Scurte statistici privind sancțiunile aplicate pentru încălcarea regulilor de protecție a datelor cu caracter personal, la nivelul anului 2019. Raportul ANSPDCP și funcționalitatea efectului coercitiv al amenzilor

Scurte statistici privind sancțiunile aplicate pentru încălcarea regulilor de protecție a datelor cu caracter personal, la nivelul anului 2019. Raportul ANSPDCP și funcționalitatea efectului coercitiv al amenzilor

La data de 28.09.2020 Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a publicat raportul aferent anului 2019 care în cuprinsul său indică, printre altele, sancțiunile aplicate entităților care prelucrează date cu caracter personal rezultate din încălcarea normelor GDPR.

Cu titlu preliminar, amintim că în ceea ce privește cuantumul sancțiunilor aplicabile  acestea erau reglementate la nivel unional de către art. 83 alin. (4) și (5) din Regulamentul 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal şi privind libera circulație a acestor date şi de abrogare a Directivei 95/46/CE.

Raportat la activitatea autorității pentru anul 2019, se observă că principalele sesizări ale ANSPDCP au cuprins aspecte referitoare la încălcarea drepturilor și a principiilor prevăzute de Regulamentul (UE) 2016/679, incluzând lipsa sau încălcarea măsurilor suficiente de securitate a prelucrării de date, publicarea datelor cu caracter personal în mediul online și lipsa consimțământului pentru prelucrare, precum și prezența camerelor de supraveghere video la nivelul diferitelor entități.

Date fiind aceste incidente si nereguli de securitate, în anul 2019 au fost înaintate către Autoritatea Națională de Supraveghere un număr de 6193 de plângeri, sesizări și notificări, în urma cărora au fost deschide 912 investigații.

În urma acestor investigații au fost aplicate un total de 28 de amenzi, în cuantum total de 2.339.291,75 lei, 134 de avertismente, precum și 128 de măsuri corective.

În cazul investigațiilor realizate din oficiu, în temeiul Regulamentului (UE) 2016/679, cât și al Legii nr. 506/2004, s-au transmis un număr de 223 de notificări urmărind, în principal, următoarele aspecte: dezvăluirea neautorizată a datelor cu caracter personal, indisponibilitatea datelor cu caracter personal, accesul ilegal la datele personale ale clienților în sistemul bancar, pierderea trimiterilor poștale , precum și accesul neautorizat la sistemele de supraveghere video cu circuit închis (CCTV).

Cât privește sesizările primite, acestea au fost în număr de 152, și privesc posibilele neconformități cu dispozițiile Regulamentului (UE) 2016/679, cum ar fi: lipsa măsurilor de securitate a prelucrărilor de date, publicarea datelor cu caracter personal în mediul online și prezența camerelor de supraveghere video.

În urma sesizărilor primite și a încălcărilor de securitate, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a deschis, în anul 2019, un număr de 385 de investigații din oficiu, în urma cărora au fost aplicate 11 amenzi în cuantum total de 2.099.124,95 lei (445.000 Euro), 14 avertismente și 13 măsuri corective.

În cazul măsurilor corective dispuse în urma investigațiilor din oficiu, în principal se regăsesc următoarele:

  • revizuirea și actualizarea procedurilor de lucru referitoare la protecția datelor cu caracter personal;
  • revizuirea și actualizarea măsurilor tehnice si organizatorice implementate, inclusiv ca urmare a evaluării privind riscul pentru drepturile si libertățile persoanelor;
  • punerea în aplicare a unor măsuri tehnice și organizatorice adecvate pentru

asigurarea unui nivel de securitate corespunzător, în vederea menținerii securității și a prevenirii prelucrărilor care încalcă Regulamentul (UE) 2016/679, cum ar fi verificarea periodică, prin sondaj, a datelor înregistrate în aplicațiile informatice, pentru a identifica accesările neautorizate;

  • instruirea personalului cu privire la măsurile luate de operator, astfel ca utilizatorii să aibă acces numai la datele cu caracter personal necesare îndeplinirii atribuțiilor de serviciu;
  • realizarea informării persoanelor vizate potrivit art. 12 din RGPD, prin combinarea cu pictograme standardizate în spațiile sau locurile monitorizate video, poziționate la o distanță rezonabilă de locurile unde sunt amplasate echipamentele de supraveghere.

