Știi pentru ce s-au dat ultimele amenzi GDPR?
Nu cu mult timp în urmă am scris un articol despre amenzile GDPR în care am analizat motivele pentru care operatorii riscă să fie sancționați. Între timp, noi amenzi GDPR ne-au captat atenția.
Când vorbim de GDPR ne gândim inevitabil la amenzi, motiv pentru care vă propunem să analizăm ultimele știri pe acest subiect.
ICO (Regatul Unit al Marii Britanii) este cea mai activă autoritate de supraveghere europeana în ultima perioadă, dar avem și o premieră din Polonia. Știm că și voi sunteți curioși pentru ce au fost sancționați operatorii, așa că le luam pe rând:
04 Aprilie 2019 - Primărie amendată cu 145.000 £ (lire sterline) pentru dezvăluirea de date sensibile
Primăria burgului londonez Newham a fost amendat 145.000 de lire sterline pentru dezvăluirea informațiilor personale a peste 200 de persoane care apăreau într-o bază de date a poliției. Mai exact, în ianuarie 2017, un angajat al primăriei a trimis un e-mail la 44 de destinatari conținând o bază de date cu matricea unor presupuși membri ai bandelor.
Mai mult, în acel an Newham s-a confruntat cu o serie de incidente de violență gravă din partea bandelor. Deși nu s-a putut demonstra o legătură între dezvăluirea datelor și incidentele violente, astfel de incidente, mai ales când implică date atât de sensibile, pot aduce vătămări semnificative unei persoane.
Dacă dintr-o pura întâmplare și nevinovat fiind, numele tău ar apărea pe o astfel de listă, îți imaginezi reacția rudelor, vecinilor, a prietenilor?
Concluzie: Un singur angajat iresponsabil poate provoca un incident de securitate cu urmări grave pentru persoanele implicate dar și pentru angajator. Instruirea angajaților este unul dintre cei mai importanți pași în alinierea la GDPR.
05 Aprilie 2019 - O persoană fizică amendată cu sute de lire sterline pentru un e-mail
Un fost manager al unui spital englez a fost amendat pentru trimiterea datelor personale către propriul cont de e-mail. Faptele s-au săvârșit în anul 2017. Suspendat din funcție pentru motive ce nu țin de GDPR, acesta și-a trimis pe adresa personală de e-mail datele personale a 13 candidați pentru un postul de chirurg. Acesta a recunoscut accesul ilegal la datele cu caracter personal și a fost amendat cu 120 de lire sterline, plus 364 de lire sterline cheltuieli de judecată, la care se adaugă o suprataxă de 30 de lire pentru victimele incidentului.
Acesta este un caz foarte interesant, având în vedere că vorbim despre amendarea unei persoane fizice și nu a unei entități juridice.
Concluzie: Un banal e-mail te poate costa. Mai mult, GDPR-ul ți se aplică și ție (în calitate de persoană fizică), excepție făcând doar prelucrările intreprinse în cadrul unei activităţi exclusiv personale sau domestice.
10 Aprilie 2019 - Post de televiziune amendat cu 120.000 £ pentru filmarea ilegală într-o maternitate
Compania de televiziune True Visions (TVP) din Londra a montat camere video și microfoane în camerele de examinare ale unui spital din Cambridge pentru un documentar despre decesul prematur al copiilor.
Deși TVP avea permisiunea spitalului să se afle acolo, TVP nu a furnizat pacienților informații adecvate despre filmările care au avut loc în perioada iulie-noiembrie 2017 și nici nu a primit un consimțământ corespunzător în prealabil de la pacienții în cauză.
Concluzie: Transparența prelucrării datelor este unul din fundamentele GDPR-ului. Informarea persoanelor privind prelucrarea datelor este esențială, obligatorie și trebuie realizată într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu, astfel încât să-l înțeleagă și un copil.
