Home » Comunicat_Presa_25_05_2022
 Română | English | Francais

25.05.2022

25 Mai 2022 - Activitatea ANSPDCP

 

Pe data de 25 Mai 2022 se împlinesc patru ani de la aplicarea Regulamentului General pentru Protecția Datelor (Regulamentul UE nr. 679/ 2016 al Parlamentului European și al Consiliului privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE - RGPD), care a marcat un punct de cotitură în asigurarea unor reguli unitare în spațiul comunitar.

Cu acest prilej, subliniem faptul că, pe parcursul celor patru ani de aplicare a RGPD, operatorii din mediul public și privat au continuat să pună în practică regulile de prelucrare a datelor personale, în special cele cu privire la informarea persoanelor fizice, la respectarea efectivă a drepturilor persoanelor fizice (dreptul de acces, dreptul la rectificare, dreptul la ștergere - „dreptul de a fi uitat”, dreptul la restricționarea prelucrării, dreptul la portabilitatea datelor, dreptul la opoziție, dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, dreptul de a depune o plângere la o autoritate de supraveghere), la asigurarea confidențialității și securității prelucrărilor de date personale.

Autoritatea Națională de Supraveghere a continuat activitatea de monitorizare și control cu privire la legalitatea prelucrărilor de date personale.

Numărul semnificativ al plângerilor, sesizărilor și solicitărilor de puncte de vedere primite în cursul celor patru ani demonstrează o creștere a nivelului de conștientizare a publicului larg în privința drepturilor de care beneficiază, precum și a interesului operatorilor în respectarea regulilor europene.

În contextul celebrării a patru ani de la aplicarea RGPD, prezentăm o sinteză a celor mai semnificative aspecte din activitatea Autorității Naţionale de Supraveghere desfășurată pe parcursul primelor patru luni ale anului 2022.

Astfel, în primele patru luni ale anului 2022, Autoritatea Naţională de Supraveghere a primit 1345 de plângeri, sesizări și notificări privind incidente de securitate, pe baza cărora au fost deschise 129  investigații.

Ca urmare a investigațiilor efectuate în această perioadă, au fost aplicate 17 amenzi în cuantum total de 169.158 lei (echivalentul a 35.100 de euro).

De asemenea, în activitatea de control, au mai fost aplicate 34 de avertismente și au fost dispuse 23 de măsuri corective.

Cât privește activitatea de soluționare a plângerilor, Autoritatea Națională de Supraveghere a primit în primele patru luni ale anului curent 1235 plângeri, pe baza cărora au fost demarate 80 de investigații.

În aceeași perioadă, operatorii de date au transmis 48 de notificări privind încălcarea securității datelor și 62 sesizări cu privire la posibile neconformități cu dispozițiile RGPD. Ca urmare a acestora, au fost demarate 49 de investigații din oficiu.

Plângerile, sesizările și notificările privind incidente de securitate primite de Autoritatea Națională de Supraveghere în această perioadă au vizat, în principal, următoarele aspecte:

  • prelucrarea imaginilor prin intermediul sistemelor de supraveghere video,
  • încălcarea drepturilor persoanelor vizate,
  • încălcarea principiilor prevăzute de RGPD,
  • primirea de mesaje comerciale nesolicitate,
  • dezvăluirea datelor fără consimțământul persoanelor vizate,
  • încălcarea măsurilor de securitate și confidențialitate,
  • prelucrarea datelor fără temei legal.

Totodată, în primele patru luni ale anului 2022, a fost adresat instituției noastre un număr de 338 solicitări de emitere puncte de vedere privind diverse aspecte referitoare la modalitatea de interpretare și aplicare a RGPD și a celorlalte reglementări incidente.

Autoritatea Naţională de Supraveghere a emis în această perioadă avize asupra a 40 de proiecte de acte normative transmise de instituţii şi autorităţi publice, care au implicat analizarea unor aspecte complexe privind prelucrarea datelor cu caracter personal.

În aceeași perioadă, s-au analizat cereri de aprobare a BCRs transmise de 8 companii multinaționale. De asemenea, Autoritatea Națională de Supraveghere a acționat în calitate de co-revizor la cererile de aprobare a BCRs transmise de 2 companii în această perioadă.

