Studiu de caz. Situatii in care Autoritatea de supraveghere a dispus masuri corective
Transmiterea unor serii de e-mailuri destinate unui client al societatii catre mai multi destinatari
Autoritatea de supraveghere a retinut ca s-a incalcat dispozitiile art. 32 alin. (1) lit. b) si d) raportat la art. 32 alin.(2) din RGPD, intrucat operatorul nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii pentru drepturile si libertatile persoanelor fizice, prin transmiterea unei serii de e-mailuri destinate unui client al societatii catre mai multi destinatari, aspect ce a dus la divulgarea neautorizata a acestor date catre persoane neautorizate si compromiterea confidentialitatii.
Notificare tardiva si lacunara a ANSPDCP despre incalcarea securitatii datelor cu caracter personal
Autoritatea de supraveghere a constatat ca operatorul a incalcat prevederile art. 33 alin. (1) din GDPR, notificand tardiv si lacunar ANSPDCP despre incalcarea securitatii datelor cu caracter personal. Operatorul a incalcat prevederile art. 33 alin. (1) din GDPR, intrucat nu a respectat termenul de 72 de ore de la data la care a luat la cunostinta de incidentul produs si notificarea nu a fost insotita de o explicatie motivata pentru intarziere, notificand tardiv ANSPDCP despre incalcarea securitatii datelor cu caracter personal.
Potrivit art. 33 din GDPR, in cazul in care are loc o incalcare a securitatii datelor cu caracter personal, operatorul notifica acest lucru autoritatii de supraveghere competente, fara intarzieri nejustificate si, daca este posibil, in termen de cel mult 72 de ore de la data la care a luat cunostinta de aceasta, cu exceptia cazului in care este putin probabil sa genereze un risc pentru drepturile si libertatile persoanelor fizice. In cazul in care notificarea catre autoritatea de supraveghere nu are loc in termen de 72 de ore, aceasta este insotita de o explicatie motivata pentru intarziere. Persoana imputernicita de operator instiinteaza operatorul fara intarzieri nejustificate dupa ce ia cunostinta de o incalcare a securitatii datelor cu caracter personal.
Notificarea trebuie sa contina cel putin urmatoarele informatii:
a) caracterul incalcarii securitatii datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile si numarul aproximativ al persoanelor vizate in cauza, precum si categoriile si numarul aproximativ al inregistrarilor de date cu caracter personal in cauza;
b) numele si datele de contact ale responsabilului cu protectia datelor sau un alt punct de contact de unde se pot obtine mai multe informatii;
c) consecintele probabile ale incalcarii securitatii datelor cu caracter personal;
d) masurile luate sau propuse spre a fi luate de operator pentru a remedia problema incalcarii securitatii datelor cu caracter personal, inclusiv, dupa caz, masurile pentru atenuarea eventualelor sale efecte negative.
Atunci cand si in masura in care nu este posibil sa se furnizeze informatiile in acelasi timp, acestea pot fi furnizate in mai multe etape, fara intarzieri nejustificate. Operatorul pastreaza documente referitoare la toate cazurile de incalcare a securitatii datelor cu caracter personal, care cuprind o descriere a situatiei de fapt in care a avut loc incalcarea securitatii datelor cu caracter personal, a efectelor acesteia si a masurilor de remediere intreprinse. Aceasta documentatie permite autoritatii de supraveghere sa verifice conformitatea operatorului.
Mesaje comerciale promotionale nesolicitate prin email, fara a dovedi existenta consimtamantului expres prealabil
Autoritatea de supraveghere a constatat ca operatorul a incalcat art. 13 alin. (1) lit. q) din Legea nr. 506/2004, coroborat cu art. 13 alin. (5) din Legea nr. 506/2004 si cu art. 7 din O.G. nr. 2/2001 privind regimul juridic al contraventiilor, intrucat a transmis unui petent mesaje comerciale promotionale nesolicitate prin email, fara a dovedi existenta consimtamantului expres prealabil al acestuia.
