Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a anunțat, joi, că aplicat prima amendă, la nivel național, pentru încălcarea GDPR. Sancțiunea s-a ridicat pe aproape 614.000 de lei, adică aproximativ 130.000 de euro.
Amenda a fost aplicată operatorului UNICREDIT BANK S.A. care, potrivit concluziilor investigației realizate de Autoritate, a încălcat prevederile art. 25 alin. (1) din Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor).
"Sancțiunea a fost aplicată UNICREDIT BANK S.A. ca urmare a neaplicării măsurilor tehnice şi organizatorice adecvate, atât în momentul stabilirii mijloacelor de prelucrare, cât şi în cel al prelucrării în sine, destinate să pună în aplicare în mod eficient principiile de protecție a datelor, precum reducerea la minimum a datelor, şi să integreze garanțiile necesare în cadrul prelucrării, pentru a îndeplini cerințele RGPD şi a proteja drepturile persoanelor vizate. Aceasta a condus la dezvăluirea în documentele ce conţin detaliile tranzacţiilor şi care sunt puse on-line la dispoziţia clienţilor beneficiari ai plăţilor, a datelor privind CNP-ul și adresa plătitorului (pentru situaţiile în care plătitorul efectua tranzacţia dintr-un cont deschis la o alta instituţie de credit - tranzacţii externe şi depuneri la casierie), respectiv a datelor privind adresa plătitorului (pentru situaţiile în care plătitorul efectua tranzacţia dintr-un cont deschis la UNICREDIT BANK SA - tranzacţii interne), pentru un număr de 337.042 persoane vizate, în perioada 25 mai 2018 – 10.12.2018. Sancțiunea a fost aplicată ca urmare a unei sesizări a Autorității Naţionale de Supraveghere din data de 22.11.2018 prin care se semnala faptul că datele privind CNP-ul și adresa persoanelor care efectuau plăți la UNICREDIT BANK S.A., prin intermediul tranzacțiilor on-line, erau dezvăluite către beneficiarul tranzacției, prin formularele de extras de cont/detalii. Potrivit art. 5 alin. 1 lit. c) din RGPD («Principii legate de prelucrarea datelor cu caracter personal»), operatorul avea obligația de a prelucra date limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate datele", au comunicat reprezentanții Autorității.
Aceștia mai precizează că, totodată, considerentul (78) din Regulament face referire la ”protecţia drepturilor şi libertăţilor persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal necesită adoptarea de măsuri tehnice şi organizatorice corespunzătoare pentru a se asigura îndeplinirea cerinţelor din prezentul regulament. Pentru a fi în măsură să demonstreze conformitatea cu prezentul regulament, operatorul ar trebui să adopte politici interne şi să pună în aplicare măsuri care să respecte în special principiul protecţiei datelor începând cu momentul conceperii şi cel al protecţiei implicite a datelor. Astfel de măsuri ar putea consta, printre altele, în reducerea la minimum a prelucrării datelor cu caracter personal, pseudonimizarea acestor date cât mai curând posibil, transparenţa în ceea ce priveşte funcţiile şi prelucrarea datelor cu caracter personal, abilitarea persoanei vizate să monitorizeze prelucrarea datelor, abilitarea operatorului să creeze elemente de siguranţă şi să le îmbunătăţească. Atunci când elaborează, proiectează, selectează şi utilizează aplicaţii, servicii şi produse care se bazează pe prelucrarea datelor cu caracter personal sau care prelucrează date cu caracter personal pentru a-şi îndeplini rolul, producătorii acestor produse şi furnizorii acestor servicii şi aplicaţii ar trebui să fie încurajaţi să aibă în vedere dreptul la protecţia datelor la momentul elaborării şi proiectării unor astfel de produse, servicii şi aplicaţii şi, ţinând cont de stadiul actual al dezvoltării, să se asigure că operatorii şi persoanele împuternicite de operatori sunt în măsură să îşi îndeplinească obligaţiile referitoare la protecţia datelor. Principiul protecţiei datelor începând cu momentul conceperii şi cel al protecţiei implicite a datelor ar trebui să fie luate în considerare şi în contextul licitaţiilor publice.”
Potrivit unui bilanț dat publicității de Autoritate, la un an de la aplicarea GDPR, între 25 mai 2018 și 24 mai 2019 s-au înregistrat 9.439 de responsabili cu protecția datelor, s-au înregistrat 398 de notificări de încălcări de securitate a datelor cu caracter personal, s-au primit 5.260 de plângeri și sesizări, s-au efectuat 485 de investigații din oficiu și 496 de investigații la plângerile persoanelor vizate. În urma investigațiilor efectuate, au fost dispuse 57 de măsuri corective și au fost acordate 23 avertismente.
Plângerile și sesizările primite au avut, în principal, ca obiect:
> nerespectarea condițiilor legale ce privesc exercitarea drepturilor persoanelor vizate (de exemplu: drepturile de informare, acces, opoziție, dreptul de a fi uitat);
> primirea de mesaje comerciale nesolicitate;
> dezvăluirea de date personale pe Internet;
> încălcarea principiilor de prelucrare a datelor cu caracter personal în legătură cu prelucrarea datelor în sistemul bancar;
> condițiile de legalitate cu privire instalarea sistemelor de supraveghere video;
> încălcarea regulilor de confidențialitate și securitate a prelucrărilor de date cu caracter personal.
Cele mai frecvente încălcări ale securității datelor au vizat:
> accesul neautorizat la datele cu caracter personal prelucrate de operator;
> transmiterea eronată a facturilor către clienții operatorului;
> dezvăluirea datelor cu caracter personal/date pacienți;
> pierderea trimiterilor poștale.
În situația în care persoanele vizate sunt nemulțumite de modul de soluționare a cererii sau nu au primit răspuns din partea operatorului, pe tema GDPR, acestea au posibilitatea de a depune o plângere la Autoritatea Națională de Supraveghere, prin completarea formularului electronic de plângere pus la dispoziție AICI. https://www.dataprotection.ro/?page=Plangeri_RGPD&lang=ro
Foto ilustrație
