Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a amendat compania din spatele festivalului UNTOLD cu suma de 15.000 de euro pentru încălcarea dispozițiilor privind prelucrarea datelor cu caracter personal. Tudor Galos, expert în consultanță pe GDPR, explică cum a fost amendat UNTOLD:
Untold a luat amendă GDPR de 15.000 EUR. Nu este mult, însă din nou, măsurile corective contează și cât de rapid trebuie implementate. Untold a primit cerere de acces și cerere de ștergere a datelor personale și nu a făcut nimic. Untold a avut, după părerea mea, încălcări mult mai grave a Regulamentului, însă pe chestia asta au luat o amendă destul de mare. De la o singură plângere!Tot trebuie să îi răspundă celui care a solicitat – cu toate datele, da!
Nu ai cum să răspunzi la o cerere de acces, dând o copie a tuturor datelor personale prelucrate de o companie, din care să scoți chestiile confidențiale, protejate de proprietate intelectuală, datele unor terțe persoane, dacă:
Nu ai toate datele electronice indexate și etichetate.
Nu ai o hartă a tuturor datelor, să știi unde cauți. Da, inclusiv date personale pe hârtie, metadate, date derivate.
Nu ai un proces clar cu responsabili și deadlines.
Insist asupra acestor aspecte de 7 ani de zile. Le predau la fiecare curs #DPO acreditat de Ministerul Muncii. Curs pe bune, cu exerciții, cu analize de caz, cu probleme.
Iată și comunicatul Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal:
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a finalizat, în luna septembrie 2024, o investigație la operatorul Untold SRL și a constatat încălcarea dispozițiilor art. 15 și art. 17 alin. (1) coroborate cu art. 12 alin. (3) și (4) din Regulamentul (UE) 2016/679.
Ca atare, operatorul a fost sancționat contravențional:
cu amendă în cuantum de 49.741 lei (echivalentul a 10 000 EURO), pentru încălcarea art. 15 coroborat cu art. 12 alin. (3) și (4) din Regulamentul (UE) 2016/679;
cu amendă în cuantum de 24.870,5 lei (echivalentul a 5 000 EURO), pentru încălcarea art. 17 alin. (1) coroborat cu art. 12 alin. (3) și (4) din Regulamentul (UE) 2016/679.
În cursul investigației, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a constatat că operatorul nu a soluționat cererea de acces la datele personale ale persoanei vizate, cu toate că acesta a comunicat pentru corespondență adresa sa de e-mail, numărul de telefon, numele și prenumele complet și adresa poștală. Această situație a condus la încălcarea dispozițiilor art. 15, coroborate cu art. 12 alin. (3) și (4) din Regulamentul (UE) 2016/679.
Totodată, s-a constatat că operatorul nu a soluționat cererea de ștergere a datelor personale ale petiționarului în termenele prevăzute de Regulamentul (UE) 2016/679, ceea ce a constituit o încălcare a prevederilor art. 17 alin. (1) și art. 12 alin. (3) și (4) din același act normativ.
În același timp, s-au dispus față de operator și următoarele măsuri corective:
de a transmite un răspuns scris la cererea persoanei vizate în conformitate cu dispozițiile art. 15 din Regulamentul (UE) 2016/679;
de a asigura conformitatea cu Regulamentul (UE) 2016/679 a operațiunilor de prelucrare a datelor personale, prin adoptarea măsurilor tehnice și organizatorice necesare, inclusiv sub aspectul instruirii corespunzătoare a personalului desemnat în acest scop, astfel încât operatorul să fie capabil să analizeze, să soluționeze în mod corect și să răspundă la toate cererile prin care persoanele vizate își exercită drepturile, în cadrul termenelor și potrivit condițiilor prevăzute de art. 12-23 din Regulamentul (UE) 2016/679.