Autoritati publice sanctionate pentru incalcarea GDPR

Regulamentul GDPR se aplica tuturor prelucrarilor de date realizate de Operatorii de date si de Persoanele imputernicite. Prin Operatori de date intelegem: orice persoana fizica sau juridica, autoritate publica, agentie sau alt organism.

Autoritatile publice sunt si ele, asadar, vizate de controalele organelor de supraveghere iar daca in urma controalelor efectuate sunt depistate nereguli, vor fi aplicate sanctiuni.

Avem doua exemple foarte recente de astfel de sanctiuni.

In primul caz vorbim de sanctiunea aplicata Administratiei fiscale din Olanda.

Autoritatea olandeza de supraveghere a descoperit numeroase incalcari ale Regulamentului general privind protectia datelor (GDPR) in urma controalelor efectuate la sediile Administratiei Fiscale.

In prima faza s-a constatat faptul ca Administratia Fiscala nu a avut nici o baza legala pentru prelucrarea datelor cu caracter personal ce faceau parte dintr-o baza de date numita Lista Neagra. Aceasta baza de date cuprinde date ale persoanelor care comit acte de frauda. In multe cazuri, datele cu caracter personal introduse in respectiva baza de date nici macar nu erau corecte si, ca urmare, oamenii au fost inregistrati in mod gresit ca posibile fraude fiscale. In plus, lista nu a fost protejata in mod corespunzator, iar departamentul intern de siguranta si protectia datelor al administratiei fiscale nu a fost consultat si implicat in momentul in care s-a luat decizia privind crearea listei.

Decizie

Societatea de supraveghere olandeza a aplicat Administratiei fiscale o amenda in valoare de 3,7 milioane EURO pentru prelucrarea ilegala a datelor cu caracter personal pe o perioada de cativa ani in cadrul acestui proiect denumit ”Lista Neagra”. Amenda de 3,7 milioane de euro cuprinde mai multe amenzi pentru sase incalcari in total:

  • Lipsa unei baze legale pentru prelucrarea datelor cu caracter personal: 1 milion EUR.
  • Scopul in totalul dateloracestei Liste Negre nu a fost bine stabilit inca de la inceput: 750 000 EUR.
  • Lista Neagra continea informatii incorecte si neactualizate: 750 000 EUR.
  • Datele au fost stocate pe o perioada mult prea mare de timp: 250 000 EUR.
  • Lista Neagra nu avea implementate masuri de protectie adecvate: 500 000 EUR.
  • Administratia fiscala a amanat mai bine de un an obtinerea unor opinii avizate din partea departamentului intern de siguranta si protectia datelor cu privire la evaluarea riscurilor utilizarii acestei baze de date: 450 000 EUR.

In cel de-al doilea caz este vorba de Ministerul Afacerilor Externe din Olanda.

Ministerul Afacerilor Externe a procesat in medie 530.000 de cereri de viza pe an in ultimii trei ani. Datele cu caracter personal din toate aceste aplicatii nu sunt suficient protejate. Din totalul datelor prelucrate fac parte si informatii sensibile, cum ar fi: amprentele digitale ale solicitantului, numele, adresa, tara de origine, scopul calatoriei, cetatenia si fotografia. Autoritatea olandeza de supraveghere a stabilit, de asemenea, ca Ministerul Afacerilor Externe nu a informat in mod adecvat solicitantii de viza cu privire la transferul de date cu caracter personal cu alte parti implicate in proces.

Principalele constatari

Sistemul National de Informatii privind Vizele (NVIS), sistemul digital utilizat de Ministerul Afacerilor Externe olandez pentru procesul de acordare a vizelor Schengen, este insuficient securizat. Prin urmare, exista riscul ca persoanele neautorizate sa poata accesa si schimba fisiere. In plus, Ministerul Afacerilor Externe nu a furnizat solicitantilor de viza suficiente informatii cu privire la schimbul de date cu caracter personal al acestora cu tertii.

Decizie

Autoritatea de supraveghere olandeza a amendat Ministerul afacerilor externe cu 565 000 EUR pentru incalcari grave pe termen lung, la scara larga, ale Regulamentului general privind protectia datelor (RGPD) in procesul de eliberare a vizelor. Pe langa impunerea unei amenzi, autoritatea olandeza a dispus ministerului sa asigure un nivel adecvat de securitate (sub rezerva unei sanctiuni de 50 000 EUR pe doua saptamani) si sa furnizeze solicitantilor informatii adecvate (sub rezerva unei sanctiuni de 10 000 EUR pe saptamana).

Ambele sanctiuni au valori foarte mari, valori ce au fost stabilite luand in calcul volumul mare de date prelucrate, gravitatea incalcarilor constatate si natura sensibila a datelor prelucrate.

Totodata, in urma controalelor efectuate si a faptului ca s-au descoperit nereguli cauzate de lipsa unor masuri de siguranta adecvate si de nerespectarea unor principii foarte importante privind protectia datelor prevazute de Regulamentul GDPR, consideram ca Autoritatea de supraveghere olandeza a dorit sa lase sa se inteleaga ca nu va tolera astfel de practici indiferent cine este operatorul de date verificat. Sau poate am putea spune ca este cu atat mai grav daca vorbim de o autoritatea publica? …. Este posibil!

Autoritatile publice trebuie sa acorde o foarte mare atentie respectarii normelor legale privind prelucrarea, protectia si confidentialitatea datelor cu caracter personal, deoarece acestea prelucreaza, in general, un volum mare de date si, in special, date sensibile si date privind minorii.

Multumim,

Echipa MyBiz GDPR