12 Aprilie 2019 - Un club de parenting amendat cu 400.000 £ pentru partajarea în mod ilegal a datelor personale
Bounty, un club de parenting din Anglia, a colectat informații personale în scopul înregistrării membrilor prin intermediul site-ului său și al aplicației mobile, a cardurilor de revendicare a mărfurilor și direct de la proaspetele mămici, în spitale. Cu toate acestea, compania a funcționat și ca serviciu de brokeraj de date până la data de 30 aprilie 2018, furnizând date către terți pentru a le servi acestora în campanii de marketing electronic direct. Compania a împărțit în perioada iunie 2017 - aprilie 2018 aproximativ 34,4 milioane de înregistrări cu 39 de agenții de creditare și de marketing. Subliniem faptul că vorbim despre datele unor persoane extrem de vulnerabile: proaspete sau viitoare mămici și copiii acestora.
Concluzie: Cel mai eficient mod de a vă proteja datele este de a evita, pe cât posibil, sa le împărtășiți cu fiecare entitate care vi le solicită. Iar atunci când o faceți, trebuie întâi să încercați să aflați mai multe despre garanțiile privind protecția datelor pe care vi le oferă organizația respectivă.
16 Aprilie 2019 - companie de call center mendată cu 80.000 £ pentru marketing prin telefon
Un call center din Cheshire a efectuat, între 1 martie și 20 noiembrie 2017, aproape 52 000 de apeluri către persoane care NU și-au exprimat acordul pentru astfel de comunicări. Menționăm că în Marea Britanie există posibilitatea de a-ți declara dezacordul privind primirea de apeluri de marketing prin înregistrarea în “serviciul de preferință telefonică”.
Concluzie: Având în vedere la noi nu există liste publice cu persoane care și-au dat acordul pentru a fi contactați telefonic în scopuri comerciale, astfel de practici sunt predominant interzise. Singura posibilitate de a contacta persoanele în astfel de scopuri este ca ele sa-și fi dat în prealabil acordul pentru a fi contactate de către entitatea respectivă.
Notă personală:
Atragem atenția asupra faptului că toate aceste amenzi au fost date în baza legislației anterioare intrării în vigoare a GDPR-ului, cand maximul amenzii era de 500.000 £. Din acest motiv cuantumul amenzilor nu a fost impresionant în raport cu amenzile prevăzute de GDPR. Însă un lucru este cert: nu va mai dura mult timp și vor începe sa fie finalizate și anchete deschise după 25 mai 2018. Oare cat ar fi fost valoarea acestor amenzi dacă se aplicau sancțiunile prevăzute de GDPR?
26 Martie 2019 - O companie din Polonia a fost amenda cu 220.000 € pentru neîndeplinirea obligației privind informarea
Compania poloneza a fost sancționată pentru că nu a informat persoanele cu privire la prelucrarea datelor personale și, prin urmare, le-a privat de posibilitatea de a-și exercita drepturile în temeiul Regulamentului general privind protecția datelor (GDPR). Prin urmare, persoanele nu au avut posibilitatea de a se opune prelucrării datelor, de a solicita rectificarea sau ștergerea acestora.
“Operatorul era conștient de obligația de a furniza informații. Din acest motiv s-a decis amendarea entității respective cu această sumă", a subliniat dr. Edyta Bielak-Jomaa, Președintele Biroului pentru protecția datelor cu caracter personal
Tic, tac, tic, tac..
Ne apropiem oare de un moment To în care toți operatorii vor înțelege care sunt riscurile neaplicării principiilor GDPR în prelucrarea datelor? Sau, riscând să fiu prea optimist, care sunt beneficiile alinierii la GDPR? Noi suntem convinși ca “DA” însă lipsa unor campanii eficiente de informare atât a operatorilor cât și a persoanelor face ca acest moment să se amâne până la apariția amenzilor pe noua legislație.
5020 plângeri și sesizări din care 3064 după intrarea în vigoare a GDPR-ului (25 mai 2018) au fost înregistrate de ANSPDCP în 2018. Să vă mai spunem că suntem pe la coada Europei la acest capitol? Oare câte se vor metamorfoza în amenzi usturătoare?
P.S. Mai multe statistici găsești într-un alt articol: Statistici GDPR pentru România