Autoritatea Naţională de Supraveghere a desfășurat în primele patru luni ale anului 2022, o serie de acțiuni de informare destinate popularizării regulilor de protecție a datelor cu caracter personal.

Astfel, au fost organizate mai multe manifestări dedicate sărbătoririi Zilei Europene a Protecției Datelor, inclusiv o Conferință, fiind totodată lansat și „Ghidul privind prelucrările de date efectuate de asociațiile de proprietari”, ce cuprinde lămuriri referitoare la aplicarea adecvată a reglementărilor din domeniul protecției datelor cu caracter personal de către asociațiile de proprietari, postat pe site-ul Autorității Naționale de Supraveghere www.dataprotection.ro. De asemenea, s-a postat o broşură care conține elemente relevante din activitatea Autorității Naționale de Supraveghere în anul 2021, în limba română şi engleză.

În același timp, în anul 2022, Autoritatea Națională de Supraveghere a continuat informarea publicului larg prin publicarea a 21 de comunicate de presă, prin participarea la conferințe și evenimente on-line, prin prezența la reuniuni și întâlniri interministeriale și instituționale.

Referitor la activitatea de reprezentare în instanță, în primele patru luni ale anului 2022 au fost înregistrate un număr de 12 cereri noi de chemare în judecată.

Dintre acestea s-au primit 5 cereri de chemare în judecată care au ca obiect contestarea proceselor – verbale de constatare/sancționare încheiate de reprezentanții Autorității Naționale de Supraveghere.

În ceea ce privește contestarea sancțiunilor cu amendă dispuse de către Autoritatea Națională de Supraveghere după punerea în aplicare a RGPD, este de remarcat faptul că, din totalul de 110 amenzi aplicate operatorilor începând cu anul 2019 și până în luna mai 2022, în baza RGPD, au fost contestate în instanțe doar 25 de amenzi.

Dintre acestea, au fost până în prezent definitivate 12 dosare, iar în 9 dintre aceste cauze au fost pronunțate soluții definitive în favoarea Autorității Naționale de Supraveghere.

Astfel, instanțele de judecată au confirmat integral amenzile aplicate de instituția noastră următorilor operatori:

  • Banca Transilvania SA (100.000 euro)
  • Vreau Credit SRL (20.000 euro)
  • Proleasing Motors SRL (15.000 euro)
  • Hora Credit IFN SA (14.000 euro)
  • Dante Internațional (3.000 euro)  
  • Royal President SRL (2.500 euro)

Totodată, au fost soluționate în favoarea Autorității Naționale de Supraveghere, prin menținerea proceselor-verbale de constatare/sancționare în sensul reținerii caracterului contravențional al faptelor, cu diminuarea cuantumului amenzii sau înlocuirea acesteia cu avertisment, în ceea ce privește operatorii: SC Entirely Shipping & Trading SRL (diminuare), World Trade Center Bucharest SA și Legal Company & Tax Hub SRL.

Au fost admise plângerile contravenționale formulate de 3 operatori: ING Bank N.V. AMSTERDAM, CN Tarom și Tip Top Food Industry SRL.

În scopul asigurării unei depline informări a publicului larg și pentru a veni în sprijinul operatorilor preocupați de aplicarea corectă a regulilor de protecție a datelor, prezentăm, în continuare, spre exemplificare, unele extrase din cauze relevante în care instanțele de judecată au reținut legalitatea și temeinicia proceselor verbale întocmite de Autoritatea Națională de Supraveghere, confirmând abordarea instituției noastre în evaluarea respectivelor situații.

♦ Prin Hotărârea nr. 23/11.11.2021, Curtea de Apel București a confirmat, la fel ca și instanța de fond (TMB), sancțiunea amenzii în cuantum de 20.000 euro, dispusă față de operatorul Vreau Credit SRL, reținând, raportat la criticile privind legalitatea procesului verbal, ”că la aplicarea sancţiunii autoritatea a avut în vedere toate elementele indicate de art. 83 [din RGPD], precum şi alte elemente suplimentare, toate acestea fiind de natură a asigura posibilitatea verificărilor ulterioare de legalitate, din partea instanţei de judecată.”