Autoritatea a recomandat societatii sa reanalizeze si sa nu mai transmita mesaje comerciale prin mijloace de comunicare electronica in cazurile in care nu poate face dovada obtinerii consimtamantului expres prealabil al clientilor pentru a primi asemenea comunicari, conform prevederilor art. 12 din Legea nr. 506/2004.
Accesare intr-o aplicatie specifica detinuta de operator, in scop neautorizat
Autoritatea de supraveghere a constatat ca operatorul a incalcat dispozitiile art. 13, alin. (1) lit. a) din Legea nr. 506/2004, intrucat nu a luat suficiente masuri tehnice si organizatorice adecvate in vederea garantarii ca datele cu caracter personal pot fi accesate numai de persoane autorizate, in scopurile autorizate de lege, ceea ce a condus la faptul ca datele cu caracter personal cuprinse in facturile detaliate a uor abonati sai, persoane fizice, au fost vizualizate de angajati cu drept de accesare intr-o aplicatie specifica detinuta de operator, in scop neautorizat, in mod individual si in scop personal, cu depasirea atributiilor din fisa postului.
Raspuns incomplet la cererea persoanei vizate
Autoritatea de supraveghere a constatat ca operatorul nu a transmis toate informatiile solicitate de petenta, potrivit art. 15 din RGPD.
Potrivit GDPR, persoana vizata are dreptul de a obtine din partea operatorului o confirmare ca se prelucreaza sau nu date cu caracter personal care o privesc si, in caz afirmativ, acces la datele respective si la urmatoarele informatii:
a) scopurile prelucrarii;
b) categoriile de date cu caracter personal vizate;
c) destinatarii sau categoriile de destinatari carora datele cu caracter personal le-au fost sau urmeaza sa le fie divulgate, in special destinatari din tari terte sau organizatii internationale;
d) acolo unde este posibil, perioada pentru care se preconizeaza ca vor fi stocate datele cu caracter personal sau, daca acest lucru nu este posibil, criteriile utilizate pentru a stabili aceasta perioada;
e) existenta dreptului de a solicita operatorului rectificarea sau stergerea datelor cu caracter personal ori restrictionarea prelucrarii datelor cu caracter personal referitoare la persoana vizata sau a dreptului de a se opune prelucrarii;
f) dreptul de a depune o plangere in fata unei autoritati de supraveghere;
g) in cazul in care datele cu caracter personal nu sunt colectate de la persoana vizata, orice informatii disponibile privind sursa acestora;
(h) existenta unui proces decizional automatizat incluzand crearea de profiluri, precum si, cel putin in cazurile respective, informatii pertinente privind logica utilizata si privind importanta si consecintele preconizate ale unei astfel de prelucrari pentru persoana vizata.
Efectuarea unei evaluari a riscurilor incidente prelucrarilor preconizate
Autoritatea de supraveghere a dispus unui operator efectuarea unei evaluari a riscurilor incidente prelucrarilor preconizate potrivit art. 35 alin. (3) din Legea nr. 363/2018, si punerea in aplicare de masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator, in vederea mentinerii securitatii si a prevenirii prelucrarilor care incalca Legea nr. 363/2018, cum ar fi criptarea dispozitivelor mobile cu spatiu de stocare.
Instruirea personalului cu priviri la masurile luate de operator
Autoritatea de supraveghere a dispus unui operator sa-si instruiasca personalul cu priviri la masurile luate astfel ca utilizatorii sa aiba acces numai la datele cu caracter personal pentru indeplinirea atributiilor de serviciu.
Sa intocmeasca si sa transmita autoritatii de supraveghere o procedura distincta, clara si completa, referitoare la modalitatea concreta de exercitare a drepturilor persoanelor vizate
Autoritatea de supraveghere a dispus unui operator sa intocmeasca si sa transmita autoritatii de supraveghere o procedura distincta, clara si completa, referitoare la modalitatea concreta de exercitare a drepturilor persoanelor vizate.
