COMUNICAT DE PRESĂ
În luna mai 2016 Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal a desfășurat la operatori de date cu caracter personal mai multe investigații din oficiu sau pe baza plângerilor și sesizărilor primite, în urma cărora a aplicat sancțiuni contravenționale.
Dintre acestea, prezentăm în continuare situații în care s-au aplicat sancțiuni contravenționale cu amendă de minim 5000 lei.
1. B.R.D.
S-a constatat săvârşirea faptei de ”Prelucrarea nelegală a datelor cu caracter personal„ - contravenţie prevăzută de art. 32 din Legea nr. 677/2001, întrucât BRD Groupe Societe Generale SA a transmis date negative la Biroul de Credit S.A. pentru mai multe persoane fizice, fără să facă dovada informării prealabile a persoanei vizate în condiţiile stabilite de art. 8 alin. (2) şi art. 9 alin. (1) din Decizia A.N.S.P.D.C.P. nr. 105/2007 coroborate cu dispoziţiile art. 12 alin. (1) din Legea nr. 677/2001.
S-a aplicat sancțiunea amenzii în cuantum total de 23.000 lei pentru fapta săvârșită.
2. I.N.G.
S-a constatat săvârşirea faptei:
„Prelucrarea nelegală a datelor cu caracter personal”, prevăzută de art. 32 din Legea nr. 677/2001, întrucât S.C. ING Bank N.V. Amsterdam, Sucursala București, a transmis de mai multe ori date negative în aceeași lună către Biroul de Credit S.A. (sistem de evidență de tip ul birourilor de credit), pentru aceeași restanță (raportat la obligația de plată scadentă), respectiv transmiterea acestor date negative nu respectă termenul de 30 de zile de la data scadenței (obligația de plată scadentă), contrar dispozițiilor art. 5 alin. (1) din Decizia A.N.S.P.D.C.P. nr. 105/2007, coroborat cu prevederile art. 4 alin. (1) lit. a) și c) din Legea nr. 677/2001.
Pentru fapta constatată s-a aplicat sancțiunea amenzii, în cuantum de 20.000 lei.
3. OTP Bank Romania S.A.
S-a constatat săvârşirea mai multor fapte de ”Prelucrare nelegală a datelor cu caracter personal”, prevăzută de art. 32 din Legea nr. 677/2001, întrucât OTP Bank România S.A. a transmis date negative la Biroul de Credit S.A. pentru mai multe persoane fizice, fără să facă dovada informării prealabile a persoanelor vizate, cu încălcarea prevederilor art. 8 alin. (2) din Decizia A.N.S.P.D.C.P. nr. 105/2007, art. 12 alin. (1) din Legea nr. 677/2001 și art. 9 alin. (1) din Decizia A.N.S.P.D.C.P. nr. 105/2007, coroborat cu art. 12 din aceeași decizie.
Pentru faptele constatate, s-au aplicat sancţiuni în cuantum total de 5000 lei.
4. S.C. Farmacia Dona S.R.L.
S-a constatat săvârşirea următoarelor fapte:
-
”Omisiunea de a notifica şi notificarea cu rea-credinţă”, prevăzută de art. 31 din Legea nr. 677/2001, în forma omisiunii de a notifica, întrucât S.C. Farmacia Dona S.R.L., deși a început, încă din iulie 2015, să utilizeze sistemul de pontare electronică a angajaților pe baza datelor biometrice – amprente, nu a notificat la A.N.S.P.D.C.P. anterior începerii prelucrării, conform obligațiilor prevăzute de art. 22 alin. (1) din Legea nr. 677/2001.
-
„Prelucrarea nelegală a datelor cu caracter personal”, prevăzută de art. 32 din Legea nr. 677/2001, întrucât S.C. Farmacia Dona S.R.L., a prelucrat, începând cu luna iulie 2015, date biometrice considerate a fi excesive față de scopul prelucrării, respectiv pontarea timpului de lucru al angajaților, putând fi utilizate și alte mijloace (mai puțin intruzive) pentru atingerea acestui scop, încălcându-se astfel art. 4 alin. 1 lit. c) din Legea nr. 677/2001.
Pentru faptele constatate, s-au aplicat sancţiuni, în cuantum total de 9000 lei, astfel:
-
Amendă în cuantum de 1500 de lei, pentru săvârșirea contravenției prevăzute de art. 31 din Legea nr. 677/2001;
-
Amendă în cuantum de 7500 de lei, pentru săvârșirea contravenției prevăzute de art. 32 din Legea nr. 677/2001.
