Autoritatea de Supraveghere anunță aplicarea de amenzi dupa investigatiile celor 40 de site-uri. Aflați ce sancțiuni se vor aplica și pot face acum proprietarii siteurilor vizate

Autoritatea de Supraveghere din Germania a demarat o amplă investigație asupra a 40 de siteuri web apartinând celor mai mari companii, iar în urma descoperirilor șocante anunță posibiliatea de aplicarea de amenzi pentru nerespectarea GDPR.

La începutul lunii februarie, Autoritatea de supraveghere pentru protecția datelor germană a participat la evenimentul ”Ziua globală a Siguranței pe Internet” (SID) 2019 și a investigat 40 de site-uri web ale unor companii mari din Germania.

Safer Internet Day sau Ziua Siguranței pe Internet (în România) este Ziua globală a Siguranței pe Internet și este sărbătorită în fiecare an în luna Februarie, în peste 60 de țări din întreaga lume. Ziua Siguranței pe Internet este coordonată și promovată de rețeaua europeană INSAFE – European Safer Internet Network în cadrul programului Safer Internet Plus al Comisiei Europene. În fiecare an, cu ocazia Safer Internet Day, INSAFE promovează învățarea utilizării într-un mod responsabil a noilor tehnologii online și mobile și face referire în special la copii și la comportamentul acestora în mediul online.

Sub tema „Împreună pentru un internet mai bun”, Comisia Europeană a cerut acțiuni la nivel mondial pentru a spori securitatea internetului ca parte a SID-ului anual.

Obiectivul auditului a fost orientat spre analiza mecanismelor de securitate cibernetică și practicile de urmărire a utilizatorilor, constatând că, în opinia autorității, niciuna dintre cele 40 de companii nu a oferit pe site-urile lor practici care respectă GDPR. Drept urmare, Autoritatea de supraveghere a anunțat că are în vedere aplicarea de amenzi pentru nerespectarea GDPR.

Autoritatea de supraveghere a declarat în mod explicit că asigurarea respectării de către GDPR a acestei chestiuni ar trebui să devină o prioritate în cadrul tuturor companiilor – nu numai în sectorul IT, indiferent de domeniul lor de activitate sau industrie.

Companiile investigate de Autoritatea de supraveghere oferă bunuri și servicii în domeniile, printre altele, comerțul cu amănuntul online, articole sportive, companii bancare și de asigurări, mass-media, producători automobile și electronice, precum și dezvoltatori imobiliari.

(P) Eviați să vă numărați în rândul celor care vor fi sancționați! Comandați astăzi un audit de conformitate GDPR pentru siteul organizației dvs.


Și Autoritatea de supraveghere franceza a aplicat o amendă către Google pentru încălcarea GDPR

După cum sa raportat pe larg în spațiul public, CNIL a amendat compania Google cu 50 de milioane de euro în ianuarie 2019, în special pentru că nu a obținut consimțământul valabil, conform GDPR, pentru marketingul orientat către utilizatorii Google. Inițial, această sumă ridicată a agitat multe companii, dar a rămas întrebarea dacă Google trebuia să fie calificat drept un caz special și dacă societățile care nu se ocupau în principal de date personale cum ar fi Facebook sau Google ar trebui să se teamă într-adevăr de acțiuni similare Autoritățile.

Chiar dacă inițial Autoritatea de supraveghere germană a aplicat amenzi formale și au fost rezervate să impună amenzi mari, acest lucru s-ar putea schimba, mai ales după de auditurile specifice efectuate.

Acțiuni pentru conformarea la prevederile impuse de GDPR

În urma auditului, Autoritatea de supraveghere a constatat că 30 dintre cele 40 de companii auditate nu au informat în mod suficient persoanele vizate pe site-urile lor și solicită ca toate cookie-urile / trackerii să fie identificate și divulgate utilizatorilor site-ului, precum și ca persoanele vizate să fie informate cu privire la scopurile specifice pentru care datele personale este procesată.

În timp ce autoritățile germane de protecție a datelor au anunțat anterior că, în general, este necesar consimțământul pentru prelucrarea datelor cu caracter personal în legătură cu cookie-urile și urmărirea funcționalităților, autoritatea acum lasă această interpretare. Aceasta a observat că majoritatea celor 40 de site-uri web au folosit bannere informaționale de anunțare a utilizării de fișiere de tip cookie, însă niciunul dintre aceste bannere nu a avut ca rezultat obținerea în mod eficient a consimțământului pentru prelucrarea datelor personale colectate de la vizitatorii/utilizatori site-urilor.

Companiile care utilizează bannere informale despre utilizarea de fișiere tip cookie-uri, trebuie să obțină un consimțământ de la persoanele vizate ca temei juridic, iar utilizarea și modul de procesare a informațiilor colectate trebuie prezentat explicit și în mod corespunzător în politicile de confidențialitate ale site-ului.