Mergând mai departe, raportat la activitatea de soluționare a plângerilor legate de prelucrarea datelor cu caracter personal, în anul 2019 ANSPDCP a înregistrat un număr de 5808 plângeri (față de 4822 plângeri înregistrate în 2018) care au vizat, în principal, următoarele aspecte:

  •  dezvăluirea datelor cu caracter personal fără consimțământul persoanelor vizate;
  •  încălcarea drepturilor și a principiilor prevăzute de Regulamentul (UE) 2016/679;
  •  transmiterea de date la Biroul de Credit;
  •  încălcarea măsurilor de securitate și confidențialitate a prelucrărilor de date personale, respectiv , neadoptarea de către operatori a măsurilor tehnice și organizatorice adecvate privind asigurarea securității prelucrărilor;
  •  nerespectarea condițiilor privind consimțământul în mediul online;
  •  primirea de mesaje comerciale nesolicitate;
  •  instalarea de sisteme de supraveghere video la nivelul diverselor entități.

În urma acestor plângeri considerate admisibile, au fost demarate 527 de investigații, rezultând sancțiuni contravenționale reprezentând 17 amenzi, dintre care: 14 amenzi în baza Regulamentului (UE) 2016/679  în cuantum de 210.166,8 lei (44.000 Euro), și 3 amenzi în baza Legii nr. 506/2004, în cuantum total de 30.000 lei, precum și 120 de avertismente.

De asemenea, au fost luate 115 măsuri corective, printre care se regăsesc:

  •  respectarea dreptului la informare a persoanelor vizate și efectuarea unei informări complete;
  •  comunicarea de răspunsuri complete și în termen legal, fără întârzieri nejustificate, la cererile persoanelor vizate privind exercitarea dreptului de acces;
  •  respectarea principiilor de prelucrare a datelor, în special cele privind legalitatea,
  •  transparența și proporționalitatea;
  •  respectarea condițiilor de validitate a consimțământului persoanelor vizate/tutorilor legali ai persoanelor vizate minori;
  •  anonimizarea datelor cu caracter personal ale minorilor dezvăluite pe Internet;
  •  luarea măsurilor necesare astfel încât prelucrarea (inclusiv dezvăluirea) datelor cu caracter personal ale persoanelor vizate să se realizeze cu respectarea condițiilor de legitimitate;
  •  implementarea de măsuri tehnice și organizatorice adecvate pentru asigurarea securității și confidențialității datelor, precum și respectarea acestor măsuri;
  •  instruirea persoanelor care prelucrează date sub autoritatea operatorului (angajații

operatorului);

  •  efectuarea de verificări periodice în sistemul propriu de evidență în vederea verificării corectitudinii datelor colectate, în scopul evitării prelucrării ilegale
  •  ștergerea datelor cu caracter personal după împlinirea termenului de stocare stabilit, prin raportare la scopul în care au fost colectate.

În altă ordine de idei, merită menționate și principalele domenii în care s-au realizat investigații referitoare la prelucrarea datelor cu caracter personal după cum urmează: financiar-bancar, domeniul sănătății, domeniul comunicațiilor electronice și domeniul serviciilor poștale. Totuși, aceste investigații nu s-au mărginit doar la aceste ramuri, ci s-au extins la majoritatea sectoarelor de activitate – de exemplu Autoritatea a realizat investigații inclusiv în activitatea de prelucrare a datelor desfășurată de asociațiile de proprietari.

Ca să luăm un exemplu: dacă discutăm de domeniul financiar-bancar, majoritatea sesizărilor și notificărilor au vizat încălcarea securității și a normelor de prelucrare a datelor cu caracter personal de către bănci, instituții financiare nebancare sau societăți de recuperări creanțe. În principal, notificările din acest domeniu au avut ca obiect: divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal prelucrate, lipsa implementării unor măsuri tehnice și organizatorice adecvate pentru asigurarea unui nivel de securitate corespunzător riscului prelucrării, incluzând capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența sistemelor și serviciilor de prelucrare, precum și neimplementarea unor măsuri pentru a asigura prelucrarea datelor cu caracter personal doar la cererea operatorului, limitând persoanelor fizice care acționează sub autoritatea operatorului sau persoanele împuternicite de operator. Cât privește sancțiunile aplicate, se constată că investigațiile întreprinse în domeniul antemenționat au dus la aplicarea atât a unor sancțiuni contravenționale, cât si a unor măsuri corective.

Apoi, în domeniul sănătății, au fost investigați 6 furnizori de servicii medicale ca urmare a notificărilor și a sesizărilor transmise Autorității naționale de supraveghere.

