A fost dată prima amendă în România pentru încălcarea GDPR

4 iul. 2019

Potrivit unui comunicat de presă postat astăzi de către A.N.S.P.D.C.P., operatorul UNICREDIT BANK S.A. a fost sancționat contravențional cu amendă în cuantum de 613.912 lei, echivalentul în euro al sumei de 130.000 euro.

Pe data de 27.06.2019, Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul UNICREDIT BANK S.A. și a constatat că acesta a încălcat prevederile art. 25 alin. (1) din Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor).

Operatorul a fost sancționat contravențional cu amendă în cuantum de 613.912 lei, echivalentul în euro al sumei de 130.000 euro.

Sancțiunea a fost aplicată UNICREDIT BANK S.A. ca urmare a neaplicării măsurilor tehnice şi organizatorice adecvate, atât în momentul stabilirii mijloacelor de prelucrare, cât şi în cel al prelucrării în sine, destinate să pună în aplicare în mod eficient principiile de protecție a datelor, precum reducerea la minimum a datelor, şi să integreze garanțiile necesare în cadrul prelucrării, pentru a îndeplini cerințele RGPD şi a proteja drepturile persoanelor vizate. Aceasta a condus la dezvăluirea în documentele ce conţin detaliile tranzacţiilor şi care sunt puse on-line la dispoziţia clienţilor beneficiari ai plăţilor, a datelor privind CNP-ul și adresa plătitorului (pentru situaţiile în care plătitorul efectua tranzacţia dintr-un cont deschis la o alta instituţie de credit – tranzacţii externe şi depuneri la casierie), respectiv a datelor privind adresa plătitorului (pentru situaţiile în care plătitorul efectua tranzacţia dintr-un cont deschis la UNICREDIT BANK SA – tranzacţii interne), pentru un număr de 337.042 persoane vizate, în perioada 25 mai 2018 – 10.12.2018.

Sancțiunea a fost aplicată ca urmare a unei sesizări a Autorității Naţionale de Supraveghere din data de 22.11.2018 prin care se semnala faptul că datele privind CNP-ul și adresa persoanelor care efectuau plăți la UNICREDIT BANK S.A., prin intermediul tranzacțiilor on-line, erau dezvăluite către beneficiarul tranzacției, prin formularele de extras de cont/detalii.

Potrivit art. 5 alin. 1 lit. c) din RGPD (”Principii legate de prelucrarea datelor cu caracter personal”), operatorul avea obligația de a prelucra date limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate datele.

În același timp, considerentul (78) din Regulament precizează: ”Protecţia drepturilor şi libertăţilor persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal necesită adoptarea de măsuri tehnice şi organizatorice corespunzătoare pentru a se asigura îndeplinirea cerinţelor din prezentul regulament. Pentru a fi în măsură să demonstreze conformitatea cu prezentul regulament, operatorul ar trebui să adopte politici interne şi să pună în aplicare măsuri care să respecte în special principiul protecţiei datelor începând cu momentul conceperii şi cel al protecţiei implicite a datelor. Astfel de măsuri ar putea consta, printre altele, în reducerea la minimum a prelucrării datelor cu caracter personal, pseudonimizarea acestor date cât mai curând posibil, transparenţa în ceea ce priveşte funcţiile şi prelucrarea datelor cu caracter personal, abilitarea persoanei vizate să monitorizeze prelucrarea datelor, abilitarea operatorului să creeze elemente de siguranţă şi să le îmbunătăţească. Atunci când elaborează, proiectează, selectează şi utilizează aplicaţii, servicii şi produse care se bazează pe prelucrarea datelor cu caracter personal sau care prelucrează date cu caracter personal pentru a-şi îndeplini rolul, producătorii acestor produse şi furnizorii acestor servicii şi aplicaţii ar trebui să fie încurajaţi să aibă în vedere dreptul la protecţia datelor la momentul elaborării şi proiectării unor astfel de produse, servicii şi aplicaţii şi, ţinând cont de stadiul actual al dezvoltării, să se asigure că operatorii şi persoanele împuternicite de operatori sunt în măsură să îşi îndeplinească obligaţiile referitoare la protecţia datelor. Principiul protecţiei datelor începând cu momentul conceperii şi cel al protecţiei implicite a datelor ar trebui să fie luate în considerare şi în contextul licitaţiilor publice.”

Sursa dataprotection.ro

Unde dai și unde crapă

Aceasă primă decizie îmi confirmă o vorbă mai veche. La scurt timp după publicarea acestei legi, toată blogosfera locală a fost asaltată cu fel și fel de amenințări de parcă noi am fi fost cei din urmă români posesori de oca mică. Într-o perioadă primeam și câte două – trei telefoane pe zi. Că nu respect aia. Că nu respect ailaltă, Că nu spun ce este cookie. Am încercat să le explic noțiunile de bază ale unui blog și faptul că inclusiv banalul google analytics (la care nu voi renunța în vecii vecilor) folosește cookie, dar duduile respective nu se îndepărtau de la textul ce-l aveau afișat pe monitor.

Până la urmă, se pare că această formă de promovare a GDPR-ului pe plan local a funcționat.

Articole recente

Ne convine, nu ne convine, internetul este un animal de companie alături de care vom convețui mult timp de acum în colo. Cum vom convețui,…

Când spun SEO cele mai multe persoane se gândesc la promovarea unei adrese web în motoarele de căutare sau în rețelele de socializare. Își doresc…

De curiozitate, am întrebat un AI ce este parentingul digital Parentingul digital se referă la abordarea și gestionarea responsabilă a educației și supravegherii copiilor în…

Când vine vorba de parenting, fiecare generație are provocările ei. Provocarea generației noastre este mediul online. Să ne lăsăm sau nu copiii să stea pe…

Potrivit raportului DESI (Digital Economy and Society Index) al Comisiei Europene, suntem pe ultimul loc din UE, în ceea ce privește competențele digitale de bază….

Îm ultimele luni tot aud / văd / citesc că vom ajunge șomeri din cauza roboților. Roboțiii ne vor lura locurile de muncă. Ne vom…

YouTube a anunţat că va introduce certificarea conturilor medicilor şi a altor profesionişti din domeniul sanitar, astfel încât să poată fi evidenţiate videoclipurile de încredere…

Este creativitatea amenințată de către ascensiunea inteligenței artificiale? Cine ar putea răspunde mai bine la această întrebare decât Ai-Da – primul robot artist din lume…

Ameca, robotul umanoid al companiei Engineered Arts, este capabil să afișeze trăsături umane în timpul unei conversații – cu ajutorul modelului de limbaj de ultimă…

CyberOne, primul robot umanoid din grupul Xiaomi, a debutat la evenimentul de lansare a noului produs al companiei, la Beijing, pe 11 august, alături de…

În ultimele zile, în anumite medii pasionate de tehnologie, se discută destul de des despre prototipul unui nou produs marca Xiaomi – MiGu – un…

Dacă la noi ar fi fost cu adevărat democrație, după atâtea săptămâni de război, la tv ar fi fost invitați istorici profesioniști, nu militari pensionari…

Discută cu un psiholog!