5. S.C. Urgent Cargus S.R.L.
S-a constatat săvârşirea următoarelor fapte:
-
Omisiunea de a notifica şi notificarea cu rea-credinţă”, prevăzută de art. 31 din Legea nr. 677/2001, sub forma omisiunii de a notifica, întrucât S.C. Urgent Cargus S.R.L. nu a făcut dovada notificării prelucrării datelor cu caracter personal în scopul ”monitorizarea/securitatea persoanelor, spațiilor și/sau bunurilor publice/private” prin sistemul de supraveghere video, deși avea această obligație, încălcându-se astfel dispozițiile art. 22 alin. (1) din Legea nr. 677/2001 și art. 15 alin. (1) din Decizia A.N.S.P.D.C.P. nr. 52/2012.
-
Nerespectarea condițiilor prevăzute la art. 4 alin. (5) din Legea nr. 506/2004, modificată și completată, întrucât S.C. Urgent Cargus S.R.L., la nivelul site-ului www.urgentcargus.ro pentru informațiile stocate în echipamentul terminal al utilizatorului, nu a îndeplinit în mod cumulativ condițiile prevăzute de art. 4 alin. (5), lit. a) și b) din Legea nr. 506/2004, respectiv obținerea acordului utilizatorului în cauză pentru cookie-urile existente la nivelul site-ului www.urgentcargus.ro și furnizarea informațiilor anterior exprimării acordului privind scopul general al procesării informațiilor stocate, durata de viață, ce informații sunt stocate și accesate precum și permiterea stocării și/sau accesului unor terți la informațiile stocate în echipamentul terminal al utilizatorului, contravenția prevăzută de art. 13 alin. (1) lit. i) din Legea nr. 506/2004.
-
”Neîndeplinirea obligațiilor privind confidențialitatea și aplicarea măsurilor de securitate”, prevăzute în art. 33 din Legea nr. 677/200, întrucât S.C. Urgent Cargus S.R.L., până la data întocmirii nu a adoptat suficiente măsuri de confidențialitate și securitate a datelor prelucrate și nu a aplicat măsuri tehnice și organizatorice adecvate pentru protejarea datelor cu caracater personal împotriva dezvăluirii sau accesului neautorizat, conform art. 20 din Legea nr. 677/2001.
Pentru faptele constatate, s-au aplicat sancţiuni în cuantum total de 10.000 lei, astfel:
-
Amendă în cuantum de 2000 de lei, pentru săvârșirea contravenției prevăzute de art. 31 din Legea nr. 677/2001;
-
Amendă în cuantum de 8000 de lei, pentru săvârșirea contravenției prevăzute la art. 13 alin. (1) lit. i) din Legea nr. 506/2004;
-
Avertisment, pentru săvârșirea contravenției prevăzute de art. 33 din Legea nr. 677/2001.
6. S.C. Bogas Online S.R.L.
S-a constatat săvârşirea următoarelor fapte:
-
”Nerespectarea prevederilor art. 12 referitoare la comunicările nesolicitate”, prevăzută de art. 13 alin. (1) lit. q) din Legea nr. 506/2004, întrucât S.C. Bogas Online S.R.L. a transmis mesaje comerciale prin intermediul poștei electronice de la adresa newsletter@bogas-news.eu fără a putea dovedi existența consimțământului expres prealabil al persoanelor vizate (aflate în baza de date a persoanelor abonate la newsletter), contravenind astfel art. 12 alin. (1) din Legea nr. 506/2004.
-
”Nerespectarea prevederilor art. 12 referitoare la comunicările nesolicitate”, prevăzută de art. 13 alin. (1) lit. q) din Legea nr. 506/2004, întrucât S.C. Bogas Online S.R.L. a trimis către adresa de mail a unei persoane vizate comunicări comerciale prin poștă electronică de la adresa de email newsletter@bogas-news.eu, fără a putea dovedi existența consimțământului expres prealabil al destinatarului, contravenind astfel art. 12 alin. (1) din Legea nr. 506/2004.
-
”Neîndeplinirea obligațiilor privind confidențialitatea și aplicarea măsurilor de securitate”, prevăzute în art. 33 din Legea nr. 677/200, sub forma neîndeplinirii obligațiilor privind aplicarea măsurilor de securitate a datelor cu caracter personal prevăzute de art. 20 din aceeași lege, întrucât S.C. Bogas Online S.R.L. nu a asigurat și nu a aplicat suficiente măsuri tehnice și organizatorice pentru a proteja datele cu caracater personal împotriva distrugerii accidentale, pierderii, distrugerii sau accesului neautorizat pentru datele colectate.