În ceea ce privește cuantumul amenzii aplicate operatorului, pentru încălcarea art. 32 alin. (1), (2) şi (4) din Regulamentul 2016/679, Curtea de Apel București a constatat faptul că:

”Aspectele invocate de recurenta-reclamantă în sensul în care ar fi luat măsuri adecvate, în scopul implementării prevederilor din Regulament în mod corect au fost înlăturate de instanţa de fond, fiind contrazise de faptele constatate, care atestă divulgarea în mod neautorizat a datelor cu caracter personal pentru un număr extrem de mare de clienţi - 1177 persoane fizice/clienţi - prin transmiterea de fotocopii ale actelor de identitate ale acestora, către persoane neautorizate (angajaţi ai unui alt operator de date — Raiffeisen Bank) care la rândul lor au dezvăluit aceste date unui terţ (Biroul de Credit SA).

Numărul mare al persoanelor afectate atestă faptul că acest mod de lucru era, în realitate, o practică obişnuită a operatorului, care deşi scriptic deţinea proceduri de lucru, nu a asigurat implementarea efectivă a acestora.

Curtea de Apel București a mai reținut faptul că:

 «În cauză nu s-a făcut dovada acelor „măsuri tehnice şi organizatorice adecvate" în vederea asigurării unui nivel de securitate corespunzător şi nici dovada instruirii angajaţilor în scopul prevenirii tipului de încălcare constatat. În mod corect a observat intimata că apelanta avea obligaţia nu doar de a redacta proceduri scrise, ci inclusiv de a institui reguli obligatorii pentru toți salariații în ceea ce priveşte securitatea prelucrărilor şi confidenţialitatea datelor, în lipsa acestora, precum şi a dovezilor cu privire la instruirea personalului propriu în mod efectiv şi suficient simpla redactare a unor proceduri rămânând ineficientă şi, astfel cum s-a constatat, cu grave consecinţe asupra vieţii private si intimităţii clienţilor săi.”

În ceea ce privește sancțiunea referitoare la faptul că același operator nu a notificat Autorității Naționale de Supraveghere incidentul de securitate, Curtea de Apel București a reținut în mod corect faptul că:

”În condițiile în care apelanta nu a făcut dovada acestei notificări a autorităţii în termenul prevăzut de Regulament, în mod corect s-a reținut în sarcina sa încălcarea obligaţiilor legale şi necesitatea aplicării de sancțiuni.

Instanța va înlătura susținerile recurentei-reclamante [Vreau Credit SRL] cu privire la existenţa acordului clienţilor cu privire la prelucrarea datelor, ceea ce a  condus-o pe aceasta la concluzia că nu ar fi necesară notificarea.

Va constata Curtea că din Anexele prezentate de apelantă [Vreau Credit SRL] la dosarul de fond (...) nu rezultă un consimţământ neechivoc al clienților acesteia de transmitere a datelor cu caracter personal/prelucrarea acestora de către un terţ, cu atât mai puţin utilizarea acestora pentru interogări în baza de date a Biroului de credite efectuate de un terț faţă de raportul contractual.

În mod corect s-a observat din studiul înscrisurilor transmise de apelantă că clienţii acesteia nu au fost în mod corect informați cu privire la operațiunile de prelucrare şi nu le-a fost solicitat un consimţământ expres, neechivoc aceştia neavând posibilitatea de a acționa în vreun mod pentru a-şi manifesta voința liberă, specifică şi informată, aşa cum se prevede în art. 7 alin. (1) coroborat cu art. 4 pct. 11 din RGPD.”

♦ În ceea ce privește sancțiunea amenzii în cuantum total de 14.000 euro, prin Decizia nr. 25 din 25.11.2022, definitivă, Curtea de Apel București a confirmat măsura dispusă de Autoritatea Națională de Supraveghere operatorului Hora Credit IFN SA, respingând cererea acestuia de înlocuire a celor trei amenzi aplicate cu sancțiunea avertismentului.

