Facturile trimise eronat pot atrage sanctiuni pentru incalcarea prevederilor GDPR
Cunoastem fiecare dintre noi cel putin o situatie in care facturile de la diversi prestatori de servicii ajung la o adresa la care titularul serviciului respectiv nu isi mai are domiciliul.
Daca pana de curand acest lucru nu era ceva iesit din comun si nu parea sa reprezinte vreo incalcare a vreunui drept sau sa starneasca interesul vreunei autoritati, iata ca situatia s-a schimbat.
Odata cu intrarea in vigoare a Regulamentului GDPR, situatiile si practicile de genul acesta sunt considerate incalcari ale prevederilor privind protectia datelor si trebuie sa dispara din practica curenta.
Acest subiect constituie motivul pentru care Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a decis sa sanctioneze operatorul de date Telekom Romania Mobile Communications SA cu amendă în cuantum de 9,544.40 lei, echivalentul sumei de 2000 EURO.
Pe scurt, operatorul de date Telekom Romania a expediat facturi pe numele unui client, la o adresa unde isi avea domiciliul o alta persoana, aceasta persoana a trimis sesizare catre Telekom, insa nu a primit un raspuns la aceasta sesizare. Deoarece situatia nu a fost remediata si facturile continuau sa vina la adresa sa, petentul (persoana care avea domiciliul la adresa respectiva) a depus o plangere la Autoritate (ANDPSCP).
In angheta efectuata la sediul Telekom Romania, s-a constatat faptul ca acesta a incalcat doua articole din Regulamentul GDPR. Primul este art. 5 alin. (1) lit. d), care prevede :
„datele cu caracter personal sunt: d) exacte și, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere („exactitate”).”- acesta este principiul exactitatii, atunci cand operatorul a primit sesizarea de la petent, avea obligatia de a lua imediat masurile necesare pentru a rectifica datele inexacte/incorecte si obligatia de a depune toate eforturile posibile pentru a identifica care este adresa reala, actuala a clientului.
Cel de-al doilea articol incalcat este art. 32 alin. (1) lit. b), care prevede:
b) capacitatea de a asigura confidenţialitatea, integritatea, disponibilitatea şi rezistenţa continue ale sistemelor şi serviciilor de prelucrare;
Transpus in situatia de fata, acest articol ne indica faptul că operatorul nu a luat măsuri tehnice și organizatorice adecvate în vederea asigurării confidențialității datelor cu caracter personal, fapt care a condus la dezvăluirea datelor cu caracter personal ale clientului prin expedierea pe adresa petentului a facturilor emise pe numele clientului respectiv.
Partea cea mai grava este aceea ca, desi petentul a facut sesizarea respectiva, prin care aducea la cunostinta operatorului faptul ca adresa nu este corecta (persoana in cauza nu isi are domiciliul la adresa indicata) , operatorul nu a luat masurile adecvate si a continuat sa trimita facturile pe adresa respectiva, dezvaluind continuu acele datele cu caracter personal si incalcand cu buna stiinta legislatia privind protectia datelor.
Obligatia operatorilor este aceea de a depune toate eforturile necesare pentru a se asigura ca datele sunt exacte, iar atunci cand constata ca acestea nu sunt, sa depuna eforturi pentru a rectifica/corecta datele respective, stopand orice proces/comunicare care ar duce la divulgarea si/sau accesul neautorizat la datele cu caracter personal.
In speta, Telekom Romania avea obligatia, odata ce i-a fost adusa la cunostinta eroarea respectiva, sa stopeze comunicarea facturilor catre adresa respectiva si sa obtina adresa corecta de la clientul in cauza, sau sa agreeze cu acesta o alta modalitate de a ii comunica facturile (pe o adresa de e-mail, crearea unui cont cu user si parola pe site-ul operatorului unde clientul poate avea acces la facturile sale, etc.)
sursa: site ANDPDCP