Amenda GDPR Avocatnet.ro a fost sanctionat cu 9000 euro pentru incalcare GDPR

Autoritatea Națională de Supraveghere a finalizat în data de 26.09.2019 o investigație la INTELIGO MEDIA SA, constatând următoarele:

Încălcarea prevederilor art. 5 alin. (1) lit. a) și b), art. 6 alin.(1) lit. a) și art. 7 din RGPD, ceea ce a condus la aplicarea unei amenzi contravenționale în cuantum de 9000 de Euro.

Sancțiunea a fost aplicată ca urmare a unor sesizări prin care se semnala faptul că pentru crearea unui cont nou pe website-ul avocatnet.ro – ce aparține operatorului Inteligo Media SA, se afișează o căsuță nebifată, cu un text alăturat cu următorul conținut: «Nu vreau să primesc „Personal Update”, informarea trimisă zilnic, gratuit, pe email, de avocatnet.ro».

Rezultatele investigatiei Avocatnet.ro

Potrivit acestor condiții stabilite de operator, în măsura în care un utilizator omite bifarea acestei căsuțe, el este automat abonat, respectiv e-mailul său este introdus automat în baza de abonați la această informare.

Astfel, abonarea a avut loc în absența unei manifestări de voință din partea utilizatorilor, care să indice în mod clar acceptarea prelucrării în scopul stabilit de operator.

În cadrul controlului, operatorul nu a putut face dovada obținerii unui consimțământ explicit, în condițiile prevăzute de Art. 7 din GDPR, pentru un număr de 4357 de utilizatori, cărora le-a prelucrat datele cu caracter personal.

Modul de stabilire a bazei de procesare

De asemenea, pentru transmiterea prin e-mail a informării zilnice, operatorul a prelucrat datele în baza unui temei legal neadecvat scopului, respectiv ”executarea unui contract”.

În acest context, subliniem că potrivit art. 7 din RGPD, în cazul în care prelucrarea se bazează pe consimţământ, operatorul trebuie să fie în măsură să demonstreze că persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter personal.

Prevederi GDPR despre consimțământ

Totodată, considerentul (32) din același regulament prevede următoarele:

”Consimţământul ar trebui acordat printr-o acţiune neechivocă care să constituie o manifestare liber exprimată, specifică, în cunoştinţă de cauză şi clară a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declaraţie făcută în scris, inclusiv în format electronic, sau verbal.

Acesta ar putea include bifarea unei căsuţe atunci când persoana vizitează un site, alegerea parametrilor tehnici pentru serviciile societăţii informaţionale sau orice altă declaraţie sau acţiune care indică în mod clar în acest context acceptarea de către persoana vizată a prelucrării propuse a datelor sale cu caracter personal.

Prin urmare, absenţa unui răspuns, căsuţele bifate în prealabil sau absenţa unei acţiuni nu ar trebui să constituie un consimţământ. Consimţământul ar trebui să vizeze toate activităţile de prelucrare efectuate în acelaşi scop sau în aceleaşi scopuri.

Dacă prelucrarea datelor se face în mai multe scopuri, consimţământul ar trebui dat pentru toate scopurile prelucrării. În cazul în care consimţământul persoanei vizate trebuie acordat în urma unei cereri transmise pe cale electronică, cererea respectivă trebuie să fie clară şi concisă şi să nu perturbe în mod inutil utilizarea serviciului pentru care se acordă consimţământul.”

Direcția juridică și comunicare A.N.S.P.D.C.P.



Unde apare confuzia consimțământului valid

Mulți operatori consideră faptul că dacă în cadrul unui newsletter există linkul de dezabonare, atunci consimțământul este reînnoit. Noi considerăm ca este Greșit!

Din ce am observat, în rândul operatorilor se face o confuzie între menținerea și actualizarea/prelungirea consimțământului, iar conform prevederilor GDPR o astfel de practică reprezintă un mod de abordare greșit și un consimțământ nevalid.

La intrarea în vigoare a GDPR, operatorii aveau obligația să mențină baze de date doar cu consimțăminte valide și actualizate, iar perioada de acordare a consimțământului este de maxim 24 luni, după care trebuie reînnoit, conform prevederilor Regulamentului.