Astfel, instanța de apel a reținut faptul că:

”După cum corect a observat apelanta ANSPDCP, criteriile de individualizare a sancţiunii sunt cele prevăzute la art. 83 alin. (2) din RGPD”, precum și faptul că «Urmează a fi avute în vedere inclusiv prevederile art. 83 alin. (4), potrivit cărora: „în cazul in care un operator sau o persoană împuternicită de operator încalcă în mod intenționat sau din neglijenţă, pentru aceeași operațiune de prelucrare sau pentru operaţiuni de prelucrare conexe, mai multe dispoziţii din prezentul regulament, cuantumul total al amenzii administrative nu poate depăsi suma prevăzută pentru cea mai gravă încălcare.(...)

Aşadar, în cazul încălcării mai multor dispoziţii din Regulament, cum este cazul de faţă, pentru a se putea aplica sancţiunea „avertismentului” este necesar ca gradul de pericol social extrem de redus să fie constatat în legătură cu fiecare dintre abaterile constatate, acesta neputând fi evaluat „în ansamblu”, în funcţie de conduita adoptată de persoana verificată ulterior comunicării procesului verbal. (...)

Analizând fiecare dintre abaterile constatate, Curtea va retine că prima dintre acestea a fost sancționată cu amendă în cuantum de 3000 Euro», și «va observa că fapta sancţionată, constând în comunicarea datelor cu caracter personal către terţi fără a se dovedi aplicarea unor mecanisme eficiente de verificare si validare a exactitătii datelor, respectiv de păstrare a confidențialității acestora reprezintă o faptă de un pericol social ridicat, fiind vorba despre încălcarea unora dintre principiile generale ale Regulamentului, reglementate de dispozițiile art. 5 alin. (1) lit. d) şi f) și art. 5 alin. (2) din RGPD.

Mai mult, astfel cum s-a arătat anterior, apelanta reclamantă [Hora Credit IFN SA] a avut la dispoziție un interval de timp rezonabil de la intrarea în vigoare a Regulamentului şi până la săvârşirea faptelor, pentru a-şi adapta conduita potrivit normelor europene, în scopul asigurării protecţiei garantate de Regulament, însă nu a procedat în acest sens, mecanismele de verificare implementate de aceasta - verificare prin apel telefonic a datelor - fiind lipsite de orice eficienţă din perspectiva confirmării realităţii acestor date şi a asigurării identităţii dintre solicitantul creditului şi posesorul datelor cu caracter personal comunicate.

Or, va observa Curtea că amenda aplicată apelantei reclamante, de 3000 Euro, este departe de limita maximă a amenzii prevăzută de regulament, astfel că prin raportare la gravitatea faptei constatate, aceasta se impunea a fi menţinută de instanța de fond.

De asemenea, (...) se va observa că este incident criteriul de la art. 83 alin. (2) lit. a), apelanta-reclamantă [Hora Credit IFN SA] fiind un profesionist specializat în acordarea de împrumuturi către consumatori, cu obligații în privinta garantării securităţii datelor cu caracter personal ale acestora, care a prelucrat în mod nelegal aceste date nu doar o singură dată, ci în mod repetat, inclusiv după ce a fost avertizată asupra nelegalității prelucrării.

De asemenea, prin raportare la art. 83 alin. (2) lit. c) din regulament, se constată că apelanta-reclamantă, deşi a fost avertizată cu privire la stoparea prelucrării încă din luna iulie a anului 2019, a dispus măsuri de protejare a consumatorului abia în luna septembrie a aceluiaşi an, interval în care în mod repetat au fost încălcate drepturi ale persoanei fizice (...).

Totodată, Curtea va avea în vedere în evaluarea sancțiunii dispoziţiile art. 83 alin.(2) lit. d), privind ”gradul de responsabilitate al operatorului sau al persoanei împuternicite de operator ţinându-se seama de măsurile tehnice și organizatorice implementate de aceştia în temeiul articolelor 25 şi 32”, constatându-se că acesta [operatorul Hora Credit IFN SA] nu a implementat măsuri tehnice şi organizatorice în temeiul textelor menționate, de natură a garanta securitatea datelor cu caracter personal.

Având in vedere aceste criterii de individualizare a sancțiunii, Curtea va observa că amenda în cuantum de 3000 Euro aplicată de autoritate pentru săvârşirea primei abateri este pe deplin justificată, nefiind necesară înlocuirea acesteia cu „avertismentul”.»

