protejării datelor cu caracter personal împotriva divulgării ilicite.
De asemenea, s-a recomandat operatorului Vodafone România SA ca, pe viitor, să notifice breşele de securitate, fără întârzieri, Autorităţii Naţionale de Supraveghere.
Operatorul Enel Energie Muntenia SA a fost sancţionat contravenţional cu amendă în cuantum de 14.423,7 lei, echivalentul sumei de 3.000 euro.
Încălcarea securităţii şi confidenţialităţii datelor cu caracter personal a constat în faptul că operatorul Enel Energie Muntenia SA a transmis pe adresa de e-mail a unui client persoană fizică, date personale (nume şi prenume, adresă, adresă de e-mail, cod client, cod eneltel) ale unui alt client.
Enel Energie Muntenia SA a fost sancţionat deoarece nu a implementat măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării generat în special, în mod accidental sau ilegal, de divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal.
Autoritatea Naţională de Supraveghere a efectuat investigaţia ca urmare a unei sesizări transmise de un client al operatorului, aceasta fiind însoţită de dovezi concludente cu privire la cele sesizate.
Totodată, operatorului Enel Energie Muntenia SA i s-a aplicat şi o măsura corectivă, în temeiul prevederilor art. 58 alin. (2) lit. i) din Regulamentul General privind Protecţia Datelor.
Astfel, operatorul a fost obligat să asigure conformitatea cu Regulamentul General privind Protecţia Datelor prin implementarea unor măsuri adecvate şi eficiente de securitate, atât din punct de vedere tehnic, cât şi din punct de vedere organizatoric, în termen de 30 de zile lucrătoare de la comunicării procesului-verbal.
Asociaţia „SOS Infertilitatea” a fost sancţionată contravenţional cu amendă în cuantum de 9529,2 lei, echivalentul sumei de 2.000 euro.
Autoritatea Naţională de Supraveghere a fost sesizată cu privire la faptul că Asociaţia „SOS Infertilitatea” a dezvăluit date cu caracter personal fără consimţământul persoanei vizate.
Autoritatea de supraveghere a solicitat Asociaţiei mai multe informaţii referitoare la aspectele sesizate, dar operatorul nu a răspuns solicitărilor instituţiei noastre. În urma contactării telefonice a operatorului, preşedintele asociaţiei şi-a exprimat opţiunea de a i se transmite solicitarea Autorităţii de supraveghere prin e-mail la o adresă indicată de acesta.
Întrucât Asociaţia „SOS Infertilitatea” nu a transmis informaţiile solicitate până la data încheierii procesului-verbal de constatare/sancţionare, aceasta a fost sancţionată cu amendă.
Totodată, operatorului i s-a aplicat şi măsura corectivă de a transmite Autorităţii, în scris, toate informaţiile solicitate, în termen de 5 zile lucrătoare de la comunicarea procesului-verbal.
Se încarcă comentariile...
