ALTE INVESTIGATII, ALTE SANCTIUNI APLICATE DE ANSPDCP. DE CE S-A AJUNS IN ACEASTA SITUATIE?
Asistam in ultima vreme la o explozie a amenzilor si sanctiunilor aplicate pentru incalcarile constatate in materie de protectia datelor atat in Romania cat si in Uniunea Europeana.
Zilele trecute va prezentam cazurile aparute la nivelul Uniunii, astazi a venit timpul sa va prezentam si ce mai este nou in acest domeniu in tara noastra iar ANSPDCP ne da suficiente subiecte de discutie dar mai ales motive de ingrijorare.
In data de 07.10.2019, ANSPDCP a dat publicitatii, printr-un comunicat de presa, informatii referitoare la sanctiunea aplicata societatii Artmark Holding SRL.
In urma investigatiilor realizate la sediul acestei societatii, au fost constatate nereguli cu privire la procesele de prelucrare. Mai exact, operatorul nu a avut posibilitatea sa faca dovada obtinerii consimtamantului in cadrul unei prelucrari care consta in transmiterea unor mesaje comerciale prin intermediul e-mailului cu destinatari persoane fizice.
Care este greseala? Operatorul a transmis acele mesaje comerciale prin e-mail fara a avea consimtamantul persoanelor carora le apartineau acele adresa de e-mail. Conform GDPR art. 6 alin. 1 prelucrarea trebuie sa fie efectuata in baza unui temei legal din cele ce urmeaza:
– pe baza consimtamantului obtinut de la persoana vizata
– pentru executarea unui contract si pentru realizarea demersurilor premergatoare
– in baza unei obligatii legale
– pentru a proteja interesele vitale ale persoanei vizate sau ale altor persoane fizice
– in vederea indeplinirii unei sarcinii ce deserveste unui interes public
– prelucrarea este necesara intereselor legitime urmărite de operator, cu excepţia cazului în care prelucrarea aduce atingere drepturilor si libertatilor persoanelor vizate(aici exceptie si cazul in care vorbim de copii)
Dintre acestea prelucrarea in cauza se baza pe consimtamant.
Cum trebuia procedat? In momentul in care faceti o prelucrare pe baza consimtamantului persoanei fizice, trebuie sa aveti in vedere urmatoarele aspecte:
Persoana in cauza sa fie informata corect si clar, utilizand termeni usor de inteles, cu privire la:
– ce date prelucrati
– care este scopul urmarit de dumneavoastra in calitate de operator de date
– garantiile pe care le puteti oferi persoanei ale carei date urmeaza sa le prelucrati, referitor la protectia datelor sale
– o lista a drepturilor persoanelor vizate, conform GDPR
– datele de contact ale operatorului de date si ale persoanei insarcinate cu protectia datelor
Toate aceste lucruri trebuie sa fie incluse pe formularul de consimtamant.
Bineinteles ca acest formular trebuie sa fie pastrat, el constituie dovada consimtamantului iar fara el prelucrarea nu mai are fundament legal.
Totodata, aveti in vedere faptul ca persoana vizata are oricand dreptul de a-si retrage consimtamantul, lucru care va obliga sa puneti capat prelucrarii(daca nu identificati orice alt temei legal pentru a o realiza). Retragerea consimtamantului nu afecteaza legalitatea prelucrarii realizata inainte de retragerea lui. Practic, nu mai aveti voie sa prelucrati dupa ce persoana fizica si-a retras consimtamantul dar prelucrarea realizata inainte este legala si nu va fi afectata.
In data de 09.10.2019, ANSPDCP a mai emis un alt comunicat de presa in care expunea doua cazuri, cu legatura directa intre ele. Este vorba de o alta banca cunoscuta la noi, Raiffeisen Bank S.A. si o institutie financiara nebancara Vreau Credit S.R.L.
Investigatia a fost demarata dupa ce s-a primit o notificare privind încălcarea securității datelor cu caracter personal prin completarea formularului privind încălcarea securității conform Regulamentului (UE) 2016/679, chiar din partea Raiffeisen Bank S.A.
ANSPDCP a anuntat faptul ca: ’’ Sancțiunea a fost aplicată operatorului ca urmare a faptului că acesta nu a luat măsurile corespunzătoare pentru a se asigura că orice persoană fizică care acționează sub autoritatea acestuia și care are acces la date cu caracter personal, nu le prelucrează decât la cererea sa, cu excepția cazului în care această obligație îi revine în temeiul dreptului Uniunii sau al dreptului intern’’.
Ce sa intamplat de fapt? Cativa angajati ai Raiffeisen Bank transmiteau prin intermediul aplicației mobile WhatsApp catre angajati ai Vreau Credit, datele necesare în vederea determinării eligibilității la creditare a unor persoane fizice, prin simulări de prescoring realizate prin intermediul aplicatiei informatice utilizate de Raiffeisen Bank. În acest sens, au fost efectuate 1194 simulări, cu privire la 1177 persoane fizice. Mai mult, pentru 124 de persoane fizice s-a efectuat și consultarea bazei de date a ANAF.
Toate aceste lucruri au fost posibile deoarece Raiffeisen nu a luat măsurile corespunzătoare pentru a se asigura că orice persoană fizică care acționează sub autoritatea acestuia și care are acces la date cu caracter personal, nu le prelucrează decât la cererea sa, cu excepția cazului în care această obligație îi revine în temeiul dreptului Uniunii sau al dreptului intern.
Cum putea sa faca acest lucru? In primul rand, primul lucru imperios necesar este acela ca angajatii sa fie constant instruiti, sa cunoasca foarte bine detalii de genul: ce aplicatii sa foloseasca, in ce scop, care sunt obligatiile lor cu privire la pastrarea confidentialitatii datelor, ce nu trebuie sa faca cu datele la care au acces, cum pot proteja aceste date, s.a.m.d.
In al doilea rand trebuiau implementate masuri tehnice si organizatorice de siguranta: acces limitat la aplicatii-strict angajatilor care au prevazut in activitatea zilnica accesarea acelor aplicatii, reguli stricte cu privire la utilizarea datelor cu caracter personal, angajatii trebuie sa semneze un acord cu angajatorul cu privire la limitele privind prelucrarea datelor si sanctiunile care se aplica in cazul in care se incalca aceste limite.
Raiffeisen Bank SA a fost sanctionata cu suma de 150.000 EURO pe cand Vreau Credit S.R.L. a primit o amenda in valoare de 20.000 EURO(aceasta a fost sanctionata atat pentru incidentul de securitate cat si pentru faptul ca, pana la momentul realizarii investigatiei, acestia nu au notificat producerea acestui incident, lucru care contravine prevederilor GDPR)