SANCȚIUNILE APLICATE DE ANSPDCP ÎN LUNA AUGUST 2023
De Mugurel Olariu, RPD protectie date
Potrivit secțiunii de Știri din site-ul Autorității Naționale de Supraveghere*1, în luna August au fost finalizate mai multe investigații și aplicate unor operatori – persoane juridice și fizice, atât sancțiunea amenzii, cât și măsuri corective.
Facem precizarea că amenzile aplicate au cuantumuri în lei, cu echivalent în EURO cuprinse între două mii și șaptezeci de mii de euro.
Menționăm și faptul important că pentru cele patru cazuri prezentate mai jos, investigațiile au fost demarate ca urmare a unor plângeri ale persoanelor vizate – în trei situații, cât și ca urmare a unei notificări a încălcării securității datelor.
În esență, circumstanțele cauzelor, sancțiunile și măsurile corective aplicate sunt următoarele:
A. Data de 03.08.2023:
Operator: MED LIFE SA.
Dispoziții RGPD încălcate: art. 12 alin. (4) (Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate) și ale art. 15 alin. (3) (Dreptul de acces al persoanei vizate).
Sancțiune: amendă în cuantum de 9.839,6 lei, echivalentul a 2.000 EURO.
Mod sesizare: plângere prin care se reclama faptul că operatorul i-a încălcat petentei dreptul de acces, refuzând să-i comunice anumite înregistrări video din recepția unui spital al acestuia.
Măsură corectivă: de a răspunde la cererile petentei, prin comunicarea copiei datelor sale personale prevăzute de art. 15 alin. (3) din RGPD, respectiv a înregistrărilor video solicitate, pentru intervalul orar în care petenta s-a aflat în incinta spitalului operatorului, cu respectarea, după caz, a prevederilor art. 15 alin. (4) din RGPD.
B. Data de 21.08.2023:
Operator: UIPATH SRL.
Dispoziții RGPD încălcate: art. 25 (Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit) și art. 32 (Securitatea prelucrării).
Sancțiune: amendă în cuantum de 346.598 lei, echivalentul sumei de 70.000 EURO.
Mod sesizare: transmitere de către operator a unei notificări de încălcare a securității datelor cu caracter personal.
Măsură corectivă: de a implementa un mecanism procedurat și aplicat la intervale regulate de timp, privind testarea, evaluarea și aprecierea periodică a eficacității măsurilor adoptate, ținând cont de riscul prezentat de prelucrare, în vederea asigurării unui nivel de securitate corespunzător și evitării pe viitor a unor incidente de securitate similare.
SANCȚIUNILE APLICATE DE ANSPDCP ÎN LUNA AUGUST 2023
C. Data de 23.08.2023:
Operator: BODY LINE SRL.
Dispoziții RGPD încălcate: art. 5 (Principii legate de prelucrarea datelor cu caracter personal), art.6 (Legalitatea prelucrării), art.9 (Prelucrarea de categorii speciale de date cu caracter personal), art.17 (Dreptul la ștergerea datelor („dreptul de a fi uitat”)) și art. 32 alin. (1) și (2) (Securitatea prelucrării).
Sancțiune: amenzi în cuantum total de 49.322 lei, echivalentul a 10.000 EURO.
Mod sesizare: plângere prin care s-a reclamat divulgarea de către operator a datelor personale ale unui petent (client al operatorului) prin postarea unei înregistrări audio-video pe paginile de socializare ale operatorului.
Măsuri corective:
• de a asigura conformitatea cu RGPD a operațiunilor de prelucrare a datelor personale, inclusiv prin elaborarea de proceduri scrise, astfel încât datele personale ale persoanelor vizate să fie prelucrate cu stricta respectare a dispozițiilor legale privind protecția datelor personale, prin evitarea colectării și/sau divulgării ilegale/excesive/neautorizate a datelor personale ale acestora;
• de a da curs cererii de ștergere a datelor personale ale petentului, aferente postărilor de pe paginile de socializare ale operatorului;
• de a asigura conformitatea cu RGPD a operațiunilor de prelucrare a datelor personale, prin implementarea unor măsuri tehnice și organizatorice adecvate, în special sub aspectul instruirii persoanelor care prelucrează date sub autoritatea sa (angajați sau colaboratori), prin organizarea regulată a unor sesiuni de instruire cu acestea, în legătură cu obligațiile ce le revin privind prelucrarea datelor personale prin intermediul sistemului de supraveghere video, al stabilirii condițiilor în care pot fi accesate imaginile sau înregistrările audio-video de către un număr redus de persoane, pe baza unor credențiale individuale, al verificării periodice a accesului la înregistrările imaginilor, precum și al detectării rapide, gestionării și raportării unor situații de încălcare a securității datelor personale.
D. Data de 31.08.2023:
Operator: persoană fizică.
Dispoziții RGPD încălcate: art.5 (Principii legate de prelucrarea datelor cu caracter personal), art.6 alin. (1) lit. a) (Legalitatea prelucrării) și art. 9 alin. (2) lit. a) (Prelucrarea de categorii speciale de date cu caracter personal).
Sancțiune: amendă în cuantum de 9919,2 lei, echivalentul a 2000 euro.
Mod sesizare: plângere prin care s-a constatat faptul că operatorul sancționat (medic) a filmat, cu telefonul personal, o pacientă a spitalului în care lucrează, fără consimțământul acesteia și ulterior a postat filmarea pe pagina sa de Facebook. Înregistrarea audio-video a condus la dezvăluirea datelor personale ale pacientei, precum imagine, voce, nume, prenume și stare de sănătate.
Măsură corectivă: să asigure conformitatea cu RGPD a operațiunilor de prelucrare a datelor personale, astfel încât datele personale ale pacienților să fie prelucrate cu stricta respectare a dispozițiilor legale privind prestarea serviciilor medicale și protecția datelor personale, prin evitarea colectării și/sau divulgării ilegale/excesive/neautorizate a datelor personale ale acestora.”.
–––––––––––––––––––––––––––
1. https://www.dataprotection.ro/?page=allnews