O amendă GDPR de 40.000 EUR a fost aplicată pentru nereguli în gestionarea datelor personale
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a finalizat, în luna decembrie 2024, o investigație la operatorul Orange România SA și a constatat încălcarea dispozițiilor art. 12 alin. (3) și (4), coroborat cu art. 17 din Regulamentul (UE) 2016/679, precum și ale art. 5, art. 6 și art. 7 din Regulamentul (UE) 2016/679.
Ca atare, operatorul a fost sancționat cu două amenzi în cuantum total de 199.020 lei, echivalentul a 40.000 EURO, după cum urmează:
1. amendă în cuantum de 99.510 lei (echivalentul sumei de 20.000 EURO), pentru încălcarea dispozițiilor art. 12 alin. (3) și (4), coroborat cu art. 17 din Regulamentul (UE) 2016/679;
2. amendă în cuantum de 99.510 lei (echivalentul sumei de 20.000 EURO), pentru încălcarea dispozițiilor art. 5, art. 6 și art. 7 din Regulamentul (UE) 2016/679.
Investigația s-a declanșat pentru verificarea modului de soluționare a exercitării dreptului de ștergere.
În cadrul investigației s-a constatat că, după încercarea nereușită de abonare la serviciile de telefonie mobilă oferite de operator, s-a solicitat ștergerea tuturor datelor personale. Pe parcursul corespondenței purtate, operatorul a solicitat mai multe date personale și nu s-au oferit răspunsuri complete și adecvate la solicitările primite.
În cursul investigației, a rezultat că Orange Romania SA nu a gestionat în mod corespunzător cererile de ștergere a datelor personale, fiind astfel încălcate prevederile art. 12 alin. (3) și (4), coroborate cu art. 17 din Regulamentul (UE) 2016/679.
În același timp, s-a constatat că operatorul a colectat și stocat excesiv inclusiv copii scanate ale unor documente, deși datele personale nu mai erau necesare scopului de identificare aferent încheierii unui contract de abonament. Ca atare, au fost încălcate prevederile art. 5, art. 6 și art. 7 din Regulamentul (UE) 2016/679.
În cadrul investigației, operatorului i s-au aplicat și următoarele măsuri corective:
– de a transmite un răspuns complet la cererea de ștergere a datelor sale personale, conform dispozițiilor legale aplicabile;
– de a asigura conformitatea cu Regulamentul (UE) 2016/679 a operațiunilor de prelucrare a datelor personale, prin adoptarea măsurilor tehnice și organizatorice necesare, inclusiv sub aspectul instruirii corespunzătoare a personalului desemnat în acest scop, astfel încât operatorul să fie capabil să analizeze, să soluționeze în mod corect și să răspundă în mod corespunzător la cererile prin care persoanele vizate își exercită drepturile, în cadrul termenelor și potrivit condițiilor prevăzute de art. 12-23 din Regulamentul (UE) 2016/679, cu informarea clară, transparentă și accesibilă a persoanelor vizate în privința mecanismelor de exercitare a drepturilor;
– de a elimina din baza de date datele personale și documentele de identitate ale persoanei afectate, colectate în cursul procedurii eșuate de abonare la serviciile oferite;
– de a asigura conformitatea cu Regulamentul (UE) 2016/679 a operațiunilor de prelucrare a datelor personale, astfel încât operatorul să stabilească cu claritate temeiul legal al colectării datelor personale prin raportare la fiecare scop al prelucrării, în cadrul demersurilor ce preced încheierea unui contract de abonament la serviciile sale, astfel încât să nu fie colectate și ulterior stocate în mod excesiv și ilegal date personale și documente de identitate decât cu respectarea legislației aplicabile, cu asigurarea informării clare, transparente și accesibile a persoanelor vizate, conform dispozițiilor art. 5-7, respectiv, art. 12-14 din Regulamentul (UE) 2016/679.
Este esențial să le oferiți persoanelor vizate informațiile complete, clare și accesibile privind prelucrarea datelor lor personale. Aceste informații trebuie să fie prezentate într-un limbaj ușor de înțeles și să fie disponibile înainte de a începe prelucrarea datelor. În special, asigurați-vă că persoanele vizate sunt informate despre scopul prelucrării, categoriile de date colectate, destinatarii acestora și drepturile lor (inclusiv dreptul de acces, rectificare și ștergere).
Asigurați-vă că răspundeți cererilor persoanelor vizate într-un termen rezonabil, de obicei de 30 de zile calendaristice. În cazuri complexe, termenul poate fi prelungit cu încă 2 luni, dar persoanele vizate trebuie informate cu privire la acest lucru.
De asemenea, persoanele vizate au dreptul de a solicita ștergerea datelor lor personale atunci când acestea nu mai sunt necesare pentru scopurile pentru care au fost colectate sau în alte condiții prevăzute de lege. Este important să aveți proceduri clare pentru a evalua aceste cereri și a implementa ștergerea datelor într-un mod corespunzător.
Acțiuni practice:
1. Asigurați-vă că aveți un proces intern pentru ștergerea datelor la cererea persoanelor vizate, respectând termenul de 30 de zile.
2. Verificați regulat sistemele de stocare a datelor pentru a vă asigura că datele personale sunt șterse sau anonimizate când nu mai sunt necesare.
Pentru informații suplimentare va stăm la dispoziție aici.