Noi sanctiuni. Foarte importante motivele care au dus la aplicarea lor
In doua zile consecutive, in data de 24.08.2021 si 25.08.2021, Autoritatea de control (ANSPDCP) a publicat doua comunicate in care dezvaluie sanctiunile aplicate unor societati care au incalcat prevederile GDPR. Foarte interesante sunt motivele care au dus la aparitia acestor doua sanctiuni.
In primul caz este vorba de un operator de date, pe numele sau Actamedica SRL, neregulile semnalate in activitatea acestuia au fost dezvaluite reprezentantilor autoritatii de catre persoana afectata de incidentul de securitate produs in cadrul companiei, incident pe care operatorul nu a binevoit sa il raporteze autoritatii, incalcand astfel prevederile art. 33 GDPR. Dar sa vedem ce au declarat reprezentantii ANSPDCP:
Investigatia a fost demarata ca urmare a primirii unei plangeri prin care s-a reclamat faptul ca Actamedica SRL din Targu-Mures a transmis o informare unei persoane fizice in legatura cu pierderea probelor sale biologice si a unei sume de bani trimise prin intermediul unei firme de curierat, coletul ajungand deteriorat la destinatar. La solicitarea de a i se comunica ce date personale i-au fost expuse cu aceasta ocazie si daca ANSPDCP a fost notificata in legatura cu acest incident, in raspunsul trimis operatorul a indicat persoanei fizice datele de contact ale avocatului societatii si o adresa de e-mail de la firma de curierat catre care sa isi exprime ”doleantele”.
In cursul investigatiei demarate Autoritatea de Nationala de Supraveghere a constatat ca Actamedica SRL nu a adoptat suficiente masuri de securitate, conform art. 28 alin. (1) si 32 din RGPD, adaptate la caracterul datelor personale care au fost supuse prelucrarii, fapt care a condus la producerea unui incident de securitate. In acest context, s-a constatat ca nu au fost respectate prevederile art. 28 alin. (1) si art. 32 din Regulamentul General privind Protectia Datelor.
De asemenea, Autoritatea de Nationala de Supraveghere a constatat ca operatorul nu a notificat la Autoritatea Nationala de Supraveghere incidentul de securitate sus mentionat, incalcand astfel prevederile art. 33 din Regulamentul General privind Protectia Datelor.
Cu aceeasi ocazie, Autoritatea de Nationala de Supraveghere a retinut ca Actamedica SRL nu a prezentat dovezi din care sa rezulte ca a comunicat un raspuns pe adresa postala a persoanei fizice vizate cu privire la categoriile de date personale ce i-au fost expuse cu ocazia incidentului respectiv, raportat la cererea expresa transmisa. Prin urmare, s-a constatat ca nu au fost respectate prevederile art. 12 alin. (3) si 15 alin. (1) din Regulamentul General privind Protectia Datelor.
Acest comportament si raspunsul oferit persoanei vizate releva faptul ca operatorul nu a implementat masuri de siguranta si nu a existat o procedura privind tratarea si raspunsul in cazul incidentelor de securitate, adoptata intern dar si o echipa special constituita pentru a investiga incidentul si pentru a lua masurile ce se impuneau.
Ne vedem nevoiti sa punem accentul pe importanta existentei acestei proceduri dar si a echipei care sa cunoasca procedura de investigare a cauzelor care duc la aparitia incidentelor si care sa stie cum sa trateze aceste incidente, ce pasi trebuie urmati, ce masuri se impun, in functie de tipul de incident, de gravitatea acestuia, de numarul persoanelor afectate, de tipul de date afectate/informatii expuse, etc.
Lipsa acestor masuri a dus la aplicarea urmatoarelor sanctiuni:
- amenda in cuantum de 9836,6 lei (echivalentul a 2.000 EURO), pentru incalcarea art. 28 alin. (1) si art. 32 din Regulamentul General privind Protectia Datelor;
- cu amenda in cuantum de 4918,3 lei (echivalentul a 1.000 EURO) pentru incalcarea art. 33 din Regulamentul General privind Protectia Datelor;
- cu avertisment, pentru incalcarea dispozitiilor art. 12 alin. (3) si art. 15 alin. (1) din Regulamentul General privind Protectia Datelor.