Datorită acestei practici, și anume alegerea consimțământului ca bază juridică, dar fără obținerea consimțământului valabil, prelucrarea acestora ar putea fi nulă, deci prelucrarea este ilegală.

Autoritatea a indică faptul că consimțământul nu este singurul temei juridic posibil în această situație. În special, raportul auditului nu menționează că prelucrarea datelor în contextul tehnologiilor de urmărire necesită întotdeauna consimțământul ca temei juridic.

(P) Eviați să vă numărați în rândul celor care vor fi sancționați! Comandați astăzi un audit de conformitate GDPR pentru siteul organizației dvs.

În ceea ce privește securitatea cibernetică, Autoritatea de supraveghere a examinat în special următoarele aspecte:

  • dacă sunt necesare parole puternice pentru autentificarea utilizatorilor sau autentificare multifactorială
  • dacă utilizatorul primește o confirmare prin e-mail după procesul de înregistrare sau este avertizat de activitățile de phishing ,
  • dacă este informat conectările nereușite și
  • dacă sunt furnizate cu suport în caz de hacking .

Acest lucru trebuie luat în considerare de companiile care se preocupă de nivelul de conformitate la GDPR si care își verifică siguranța informațiilor stocate pe site-urile lor.

Consecințe și recomandări bazate pe riscurile identificate

În opinia noastră (Lexology.com), în funcție de configurare , atât analiza, cât și profilarea se pot baza pe interese legitime ca bază juridică în cadrul GDPR, mai ales că obținerea de consimțământ informat și valabil pentru cookie-uri și de urmărire în practică vor fi extrem de provocatoare.

Această abordare nu este exclusă în mod explicit de Autoritatea de supraveghere. Cu toate acestea, companiile care aleg să se bazeze pe acest temei juridic ar trebui să respecte pe deplin acest lucru, să se afle astfel în politicile lor de confidențialitate, să furnizeze dreptul necesar de a se opune și să nu indice că se bazează pe consimțământul pentru prelucrarea datelor cu caracter personal un banner ambiguu al cookie-urilor).

Trebuie remarcat faptul că aceasta nu este totuși o soluție complet lipsită de riscuri. Datorită declarațiilor contradictorii ale autorităților germane de protecție a datelor, pentru moment nu este complet clar care sunt măsurile care trebuie luate. Firmele care se confruntă cu riscuri ar putea lua în considerare oprirea utilizării tuturor instrumentelor respective. Cu toate acestea, celelalte ar trebui să încerce să furnizeze informații detaliate privind instrumentele utilizate, inclusiv numele și locația furnizorului de servicii și dreptul vizibil de a obiecta față de prelucrarea datelor.

Companiile care nu documentează în mod corect temeiul juridic pe care l-au ales și nici nu verifică dacă măsurile de securitate cibernetică sunt într-adevăr implementate pe site-urile lor, sunt expuse unui risc semnificativ.

Prin urmare, este extrem de important să documentăm măsurile luate pentru revizuirea fluxurilor de date și a temeiurilor juridice aplicabile pentru a fi pregătiți pentru un audit, care, în cazul Autoitatii de suptraveghere, poate fi reluat în curând.

Sursa: https://www.lexology.com

(P) Eviați să vă numărați în rândul celor care vor fi sancționați! Comandați astăzi un audit de conformitate GDPR pentru siteul organizației dvs.

Acest articol a fost publicat în Informații utile și etichetat cu , , , , , , , , , , , , . Salvează legătura permanentă.



Pentru a evita sancțiuni uriașe financiare și de imagine vă recomandăm să verificați GRATUIT online dacă compania / instituția dvs. trebuie să fie conformă cu prevederile impuse de GDPR (Regulamentul European 679/2016 & Legea 190/2018) și dacă trebuie să externalizați un DPO sau să aveți desemnat intern o persoană pe poziția de DPO Responsabil cu protecția datelor cu caracter personal, specializat ulterior prin urmarea unui Curs DPO Autorizat Certificat.


Dacă întâmpinați greutăți în implementarea GDPR, puteți apela la echipa de specialiști GDPR sau puteți cotracta serviciile profesionale de consultanță GDPR de specialitate.


Pentru a vă sprijini, , echipa de specialiști GDPR vă pune la dipoziție setul de instrumente necesare pentru realizare evaluării de impact DPIA (politica, procedura, formular, raportul privind analiza impactului, soft de realizare evaluare de impact, etc) împreună cu instrucțiuni și sfaturi practice, șabloanele si alte evaluari DPIA completate ca exemplu, pentru a vă ajuta să înțelegeti ce trebuie realizat pentru a desfășura o evaluare de imact conform prevederilor GDPR și prevederilor Deciziei 174/2018 emise de ANSPDCP.