Doi ani de GDPR: Amenzi de sute de mii euro aplicate în România. Bănci, Tarom şi hoteluri, printre cei sancţionaţi

GDPR reprezintă cadrul legal unic la nivel european în materie de protecţie a datelor personale şi se aplică, inclusiv în România, din 25 mai 2018. Prin urmare, orice companie care prelucrează asemenea informaţii trebuie să respecte GDPR, în caz contrar riscând sancţiuni drastice.

Prima amendă pentru încălcarea GDPR a fost dată la mai bine de un an de la intrarea în vigoare a Regulamentului. În iunie 2019, Unicredit Bank a fost amendată cu suma de 130.000 de euro deoarece n-a luat măsuri adecvate pentru protejarea datelor personale ale clienţilor săi.

Cea de-a doua amendă aplicată de Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a vizat tot o divulgare neautorizată de date. Concret, este vorba de accesul neautorizat la datele personale a 46 de persoane cazate la un hotel aparţinând companiei World Trade Center Bucureşti, date care apoi au fost divulgate online, fiind astfel afectate atât dreptul la protejarea datelor personale, cât şi dreptul la viaţă privată.

Spre finalul lui 2019, TAROM a fost sancţionată cu 20.000 de euro după ce unul dintre angajaţii companiei a accesat neautorizat aplicaţia de rezervări şi a fotografiat o listă cu datele personale a 22 de pasageri, după care a divulgat online lista.

Şi ING a fost amendată pentru nerespectarea conceptelor privacy by design şi privacy by default (protecţia datelor din momentul conceperii şi protecţia implicită a datelor). În acest caz, amenda a fost de 80.000 de euro, fiind afectaţi peste 225.000 de clienţi.

La rândul său, Raiffeisen Bank a primit o amendă de 150.000 de euro după ce doi angajaţi au transmis datele clienţilor pe WhatsApp.

În cei doi de la implementarea GDPR, au fost acordate sancţiuni mai mici şi firmelor care, spre exemplu, îşi supravegheau video angajaţii, fără ca aceştia să ştie.

În mai multe rânduri, Autoritatea a aplicat companiilor mai întâi avertismente şi abia apoi amenzi, după ce firmele nu au cooperat şi nu au furnizat informaţiile cerute.

La nivel mondial, Google a fost amendată cu 50 de milioane de euro, în Franţa, pentru lipsa de informare suficientă a utilizatorilor cu privire la prelucrările de date în privinţa cărora îşi dau consimţământul.

În Olanda, Uber a primit o amendă de 600.000 de euro pentru nerespectarea obligaţiilor privind raportarea incidentelor de securitate. Amenda a fost dată în 2016, însă ea este relevantă şi în baza GDPR, raportarea incidentelor de securitate fiind o obligaţie şi din perspectiva Regulamentului european.

Filiala locală a Facebook din Germania a fost sancţionată, la rândul ei, cu 51.000 de euro.

Nu doar firmele pot fi sancţionate pentru încălcarea GDPR, ci şi persoanele fizice, dacă nu acţionează în scop pur personal sau domestic.