GDPR - Regulamentul General de Protecţie a Datelor

[Marius]

Începând cu 25 mai 2018, intră în vigoare Regulamentul general privind protecția datelor (GDPR). Vreau să discutăm aici și să dezbatem prevederile acestui regulament european întrucât am observat că există puțină informație utilă și multă confuzie.

Ce obligații apar la intrarea în vigoare a regulamentului:

Primul pas constă în identificarea tuturor categoriilor de date personale prelucrate și în identificarea tuturor activităților de prelucrare.

Urmează stabilirea scopurilor în care are loc prelucrarea, respectiv pentru ce sunt prelucrate datele.

Al treilea pas este stabilirea temeiului legal în baza căruia are loc prelucrarea, pentru fiecare categorie de date în parte.

Exista 4 mari categorii de temeiuri în baza cărora operatorii pot prelucra date:

1. îndeplinirea unei obligații legale a societății

2. interesul legitim urmărit de către cel ce prelucrează datele sau de către un terț

3. executarea unui contract la care persoana vizată este parte

4. în baza consimțământului sau acordulului persoanei vizate.

Un alt aspect important se referă la categoriile speciale de date. Este interzisă prelucrarea de date care devăluie:

Originea rasială sau etnică

Opiniile politice

Confesiunea religioasă

Apartenența la sindicate

Viața sau orientarea sexuală

Aceste date pot fi procesate în mod excepțional doar în anumite condiții prevăzute de GDPR.

Aștept completările voastre.

[danpin]

A fost emisa vreo procedura de la intrarea in vigoare a GDPR?

Inteleg ca nu se mai mentioneaza in adresele intocmite ce contin date cu caracter personal faptul ca se prelucreaza in baza Legii 677/2001 fiindca aceasta a fost abrogata prin Legea 129/2018.

In afara de codul operatorului de date cu caracter personal se mai face vrero alta mentiune?

 

 

legea_129-2018.pdf

Edited October 20, 2018 by danpin

[Sache]

Confidențial! Date prelucrate în conformitate cu prevederile GDPR 2016/679.

Noi asa trecem pe adrese. Asa apar și cele de la IGPR ori ipj. 

[Sache]

Up-date: la data de 30.10.2018, am primit precizări cu privire la mențiunile făcute pe documentele în care sunt prelucrare date cu caracter personal. Se vor menționa datele de mai jos:

DATE NEDESTINATE PUBLICITĂȚII

CONFIDENȚIAL! Date cu caracter personal prelucrate în conformitate cu prevederile Regulamentului General privind Protecția Datelor - UE 2016/679

[Marius]

Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a început anul 2023 cu câteva amenzi.

Sancțiune pentru un SMS

Zilele trecute, pe 18 ianuarie 2023, ANSPDCP a anunțat că a amendat compania Dante International SA, deținătoarea emag.ro, cu 4.918,6 lei (echivalentul a 1000 EURO). Un client a reclamat că magazinul online i-a încălcat „dreptul la ștergerea datelor cu caracter personal”.

Mai exact, eMag i-a transmis reclamantului un SMS cu ofertele comerciale ale magazinului online, deși clientul solicitase anterior ștergerea contului și a datelor nerelevante.

Autoritatea Națională de Supraveghere consideră că firma „nu a adoptat toate măsurile necesare pentru a da curs solicitării persoanei vizate de a i se șterge datele personale, astfel încât a continuat să prelucreze datele acesteia prin transmiterea de mesaje comerciale nesolicitate”.

Amendă de 3.000 EUR pentru e-mail

Și un e-mail poate aduce o sancțiune GDPR pentru simplul motiv că, atunci când transmiți mailul către mai mulți destinatari, nu ascunzi în „BCC” adresele, ci le lași să le vadă toți destinatarii.

Așa a făcut compania Apă Canal Ilfov SA  și a fost amendată cu 14.757,60 lei, (echivalentul a 3000 de euro).

Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal a primit o notificare de încălcare a securității datelor care a fost transmisă de operatorul Apă Canal Ilfov SA.

ANSPDCP a constatat că, pentru a transmite un mesaj electronic către utilizatorii înregistrați pe portalul online al societății de apă și canalizare, operatorul a introdus eronat adresele de e-mail la secțiunea „To”, în loc de „BCC”.

Această încălcare a condus la divulgarea neautorizată sau accesul neautorizat la date cu caracter personal (adresa de e-mail) și „a fost afectat un număr semnificativ de persoane fizice”, potrivit ANSPDCP.

Autoritatea de protecție a datelor consideră că societatea Apă Canal Ilfov SA „nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării”.

Alte amenzi GDPR:

Amendă „la bloc” pentru lista de restanțieri

O asociație de proprietari din Iași a fosta amendată 2.462,5 lei (500 de euro) pentru că listele de plată a întreținerii conțineau numele și prenumele fiecărui locatar, inclusiv restanțierii. Unul dintre locatari a făcut plângere la ANSPDCP, reclamând și „afișarea unui înscris cu caracter defăimător în care erau menționate datele sale personale (numele și prenumele)”. „În cadrul investigației s-a constatat că Asociația de proprietari a dezvăluit datele cu caracter personal ale petentului (nume și prenume) prin afișarea la avizier a unei informări, fără consimțământul acestuia și fără existența unei alte situații în care consimțământul nu este necesar” - spune ANSPDCP, în ianuarie 2023.

Filmare în parcare la Kaufland

La sfârșitul anului 2022 și Kaufland România  a primit o amendă de 3.000 de euro în baza GDPR. Hipermarketului „i se trage” de la camerele de supraveghere din parcare. Un angajat al magazinului a intrat în camera de supraveghere și a filmat cu telefonul imaginile captate de camerele din parcare, care rulau pe monitoare. Pe urmă, a trimis filmarea, pe Whatsapp, la un ziar local, care le-a postat pe internet. Ca urmare, au fost dezvăluite imaginea și numărul de înmatriculare al mașinii, „fiind afectate de acest incident două persoane vizate”, conform ANSPDCP. Persoana din imagini a făcut reclamație la Autoritatea pentru date personale și aceasta a sancționat Kaufland.

ANSPDCP a reproșat hipermarketul că „nu a luat măsuri pentru a se asigura că orice persoană fizică care acționează sub autoritatea sa și care are acces la date cu caracter personal nu le prelucrează decât la cererea sa și nu a luat măsuri adecvate pentru a proteja în mod continuu datele”.

De asemenea, Kaufland „nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de confidențialitate și de securitate corespunzător riscului prelucrării generat în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod”.

Pe lângă amenda de 3.000 de euro, Kaufland a fost obligată să introducă și „instrucțiuni privind interzicerea utilizării echipamentului personal al angajaților (cum sunt: telefonul mobil, tabletele) pentru a filma / realiza fotografii / descărca / distribui înregistrări video prin utilizarea WhatsApp sau a rețelelor sociale”.