Au fost avut in vedere urmatoarele dispozitii legale, respectiv art. 58 alin. (2) lit. c) si d) din Regulamentul (UE) 679/2016, corelat cu art. 12 alin. (4) din Legea nr. 190/2018, art. 14 alin. (11), art. 15 alin. (3) si art. 16 alin. (5) din Legea nr. 102/2005, republicata, raportat la art. 12 alin. (1), (3) si (4) din Regulamentul (UE) 679/2016, pentru fapta prevazuta de art. 83 alin. (5) lit. b) din GDPR.
Transmiterea unui email nesolicitat unui petent
Autoritatea de supraveghere a dispus unui operator sa ia masurile necesare pentru prelucrarea datelor personale cu consimtamantul expres al persoanelor vizate in conformitate cu art. 6 si 7 din RGPD in cazul transmiterii de mesaje prin mijloace de comunicare electronica. Astfel, operatorul i-a transmis, un email nesolicitat unui petent, de pe office@aspla.ro, pe adresa sa personala de email, fara sa dovedeasca obtinerea in prealabil a consimtamantului expres si neechivoc al acestuia pentru prelucrarea datelor cu caracter personal (adresa de e-mail), incalcandu-se astfel prevederile art. 6 si 7 din RGPD;
Sistem de supraveghere video in incinta imobilului pe care il administreaza fara sa faca dovada realizarii informarii persoanelor vizate
Autoritatea de supraveghere a constatat ca operatorul a incalcat dispozitiile art. 58 alin. (2) lit. b) din Regulamentul (UE) 679/2016, corelat cu art. 12 alin. (1), (2) si (4) din Legea nr. 190/2018, art. 14 alin. (11), art. 15 alin. (1), (3) si art. 16 alin. (1) din Legea nr. 102/2005, republicata, intrucat Asociatia de Proprietari:
- a instalat un sistem de supraveghere video in incinta imobilului pe care il administreaza fara sa faca dovada realizarii informarii persoanelor vizate incalcandu-se prevederile art. 13 din GDPR;
- nu a facut dovada asigurarii confidentialitatii datelor cu caracter personal ale persoanelor ale caror date au fost afisate la avizier, astfel incat au fost dezvaluite numele si prenumele la avizierul asociatiei, fara consimtamantul acestor persoane si fara existenta unei alte situatii in care consimtamantul nu este necesar, incalcandu-se prevederile art. 5 alin. (1) lit. b) si c) si art. 6 alin. (1) lit. a) din RGPD;
- a solicitat proprietarilor date personale excesive si copii dupa diverse documente, in vederea completarii cartii de imobil, incalcandu-se prevederile art. 5 alin. (1) lit. a) si c) din RGPD.
Autoritatea de supraveghere a dispus unui operatorului sa ia masurile necesare astfel incat, pe viitor, datele cu caracter personal sa nu fie utilizate si dezvaluite cu incalcarea principiilor de prelucrare a datelor, respectandu-se principiul limitarii legate de scop si reducerea la minimum a datelor.
Autoritatea de supraveghere a dispus unui operatorului sa realizeze informarea persoanelor vizate prin completarea afiselor de avertizare cu informatiile prevazute de art. 13 GDPR.
Dezabonare e-mail pentru mesaje de tipul chestinarelor de satisfactie
Autoritatea de supraveghere a constatat incalcarea art. 21 din GDPR, deoarece operatorul nu a luat in considerare optiunea petentului de a-i fi dezactivata din baza de date adresa sa de e-mail pentru mesaje de tipul chestinarelor de satisfactie, optiune adusa la cunostinta operatorului printr-o solicitare, astfel incat la doua luni mai tarziu a primit un alt mesaj de acest tip.
