Amendă uriașă în valoare de 2 milioane Euro, în mai puţin de 6 luni de la intrarea în vigoare a Regulamnetului EU 2016/679 privind protecţia datelor (GDPR).
În data de 14 Noiembrie 2018, o amendă în valoare totală de 9,1 milioane PLN (2,1 milioane Euro) a fost impusă Orange Polska S.A ca urmare a acuzaţiei că a utilizat sisteme automate de apelare în scopuri de marketing direct fără a avea consimțământul necesar al abonaților sau al utilizatorilor finali, aşa cum o arată comunicatul oficial al Președintele Autorităţii Comunicațiilor Electronice din Polonia (UKE).
Aşa cum indică comunicatul UKE, procedura de investigaţie a Orange a fost inițiată printr-o plângere a unui client Orange Polska SA care a primit o informație de marketing nesolicitată prin intermediul unui mesaj SMS de la Orange Polska SA. În cursul procedurii sa stabilit că au fost trimise 1 763 334 de mesaje SMS cu următorul conținut: "Noul pachet de internet de 500MB pentru 5 PLN timp de 30 de zile este acum disponibil. Pentru a-l activa, trimite un SMS spunând NET5 la numărul 260 (20gr) și navighează mai mult decât înainte!" Și 2 056 851 mesaje SMS cu următoarele conținut: "Excellent news, for FREE you will know where your Relative is NOW “ Trimite un SMS (0 PLN) spunând CP la 60504. 14 zile gratis / Apoi 6,15 incl. TVA pe săptămână / Orange.pl. Orange Polska SA nu a convins autorităţile şi nu a putut demonstra în mod convingător autorităţilor că avea consimțământul specific (opt-in) exprimat legal de către abonații săi și utilizatorii finali pentru a primi astfel de mesaje de marketing prin utilizarea sistemelor automate de apelare. Decizia nu este definitivă, Orange Polska S.A. o poate ataca în instanţă.
Sancțiuni și în România
Amintim că tot în anul în curs, 28.03.2018 şi în România, Orange România a fost sancţionată privind încălcarea legislaţiei privind protecţia datelor, aplicându-se de către ANSPDCP o amendă de 10.000 lei în baza legilsaţiei anterioare (Legea 677/2001 care avea un regim semnificativ mai bland faţă de GDPR, actualmente în vigoare), stabilindu-se de către ASPDCP că Orange România prelucra în mod excesiv datele personale ale clienților persoane fizice. Astfel, s-a stabilit că s-au realizat copii asupra unor acte de identitate fără a avea consimțământul persoanelor vizate, fapt care nu a fost necesar în îndeplinirea obligațiilor contractuale. Orange a contestat măsura, Tribunalul Bucureşti urmând a se pronunţa pe data de 14.11.2018
Conform comunicatului ANSPDCP “În luna octombrie 2014, reprezentanții ANSPDCP au efectuat o investigație la Orange România, în urma primirii unei plângeri prin care se semnala o posibilă încălcare a dispozițiilor articolului 33 din Legea 677/2001, sub aspectul neîndeplinirii obligațiilor privind asigurarea confidențialității și aplicării măsurilor de securitate adecvate. În fapt, un petent a precizat că s-a prezentat la un magazin de desfacere din municipiul Cluj Napoca cu un telefon personal achiziționat de la Orange România, pe care l-a lăsat în service, deoarece necesita reparații. În schimbul telefonului său, petentul a primit un telefon de la service, pe care să îl folosească pe perioada în care telefonul său se repara. Petentul a constatat faptul că, în memoria telefonului primit de la service, se aflau date cu caracter personal de la utilizatorii precedenți: logare automată pe Facebook, numere de telefon și mesaje personale, inclusiv balanța conturilor bancare. Urmare a acestei situații, petentul a sesizat telefonic operatorul Orange România, însă a precizat că sesizarea sa nu a fost luată în seama”.