În ceea ce priveşte cea de-a doua abatere, Curtea a reținut că «pentru săvârşirea acesteia a fost aplicată amendă în cuantum de 10.000 Euro, prin raportare la dispozițiile art. 83 alin. ( 4) lit. a) din Regulament, potrivit cărora:

„(1)Pentru încălcările dispoziţiilor următoare, în conformitate cu alineatul (2), se aplică amenzi administrative de până la 10 000 000 EUR sau, în cazul unei intreprinderi, de până la 2 % din cifra de afaceri mondială totală anuală corespunzătoare exerciţiului financiar anterior, luându-se în calcul cea mai mare valoare”.

Autoritatea a avut in vedere încălcarea art. 25 şi 32 din Regulament, după cum s-a arătat anterior, constatându-se că apelanta-reclamantă nu s-a conformat acestor prevederi legale, în condițiile în care avea cunoştinţă de acestea şi nu a asigurat un nivel de securitate corespunzător de natură a împiedica prelucrarea nelegală a datelor, prin implementarea măsurilor tehnice şi organizatorice adecvate, dintre cele la care fac referire textele indicate din actul european.

Curtea va mai observa, totodată, că nu doar că reclamanta nu s-a conformat acestor obligaţii legale, dar atunci când a fost notificată de numita (...) nu a adoptat niciun fel de măsuri corective, ci a continuat prelucrarea nelegală a datelor cu caracter personal, fiind astfel aplicabile criteriile de individualizare a sancțiunii de la art. 83 lit. a), c) şi d), care conduc la concluzia că se impunea aplicarea unei amenzi, iar nu a sancțiunii avertismentului, fapta având un grad de pericol social ridicat, iar cuantumul amenzii aplicate se justifică pe deplin, în condițiile în care acesta este mult mai mic decât nivelul maxim prevăzut de lege.»

În ceea ce priveşte cea de-a treia sanctiune, aplicată pentru încălcarea obligaţiei de notificare a Autorității Naționale de Supraveghere a incidentului de securitate, ”Curtea va observa că, de asemenea, fiind vorba despre o nerespectare cu bună ştiinţă a unei obligații legale, urmată de continuarea prelucrării nelegale a datelor cu caracter personal, se justifică cuantumul amenzii aplicate de 1000 Euro.

Or, nerespectarea unei obligaţii legale de notificare, ceea ce a condus la continuarea comportamentului nelegal al apelantei reclamante, justifică cuantumul amenzii aplicate, de doar 1000 Euro, fapta sancţionată având un grad ridicat de pericol social, prin afectarea drepturilor persoanelor private  (...), având în vedere şi dispoziţiile art. 83 lit. h) din Regulamentul 2016/679.

După cum în mod corect a observat apelanta pârâtă, pericolul social constituie o trăsătură esenţială, comună tuturor faptelor prin care se aduce atingere ordinii de drept. Totodată, acesta indică măsura în care fapta contravenţională aduce atingere uneia dintre valorile sau relațiile sociale ocrotite printr-un act normativ (în speţă, dreptul la o viaţă privată protejată atât prin art. 26 din Constituția României cât şi prin Regulamentul (UE) 2016/679).

Având în vedere că apelanta reclamantă nu a adoptat suficiente măsuri de securitate a datelor personale, potrivit art. 25 şi 32 din RGPD, astfel încât să prevină dezvăluirea neautorizată şi accesibilă a datelor personale ale clientei sale (...), a persistat în conduita neconformă şi ulterior informării sale asupra încălcării şi nu şi-a îndeplinit obligaţia legală de a notifica autoritatea asupra riscului de securitate, Curtea va aprecia că faptele reţinute în sarcina acesteia prezintă un grad de pericol social ridicat, astfel că amenda finală aplicată se impune a fi menţinută.”

♦ Prin Hotărârea nr. 1148/17.11.2020, definitivă prin neapelare, Tribunalul Prahova a confirmat amenda acordată de Autoritatea Națională de Supraveghere SC PROLEASING MOTORS SRL, în cuantum de 15.000 de euro.