De asemenea, operatorului i-au fost aplicate si urmatoarele măsuri corective:
-
masura corectiva de a asigura conformitatea cu Regulamentul General privind Protectia Datelor a operatiunilor de prelucrare a datelor personale, prin punerea in aplicare a unor masuri de securitate tehnice si organizatorice adecvate specificului prelucrarii si riscurilor identificate, pe intreg ciclul de prelucrare a datelor, inclusiv sub aspectul alegerii unor persoane imputernicite care sa prezinte garantii suficiente pentru punerea in aplicare a unor masuri tehnice si organizatorice adecvate, astfel incat prelucrarea sa respecte cerintele prevazute in regulament si sa asigure protectia drepturilor persoanelor vizate;
-
masura corectiva de a raspunde la cererea persoanei vizate, privind categoriile de date personale vizate de producerea incidentului de securitate, urmand a-i comunica raspunsul la adresa postala indicata in cerere.
Este esential sa fie acordata importanta cuvenita formularii raspunsurilor la solicitarile persoanelor vizate, acestea trebuie sa respecte prevederile articolelor 15-22, pentru orice revenire facuta de persoana vizata, atat timp cat este fondata, operatorul este obligat sa ofere un raspuns.
In cazul celei de-a doua sanctiuni, este vorba de sanctiunea aplicata operatorului Asociatia Asistentei Rutiere A-Car Vaslui, impotriva caruia a fost depusa o plangere referitor la faptul ca aceasta asociatie prelucra, prin intermediul site-ului pe care il au, datele cu caracter personal apartinand copiilor, este vorba de imaginea acestora.
Din comunicatul ANSPDCP aflam faptul ca:
Investigatia a fost demarata ca urmare a unei sesizari cu privire la faptul ca Asociatia Asistentei Rutiere A-Car Vaslui prelucreaza date cu caracter personal ale minorilor (imagine), prin intermediul site-ului www.a-carvaslui.ro.
Intrucat in cadrul investigatiei declansate operatorul nu a raspuns solicitarilor institutiei noastre, acesta a fost mai intai sanctionat cu avertisment pentru incalcarea art. 58 alin. (1) lit. a) si lit. e) din Regulamentul (UE) 2016/679, in temeiul art. 13 din Legea nr. 190/2018.
De asemenea, Autoritatea nationala de supraveghere a emis Planul de remediere prevazut de art. 13 alin. (1) din Legea 190/2018, cu masura de a furniza toate informatiile solicitate de institutia noastra in termen de 5 zile lucratoare de la data comunicarii procesului-verbal.
Asociatia Asistentei Rutiere A-Car Vaslui nu a adus la indeplinire masurile prevazute in planul de remediere comunicat de Autoritatea nationala de supraveghere, incalcandu-se astfel prevederile art. 58 alin. (1) lit. a) si lit. e) din Regulamentul (UE) 2016/679.
Asadar, problema in acest caz a fost faptul ca operatorul nu si-a respectat obligatia de a raspunde solicitarii primite din partea autoritatii, lucru destul de des intalnit in ultima perioada, pe care il putem pune oare pe seama lipsei cunostintelor privind obligatiile operatorului in astfel de situatii?
Nu stim sigur care au fost motivele in cazul de fata, insa speram ca astfel de sanctiuni sa fie cat mai rar intalnite in viitor iar operatorii sa inteleaga care le sunt obligatiile legale.
Sanctiunea aplicata in acest caz:
Ca atare, in temeiul art. 14 alin. (1) din Legea nr. 190/2018, operatorul a fost sanctionat contraventional cu amenda in cuantum de 10.000 lei, pentru fapta prevazuta de art. 14 alin. (5) lit. e) din Legea nr. 190/2018, raportat la art. 58 alin. (1) lit. a) si lit. e) din Regulamentul (UE) 2016/679.
Urmariti platforma noastra pentru noutati privind aplicarea GDPR si nu numai.
Multumim,
Echipa MtBiz GDPR