Faptul că un consimțământ anterior să fie valid, presupune ca operatorul să poată face dovada obținerii sale, a modului în care a fost obținut (să nu fie o caseta prebifată sau constrâns de un discount pentru a îl acorda), a transparenței si respectării drepturilor persoanei conform GDPR.

Deoarece majoritatea consimțămintelor anterioare nu acoperă aceste aspecte noi prevăzute de GDPR, acestea devin invalide si prin urmare trebuia ca la data de 25 Mai 2018, să fie sterse din bazele de date ale operatorilor.

În astfel de situații, un abonat poate depune o petiție împotriva operatorului la Autoritatea de Supraveghere ANSPDCP și poate declanșa o investigație privind protecția datelor cu caracter personal și asupra modului său de lucru.

Cum întâmpinăm astfel de situații si investigațiile Autorității

Pentru a vă pregăti să tratați corespunzător și sa răspundeți în cazul unei investigații din partea Autorității de Supraveghere vă recomandăm parcurgerea Cursului Incidente de securitate GDPR & CyberSecurity – Abordare, Evaluare, Prevenție, Acțiune, Căi de atac – curs ce vă pregătește pentru astfel de situații sau aplelați la serviciile practicanților din domeniul protecției datelor personale – Consultanță de urgență SOS GDPR.

Citiți acum și despre

Acest articol a fost publicat în Informații utile și etichetat cu , , , , . Salvează legătura permanentă.




Pentru a evita sancțiuni uriașe financiare și de imagine vă recomandăm să verificați GRATUIT online dacă compania / instituția dvs. trebuie să fie conformă cu prevederile impuse de GDPR (Regulamentul European 679/2016 & Legea 190/2018) și dacă trebuie să externalizați un DPO sau să aveți desemnat intern o persoană pe poziția de DPO Responsabil cu protecția datelor cu caracter personal, specializat ulterior prin urmarea unui Curs DPO Autorizat Certificat.


Dacă întâmpinați greutăți în implementarea GDPR, puteți apela la echipa de specialiști GDPR sau puteți cotracta serviciile profesionale de consultanță GDPR de specialitate.


Pentru a vă sprijini, , echipa de specialiști GDPR vă pune la dipoziție setul de instrumente necesare pentru realizare evaluării de impact DPIA (politica, procedura, formular, raportul privind analiza impactului, soft de realizare evaluare de impact, etc) împreună cu instrucțiuni și sfaturi practice, șabloanele si alte evaluari DPIA completate ca exemplu, pentru a vă ajuta să înțelegeti ce trebuie realizat pentru a desfășura o evaluare de imact conform prevederilor GDPR și prevederilor Deciziei 174/2018 emise de ANSPDCP.


Noul Kit GDPR COMPLET 2019 format din 8 Toolkituri GDPR – peste 180 documente + gratuit 145 documente si software gratuit
Kit GDPR Masuri tehnice si organizatorice impuse de legislatia protectiei datelor Regulamentul EU 678/2016 si Legea 190/2018
Consultanta de urgenta SOS GDPR – asistenta de specialtate in domeniul protectiei datelor personale
Kit GDPR DSAR – 31 Politici si Proceduri, Registre, Diagrame, Documente obligatorii pentru conformarea la prevederile GDPR Art.12,15-22
Kit GDPR 67 de Politici si Proceduri obligatorii pentru conformitatea la Regulamentul EU 679/2016
Kit GDPR Site web ONLINE recomandat pentru Aplicatii, Site-uri web, Bloguri si Magazine online pentru conformitatea la Regulamentul EU 679/2016 si Legea 190/2018
Curs DPO certificat GDPR conform cod COR 242231 + Kit pt DPO + Schema Implementare GDPR conform prevederilor Regulamentul EU 679/2016 si Legea 190/2018 conform cod COR 242231
Kit GDPR Site web ONLINE recomandat pentru Aplicatii, Site-uri web, Bloguri si Magazine online pentru conformitatea la Regulamentul EU 679/2016 si Legea 190/2018