Nerealizarea informarii persoanelor vizate
Autoritatea de supraveghere a retiut incidenta dispozitiilor art. 12 din GDPR in cazul supravegherii video, prin care persoanele vizate trebuie sa fie informate inclusiv prin combinarea cu pictograme standardizate in spatiile/locurile monitorizate video, pozitionate la o distanta rezonabila de locurile unde sunt amplasate echipamentele de supraveghere, pentru a oferi intr-un mod vizibil, inteligibil si clar, lizibil o imagine de ansamblu semnificativa asupra prelucrarii prin intermediul sistemului de supraveghere video.
Revizuirea si actualizarea masurilor tehnice si organizatorice implementate
Autoritatea de supraveghere a dispus unui operator revizuirea si actualizarea masurilor tehnice si organizatorice implementate, ca urmarea a evaluarii privind riscul pentru drepturile si libertatile persoanelor, prin stabilirea si implementarea unor masuri privind instruirea periodica a persoanelor care actioneaza sub autoritatea sa, referitor la obligatiile ce le revin conform prevederilor RGPD.
De asemenea, Autoritatea de supraveghere a dispus operatorului sa intocmeasca o procedura referitoare la gestionarea cererilor persoanelor vizate prin care acestea isi pot exercita drepturile prevazute de GDPR, cu aducerea acesteia la cunostinta a persoanelor vizate.
Lipsa dovezii obtinerii consimtamantului prealabil al persoanelor vizate
Autoritatea de supraveghere a retinut incalcarea de catre un operat a dispozitiilor art. 6 si 7 din GDPR, in temeiul art. 58 alin. (2) lit. b) din GDPR, corelat cu art. 12 alin. (1), (2) si (4) din Legea nr. 190/2018, art. 14 alin. (11) , art. 15 alin. (1), (3) si art. 16 alin. (1) din Legea nr. 102/2005, republicata, coroborat cu art. 7 din O.G. nr. 2/2001, intrucat nu a putut face dovada obtinerii consimtamantului prealabil al persoanelor vizate, inclusiv al petentului, pentru prelucrarea adreselor lor de e-mail, colectate de pe internet, in scopul transmiterii de mesaje comerciale.
Autoritatea de supraveghere a impus operatorului sa nu mai prelucreze datele cu caracter personal ale petentului, respectiv numele si prenumele sau si adresa sa de e-mail, fara respectarea art. 6 si 7 din GDPR si sa nu mai prelucreze datele personale fara consimtamantul persoanelor vizate in conformitate cu art. 6 si 7 din GDPR, inclusiv in cazul transmiterii de mesaje comerciale prin mijloace de comunicare electronica, in temeiul art. 58 alin. (2) lit. d) din RGPD, corelat cu art. 12 alin. (4) din Legea nr. 190/2018, art. 14 alin. (11) , art. 15 alin. (3) si art. 16 alin. (5) din Legea nr. 102/2005, republicata, raportat la art. 12 alin. (1), (3) si (4) din GDPR.
Autoritatea de supraveghere a recomandat operatorului utilizarea metodei dublu opt-in pentru colectarea adreselor de e-mail.
Date publicate pe website-ul universitatii
Autoritatea de supraveghere a constatat incalcarea dispozitiilor art. 5 alin. 1 lit. a) si art. 6 din GDPR, deoarece operatorul nu a informat persoanele vizate ale caror date le-a prelucrat prin postarea/publicarea/afisarea, divulgarea prin transmitere, diseminarea sau punerea la dispozitie in orice mod, cu privire la scopul prelucrarii, fiind afectate persoane vizate - angajati ai UMFCD ale caror date au fost postate pe site-ul universitatii si a prelucrat date cu caracter personal cu incalcarea art. 6 din RGPD referitor la legalitatea prelucrarii.
Autoritatea de supraveghere a retinut ca s-a incalcat dispozitiile art. 32 alin. (1) lit. b) si d) raportat la art. 32 alin.(2) din RGPD, intrucat operatorul nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii pentru drepturile si libertatile persoanelor fizice, prin transmiterea unei serii de e-mailuri destinate unui client al societatii catre mai multi destinatari, aspect ce a dus la divulgarea neautorizata a acestor date catre persoane neautorizate si compromiterea confidentialitatii.
