Home » Comunicat_Presa_20.06.2023
 Română | English | Francais

20.06.2023

Sancțiune pentru încălcarea RGPD

 

În baza mecanismelor de cooperare prevăzute de Regulamentul (UE) 2016/679, Autoritatea Națională de Supraveghere a fost sesizată de autoritatea pentru protecția datelor (DPA) din Ungaria cu privire la plângerile formulate de trei persoane fizice din acest stat împotriva Dante International SA.

DPA Ungaria a considerat Autoritatea Națională de Supraveghere ca fiind autoritatea principală în acest caz, dat fiind faptul că această societate are sediul principal în România.

Autoritatea Națională de Supraveghere a acceptat propunerea de a acționa ca autoritate de supraveghere principală având în vedere faptul că Dante International SA a stabilit, prin intermediul site-ului emag (cu versiuni în limba oficială a trei țări: România, Ungaria și Bulgaria), realizarea de operațiuni de prelucrare a datelor personale în contextul comandării produselor pe care le comercializează on line (direct sau prin parteneri).

Astfel, în cursul investigațiilor efectuate de Autoritatea Națională de Supraveghere pentru soluționarea celor 3 cazuri semnalate, au fost constatate următoarele aspecte:

            1. În primul caz, un petent a solicitat ștergerea contului creat pe emag.hu, purtând o corespondență în acest sens pe adresa info@emag.hu. Prin răspunsul primit de la această adresă, petentului i s-a solicitat să trimită o cerere datată și semnată (scanată sau fotografiată) la adresa data.protection@emag.ro.

În cursul investigației efectuate pentru soluționarea acestei plângeri, Autoritatea Națională de Supraveghere a constatat lipsa unei instruiri regulate și adecvate de către Dante International SA a angajaților din grup, cu privire la procedura care trebuie urmată în vederea soluționării cererilor persoanelor vizate.

S-a constatat că instruirea personalului entității din Ungaria se realizează, în principal, la angajare, iar în cadrul fiecărei entități din cadrul grupului, și ulterior, doar în ”situații specifice și particularizate la nivel de departament”.

Or, potrivit art. 24 din RGPD, operatorul este obligat să pună în aplicare măsuri tehnice şi organizatorice adecvate, inclusiv politici adecvate de protecţie a datelor, pentru a garanta şi a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu RGPD. Aceste politici ar trebui să abordeze în mod corespunzător gestionarea cererilor primite din partea persoanelor vizate și realizarea unor sesiuni regulate de instruire a personalului implicat în prelucrarea datelor personale.

            2. În cel de-al doilea caz, un alt petent a solicitat ștergerea datelor sale către mai multe adrese de e-mail ale operatorului (data.protection@emag.ro , către info@emag.hu, către data.protection@emag.hu) și, inclusiv, prin intermediul formularului de contact existent pe site-ul acestuia, însă acest lucru nu a fost posibil, întrucât serverele emag au respins cererea sa ca provenind de la o adresă ce nu prezintă încredere. 

În privința respingerii automate a cererilor petentului, operatorul a susținut că serverele sale folosesc liste publice furnizate de o terță parte, asupra căreia nu deține controlul, iar situația respectivă a fost una posibil generată de reputația slabă/proastă a serviciului @freemail.hu de la momentul în care petentul a trimis respectivele cereri către Dante.

Situația constatată în acest caz, a dovedit faptul că stabilirea unui canal unic și exclusiv de comunicare pe care îl pot folosi persoanele vizate, cât și lipsa unei informări adecvate cu privire la anumite limitări din punct de vedere tehnic, pot conduce la restricționarea neîntemeiată a drepturilor acestora.

De asemenea, s-a constatat că informarea de pe site-ul emag.hu nu conținea informații complete privind transferurile către state terțe, scopurile și destinatarii în acest context, conform prevederilor art. 13 alin. (1) lit. c), e), f) și art. 14 alin. (1) lit. c), e), f) din RGPD.

În urma investigației, operatorul și-a modificat politica de prelucrare a datelor personale publicată pe site-urile emag, oferind persoanelor vizate posibilitatea de a trimite cererile în baza RGPD atât pe e-mail (la o adresă de tipul data.protection@emag.hu), cât și prin poștă/curier la o adresă fizică din respectivul stat.

            3. Un alt petent a reclamat faptul că una dintre adresele sale de e-mail era în continuare prelucrată de Dante, deși solicitase înlocuirea acesteia cu o altă adresa de e-mail.

În cursul investigației efectuate, s-a constatat faptul că, deși cererea de rectificare a fost inițial soluționată pozitiv, când operatorul a confirmat petentului rectificarea adresei sale de e-mail, adresa respectivă a continuat să fie prelucrată de Dante, în contextul unei corespondențe mai îndelungate purtate cu petentul.

Întrucât s-a constatat că adresa de e-mail a petentului a fost salvată în continuare în baza de date în scopul îndeplinirii obligației legale de păstrare a documentelor justificative contabile, în considerarea facturilor electronice transmise anterior, Autoritatea de supraveghere a considerat că acest scop al prelucrării diferă de cel legat de soluționarea reclamațiilor, astfel că reactivarea acestei adrese și folosirea sa în corespondența electronică ar fi fost posibilă doar în baza consimțământului persoanei vizate, prevăzut de art. 6 alin. (1) lit. a) din Regulamentul (UE) 2016/679.