Astfel, sub aspectul faptei săvârșite, instanța a constatat faptul că:

«nu pot fi reținute argumentele referitoare la inexistența unei încălcări, de vreme ce aceasta [reclamanta SC PROLEASING MOTORS SRL] a recunoscut că a avut loc un incident de securitate pe care l-a notificat Autorității, sistemele sale au fost vulnerabile și posibil de accesat, a sesizat acest lucru și către Cert-RO, a apelat la un consultant IT și a luat ulterior incidentului o serie de măsuri tehnice și organizatorice, toate aceste aspecte contrazicând inexistența unei încălcări.

În același sens, instanța opinează că obligația reclamantei era cu atât mai necesară cu cât aceasta a arătat că face parte din rețeaua unei corporații internaționale și a implementat ”toate Regulile Corporative” ale grupului (...) al cărui dealer autorizat este.

Or, față de cele mai sus exprimate, instanța opinează că procesul verbal este temeinic și legal întocmit, neexistând vreun dubiu care să conducă la anularea sa.»

Totodată, referitor la cererea formulată de către reclamanta SC PROLEASING MOTORS SRL în privința înlocuirii amenzii cu avertisment, instanța a stabilit că:

”față de gravitatea faptei în aplicarea măsurii a fost respectat principiul proporționalității sancțiunii, cu atât mai mult cu cât din probele administrate a rezultat în mod vădit că reclamanta nu a depus toate diligențele pentru a lua și respecta măsurile tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscurilor (...).

De altfel, atunci când vine vorba despre natura sau gravitatea faptei legiuitorul a înțeles să îl individualizeze prin cuantumul amenzii, iar față de acest cuantum alte deziderate afară de lipsa de diligență a reclamantei sunt deja redundante.”

♦ Prin Hotărârea nr. 3161/2020 06.11.2020, rămasă definitivă prin nerecurare, Tribunalul Municipiului București a confirmat sancțiunea amenzii în cuantum de 2.500 de euro, dispusă operatorului Royal President SRL de către Autoritatea Națională de Supraveghere.

Astfel, în ceea ce privește săvârșirea faptei constând în nerespectarea prevederilor art. 15 și art. 12 alin. (3) și (4) din Regulamentul UE 679/2016, instanța a reținut următoarele:

Contrar susținerilor reclamantei [Royal President SRL], tribunalul constată că aceasta nu a făcut dovada comunicării în termenul prevăzut de lege (...) a răspunsului (...). Astfel, deși în cuprinsul cererii de chemare în judecată, cât și în adresele înaintate către pârâtă, reclamanta susține că a efectuat comunicarea în termen de o lună de la primirea solicitării, nu a fost depus niciun înscris în acest sens, din cuprinsul confirmării de primire atașată în copie la dosar (...) nerezultând data la care a avut loc comunicarea.”

De asemenea, în ceea ce privește săvârșirea faptei constând în nerespectarea art. 5 alin. (1) lit. f) raportat la art. 32 alin. (1) lit. b) din Regulamentul UE 679/2016, instanța a constatat în mod corect faptul că prin procesul verbal contestat s-a reținut că reclamanta nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării confidențialității datelor cu caracter personal ale persoanei vizate, precum și în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării pentru drepturile și libertățile persoanei vizate.

Ca atare, instanța a concluzionat faptul că:

”consecința neluării acestor măsuri a determinat compromiterea confidențialității datelor cu caracter personal (...), generând divulgarea neautorizată a datelor cu caracter personal (...) (nume, prenume, serie și număr carte de identitate, CNP, informații legate de cazarea în Hotel Royal President) către un destinatar eronat.”

În acest context, instanța a reținut următoarele:

”Deși reclamanta [Royal President SRL], susține că persoana care a solicitat comunicarea facturii fiscale în care erau înscrise datele cu caracter personal (...), a fost identificată prin telefon cu respectarea dispozițiilor RGPD, tribunalul constată că factura menționată a fost transmisă către o adresă de email ce nu se regăsește în cuprinsul fișei de cazare. Astfel, verificând conținutul fișei de cazare, tribunalul constată ca rubricile destinate numărului de telefon și adresei de email au rămas necompletate, adresa la care a fost transmisă factura (...) nefiind folosită anterior în corespondența dintre părți și nici obținută în mod direct de la [persoana vizată].

