Intrat in vigoare de mai bine de un an, Regulamentul General de Protectie a Datelor cu Caracter Personal mai face o “victima”: un hotel din Bucuresti a fost amendat din cauza ca o lista printata pe suport de hartie, utilizata pentru verificarea clientilor care serveau micul dejun si care continea date cu caracter personal ale unui numar de 46 de clienti, a fost fotografiata de catre persoane din afara societatii, care a condus la dezvaluirea in mediul online a datelor cu caracter personal al persoanelor in cauza.
Amenda primita de World Trade Center Bucharest S.A. a fost in valoare de 15.000 de euro.
Ce spune Autoritatea Nationala
“In data de 02.07.2019, Autoritatea Nationala de Supraveghere a finalizat o investigatie la operatorul WORLD TRADE CENTER BUCHAREST S.A. si a constatat ca acesta a incalcat prevederile art. 32 alin. (4) raportat la art. 32 alin. (1) si alin. (2) din Regulamentul General privind Protectia Datelor, referitoare la securitatea prelucrarii.
Operatorul WORLD TRADE CENTER BUCHAREST S.A. a fost sanctionat contraventional cu amenda in cuantum de 71.028 lei, echivalentul sumei de 15.000 euro.
In ce a constat incalcarea normelor GDPR: o lista printata pe suport de hartie, utilizata pentru verificarea clientilor care serveau micul dejun si care continea date cu caracter personal ale unui numar de 46 de clienti, cazati la unitatea hoteliera apartinand WORLD TRADE CENTER BUCHAREST S.A., a fost fotografiata de catre persoane neautorizate din afara societatii, ceea ce a condus la dezvaluirea in mediul on-line a datelor cu caracter personal ale unor clienti, prin publicare.
Operatorul WORLD TRADE CENTER BUCHAREST S.A. a fost sanctionat deoarece nu a luat masuri pentru a se asigura ca angajatii sai care au acces la date cu caracter personal nu le prelucreaza decat la cererea sa, potrivit legii.
De asemenea, operatorul nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii generat in special, in mod accidental sau ilegal, de divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal. Aceasta a condus la accesul neautorizat la datele cu caracter personal ale unui numar de 46 de clienti ai WORLD TRADE CENTER BUCHAREST S.A si divulgarea neautorizata a acestor date, in mediul on-line, ceea ce a condus la afectarea drepturilor la viata privata si la protectia datelor cu caracter personal, garantate de art. 7 si art. 8 din Carta Drepturilor Fundamentale a Uniunii Europene si de art. 16 din Tratatul privind Functionarea Uniunii Europene.
Autoritatea Nationala de Supraveghere a efectuat investigatia ca urmare a transmiterii de catre WORLD TRADE CENTER BUCHAREST S.A. a unei notificari privind incalcarea securitatii datelor cu caracter personal prin completarea formularului privind incalcarea securitatii datelor cu caracter personal, prevazuta de art. 33 din RGPD.
Regulamentul General privind Protectia Datelor instituie, prin art. 24, principiul responsabilitatii operatorului, potrivit caruia: ”Tinand seama de natura, domeniul de aplicare, contextul si scopurile prelucrarii, precum si de riscurile cu grade diferite de probabilitate si gravitate pentru drepturile si libertatile persoanelor fizice, operatorul pune in aplicare masuri tehnice si organizatorice adecvate pentru a garanta si a fi in masura sa demonstreze ca prelucrarea se efectueaza in conformitate cu prezentul regulament. Respectivele masuri se revizuiesc si se actualizeaza daca este necesar.”
Cateva informatii despre GDPR
Ce este GDPR
GDPR reprezinta Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul general privind protectia datelor).
GDPR a fost publicat in Jurnalul Oficial al Uniunii Europene L119/4 mai 2016, a intrat in vigoare la 25 mai 2016 si este aplicabil din 25 mai 2018 la nivelul intregii Uniuni Europene.
