GDPR în România. Telekom, Hidroelectrica și Glove, în Top 3 amenzi primite. Peste 4.500 de plângeri depuse de români în 2021

Pe lângă amenzi, ANSPDCP a aplicat și 93 de avertismente plus 56 de măsuri corective și o avertizare.

”În anul 2020 Autoritatea de Supraveghere a primit un număr total de 5.082 de plângeri, 204 sesizări și 194 notificări privind incidente de securitate, pe baza cărora au fost deschise 694 investigații. De asemenea, în cursul anului 2021, instituția noastră a primit un număr de 4.634 de plângeri, 171 sesizări și 201 notificări privind incidente de securitate, pe baza cărora au fost deschise 691 investigații”, arată Autoritatea.

Cele mai reclamate încălcări ale drepturilor

Plângerile primite în anul 2021 au vizat, în principal, următoarele domenii:

• încălcarea drepturilor persoanelor vizate, în special, a dreptului de acces al persoanei vizate și a dreptului la ștergerea datelor acesteia;
• prelucrarea imaginilor prin intermediul sistemelor de supraveghere video instalate de asociațiile de proprietari;
• prelucrarea datelor cu caracter personal cu încălcarea prevederilor art. 6 din Regulamentul (UE) 2016/679;
• încălcarea măsurilor de securitate și confidențialitate a prelucrărilor de date cu caracter personal; primirea de mesaje comerciale nesolicitate.

În ceea ce privește încălcările de securitate, în anul 2021 acestea au vizat, în principal, aspecte precum:

• confidențialitatea/disponibilitatea/integritatea datelor cu caracter personal afectate ca urmare a dezvăluirilor neautorizate, ori ca urmare a unui software malițios, de tip ransomware;
• accesul ilegal/neautorizat la datele cu caracter personal ale clienților din sistemul bancar;
• accesul neautorizat la sistemele de supraveghere video cu circuit închis (CCTV);
• dezvăluirea de date cu caracter personal în sistemul medical.

Pe de altă parte, sesizările primite în anul 2021 au vizat, în principal:

• lipsa măsurilor de securitate, inclusiv la nivelul website-urilor;
• publicarea/dezvăluirea datelor cu caracter personal în mediul online, în special pe rețelele sociale;
• lipsa măsurilor de securitate la nivelul website-urilor;
• utilizarea camerelor video de tipul body-worn la nivelul poliției locale.

Cele mai mari amenzi din 2021

În anul 2021, cele mai mari amenzi au fost impuse unor operatori precum: Telekom România Communications S.A., Hidroelectrica, Glove Technology.

1. Telekom România Communications a primit două amenzi: una de 48.748 lei (echivalentul a 10.000 de euro) și o alta de 15.000 lei.

Sancțiunile au fost aplicate întrucât operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării, ceea ce a condus la divulgarea neautorizată și/sau accesul neautorizat la datele cu caracter personal, precum: client ID, cod client, nume și prenume, CNP, data nașterii, sex, număr telefon, e-mail, adresă (țară, oraș, stradă), valoarea debitelor asociate codului de client ale unui număr de 99.210 persoane vizate/clienți.

Astfel, adresele de facturare ale acestora au fost introduse eronat în baza de date cu clienți persoane fizice, transmisă unui partener contractual în baza unui contract de cesiune creanțe, ceea ce a determinat expedierea către adrese greșite a notificărilor transmise clienților.

De asemenea, potrivit sursei citate, operatorul nu a luat măsuri tehnice și organizatorice adecvate în vederea asigurării securității prelucrării datelor cu caracter personal, de natură să protejeze datele cu caracter personal stocate sau transmise împotriva stocării, prelucrării, accesării ori divulgării ilicite, ceea ce a condus la accesul neautorizat la datele personale din conturile My Account ale unui număr de 413 persoane vizate/clienți Telekom România.

”Subliniem că, operatorul avea obligația de a garanta că datele cu caracter personal pot fi accesate numai de persoane autorizate, în scopurile menționate de lege, încălcându-se astfel prevederile art. 3 alin. (1) și alin. (3) lit. a) și b) din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice, modificată și completată”, spun reprezentanții Autorității.

Totodată, a primit și măsuri corective: • revizuirea și actualizarea măsurilor tehnice și organizatorice implementate ca urmare a evaluării privind riscul pentru drepturile și libertățile persoanelor, inclusiv a procedurilor referitoare la comunicațiile electronice; • implementarea unui proces pentru testarea, evaluarea și aprecierea periodică ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării,conform prevederilor RGPD.

Hidroelectrica a fost amendată cu 24.739 lei (echivalentul a 5.000 de euro) și, de asemenea, a primit un avertisment. Sancțiunile au fost aplicate întrucât operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prezentat de prelucrare. Această situație a condus la accesarea ori divulgarea ilicită către destinatari eronați, a datelor cu caracter personal ale unui număr de 325 persoane fizice.

De asemenea, operatorul a prelucrat datele cu caracter personal a trei persoane fizice, clienți proprii, ulterior exercitării dreptului la ștergerea datelor și retragerii consimțământului pentru prelucrarea datelor de către acestea.

”Astfel, prelucrarea a fost efectuată fără existența unuia dintre temeiurile legale prevăzute de art. 6 alin. (1) din RGPD, deși operatorul avea obligația de a prelucra datele în mod legal, echitabil și transparent față de persoana vizată”, au transmis reprezentanții instituției.

Totodată, Hidroelectrica a primit și alte măsuri corective: revizuirea și actualizarea măsurilor tehnice și organizatorice implementate ca urmare a evaluării privind riscul pentru drepturile și libertățile persoanelor, inclusiv a procedurilor de lucru referitoare la protecția datelor cu caracter personal, precum și implementarea unor măsuri privind instruirea periodică a persoanelor care acționează sub autoritatea sa, referitor la obligațiile ce le revin conform prevederilor RGPD, inclusiv cu privire la riscurile pe care le comportă prelucrarea datelor cu caracter personal, în funcție de specificul activității; identificarea și implementarea unor măsuri pentru a se asigura că datele cu caracter personal prelucrate sunt exacte și actualizate, având în vedere scopurile pentru care sunt prelucrate, inclusiv în ceea ce privește evidența exercitării de către persoanele vizate a dreptului la ștergerea datelor cu caracter personal.

3. Glove Technology a fost amendat cu 24.745 lei (5.000 de euro) întrucât operatorul a prelucrat date cu caracter personal ale angajaților săi prin utilizarea unui sistem audio-video (imagine și voce), fără a face dovada obținerii consimțământului persoanelor vizate. De asemenea, compania a monitorizat angajaților la locul de muncă prin sisteme de supraveghere audio-video fără a respecta primul principiu din RGPD, potrivit căruia operatorul are obligația de a prelucra datele în mod legal, echitabil și transparent față de persoana vizată.

Companiei a primit măsura corectivă de a asigura conformitatea operațiunilor de prelucrare efectuate prin utilizarea sistemelor audio-video, precum și încetarea oricărei operațiuni sau set de operațiuni de prelucrare de date cu caracter personal efectuate prin intermediul sistemelor audio-video și ștergerea sistemului de evidență a datelor cu caracter personal constituit ca urmare a utilizării unor astfel de sisteme.

De asemenea, Autoritatea Națională de Supraveghere continuă informarea publicului larg cu privire la principalele sancțiuni aplicate, în scopul prevenirii unor fapte similare ce ar putea fi săvârșite de alți operatori. În același timp, sunt postate periodic pe site-ul instituției informații privind Plenarele Comitetului European pentru Protecția Datelor și documentele adoptate.