Pentru faptele constatate, s-au aplicat următoarele sancţiuni:
-
Amendă în cuantum de 6000 lei pentru contravenția prevăzută de art. 13 alin. (1) lit. q) din Legea nr. 506/2004;
-
Avertisment pentru contravenția prevăzută de art. 13 alin. (1) lit. q) din Legea nr. 506/2004;
-
Avertisment pentru fapta prevăzută de art. 33 din Legea nr. 677/2001 coroborat cu art. 20 din aceeași lege.
7. S.C. Arhexim S.R.L.
S-a constatat săvârşirea următoarelor fapte:
-
”Omisiunea de a notifica şi notificarea cu rea-credinţă”, prevăzută de art. 31 din Legea nr. 677/2001, în forma omisiunii de a notifica în condiţiile art. 22 alin. (1) din Legea nr. 677/2001, întrucât S.C. Arhexim S.R.L., nu a notificat, din 2003 și până la data întocmirii procesului-verbal, prelucrarea datelor cu caracter personal în scopul prestării serviciilor frunizate prin intermediul site-ului www.singur.ro.
-
„Prelucrarea nelegală a datelor cu caracter personal”, prevăzută de art. 32 din Legea nr. 677/2001, prin încălcarea art. 4 alin. (1) lit. a) și c) și art. 5 din Legea nr. 677/2001, întrucât S.C. Arhexim S.R.L. prelucrează date cu caracter personal ale minorilor, fără acordul reprezentanților legali ai acestora, în mod excesiv prin raportare la scopul site-ului www.singur.ro și fără a putea dovedi consimțământul expres al persoanelor ale căror date personale sunt furnizate la înregistrarea unui cont pe acest site; de asemenea a fost nesocotit dreptul de informare prevăzut la art. 12 alin. (1) din Legea nr. 677/2001, întrucât S.C. Arhexim S.R.L., până la data încheierii procesului-verbal, nu a asigurat informarea persoanelor ale căror date le-a colectat, pe site-ul www.singur.ro.
Pentru faptele constatate, s-au aplicat următoarele sancţiuni în cuantum total de 5000 lei, astfel:
-
Amendă în cuantum de 1000 lei pentru fapta prevăzută de art. 31 din Legea nr. 677/2001;
-
Amendă în cuantum de 4000 lei pentru fapta prevăzută de art. 32 din Legea nr. 677/2001.
8. S.C. Rol Online Network S.A.
S-a constatat săvârşirea faptei:
„Nerespectarea prevederilor art. 12 referitoare la comunicările nesolicitate”, prevăzută de art. 13 alin. (1) lit. q) din Legea nr. 506/2004, întrucât S.C. Rol Online Network S.A., a trimis către adresa de e-mail a unei persoane fizice patru comunicări comerciale prin poșta electronică, de la adresa editor-promo@nletters2.rol.ro, în perioada septembrie 2015 – martie 2016, fără a prezenta dovada consimțământului expres prealabil al destinatarului, contravenind astfel art. 12 alin. (1) din Legea nr. 506/2004.
S-a aplicat operatorului sancțiunea amenzii, în cuantum de 5000 lei, pentru fapta constatată.
9. ERB Retail Services IFN S.A.
S-a constatat săvârşirea următoarelor fapte:
-
„Prelucrarea nelegală a datelor cu caracter personal”, prevăzută de art. 32 din Legea nr. 677/2001, întrucât ERB Retail Services IFN S.A. a transmis date negative la Biroul de Credit S.A., date aferente unor carduri de credit acordate mai multor persoane fizice, fără să facă dovada realizării informării prealabile, cu 15 zile înainte a persoanei fizice, conform art. 12 alin. (1) din Legea nr. 677/2001 și art. 8 din Decizia nr. 105/2007.
-
„Prelucrarea nelegală a datelor cu caracter personal”, prevăzută de art. 32 din Legea nr. 677/2001, cu încălcarea art. 14 alin. (1) din aceeași lege, întrucât ERB Retail Services IFN S.A. nu a dat curs cererilor multiple ale unei persoane fizice, prin care aceasta și-a exercitat dreptul de intervenție, în sensul de a fi adoptate măsuri de ștergere a datelor negative transmise la Biroul de Credit S.A., fără informarea sa prealabilă.
Pentru faptele constatate, s-au aplicat sancţiuni în cuantum total de 6000 lei, astfel:
-
Amendă în cuantum total de 3000 lei pentru fapta prevăzută de art. 32 din Legea nr. 677/2001, raportat la art. 12 din Legea nr. 677/2001 și art. 8 Decizia A.N.S.P.D.C.P. 105/2007, coroborat cu art. 8 din O.G. nr. 2/2001.
-
Amendă în cuantum de 3000 lei pentru fapta prevăzută de art. 32 din Legea nr. 677/2001, raportat la art. 14 din aceeași lege, coroborat cu art. 8 din O.G. nr. 2/2001.