GDPR contine un set de reguli menite sa ofere cetatenilor mai mult control asupra datelor care sunt de natura sa ii identifice.
Cine este obligat sa implementeze GDPR
GDPR se aplica oricarei organizatii care opereaza in cadrul UE, precum si oricarei organizatii din afara UE care ofera bunuri sau servicii clientilor sau intreprinderilor din UE.
In cele din urma, inseamna ca aproape fiecare corporatie majora din lume va trebui sa fie pregatita la intrarea in vigoare a GDPR. Scopul GDRP este de a simplifica mediul de reglementare pentru afaceri, astfel incat cetatenii si intreprinderile sa poata beneficia pe deplin de economia digitala.
La ce se refera regulamentul GDPR
Toate firmele, organizatiile si autoritatile sunt nevoite sa respecte noile obligatii, altfel risca amezi foarte mari si procese cu clientii sau angajatii. Iata cele mai importante lucruri pe care trebuie sa le stii despre acest regulament.
Prin date personale, regulamentul se refera la:
♦ Numele unei persoane fizice.
♦ Numerele de identificare.
♦ Date despre localizare.
♦ Orice alt tip de identificator online care este specific din punct de vedere fizic, psihologic, genetic, mental, economic, cultural sau social unei anumite persoane fizice.
♦ Orice operator de astfel de date trebuie:
♦ Sa se asigure ca datele colectate au un scop clar si nu sunt folosite in alt scop, arata o analiza GpeC.
♦ In cazul unui grup care detine mai multe firme sau al unui unei firme care detine mai multe magazine (spre exemplu), datele colectate nu pot fi folosite „la comun” deoarece scopul colectarii a fost diferit.
♦ Sa resctrictioneze accesul la datele clientilor doar angajatilor care au nevoie de acele date pentru a-si indeplini sarcinile de serviciu;
♦ Sa detina un registru al evidentelor in care sa tina cont de activitatile de prelucrare a datelor deoarece activitatea acestora nu este ocazionala.
♦ Sa se asigure ca tertii cu care lucreaza sunt in UE, Spatiul Economic European, sau in alte state cu regim adecvat si ca asigura securitatea datelor; prin terti se intelege orice operator, tool, plug-in sau alte instrumente tehnice care folosesc sau colecteaza date personale, inclusiv Facebook Pixel;
♦ Sa informeze clientii, in pagina de check-out, cu privire la folosirea datelor pe care le acestia le ofera (datele de facturare si livrare) intrucat informarea clientilor cu privire la datele colectate este obligatorie din momentul colectarii datelor;
♦ Sa stearga datele la cererea clientului, daca cererea are un temei legal, indiferent daca acest lucru se face prin suprascriere sau stergere definitiva, atat timp cat procesul este ireversibil;
♦ Sa aiba acordul cu privire la procesarea datelor cu caracter personal al angajatilor firmei.
Sanctiuni
Nerespectarea prevederilor GDPR poate avea drept rezultat o amenda de la 10 milioane de euro la 20 de milioane de euro, respectiv intre 2% si 4% din cifra de afaceri anuala globala a companiei vizate.
Amenzile vor depinde de severitatea incalcarii regulamentului si daca se considera ca firma a luat in serios masurile necesare pentru a asigura securitatea datelor.
Amenda maxima de 20 de milioane de euro sau 4% din cifra de afaceri anuala globala a companiei se va acorda la incalcarea drepturilor persoanelor vizate, transferul neautorizat international de date cu caracter personal si neadoptarea procedurilor sau ignorarea cererii accesului unei persoane la datele personale.
Amenzile de 10 milioane de euro sau 2% din cifra de afaceri anuala globala vor fi aplicate companiilor care folosesc datele cu caracter personal in alte moduri. Acestea includ nesemnalizarea cazurilor de incalcare a securitatii datelor si neasigurarea confidentialitatii si a protectiei datelor in prima etapa a proiectului.
Te-ar putea interesa si: Cea mai mare sanctiune GDPR din Romania. Cui a fost aplicata!
