A început valul de amenzi pentru încălcarea Regulamentului GDPR în România, iar în spațiul UE sumele stabilite ca amenzi depăsesc praguri istorice.

Conform comunicatului de presă al Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal din 4 iulie 2019 (disponibil pentru consultare aici) urmare a finalizării unei investigații incepute încă de anul trecut, A.N.S.P.D.C.P. a amendat UNICREDIT BANK S.A. urmare a încălcării principiului minimizării datelor, respectiv, conform comunicatului de presă, au fost procesate mai multe date decât era necesar, conducând la dezvăluirea în documentele ce conţin detaliile tranzacţiilor şi care sunt puse on-line la dispoziţia clienţilor beneficiari ai plăţilor, a datelor privind CNP-ul (pentru situaţiile în care plătitorul efectua tranzacţia dintr-un cont deschis la o alta instituţie de credit – tranzacţii externe şi depuneri la casierie) și adresa plătitorului (pentru situaţiile în care plătitorul efectua tranzacţia dintr-un cont deschis la UNICREDIT BANK SA – tranzacţii interne). Urmare a finalizării investigației, a fost aplicată sancțiunea amenzii in cuantum de 130.000 Euro, echivalentul în euro al sumei de 613.912 lei.

La 4 zile distanță, în 8 iulie, un nou comunicat de presă al ANSPDCP anunță aplicarea celei de-a doua amenzi (disponibil pentru consultare aici) urmare a finalizării în data de 2 iulie a unei investigații privitoare de această dată la un hotel, WORLD TRADE CENTER BUCUREȘTI SA, care a fost sancționat deoarece nu a luat măsuri pentru a se asigura că angajații săi care au acces la date cu caracter personal nu le prelucrează decât la cererea sa, potrivit legii. În speță, Autoritatea a constat faptul că o listă printată pe suport de hârtie, utilizată pentru verificarea clienților care serveau micul dejun și care conținea date cu caracter personal ale unui număr de 46 de clienți, cazați la unitatea hotelieră aparținând WORLD TRADE CENTER BUCHAREST S.A., a fost fotografiată de către persoane neautorizate din afara societății, ceea ce a condus la dezvăluirea în mediul on-line a datelor cu caracter personal ale unor clienți, prin publicare, fără a avea acceptul respectivelor persoanelor vizate. S-a constatat așadar că hotelul nu a implementat măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării generat în special, în mod accidental sau ilegal, de divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal, motiv pentru care s-a aplicat sancțiunea amenzii contravenționale în cuantum de 15.000 Euro, respectiv în echivalent lei 71.028.

In ceea ce privește sancțiunile impuse în spațiul UE pentru încălcarea GDPR, și mai ales pragurile istorice ale acestor amenzi, trebuie menționată amenda aplicată GOOGLE LLC de către autoritatea franceză din cauza lipsei de transparență, a informațiilor inadecvate și a lipsei de consimțământ valabil în ceea ce privește personalizarea anunțurilor la data de 21 Ianuarie 2019 (este vorba de serviciul Google Ads – conform comunicatului de presă al autorității din Franța, disponibil aici).

Amenda impusă de autoritatea fraceză s-a ridicat atunci la suma de 50 milioane de euro (sumă record), fiind pentru prima dată când CNIL (autoritatea franceză) a aplicat noile limite de sancționare prevăzute de GDPR, avându-se în vedere și faptul că a fost vorba de încălcări continue ale regulamentului, nefiind respectate nici la data emiterii sancțiunii (21 ianuarie 2019 – față de data formulării plângerii în fața autorității și anume 25 mai 2018), care afectează o mare parte dintre utilizatorii francezi, luând în considerare locul important pe care sistemul de operare Android îl are pe piața franceză.

Mai recent, (conform comunicatelor de presă din 8 iulie si respectiv 9 iulie 2019 disponibile aici și aici) autoritatea pentru protecția datelor din Marea Britanie a semnalat intenția de a emite două sancțiuni care depășesc ca și cuantum suma record indicată anterior de 50 Mil Euro, respectiv una de aproximativ 183 Mil lire sterline și una de aproximativ 100 Mil lire sterline.

Cu privire la prima amendă propusă, autoritatea de supraveghere din Marea Britanie arată că aceasta se referă la un incident cibernetic notificat ICO de către British Airways în septembrie 2018. Acest incident a implicat, în parte, deturnarea traficul utilizatorilor site-ul British Airways către un site fraudulos. Prin acest site fals, detaliile despre clienți au fost preluate de atacatori. Datele personale de aproximativ 500.000 de clienți au fost compromise în acest incident, despre care se crede că a început în iunie 2018. În stabilirea cuantumului amenzii, 1,5% din veniturile totale ale B.A. pentru anul încheiat la 31 decembrie 2018 (cea mai mare pe care ICO a aplicat-o unei companii în urma unei încălcări a protecției datelor cu caracter personal) s-a ținut seama de faptul că o serie de informații a fost compromisă de măsurile de securitate scăzute ale companiei, inclusiv datele de conectare, date privind cardul de credit și detaliile de rezervare a călătoriilor, precum și informații despre nume și adresă, dar și faptul că British Airways a cooperat pe parcursul anchetei autorității și a făcut îmbunătățiri ale măsurior sale de securitate de la apariția acestor evenimente. Înainte de stabilirea amenzii finale, ICO va lua în considerare cu atenție declarațiile făcute de companie și celelalte autorități de protecție a datelor înainte de a lua o decizie finală.

Cu privire la cea de-a doua amenda propusă de autoritatea de supraveghere din Marea Britanie, de aproximativ 100 Mil Lire sterline aceasta se referă la un incident informatic care a fost notificat autorității de către Marriott în noiembrie 2018. O varietate de date cu caracter personal cuprinse în aproximativ 339 de milioane de înregistrări ale clienților la nivel global au fost expuse incidentului, dintre care aproximativ 30 de milioane s-au referit la rezidenții din 31 de țări în Spațiul Economic European (SEE), iar șapte milioane au fost legate de rezidenți din Marea Britanie. Amenda propusă de ICO reprezintă aproximativ 3% din veniturile globale ale companiei și la stabilirea ei s-a luat în considerare faptul că sistemele informatice din grupul de hoteluri Starwood au fost compromise în 2014, că Marriott a achiziționat ulterior Starwood în 2016, dar expunerea informațiilor despre clienți nu a fost descoperită decât în 2018, că Marriott nu a depus suficiente diligențe când a cumpărat Starwood și ar fi trebuit să facă și mai mult pentru a-și asigura sistemele, dar și că Marriott a cooperat cu investigația ICO și a făcut îmbunătățiri în privința aranjamentelor sale de securitate de la apariția acestor evenimente. ICO va lua în considerare cu atenție declarațiile făcute de companie și celelalte autorități de protecție a datelor înainte de a lua o decizie finală.

Conformarea cu GDPR este deosebit de importantă, astfel că Revnic, Cristian și Asociații vine în întâmpinarea Dvs. cu o ofertă personalizată de consultanță și implementare GDPR. Pentru detalii consultați secțiunea Despre noi > Servicii.