Față de cele reținute mai sus și având în vedere dispozițiile art. 12 alin. (6) RGPD, conform cărora, în cazul în care are îndoieli întemeiate cu privire la identitatea persoanei fizice care înaintează cererea menționată la articolele 15-21, operatorul poate solicita furnizarea de informații suplimentare necesare pentru a confirma identitatea persoanei vizate, tribunalul apreciază că nu este suficientă o confirmare telefonică a exactității unei adrese de e-mail, operatorul având obligația de a lua toate măsurile rezonabile pentru a verifica identitatea unei persoane vizate care solicită acces la date, în special în contextul serviciilor online și al identificărilor online.

În consecință, reține tribunalul că reclamanta nu a făcut dovada unei situații de fapt distincte de cea constatată prin procesul verbal de contravenție, respectiv nu a dovedit că a adoptat suficiente măsuri de securitate a datelor personale, potrivit art. 25 și 32 din RGPD, astfel încât să prevină dezvăluirea neautorizată a datelor personale ale [persoanei vizate].

De asemenea, în ceea ce privește documentul intitulat Procedura cu privire la protecția datelor cu caracter personal însoțit de tabelul cu persoanele ce au luat cunoștință și semnăturile acestora, se constată că din cuprinsul acestuia nu rezultă data la care a fost întocmit și nici data la care a fost comunicat angajaților reclamantei. În plus, chiar dacă documentul ar fi fost întocmit anterior incidentului din data de 28.08.2019, tribunalul apreciază că demersurile efectuate de reclamantă nu au fost suficiente și nici eficiente în a asigura un nivel de securitate corespunzător, consecința fiind afectarea dreptului [persoanei vizate] la protecția datelor personale.”

♦ Prin Decizia nr. 3 din 27.01.2022, Curtea de Apel București a confirmat în mod definitiv sancțiunea cu amendă în cuantum de 3000 euro aplicată de Autoritatea Națională de Supraveghere în anul 2020 operatorului Dante International, reținând faptul că:

În cauză, sancțiunea aplicată de autoritate corespunde pe deplin acestor cerinţe de proporţionalitate în condiţiile în care, astfel cum s-a reținut deja, fapta a fost săvârşită în condiţiile în care persoana care a formulat sesizarea solicitase în mod expres ca apelantul-reclamant [Dante International] să nu-i mai transmită mesaje cu caracter comercial.

Totodată, din cuprinsul cererii de chemare în judecată şi a cererii de apel nu reiese că apelantul-reclamant [Dante International] a înţeles faptul că a realizat o prelucrare nelegală, argumentele sale fiind centrate pe faptul că a acţionat pe deplin în conformitate cu dispozitiile legale, prin încercarea de a masca sub aparenţa unui mesaj tranzacţional a unui mesaj de marketing direct.

De asemenea, Curtea constată că apelantul-reclamant a mai fost sancţionat pentru încălcări ale prevederilor legale referitoare la prelucrarea datelor cu caracter personal (...).

Pe de altă parte, cuantumul amenzii stabilite de apelantul-pârât prin procesul verbal de contravenţie (echivalentul a 3000 euro) este orientat spre minimul special stabilit de lege şi are o valoare cu mult mai mică decât sancțiuni aplicate altor operatori economici pentru fapte similare.”

♦ Prin Hotărârea civilă nr. 9 din 13.04.2022, definitivă, Curtea de Apel Cluj a confirmat amenda în cuantum de 100.000 de euro aplicată de Autoritatea Națională de Supraveghere Băncii Transilvania, pentru încălcarea art. 32 alin. (1) și (2) coroborat cu art. 5 alin. (1) lit. f) din Regulamentul General privind Protecția Datelor.

De asemenea, aceeași soluție favorabilă Autorității Naționale de Supraveghere a fost pronunțată și la fond, prin Sentința civilă nr. 1309 din 06 Mai 2021 a Tribunalului Cluj, menținută în întregime de instanța de apel.

