La un an de la intrarea in vigoare a Regulamentului General pentru Prelucrarea Datelor cu Caracter Personal – GDPR, Autoritatea Nationala de Protectie a Datelor (ANSPDCP) a aplicat prima amenda pentru nerespectarea acestuia, in valoare de 130.000 euro.
Regulamentul General pentru Protectia Datelor – GDPR a intrat in vigoare, in urma cu un an, pe 25 mai 2018, in toate statele Uniunii Europene. Astfel, toate companiile, organizatiile si autoritatile care prelucreaza date personale sunt nevoite sa respecte noile obligatii, inclusiv societatile din industria asigurarilor. Acest Regulament a stabilit un set unic de reguli destinate protejarii mai eficiente a vietii private a persoanelor fizice de pe teritoriul Uniunii Europene.
Pe piata locala, companiile de asigurari si brokeii au depus eforturi sustinute in vederea aplicarii noilor reguli GDPR, in prim plan fiind intotdeauna protectia consumatorilor.
Conform ANSPDCP, prima sanctiune a fost aplicata UNICREDIT Bank, ca urmare a neaplicarii masurilor tehnice si organizatorice adecvate, atat in momentul stabilirii mijloacelor de prelucrare, cat si in cel al prelucrarii in sine, destinate sa puna in aplicare in mod eficient principiile de protectie a datelor, precum reducerea la minimum a datelor, si sa integreze garantiile necesare in cadrul prelucrarii, pentru a indeplini cerintele RGPD si a proteja drepturile persoanelor vizate.
Operatorul a fost sanctionat contraventional cu amenda de 613.912 lei (130.000 euro).
Potrivit Autoritatii, investigatia a condus la dezvaluirea in documentele ce contin detaliile tranzactiilor si care sunt puse on-line la dispozitia clientilor beneficiari ai platilor, a datelor privind CNP-ul si adresa platitorului (pentru situatiile in care platitorul efectua tranzactia dintr-un cont deschis la o alta institutie de credit – tranzactii externe si depuneri la casierie), respectiv a datelor privind adresa platitorului (pentru situatiile in care platitorul efectua tranzactia dintr-un cont deschis la UNICREDIT BANK – tranzactii interne), pentru un numar de 337.042 persoane vizate, in perioada 25 mai 2018 – 10 decembrie 2018.
„Sanctiunea a fost aplicata ca urmare a unei sesizari a Autoritatii Nationale de Supraveghere din data de 22 noiembrie 2018, prin care se semnala faptul ca datele privind CNP-ul si adresa persoanelor care efectuau plati la UNICREDIT BANK., prin intermediul tranzactiilor on-line, erau dezvaluite catre beneficiarul tranzactiei, prin formularele de extras de cont/detalii”, arata documenmtul.
Potrivit art. 5 alin. 1 lit. c) din RGPD „Principii legate de prelucrarea datelor cu caracter personal”, operatorul avea obligatia de a prelucra date limitate la ceea ce este necesar in raport cu scopurile in care sunt prelucrate datele.
In acelasi timp, considerentul (78) din Regulament precizeaza: Protectia drepturilor si libertatilor persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal necesita adoptarea de masuri tehnice si organizatorice corespunzatoare pentru a se asigura indeplinirea cerintelor din prezentul regulament. Pentru a fi in masura sa demonstreze conformitatea cu prezentul regulament, operatorul ar trebui sa adopte politici interne si sa puna in aplicare masuri care sa respecte in special principiul protectiei datelor incepand cu momentul conceperii si cel al protectiei implicite a datelor.
Astfel de masuri ar putea consta, printre altele, in reducerea la minimum a prelucrarii datelor cu caracter personal, pseudonimizarea acestor date cat mai curand posibil, transparenta in ceea ce priveste functiile si prelucrarea datelor cu caracter personal, abilitarea persoanei vizate sa monitorizeze prelucrarea datelor, abilitarea operatorului sa creeze elemente de siguranta si sa le imbunatateasca. Atunci cand elaboreaza, proiecteaza, selecteaza si utilizeaza aplicatii, servicii si produse care se bazeaza pe prelucrarea datelor cu caracter personal sau care prelucreaza date cu caracter personal pentru a-si indeplini rolul, producatorii acestor produse si furnizorii acestor servicii si aplicatii ar trebui sa fie incurajati sa aiba in vedere dreptul la protectia datelor la momentul elaborarii si proiectarii unor astfel de produse, servicii si aplicatii si, tinand cont de stadiul actual al dezvoltarii, sa se asigure ca operatorii si persoanele imputernicite de operatori sunt in masura sa isi indeplineasca obligatiile referitoare la protectia datelor.
Principiul protectiei datelor incepand cu momentul conceperii si cel al protectiei implicite a datelor ar trebui sa fie luate in considerare si in contextul licitatiilor publice, potrivit ANSPDCP.
1 an de la aplicarea GDPR
Potrivit Autoritatii, incepand cu data de 25 mai 2018 si pana la data de 24 mai 2019:
- s-au inregistrat 9439 de responsabili cu protectia datelor;
- s-au inregistrat 398 de notificari de incalcari de securitate a datelor cu caracter personal;
- s-au primit 5260 plangeri si sesizari;
- s-au efectuat 485 investigatii din oficiu;
- s-au efectuat 496 investigatii la plangerile persoanelor vizate.
In urma investigatiilor efectuate, au fost dispuse 57 de masuri corective si au fost acordate 23 avertismente.
Astfel, dupa un an de aplicare a noilor reguli de protectie a datelor, numarul de plangeri si sesizari a crescut semnificativ (in 2017 s-au primit 3734 plangeri si sesizari), ceea ce indica faptul ca a crescut si gradul de constientizare a persoanelor fizice in privinta drepturilor de care beneficiaza, odata cu aplicarea Regulamentului.
Articol preluat de pe www.1asig.ro