Notificare tardiva si lacunara a ANSPDCP despre incalcarea securitatii datelor cu caracter personal
Autoritatea de supraveghere a constatat ca operatorul a incalcat prevederile art. 33 alin. (1) din GDPR, notificand tardiv si lacunar ANSPDCP despre incalcarea securitatii datelor cu caracter personal. Operatorul a incalcat prevederile art. 33 alin. (1) din GDPR, intrucat nu a respectat termenul de 72 de ore de la data la care a luat la cunostinta de incidentul produs si notificarea nu a fost insotita de o explicatie motivata pentru intarziere, notificand tardiv ANSPDCP despre incalcarea securitatii datelor cu caracter personal.
Potrivit art. 33 din GDPR, in cazul in care are loc o incalcare a securitatii datelor cu caracter personal, operatorul notifica acest lucru autoritatii de supraveghere competente, fara intarzieri nejustificate si, daca este posibil, in termen de cel mult 72 de ore de la data la care a luat cunostinta de aceasta, cu exceptia cazului in care este putin probabil sa genereze un risc pentru drepturile si libertatile persoanelor fizice. In cazul in care notificarea catre autoritatea de supraveghere nu are loc in termen de 72 de ore, aceasta este insotita de o explicatie motivata pentru intarziere. Persoana imputernicita de operator instiinteaza operatorul fara intarzieri nejustificate dupa ce ia cunostinta de o incalcare a securitatii datelor cu caracter personal.
Notificarea trebuie sa contina cel putin urmatoarele informatii:
a) caracterul incalcarii securitatii datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile si numarul aproximativ al persoanelor vizate in cauza, precum si categoriile si numarul aproximativ al inregistrarilor de date cu caracter personal in cauza;
b) numele si datele de contact ale responsabilului cu protectia datelor sau un alt punct de contact de unde se pot obtine mai multe informatii;
c) consecintele probabile ale incalcarii securitatii datelor cu caracter personal;
d) masurile luate sau propuse spre a fi luate de operator pentru a remedia problema incalcarii securitatii datelor cu caracter personal, inclusiv, dupa caz, masurile pentru atenuarea eventualelor sale efecte negative.
Atunci cand si in masura in care nu este posibil sa se furnizeze informatiile in acelasi timp, acestea pot fi furnizate in mai multe etape, fara intarzieri nejustificate. Operatorul pastreaza documente referitoare la toate cazurile de incalcare a securitatii datelor cu caracter personal, care cuprind o descriere a situatiei de fapt in care a avut loc incalcarea securitatii datelor cu caracter personal, a efectelor acesteia si a masurilor de remediere intreprinse. Aceasta documentatie permite autoritatii de supraveghere sa verifice conformitatea operatorului.
Mesaje comerciale promotionale nesolicitate prin email, fara a dovedi existenta consimtamantului expres prealabil
Autoritatea de supraveghere a constatat ca operatorul a incalcat art. 13 alin. (1) lit. q) din Legea nr. 506/2004, coroborat cu art. 13 alin. (5) din Legea nr. 506/2004 si cu art. 7 din O.G. nr. 2/2001 privind regimul juridic al contraventiilor, intrucat a transmis unui petent mesaje comerciale promotionale nesolicitate prin email, fara a dovedi existenta consimtamantului expres prealabil al acestuia.
Autoritatea a recomandat societatii sa reanalizeze si sa nu mai transmita mesaje comerciale prin mijloace de comunicare electronica in cazurile in care nu poate face dovada obtinerii consimtamantului expres prealabil al clientilor pentru a primi asemenea comunicari, conform prevederilor art. 12 din Legea nr. 506/2004.
