Minister amendat pentru incalcarea regulamentului GDPR
Din cauza dificultatilor economice din Islanda cauzate de Covid-19, guvernul islandez a decis, la inceputul anului 2020, sa stimuleze sectorul turismului si intreprinderile mici prin emiterea unui certificat cadou digital de 5000 IKR (aprox 34 de euro) pentru toti islandezii cu varsta de peste 18 de ani.
Guvernul a contractat o companie care a elaborat o aplicatie de card cadou digital pe baza unei aplicatii deja existente dezvoltate de aceeasi companie.
Dupa ce aplicatia a fost lansata pentru prima data, Autoritatea de supraveghere islandeza a primit diverse informari de la persoanele vizate cu privire la cantitatea de date cu caracter personal pe care aplicatia o utiliza si drepturile extinse de acces pe care aceasta le revendica in dispozitivul mobil al utilizatorului. Motiv pentru care Autoritatea de supraveghere a decis ulterior sa demareze, din proprie initiativa, o investigatie pentru a vedea daca proiectul respecta normele GDPR.
In opinia sa, Autoritatea din Islanda a precizat ca din cauza situatiei economice s-a pus un accent deosebit pe urgentarea programarii si publicarii aplicatiei ceea ce a dus la o ajustare inadecvată a setarilor. Acest lucru conducand la colectarea ilegala si inutila a unui volum considerabil de date cu caracter personal si la acordarea unor drepturi extinse de acces la dispozitivele mobile ale utilizatorului.
In plus, cerintele privind consimtamantul pentru prelucrarea datelor nu au fost indeplinite, iar informatiile oferite persoanelor vizate la conectarea in aplicatie erau inadecvate.
Mai mult, operatorul si persoana imputernicita de operator nu au asigurat securitatea adecvata a datelor cu caracter personal. Nu s-a incheiat un acord de prelucrare in conformitate cu articolul 28 alineatul (3) iar operatorul si persoana imputernicita de operator nu au reusit sa puna in aplicare protectia datelor respectand principiile privacy by design si privacy by default, ceea ce ar fi trebuit sa asigure minimizarea volumului de date inca din faza de proiectare a aplicatiei.
In acest caz au fost incalcate: principiile referitoare la prelucrarea datelor cu caracter personal (articolul 5), legalitatea prelucrarii (articolul 6), conditiile de consimtamant (articolul 7), conditiile de prelucrare a categoriilor speciale de date cu caracter personal (articolul 9), transparenta in ceea ce priveste modalitatile de prelucrare si scopul prelucrarii (articolul 12), informatiile care trebuie furnizate in cazul in care datele cu caracter personal sunt colectate de la persoana vizată (articolul 13), responsabilitatea operatorului (Articolul 24), protectia datelor prin conceptele privacy by design si by default (articolul 25), contractul ce impune conditiile de prelucrare in raportul operator-persoana imputernicita [articolul 28 alineatul (3)], securitatea prelucrarii (articolul 32).
Sunt multe prevederi care au fost incalcate si un numar foarte mare de prersoane vizate care au fost afectate, fiind vorba de o aplicatie dezvoltata de o institutie publica care se adresa cetatenilor.
In aplicarea amenzii, Autoritatea islandeza a luat in considerare, printre altele, natura si domeniul de aplicare al prelucrarii, precum si incalcarile multiple ale GDPR amintite mai sus.
Ministerul Industriei si Inovarii din Islanda a fost amendat cu 7,5 milioane ISK (aprox 50.800 euro) si compania care a dezvoltat aplicatie YAY ehf. a fost amendata cu 4 milioane ISK (aprox 27.100 euro).
Prevederile regulamentului GDPR se aplica unitar tuturor operatorilor, indiferent ca vorbim de operatori privati sau de autoritati publice. Iar autoritatile publice trebuie sa puna foarte mare accent pe protectia datelor avand in vedere volumele mari de date pe care acestea le prelucreaza, dintre care multe sunt date sensibile.
Cetatenii au asteptari mari in privinta autoritatilor, mai ales privind din perspectiva faptului ca acestea au sarcina de a le proteja interesele.
Sursa articol: pagina oficiala a CEPD (Comitetul european pentru protectia datelor).
Va multumim,
Echipa MyBiz GDPR