Bani din GDPR: românii își apără confidențialitatea. Ce au reclamat la Autoritatea Naţională de Supraveghere

Numai anul trecut ANSPDCP a aplicat 83 de amenzi în cuantum total de 1,85 milioane lei, cu 21% mai puțin față de cele 73 de amenzi în valoare totală de 2,34 milioane de lei în 2023.

În 2022, suma amenzilor a depășit cu puțin 1 milion de lei pentru 69 de amenzi, iar cu un an înainte cuantumul total a fost de doar 371.000 de lei la un număr total de 36 de amenzi.

În 2024, numărul plângerilor și sesizărilor de incidente de securitate (5.354) fost cel mai ridicat număr din ultimii ani. Cu un an înainte aceasta a fost de 4.772, iar în 2022 de 4.260 și 5.006 în 2021.

Anul trecut au finalizate 476 investigații și au fost aplicate 83 de amenzi în cuantum total de 1.855.807 lei (335.100 euro). Suma este cu 21% mai mică față de cea din 2023, când nivelul amenzilor (73) s-a situat la 2,34 milioane de lei.

De asemenea, ANSPDCP a demarat și investigații din oficiu atât în mediul privat, cât și în cel public, și au avut ca rezultat 51 amenzi în cuantum total de 237.600 euro. De asemenea, în investigațiile din oficiu efectuate au fost aplicate 61 avertismente, 4 avertizări și au fost dispuse 91 măsuri corective. În sectorul privat au fost aplicate operatorilor sancțiuni contravenționale în cuantum total de 1.211.730 lei.

În total, în perioada 2021-2024, instituția a reușit să aplice amenzi din investigațiile din oficiu cu valoare totală de 755.150 de euro.

În plus, anul trecut au mai fost aplicate 161 de avertismente, au fost dispuse 180 de măsuri corective, 4 avertizări și au fost emise 2 decizii.

Situația din sectorul public

O parte dintre investigațiile din oficiu au vizat instituții publice și unități de învățământ, unde ANSPDCP a verificat respectarea prevederilor GDPR privind desemnarea responsabilului cu protecția datelor, măsurile de securitate aplicate și folosirea sistemelor biometrice pentru controlul accesului (amprente, imagini faciale etc.).

Ca rezultat al investigațiilor, au fost aplicate operatorilor sancțiuni contravenționale și măsuri corective. Măsurile corective dispuse operatorilor au inclus revizuirea și actualizarea măsurilor tehnice și organizatorice, asigurarea conformității cu prevederile Regulamentului (UE) 2016/679, implementarea și actualizarea unei proceduri de notificare a încălcării securității datelor cu caracter personal care să cuprindă inclusiv modul de raportare și tratare a incidentelor de securitate.

Potrivit documentului, în majoritatea cazurilor, entitățile/operatorii au implementat măsurile corective în termenul stabilit de Autoritatea națională de supraveghere.

Ce plângeri a primit Autoritatea

Doar anul trecut, plângerile românilor înregistrate la Autoritatea națională de supraveghere au vizat, în principal:

• nerespectarea drepturilor persoanelor vizate; (dreptul de acces, dreptul la opoziție – dezabonarea de la mesaje comerciale, dreptul la ștergere);

• prelucrarea datelor cu caracter personal fără un temei legal de prelucrare (de ex. lipsa dovezii consimțământului pentru prelucrarea numărului de telefon pentru transmiterea de comunicări comerciale, transmiterea fără temei legal a unor copii ale cărților de identitate ale angajaților către o societate care presta anumite servicii pentru operator);

• încălcarea principiilor de prelucrare a datelor;

• dezvăluirea datelor cu caracter personal în spațiul public și pe rețele sociale;

• prelucrarea imaginilor prin sisteme de supraveghere video;

• prelucrarea nelegală a datelor prin instalarea de camere de supraveghere audio-video în autovehicule, îndreptate către șofer, cu posibilitatea de monitorizare online de la distanță;

• raportarea datelor la Biroul de Credit;

• primirea de mesaje comerciale nesolicitate.

Au mai fost reclamate și situații precum trimiterea prin e-mail a copiilor actelor de identitate ale angajaților, divulgarea neautorizată a credențialelor de acces în platforme interne, deficiențe de securitate ale site-urilor și aplicațiilor, accesul neautorizat la sistemele de supraveghere video cu circuit închis, integritatea datelor ca urmare a unui atac ransomware, dezvăluirea datelor cu caracter personal în sistemul medical, precum și folosirea body-cam-urilor fără respectarea normelor legale.