Accesare intr-o aplicatie specifica detinuta de operator, in scop neautorizat
Autoritatea de supraveghere a constatat ca operatorul a incalcat dispozitiile art. 13, alin. (1) lit. a) din Legea nr. 506/2004, intrucat nu a luat suficiente masuri tehnice si organizatorice adecvate in vederea garantarii ca datele cu caracter personal pot fi accesate numai de persoane autorizate, in scopurile autorizate de lege, ceea ce a condus la faptul ca datele cu caracter personal cuprinse in facturile detaliate a uor abonati sai, persoane fizice, au fost vizualizate de angajati cu drept de accesare intr-o aplicatie specifica detinuta de operator, in scop neautorizat, in mod individual si in scop personal, cu depasirea atributiilor din fisa postului.
Raspuns incomplet la cererea persoanei vizate
Autoritatea de supraveghere a constatat ca operatorul nu a transmis toate informatiile solicitate de petenta, potrivit art. 15 din RGPD.
Potrivit GDPR, persoana vizata are dreptul de a obtine din partea operatorului o confirmare ca se prelucreaza sau nu date cu caracter personal care o privesc si, in caz afirmativ, acces la datele respective si la urmatoarele informatii:
a) scopurile prelucrarii;
b) categoriile de date cu caracter personal vizate;
c) destinatarii sau categoriile de destinatari carora datele cu caracter personal le-au fost sau urmeaza sa le fie divulgate, in special destinatari din tari terte sau organizatii internationale;
d) acolo unde este posibil, perioada pentru care se preconizeaza ca vor fi stocate datele cu caracter personal sau, daca acest lucru nu este posibil, criteriile utilizate pentru a stabili aceasta perioada;
e) existenta dreptului de a solicita operatorului rectificarea sau stergerea datelor cu caracter personal ori restrictionarea prelucrarii datelor cu caracter personal referitoare la persoana vizata sau a dreptului de a se opune prelucrarii;
f) dreptul de a depune o plangere in fata unei autoritati de supraveghere;
g) in cazul in care datele cu caracter personal nu sunt colectate de la persoana vizata, orice informatii disponibile privind sursa acestora;
(h) existenta unui proces decizional automatizat incluzand crearea de profiluri, precum si, cel putin in cazurile respective, informatii pertinente privind logica utilizata si privind importanta si consecintele preconizate ale unei astfel de prelucrari pentru persoana vizata.
Efectuarea unei evaluari a riscurilor incidente prelucrarilor preconizate
Autoritatea de supraveghere a dispus unui operator efectuarea unei evaluari a riscurilor incidente prelucrarilor preconizate potrivit art. 35 alin. (3) din Legea nr. 363/2018, si punerea in aplicare de masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator, in vederea mentinerii securitatii si a prevenirii prelucrarilor care incalca Legea nr. 363/2018, cum ar fi criptarea dispozitivelor mobile cu spatiu de stocare.
Instruirea personalului cu priviri la masurile luate de operator
Autoritatea de supraveghere a dispus unui operator sa-si instruiasca personalul cu priviri la masurile luate astfel ca utilizatorii sa aiba acces numai la datele cu caracter personal pentru indeplinirea atributiilor de serviciu.
Sa intocmeasca si sa transmita autoritatii de supraveghere o procedura distincta, clara si completa, referitoare la modalitatea concreta de exercitare a drepturilor persoanelor vizate
Autoritatea de supraveghere a dispus unui operator sa intocmeasca si sa transmita autoritatii de supraveghere o procedura distincta, clara si completa, referitoare la modalitatea concreta de exercitare a drepturilor persoanelor vizate.
Au fost avut in vedere urmatoarele dispozitii legale, respectiv art. 58 alin. (2) lit. c) si d) din Regulamentul (UE) 679/2016, corelat cu art. 12 alin. (4) din Legea nr. 190/2018, art. 14 alin. (11), art. 15 alin. (3) si art. 16 alin. (5) din Legea nr. 102/2005, republicata, raportat la art. 12 alin. (1), (3) si (4) din Regulamentul (UE) 679/2016, pentru fapta prevazuta de art. 83 alin. (5) lit. b) din GDPR.