Față de aspectele prezentate mai sus, Autoritatea de supraveghere a constatat următoarele:

  • Dante International SA a încălcat prevederile art. 12 alin. (2), raportate la art. 17 din RGPD, precum și prevederile art. 17 alin. (1) din RGPD, în privința obligației operatorului de a facilita exercitarea drepturilor persoanelor vizate și de a șterge datele acestora fără întârzieri nejustificate;
  • Dante International SA a încălcat prevederile art. 13 alin. (1) lit. c), e), f) și art. 14 alin. (1) lit. c), e), f) din RGPD, întrucât la data începerii investigației, informarea de pe site-ul emag.hu nu conținea informații complete privind transferurile către state terțe, scopurile și destinatarii datelor în acest context;
  • Dante International SA  a încălcat prevederile art. 6 alin. (1) lit. a) din RGPD, întrucât a prelucrat în continuare adresa de e-mail a unei persoane vizate în cadrul corespondenței purtate cu acesta, ulterior cererii de rectificare a acesteia, fără consimțământul său.

Autoritatea Națională de Supraveghere a apreciat că circumstanțele cazurilor menționate mai sus prezintă un grad de gravitate care impune aplicarea unei sancțiuni cu amendă împotriva operatorului. Cazurile au fost analizate din punctul de vedere al criteriilor de individualizare a amenzilor prevăzute la articolul 83 aliniatul (2) și (3) din RGDP, rezultând următoarele:

-         natura, gravitatea și durata încălcării – nerespectarea condițiilor de transparență prevăzute de art. 12 din RGPD în privința facilitării exercitării drepturilor persoanelor vizate la nivelul societății din Ungaria (parte a grupului Dante) și implicit, neadoptarea imediată a măsurilor de ștergere a datelor personale în cazul a două persoane vizate din această țară, conform art. 17 din RGPD; neasigurarea unei informări complete pe site-ul emag.hu în legătură cu transferul datelor în state terțe, potrivit art. 13 și 14 din RGPD; politica de gestionare a cererilor persoanelor vizate de exercitare a drepturilor prevăzute de RGPD, care, cel puțin în cazul societății din Ungaria, limita modalitățile de depunere a cererilor la un singur canal de comunicare (o adresă de e-mail dedicată);

-         caracterul neglijent al vinovăției operatorului în aceste cazuri;

-         măsurile de remediere a unora dintre aspectele sesizate, adoptate de operator pe parcursul investigațiilor întreprinse de DPA Ungaria și de ANSPDCP, atât în cazurile particulare ale petenților, cât și în privința procedurilor generale aplicate de operator;

-         tipurile de date personale prelucrate în cazul petenților – datele personale specifice pentru preluarea unei comenzi on line, achitarea și livrarea produsului comandat (în principal, nume, prenume, adresă e-mail, număr telefon, adresă de livrare și/sau facturare);

-         sancțiunile anterioare existente, aplicate de ANSPDCP împotriva Dante International SA.

Astfel, în urma investigațiilor efectuate, Autoritatea Naţională de Supraveghere a informat celelalte autorități de supraveghere, inclusiv autoritatea din Ungaria, în cadrul unei proceduri de consultare informală, bazată pe art. 60 din Regulamentul (UE) 2016/679, cu privire la concluziile rezultate din investigațiile efectuate în cele trei cazuri cu impact transfrontalier, precum și cu privire la proiectul de decizie întocmit de instituția noastră.

Urmare a propunerilor transmise de DPA Ungaria, Autoritatea Naţională de Supraveghere a emis decizia finală, conform prevederilor art. 60 din  Regulamentul (UE) 679/2016.

Prin urmare, având în vedere faptul că Dante International SA efectuează o prelucrare transfrontalieră, s-au aplicat dispozițiile art. 60 din Regulamentul (UE) 679/2016, precum și cele ale art. 16 alin. (3), (5), (6), (7) din Legea nr. 102/2005, republicată, care prevăd aplicarea sancțiunilor/măsurilor corective prin decizie a președintelui ANSPDCP, care are la bază procesul-verbal de constatare şi raportul personalului de control.

Ca atare, Dante International SA a fost sancționat contravențional:

1.        cu amendă în cuantum de 148.830 lei (echivalentul sumei de 30.000 EURO) pentru încălcarea prevederilor art. 12 alin. (2) și a art. 17 alin. (1) din Regulamentul (UE) 2016/679;

2.        cu  avertisment  pentru încălcarea prevederilor art. 13 alin. (1) lit. c), e), f) și art. 14 alin. (1) lit. c), e), f) din Regulamentul (UE) 2016/679;

3.        cu amendă în cuantum de 49.610 lei (echivalentul sumei de 10.000 EURO) pentru încălcarea prevederilor art. 6 alin. (1) lit. a) din Regulamentul (UE) 2016/679.

În același timp, în temeiul art. 58 alin. (2) lit. d) din Regulamentul (UE) 2016/679, Autoritatea de supraveghere a dispus față de operator următoarele măsuri corective:

  • de a asigura o informare completă a persoanelor vizate, prin furnizarea tuturor informațiilor prevăzute de art. 13 și 14 din Regulamentul (UE) 2016/679, inclusiv în contextul transferului datelor personale către state terțe, informare care să fie disponibilă pe site-urile emag administrate de operator, în versiunea lingvistică națională din fiecare stat;
  • de a pune în aplicare o metodă de anonimizare prin care să fie prevenit riscul de reidentificare a persoanelor ale căror date personale sunt supuse acestei proceduri, conform art. 32 din Regulamentul (UE) 2016/679;
  • de a dispune măsuri de instruire regulată a personalului din societățile ce fac parte din grupul de companii Dante (din România, Ungaria și Bulgaria) cu privire la procedura care trebuie urmată în vederea soluționării corecte a cererilor depuse de persoanele vizate în baza Regulamentul (UE) 2016/679.

 

Direcția juridică și comunicare

A.N.S.P.D.C.P.