Ne-am obișnuit să citim despre amenzi aplicate ca urmare a încălcării normelor GDPR. Iată câteva exemple deja cunoscute:
- în Franța, Google este obligat să plătească 50.000 de milioane de euro;
- în Germania, Knuddels.de, o companie ce activa în domeniul social media, a fost atacată, i s-au furat 800.000 de adrese de e-mail și a fost amendată cu 20.000 de euro;
- în Portugalia, la Centro Hospitalar Barreiro Montijo (CHBM) s-a demonstrat că personalul medical folosea conturile doctorilor pentru a se loga în sistem și spitalul a fost amendat cu 400.000 euro.
Cazul Bisnode
Bisnode, compania suedeză de marketing (care activează în Polonia), a fost amendată de autoritatea competentă din această țară (UODO – Personal Data Protection Office) cu aproximativ 220.000 de euro pentru nerespectarea Articolului 14.
Articolul 14 se referă la informațiile pe care operatorul trebuie să le furnizeze, în cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată, de exemplu, dacă au fost preluate din baze de date publice. Persoanele care fac obiectul prelucrării trebuie să fie informate, astfel încât să se poată opune prelucrării datelor de către un operator.
Bisnode a obținut o cantitate impresionantă de date personale din bazele de date publice, incluzând aici numele a milioane de antreprenori, adresele personale și cele de e-mail, date ce țineau de activitățile de business curente și nu numai. Acolo unde au avut adresele de e-mail (aproximativ 679.000), Bisnode a solicitat acordul persoanelor, prin serviciul de poștă electronică, dar pentru restul, aproximativ 5.7 milioane de persoane, compania a luat decizia conștientă de a nu anunța direct folosirea datelor. Ce au făcut în schimb? Au publicat pe site-ul lor o notificare, crezând că astfel și-au onorat obligațiile.
Bisnode considera că sunt scutiți de la aplicarea Articolului 14, invocând punctul 5, alineatul b, care afirmă că furnizarea informațiilor către persoanele vizate „se dovedește a fi imposibilă sau ar implica eforturi disproporționate”.
UODO n-a acceptat excepția menționată, argumentând că aproximativ 15% dintre cei notificați electronic (12.000 din 90.000 de persoane) s-au pronunțat împotriva folosirii datelor. Așa că, au mers mai departe cu amenda de 943.000 de zloți (aproximativ 220.000 euro).
Bisonde își va căuta dreptatea la Curtea de Justiție a Uniunii Europene (CJEU), precedentul fiind unul foarte important pentru poți operatorii și procesatorii de date cu caracter personal, mai ales pentru cei care lucrează în zona comercială.
Care sunt concluziile?
- Autoritățile (UODO, în cazul de față) par înclinate să adopte o conduită represivă, mai degrabă decât una educativă.
- Măsurile parțiale de conformare la cerințele Regulamentului sau excepțiile invocate nu te scutesc de plata eventualelor amenzi (cel mult, vor reduce cuantumul acestora).
Dacă vrei să fii în conformitate cu legea, vino la #Emiral și echipa noastră de specialiști te va ajuta să implementezi normele corecte de GDPR, astfel încât să eviți varii penalizări!