Pentru a hotărî astfel, «Tribunalul subliniază că Regulamentul a introdus un nivel mult mai ridicat de responsabilizare a operatorului de date în comparație cu Directiva 95/46/CE privind protectia datelor, iar articolele 24 și 32 din Regulament prevăd că operatorii „au în vedere stadiul actual al tehnologiei, costurile implementării și natura, domeniul de aplicare, contextul, scopurile prelucrării, precum și riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice pe care le prezintă prelucrarea"».

De asemenea, instanța a reținut în mod corect următoarele aspecte:

”În cauză, pentru a dovedi conduita sa diligentă în ce privește instruirea personalului în domeniul protecției datelor cu caracter personal reclamanta a depus o serie de reglementări interne precum și dovada organizării unor cursuri având această tematică, însă apare important de subliniat că nu s-a dovedit participarea efectivă a personalului la aceste cursuri și nici aplicarea efectivă a vreunei modalități de verificare a însușirii acestor cunoștințe și informații.

De altfel, aspectele invocate de reclamantă în sensul în care ar fi luat măsuri adecvate, în scopul implementării prevederilor din Regulament, sunt contrazise chiar de faptele constatate prin procesul verbal de contravenție și necontestate, care atestă divulgarea intenționată, în mod neautorizat, de către persoanele aflate sub autoritatea Băncii, a unui [set] însemnat de date cu caracter personal (unele din categoria datelor extrem de sensibile) către un număr foarte mare de persoane.

Dezinvoltura cu care angajații reclamantei au acționat, transmițând de la unul la altul datele cu caracter personal ale clientului băncii și ulterior, unor terțe persoane, prin intermediul aplicației Whatsapp, atestă nu doar necunoașterea procedurilor de lucru privind prelucrarea datelor cu caracter personal cât mai ales (și mai grav) inabilitatea acestora de a identifica și califica datele la care au acces ca fiind date cu caracter personal, ceea ce denotă o lipsă acută de instruire efectivă.

Așadar, deși reclamanta a depus la dosar, în copie, extrase din diverse proceduri interne aceasta nu a dovedit, pe de o parte, instruirea efectivă a celor trei angajați care au produs incidentul de securitate, iar pe de altă parte, că a aplicat mecanismele de control și evaluare elaborate pentru a se asigura că angajații săi și-au însușit menționatele reglementări interne.

Așa fiind, înscrisurile prezentate de reclamantă, în dovedirea implementării măsurilor tehnice și organizatorice adecvate, nu sunt de natură să probeze asigurarea unui nivel de securitate corespunzător privind capacitatea de a asigura confidențialitatea și testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.”

În ce privește consecințele încălcării, Tribunalul Cluj a reținut că acestea au fost corect calificate de către pârâtă ca fiind grave prin raportare la cantitatea datelor cu caracter personal diseminate de angajații Băncii, natura sensibilă a acestora, modalitatea de diseminare (prin internet, mailul cuprinzând datele clientului Băncii circulând intens în spațiul public, informații sintetice fiind preluate inclusiv de bloguri, canale TV și site-uri de știri), numărul extrem de mare al persoanelor care au dobândit acces la datele clientului Băncii pentru o perioadă de timp imposibil de determinat, urmare a transmiterii informațiilor prin mijloacele cele mai diverse, toate aceste aspecte fiind în măsură să confere o imagine corectă cu privire la amploarea și gravitatea consecințelor incidentului de securitate.

Reclamanta a recunoscut, de altfel, raportat la modalitatea de transmitere a datelor cu caracter personal, că măsurile întreprinse pentru limitarea consecințelor breșei de securitate nu au fost ”fezabile”, amploarea diseminării acestora în spațiul public fiind în mod evident scăpată de sub control.

În final, instanța de fond a concluzionat în mod corect faptul că:

«Pentru toate considerentele de fapt și de drept mai sus expuse tribunalul va concluziona în sensul că amenda în cuantum de 100.000 euro este legală, „eficace, proporțională și disuasivă" și a fost stabilită cu luarea în considerare a naturii, gravității și consecințelor încălcării, precum și tuturor celorlalte criterii prevăzute de Regulament, criterii care au fost analizate de pârâtă în mod coerent și obiectiv.»

 

Direcția juridică şi comunicare

ANSPDCP