Amenzi și pentru alți furnizori
De asemenea şi alţi furnizori ai serviciilor de telecomunicaţi şi telefonie au fost cercetaţi şi sancţionaţi în ultimii ani. Amintim aici Vodafone, RDS& RCS, etc. Tot în baza legii vechi, operatorul RCS-RDS a primit o amendă de 7.000 de lei pentru că a colectat și a stocat copii ale actelor de identitate. Totodată, ar fi prelucrat date cu caracter personal fără consimțământul persoanelor în cauză. Măsura a fost contestată şi Tribunalul Bucureşti a respins plângerea în data de 08.11.2018;
Prima amendă în baza GDPR a fost dată Spitalul public Barreiro din Portugalia, care a fost amendat cu 400.000 de euro de către Autoritatea portugheză pentru protecția datelor pentru nerespectarea Regulamentului UE privind protecția generală a datelor (GDPR) prin faptul că nu a separat drepturile de acces la datele pacientilor.
Spitalul din sectorul public a acordat accesul la datele clinice ale pacienților prin sistemul lor cel puțin catre nouă persoane care sunt profesioniști non-medicali (asistenți sociali) si nu aveau nevoie de accesul la datele respective. Autoritatea a constatat că datele pacienților din spitalul Barreiro nu au fost separate în mod corespunzător de datele arhivate ale unui alt spital, iar mecanismele de autentificare a accesului au fost considerate insuficiente.
Şi la nivel internaţional, protecţia datelor, în ultimile 6 luni a aduce veşti şi sancţiuni financiare cu cifre multe, atât miciloc companii cât şi jucătorilor mari. Inclusiv luna trecută, septembrie 2018, un judecător federal din San Jose (USA) a dat aprobarea finală pentru o tranzacție de despăgubiri de 80 milioane de dolari sumă pe care Yahoo Inc a acceptat să o achite cu titlu de despăgubire pentru omisiunea de a notifica 4 incidente de securitate majore care au afectat până la 3 miliarde de conturi Yahoo.
În aceeaşi perioadă, pe 25 septembrie 2018 Facebook a anunţat că o breşă majoră de securitate care a expus datele unui număr de 50 de miliane de utilizatori, inclusiv din europa, riscând o amendă de 1,63 bilioane USD. Mai multe autorităţi de supraveghere din UE (Irlanda, UK, etc) au declarat că iau înconsiderare demararea investigaţiilor împotriva Facebook pentru expunerea cetăţenilor proprii. Rprezentantul ICO, James Dipple-Johnstone a declarat că “Vom face investigații cu Facebook și omologii noștri de peste ocean pentru a stabili amploarea încălcării și dacă cetățenii britanici au fost afectați". Aşteptăm şi o reacţie a ANSPDCP din România, privind riscurile cărora au fost expuşi cetăţenii români. Între timpnu împiedică cetăţenii-deţinători a conturilor de fcabook, supuse atacurilor, să iniţieze acţiuni colectivă tip class action împotriva Facebook. Amintim de asemenea, că recent avusese loc amendarea Facebook de către Autoritatea de supraveghere britanică (ICO) cu o amendă de £500,000 ca urmare a scandalului în care era implicată Cambridge Analytica.
Şi GOOGLE este certcetată de către autorităţile de supraveghere ale Irlande şi Germaniei ( Hamburg) pentru incidentul de securitate Google+ care este suspectat de a fi compromis datele a circa 500,000 de utilizatori. Menţionăm faptul că şi autorităţe din SUA (New York şi Connecticut) au demarat anchete în acest sens;
Vă vom ţine la curent cu nouătăţile şi rezultatele cercetărilor şi investigaţiilor în domeniul protecţiei datelor cu caracter personal în România, UE şi peste tot în lume. Căci protecţia datelor nu are frontiere.
Notă: Material realizat de către Societatea Civilă de Avocaţi Dumitrache-Chironda, Ivu, Vochescu şi Asocaţii Membru al IAPP - International Association of Privacy Professionals
Fiți la curent cu ultimele noutăți. Urmăriți DCNews și pe Google News
de Val Vâlcu