Transmiterea unui email nesolicitat unui petent
Autoritatea de supraveghere a dispus unui operator sa ia masurile necesare pentru prelucrarea datelor personale cu consimtamantul expres al persoanelor vizate in conformitate cu art. 6 si 7 din RGPD in cazul transmiterii de mesaje prin mijloace de comunicare electronica. Astfel, operatorul i-a transmis, un email nesolicitat unui petent, de pe office@aspla.ro, pe adresa sa personala de email, fara sa dovedeasca obtinerea in prealabil a consimtamantului expres si neechivoc al acestuia pentru prelucrarea datelor cu caracter personal (adresa de e-mail), incalcandu-se astfel prevederile art. 6 si 7 din RGPD;
Sistem de supraveghere video in incinta imobilului pe care il administreaza fara sa faca dovada realizarii informarii persoanelor vizate
Autoritatea de supraveghere a constatat ca operatorul a incalcat dispozitiile art. 58 alin. (2) lit. b) din Regulamentul (UE) 679/2016, corelat cu art. 12 alin. (1), (2) si (4) din Legea nr. 190/2018, art. 14 alin. (11), art. 15 alin. (1), (3) si art. 16 alin. (1) din Legea nr. 102/2005, republicata, intrucat Asociatia de Proprietari:
- a instalat un sistem de supraveghere video in incinta imobilului pe care il administreaza fara sa faca dovada realizarii informarii persoanelor vizate incalcandu-se prevederile art. 13 din GDPR;
- nu a facut dovada asigurarii confidentialitatii datelor cu caracter personal ale persoanelor ale caror date au fost afisate la avizier, astfel incat au fost dezvaluite numele si prenumele la avizierul asociatiei, fara consimtamantul acestor persoane si fara existenta unei alte situatii in care consimtamantul nu este necesar, incalcandu-se prevederile art. 5 alin. (1) lit. b) si c) si art. 6 alin. (1) lit. a) din RGPD;
- a solicitat proprietarilor date personale excesive si copii dupa diverse documente, in vederea completarii cartii de imobil, incalcandu-se prevederile art. 5 alin. (1) lit. a) si c) din RGPD.
Autoritatea de supraveghere a dispus unui operatorului sa ia masurile necesare astfel incat, pe viitor, datele cu caracter personal sa nu fie utilizate si dezvaluite cu incalcarea principiilor de prelucrare a datelor, respectandu-se principiul limitarii legate de scop si reducerea la minimum a datelor.
Autoritatea de supraveghere a dispus unui operatorului sa realizeze informarea persoanelor vizate prin completarea afiselor de avertizare cu informatiile prevazute de art. 13 GDPR.
Dezabonare e-mail pentru mesaje de tipul chestinarelor de satisfactie
Autoritatea de supraveghere a constatat incalcarea art. 21 din GDPR, deoarece operatorul nu a luat in considerare optiunea petentului de a-i fi dezactivata din baza de date adresa sa de e-mail pentru mesaje de tipul chestinarelor de satisfactie, optiune adusa la cunostinta operatorului printr-o solicitare, astfel incat la doua luni mai tarziu a primit un alt mesaj de acest tip.
Nerealizarea informarii persoanelor vizate
Autoritatea de supraveghere a retiut incidenta dispozitiilor art. 12 din GDPR in cazul supravegherii video, prin care persoanele vizate trebuie sa fie informate inclusiv prin combinarea cu pictograme standardizate in spatiile/locurile monitorizate video, pozitionate la o distanta rezonabila de locurile unde sunt amplasate echipamentele de supraveghere, pentru a oferi intr-un mod vizibil, inteligibil si clar, lizibil o imagine de ansamblu semnificativa asupra prelucrarii prin intermediul sistemului de supraveghere video.
Revizuirea si actualizarea masurilor tehnice si organizatorice implementate
Autoritatea de supraveghere a dispus unui operator revizuirea si actualizarea masurilor tehnice si organizatorice implementate, ca urmarea a evaluarii privind riscul pentru drepturile si libertatile persoanelor, prin stabilirea si implementarea unor masuri privind instruirea periodica a persoanelor care actioneaza sub autoritatea sa, referitor la obligatiile ce le revin conform prevederilor RGPD.