Majoritatea notificărilor privind încălcările de securitate au avut ca obiect divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal ale persoanelor vizate, iar în urma investigațiilor efectuate, au fost aplicate sancțiuni contravenționale constând în avertisment, dar și o serie de măsuri corective în temeiul art. 58 alin. (2) lit. D) din Regulamentul (UE) 2016/679, raportat la art. 14 alin.(11) si art. 16 alin. (5) din Legea nr. 102/2005, republicată , constând în:

  •  instruirea angajaților asupra riscurilor și consecințelor pe care le implică divulgarea datelor personale;
  •  ștergerea de pe rețelele de socializare a filmărilor în care sunt dezvăluite date cu caracter personal/imagini captate electronic;
  •  efectuarea unei evaluări privind riscul pentru drepturile si libertățile persoanelor, care să cuprindă inclusiv încadrarea într-un grad de risc, ținând cont de natura, domeniul de aplicare, contextul și scopurile prelucrării;
  •  revizuirea și actualizarea măsurilor tehnice și organizatorice implementate ca urmare a evaluării privind riscul pentru drepturile și libertățile persoanelor, inclusiv a procedurilor de lucru referitoare la protecția datelor cu caracter personal;
  • luarea unor măsuri suplimentare astfel încât, pe viitor, să fie evitate situații de prelucrare a datelor cu caracter personal fără un consimțământ explicit și informat al persoanelor vizate și fără informarea acestora în condițiile art. 13 din Regulamentul (UE) 2016/679.

Revenind la domenii, în cazul comunicațiilor electronice, au fost vizate activități precum: neimplementarea unor măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător a condus la accesarea și divulgarea neautorizată a unor date cu caracter personal, aspect care a fost sancționat de către ANSPDCP.

De asemenea, în cazul domeniului serviciilor poștale, ANSPDCP a înregistrat, fie prin formularele de notificare transmise de societăți care activează în acest domeniu, cât și de cele care au caracter de împuternicit al acestora pentru prelucrarea datelor cu caracter personal, notificări pentru pierderea trimiterilor poștale sau a anumitor documente, în timpul transportului. Din investigațiile efectuate a rezultat că nu au fost implementate măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării generat în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod. Acest aspect a condus la pierderea datelor cu caracter personal și la divulgarea sau accesarea acestora de către beneficiari care nu sunt autorizați în acest sens, aceste activități fiind contrare prevederilor Regulamentului (UE) 2016/679.

Interesant este de observat și care sunt datele cu caracter personal afectate în cazul persoanelor vizate ce au făcut obiectul controlului de către ANSPDCP. Astfel, datele cu caracter personal care au trecut prin incidente de securitate sunt în majoritatea cazurilor: nume, prenume, coduri de siguranță, adresă, date de pe cartea de identitate, număr cont IBAN, limite de credit (pentru documentele bancare), iar pentru alte tipuri de documente, se pot decela următoarele: nume, prenume, adresă, date contractuale, cod numeric personal, date ale angajatorilor, etc.

Fără a fi exhaustivi în analiza statistică a activității întreprinse de autoritate, constatăm că la nivelul anului 2019, spre deosebire de nivelul anului anterior, cuantumul amenzilor este mult mai ridicat[1]. Prin urmare se impune să reiterăm avertismentele emise o dată cu intrarea în vigoare a Regulamentului, prin care am încercat să subliniem importanța implementării măsurilor eficiente de protecție a datelor la nivelul tuturor entităților, indiferent de domeniul în care acestea activează și de natura datelor pe care le prelucrează. Așa cum era de așteptat, gravitatea faptelor ilitice determină o mai mare imputabilitate a acestora și în mod evident atrage aplicarea unor sancțiuni grave societăților și entităților controlate, constituind într-un final pierderi financiare destul de ridicate.

În loc de concluzie, subliniem doar că implementarea corectă a măsurilor organizatorice și tehnice la nivelul operatorilor de date de cu caracter personal poate conduce nu doar la evitarea aplicării unor sancțiuni contravenționale care sunt în măsură să afecteze activitatea economică a operatorului, ci și la o mai bună organizare a activității entității. Fără îndoială în perioada următoare controalele și investigațiile derulate de ANSDPCP vor continua cu atât mai mult cu cât apariția pandemiei COVID-19 a determinat cel mai probabil în cazul majorității entităților o implicare imediată și masivă în mediul online.

Avocat David Popa


[1] La nivelul anului 2018 au fost aplicate sancţiuni contravenţionale constând în avertismente şi amenzi în cuantum total de 631.500 lei.

Leave a reply

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *