PROTECȚIA DATELOR ÎN NOIEMBRIE 2021

De Mugurel Olariu, RPD protectie date

Autoritățile specializate în protecția datelor, la nivel european – CEPD și național – ANSPDCP, au continuat demersurile de monitorizare și clarificare a aplicării RGPD în luna noiembrie, astfel:

CEPD – Comitetul European pentru Protecția Datelor, a desfășurat o ședință plenară la data de 18 noiembrie, adoptând mai multe instrumente, între care, amintim: Ghidul nr.5/2021 privind interacțiunea dintre articolul 3 și capitolul V al RGPD și Ghidul intern privind implementarea practică a reglementărilor pe cale amiabilă.
Precizăm că Ghidul 5/2021 urmărește clarificarea interacțiunii dintre domeniul de aplicare teritorial (art. 3) și dispozițiile privind transferurile internaționale din capitolul V al RGPD, fiind supus consultării publice până la sfârșitul lunii ianuarie 2022. Acest ghid dorește să ajute operatorii și persoanele împuternicite de operator din UE să identifice dacă o operațiune de prelucrare constituie un transfer internațional și să oferă o înțelegere comună a conceptului de transferuri internaționale.

Ghidul specifică trei criterii cumulative care califică o prelucrare drept transfer, astfel:
✔ exportatorul de date (un operator sau o persoană împuternicită) este supus RGPD pentru prelucrarea dată;
✔ exportatorul de date transmite sau pune la dispoziție datele cu caracter personal importatorului de date (alt operator, operator asociat sau persoană împuternicită);
✔ importatorul de date se află într-o țară terță sau este o organizație internațională.

Prelucrarea va fi considerată un transfer, indiferent dacă importatorul stabilit într-o țară terță face deja obiectul RGPD conform art. 3 RGPD. Cu toate acestea, CEPD consideră că colectarea datelor direct de la persoanele vizate din UE din proprie inițiativă nu constituie un transfer.

Acest Ghid nr.5/2021, împreună cu Ghidul 4/2021 privind codurile de conduită ca instrumente pentru transferuri sunt în măsură să ofere un cadru consecvent de aplicare pentru Codul de conduită elaborat de cele cinci asociații profesionale din industrie, care se află încă în faza de proiect. În perioada următoare, vom solicita operatorilor, prin asociațiile profesionale, o serie de date prin răspunsurile la un Chestionar pentru a actualiza forma Codului de conduită.

ANSPDCP – Autoritatea Națională de Supravegere a Prelucării Datelor cu Caracter Personal a publicat pe site-ul său, o serie de măsuri sancționatorii și/sau corective luate în luna noiembrie. În scop preventiv, pentru operatorii și persoanele împuternicite din industrie, prezentăm succint datele esențiale supuse investigațiilor autorității, astfel:

01.11.2021: – la operatorul IKEA ROMÂNIA SA, s-a constatat încălcarea prevederilor art. 32 alin. (1) lit. b) și alin. (2) din Regulamentul General privind Protecția Datelor, fiind sancționat contravențional cu amendă în cuantum de 4948.80 lei (echivalentul a 1.000 EURO). Investigația a fost demarată ca urmare a transmiterii de IKEA ROMÂNIA SA către Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal a unei notificări de încălcare a securității datelor cu caracter personal. Astfel, IKEA ROMÂNIA SA a organizat un concurs de desene la care au participat copiii membrilor IKEA Family. Participanții au încărcat în platforma on-line dedicată membrilor desenele proprii, împreună cu formularele de participare, care conțineau date lor cu caracter personal dar și ale părinților/tutorilor legali, inclusiv consimțământul acestora. În vederea votării celui mai bun desen, pe platforma on-line au fost publicate, din eroare, desenele copiilor, împreună cu datele cu caracter personal cuprinse în formularele de participare. În urma efectuării investigației s-a constatat că incidentul de securitate produs a condus la divulgarea neautorizată a datelor cu caracter personal ale membrilor IKEA Family (numele, prenumele și vârsta persoanelor fizice minore, numele, prenumele, orașul, țara, e-mailul, numărul de membru IKEA Family și semnătura olografă a părintelui/tutorelui legal), pe platforma on-line dedicată membrilor IKEA Family din România, accesibilă doar acestora, timp de aproximativ 40 de ore, fiind afectate un număr de 114 persoane fizice (jumătate dintre aceștia fiind minori).

– la operatorul S.P.E.E.H. Hidroelectrica S.A. s-a constatat încălcarea dispozițiilor art. 32 alin. (1) lit. b) și alin. (2) din Regulamentul General privind Protecția Datelor (RGPD), precum și încălcarea dispozițiilor art. 5 alin. (1) lit. a) și ale art. 6 alin. (1) din RGPD. Operatorul S.P.E.E.H. Hidroelectrica S.A. a fost sancționat contravențional astfel:
amendă în cuantum de 24.739,50 lei, echivalentul a 5.000 EURO, pentru încălcarea dispozițiilor art. 32 alin. (1) lit. b) și alin. (2) din RGPD;
avertisment, pentru încălcarea dispozițiilor art. 5 alin. (1) lit. a) și ale art. 6 alin. (1) din RGPD.
Autoritatea națională de supraveghere a constatat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prezentat de prelucrare. Această situație a condus la accesarea ori divulgarea ilicită către destinatari eronați, a datelor cu caracter personal ale unui număr de 325 persoane fizice. Totodată, operatorului i s-au aplicat și următoarele măsuri corective:
revizuirea și actualizarea măsurilor tehnice și organizatorice implementate ca urmare a evaluării privind riscul pentru drepturile și libertățile persoanelor, inclusiv a procedurilor de lucru referitoare la protecția datelor cu caracter personal, precum și implementarea unor măsuri privind instruirea periodică a persoanelor care acționează sub autoritatea sa;
identificarea și implementarea unor măsuri pentru a se asigura că datele cu caracter personal prelucrate sunt exacte și actualizate, având în vedere scopurile pentru care sunt prelucrate, inclusiv în ceea ce privește evidența exercitării de către persoanele vizate a dreptului la ștergerea datelor cu caracter personal.

11.11.2021: – la operatorul VODAFONE România S.A. s-a constatat încălcarea dispozițiilor art. 32 alin. (1) lit. b) și alin. (4) din Regulamentul General privind Protecția Datelor (RGPD), precum și încălcarea dispozițiilor art. 3 alin. (1) și alin. (3) lit. a) și b) din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice. Operatorul VODAFONE România S.A. a fost sancționat contravențional astfel:
amendă în cuantum de 7.421,25 lei, echivalentul a 1.500 EURO, pentru încălcarea dispozițiilor art. 32 alin. (1) lit. b) și alin. (2) din RGPD;
amendă în cuantum de 7.000 lei pentru încălcarea dispozițiilor art. 3 alin. (1) și alin. (3) lit. a) și b) din Legea nr. 506/2004
Autoritatea națională de supraveghere a constatat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate pentru a asigura faptul că orice persoană fizică care acționează sub autoritatea operatorului sau a persoanei împuternicite de operator și care are acces la datele cu caracter personal nu le prelucrează decât la cererea operatorului cu excepția cazului în care această obligație îi revine în dreptul Uniunii sau dreptului intern și în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării, incluzând capacitatea de a asigura confidențialitatea datelor. Această situație a condus la divulgarea neautorizată și/sau accesul neautorizat la datele cu caracter personal ale unui număr de 6 persoane fizice, în perioada 16 noiembrie 2020 – 18 mai 2021 (transmiterea unor contracte de servicii la adrese eronate de e-mail, accesul neautorizat al angajaților operatorului la datele cu caracter personal ale clienților Vodafone fără a exista solicitări din partea acestora). Astfel, operatorul a prelucrat datele cu caracter personal a 64 persoane fizice prin accesarea neautorizată a datelor acestora de către angajații operatorului în perioada 04 noiembrie 2020 – 22 iunie 2021.

26.11.2021: – la operatorul Valoris Center S.R.L. s-a constatat încălcarea prevederilor art. 29, art.  32 alin. (1) lit. b) și alin. (4) din Regulamentul General privind Protecția Datelor. Ca atare, operatorul a fost sancționat contravențional cu amendă în cuantum de 9.898,00 lei (echivalentul a 2.000 EURO). Investigația a fost demarată ca urmare a unei notificări de încălcare a securității datelor cu caracter personal care a fost transmisă de un operator, în baza dispozițiilor art. 33 din Regulamentul General privind Protecția Datelor. Încălcarea securității prelucrării datelor cu caracter personal s-a produs ca urmare a faptului că un angajat call center al Valoris Center S.R.L. (persoană împuternicită de operator) a atașat, dintr-o eroare, către un client al operatorului, un fișier excel conținând datele clienților respectivului operator care au serviciul de Internet Banking. În cadrul investigației s-a constatat că această încălcare a condus la divulgarea neautorizată sau accesul neautorizat la anumite date cu caracter personal, cum ar fi adresa de e-mail, nume de utilizator, CNP utilizator, număr de telefon, numele clientului, codul clientului, PIN-ul clientului, fiind afectate de incident un număr de 11169  persoane fizice vizate.

Articolul precedentComunicarea responsabilă în domeniul gamblingului (III)
Articolul următorAudiență extraordinară pentru articolele publicate de Casino Life & Business Magazine