De asemenea, Autoritatea de supraveghere a dispus operatorului sa intocmeasca o procedura referitoare la gestionarea cererilor persoanelor vizate prin care acestea isi pot exercita drepturile prevazute de GDPR, cu aducerea acesteia la cunostinta a persoanelor vizate.
Lipsa dovezii obtinerii consimtamantului prealabil al persoanelor vizate
Autoritatea de supraveghere a retinut incalcarea de catre un operat a dispozitiilor art. 6 si 7 din GDPR, in temeiul art. 58 alin. (2) lit. b) din GDPR, corelat cu art. 12 alin. (1), (2) si (4) din Legea nr. 190/2018, art. 14 alin. (11) , art. 15 alin. (1), (3) si art. 16 alin. (1) din Legea nr. 102/2005, republicata, coroborat cu art. 7 din O.G. nr. 2/2001, intrucat nu a putut face dovada obtinerii consimtamantului prealabil al persoanelor vizate, inclusiv al petentului, pentru prelucrarea adreselor lor de e-mail, colectate de pe internet, in scopul transmiterii de mesaje comerciale.
Autoritatea de supraveghere a impus operatorului sa nu mai prelucreze datele cu caracter personal ale petentului, respectiv numele si prenumele sau si adresa sa de e-mail, fara respectarea art. 6 si 7 din GDPR si sa nu mai prelucreze datele personale fara consimtamantul persoanelor vizate in conformitate cu art. 6 si 7 din GDPR, inclusiv in cazul transmiterii de mesaje comerciale prin mijloace de comunicare electronica, in temeiul art. 58 alin. (2) lit. d) din RGPD, corelat cu art. 12 alin. (4) din Legea nr. 190/2018, art. 14 alin. (11) , art. 15 alin. (3) si art. 16 alin. (5) din Legea nr. 102/2005, republicata, raportat la art. 12 alin. (1), (3) si (4) din GDPR.
Autoritatea de supraveghere a recomandat operatorului utilizarea metodei dublu opt-in pentru colectarea adreselor de e-mail.
Date publicate pe website-ul universitatii
Autoritatea de supraveghere a constatat incalcarea dispozitiilor art. 5 alin. 1 lit. a) si art. 6 din GDPR, deoarece operatorul nu a informat persoanele vizate ale caror date le-a prelucrat prin postarea/publicarea/afisarea, divulgarea prin transmitere, diseminarea sau punerea la dispozitie in orice mod, cu privire la scopul prelucrarii, fiind afectate persoane vizate - angajati ai UMFCD ale caror date au fost postate pe site-ul universitatii si a prelucrat date cu caracter personal cu incalcarea art. 6 din RGPD referitor la legalitatea prelucrarii.
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!
Articole similare din categoria Cazuri practice
15Feb2021
Studiu de caz privind afisarea online a datelor personale
de Colectivul de Specialisti Rentrop&Straton
15 Feb 2021
10Feb2021
Studiu de caz privind colectarea actelor de identitate
de Colectivul de Specialisti Rentrop&Straton
10 Feb 2021
09Feb2021
Studiu de caz privind instalarea camerelor de supraveghere
de Colectivul de Specialisti Rentrop&Straton
09 Feb 2021
08Feb2021
Studiu de caz privind prelucarea datelor fara a putea face dovada consimtamantului
de Colectivul de Specialisti Rentrop&Straton
08 Feb 2021
05Feb2021
Studiu de caz privind netransmiterea raspunsului din partea operatorului
de Colectivul de Specialisti Rentrop&Straton
05 Feb 2021
04Feb2021
Studiu de caz privind rezolvarea solicitarilor venite de la petenti
de Colectivul de Specialisti Rentrop&Straton
04 Feb 2021
Un produs marca