Prima amenda impusa de presedintele Autoritatii de Supraveghere pentru incalcarea GDPR

Președintele Autoritatea de supraveghere a impus ca sancțiune prima amendă în valoare de 220.000 Euro pentru neîndeplinirea obligației de informare a persoanelor vizate de către o organizație conform prevederilor impuse de GDPR.

În urma investigațiilor desfășurate de către Autorității pentru Protecția Datelor cu Caracter Personal Poloneză pentru situația vizată, președintele instituției, dr. Edyta Bielak-Jomaa, a declarat următoarele:

„Operatorul era conștient de obligația de a furniza informații. Prin urmare, decizia de a impune o amendă din această sumă acestei entități!”

Investigația cazului de încălcare GDPR de catre Autoritatea de supraveghere poloneză

Investigația Autorității de supraveghere a scos la iveală faptul că, persoanele ale căror date personale au fost prelucrate de companie, nu erau conștiente de acest lucru.

Operatorul nu a informat persoanele vizate cu privire la prelucrare și, astfel, le-a lipsit de posibilitatea de a-și exercita drepturile în temeiul Regulamentului general privind protecția datelor (GDPR). Prin urmare, persoanele vizate, nu au avut posibilitatea de a se opune prelucrării datelor, de a solicita rectificarea sau ștergerea acestora.

În consecință, președintele Autorității ponoleze pentru protecția datelor cu caracter personal a considerat că încălcarea este gravă, deoarece se referă la drepturile și libertățile fundamentale ale persoanelor ale căror date sunt prelucrate de companie și se referă la problema fundamentală – informațiile privind prelucrarea datelor.

În acest caz, impunerea amenzii este necesară, deoarece operatorul nu respectă legea și încalcă prevederile GDPR.

Din culisele investigației pentru încălcarea GDPR

După cum a explicat un oficial al Autorității de supraveghere poloneze, compania vizată nu și-a îndeplinit obligația de informare în legătură cu peste 6 milioane de persoane.

Din aproximativ 90.000 de persoane care au fost informate despre prelucrarea de către companie, mai mult de 12.000 au obiecționat la prelucrarea datelor lor.

Aceasta arată cât de important este îndeplinirea corectă a obligațiilor de informare pentru a putea exercita drepturile pe care le avem în conformitate cu GDPR.

Decizia președintelui autorității sa referit la procedurile legate de activitatea unei societăți care a prelucrat datele subiecților datelor obținute din surse disponibile publicului, în special din Registrul electronic central și informațiile privind activitatea economică și a procesat datele în scopuri comerciale.

Operatorul a îndeplinit obligația de informare prin furnizarea informațiilor prevăzute la art. 14 alin. (1) – (3) din GDPR numai în privința persoanelor ale căror adrese de e-mail le-a avut la dispoziție.

În cazul celorlalte persoane, controlorul nu a respectat obligația de informare – așa cum sa explicat în cursul procedurii – din cauza costurilor operaționale ridicate. Prin urmare, a prezentat clauza de informații numai pe site-ul său web.

Măsuri aplicate în urma acestui caz de încălcare a GDPR

Datorită acestui caz descoperit, Autoritatea a verificat neconformitatea cu obligația de informare cu privire la persoanele fizice care desfășoară activități economice – antreprenorii care desfășoară în prezent o astfel de activitate sau au suspendat-o, precum și antreprenorii care au desfășurat o astfel de activitate în trecut.

În opinia președintelui autorității, astfel de acțiuni au fost insuficiente – deși datele de contact au fost furnizate anumitor persoane, operatorul ar fi trebuit să-și îndeplinească obligația de informare cu privire la acestea, adică ar fi trebuit să le informeze:

  • datele acestora
  • sursa datelor
  • scopul și
  • perioada prelucrării datelor planificate, precum și
  • drepturile persoanelor vizate în baza GDPR.

Scuze jenante prezentate de operator pentru încălcarea GDPR

În opinia autorității de supraveghere care a desfașurat investigația, dispozițiile nu impun operatorului obligația de a trimite o astfel de corespondență prin scrisoare recomandată, care a fost prezentată de companie ca scuză pentru neîndeplinirea unei obligații costisitoare.

În cazul respectiv, entitatea a avut adrese poștale și numere de telefon și, prin urmare, ar putea respecta obligația de a furniza informații persoanelor ale căror date sunt prelucrate. Prin urmare, acest caz trebuie distins de un alt caz decis de Autoritatea de Supraveghere poloneză în urmă cu câțiva ani, când o altă societate nu a avut astfel de adrese la dispoziția sa.

Concluzia investigației

Președintele Autorității de Supraveghere poloneze a constatat că încălcarea operatorului a fost intenționată, deoarece, așa cum sa stabilit în cursul procedurii de investigare, compania era conștientă de obligația de a furniza informații relevante, precum și de necesitatea de a informa direct persoanele.

Prin urmare, Președintele Autorității pentru Protecția Datelor cu Caracter Personal Poloneză, în cazul acestei investigații a impus acestei companii o amendă administrativă în suma de aproximativ 220 000 Euro pentru neîndeplinirea obligației de informare a persoanelor vizate de către organizație conform prevederilor GDPR.

În timp ce impune amenda, autoritatea a luat în considerare și faptul că operatorul nu a întreprins nicio acțiune pentru a pune capăt încălcării și nu și-a declarat intenția de a face acest lucru.

Articol prezentat de EDPB

Acest articol a fost publicat în Fără categorie și etichetat cu , , , , , , , , . Salvează legătura permanentă.



Pentru a evita sancțiuni uriașe financiare și de imagine vă recomandăm să verificați GRATUIT online dacă compania / instituția dvs. trebuie să fie conformă cu prevederile impuse de GDPR (Regulamentul European 679/2016 & Legea 190/2018) și dacă trebuie să externalizați un DPO sau să aveți desemnat intern o persoană pe poziția de DPO Responsabil cu protecția datelor cu caracter personal, specializat ulterior prin urmarea unui Curs DPO Autorizat Certificat.


Dacă întâmpinați greutăți în implementarea GDPR, puteți apela la echipa de specialiști GDPR sau puteți cotracta serviciile profesionale de consultanță GDPR de specialitate.


Pentru a vă sprijini, , echipa de specialiști GDPR vă pune la dipoziție setul de instrumente necesare pentru realizare evaluării de impact DPIA (politica, procedura, formular, raportul privind analiza impactului, soft de realizare evaluare de impact, etc) împreună cu instrucțiuni și sfaturi practice, șabloanele si alte evaluari DPIA completate ca exemplu, pentru a vă ajuta să înțelegeti ce trebuie realizat pentru a desfășura o evaluare de imact conform prevederilor GDPR și prevederilor Deciziei 174/2018 emise de ANSPDCP.