avocatnet.ro 
1. CJUE: Autoritățile de supraveghere nu sunt obligate să aplice sancțiuni de fiecare dată când se încalcă prevederile GDPR. În cazul în care operatorul de date a luat măsuri rapide și eficiente pentru a corecta încălcarea și a preveni repetarea acesteia, autoritățile pot decide să nu aplice amenzi. Totuși, autoritățile trebuie să examineze cu atenție fiecare plângere și să asigure protecția drepturilor persoanelor vizate.
2. CJUE clarifică: Autoritățile de supraveghere pot cere ștergerea datelor personale ilegal procesate, chiar și fără cererea persoanei vizate. Decizia a fost pronunțată în cazul unui district din Budapesta care a colectat date pentru ajutoare financiare fără a respecta GDPR. CJUE a subliniat că autoritățile pot impune măsuri corective, inclusiv ștergerea datelor, atât la cererea persoanei vizate, cât și ca obligație a operatorului de date, în conformitate cu GDPR.
3. CJUE: Inserarea obligatorie în cărțile de identitate a două amprente digitale este compatibilă cu drepturile fundamentale la respectarea vieții private și la protecția datelor cu caracter personal. CJUE a declarat invalid regulamentul care impunea includerea amprentelor digitale în cărțile de identitate, din cauza adoptării pe o bază juridică greșită. Cu toate acestea, Curtea a menținut efectele regulamentului până la 31 decembrie 2026, pentru a permite adoptarea unui nou regulament pe temeiul corect. CJUE a subliniat că măsura este proporțională și necesară pentru combaterea fraudei și asigurarea autenticității documentelor de identitate, fără a încălca drepturile fundamentale ale cetățenilor.
4. CJUE: Încălcarea GDPR nu este suficientă în sine pentru a vorbi de un prejudiciu și a da dreptul la despăgubiri. Încălcarea GDPR nu este suficientă pentru a justifica despăgubiri, fiind necesar să se demonstreze un prejudiciu concret, material sau moral, și o legătură de cauzalitate între încălcare și prejudiciu, a hotărât CJUE. De asemenea, Curtea a subliniat că scuzele pot constitui o formă adecvată de despăgubire pentru prejudiciul moral, dar numai dacă acestea compensează integral prejudiciul. Totodată, intenția operatorului nu poate influența cuantumul despăgubirii, care trebuie să reflecte prejudiciul concret suferit de persoana vizată.
5. CJUE impune limitări semnificative privind prelucrarea datelor personale de către rețelele sociale în scopuri publicitare. Curtea a subliniat că operatorii de rețele sociale trebuie să respecte principiul minimizării datelor, limitând colectarea acestora la perioada necesară scopurilor prelucrării, și că prelucrarea datelor sensibile nu poate fi realizată fără consimțământul explicit al utilizatorilor.
4. CJUE: Încălcarea GDPR nu este suficientă în sine pentru a vorbi de un prejudiciu și a da dreptul la despăgubiri. Încălcarea GDPR nu este suficientă pentru a justifica despăgubiri, fiind necesar să se demonstreze un prejudiciu concret, material sau moral, și o legătură de cauzalitate între încălcare și prejudiciu, a hotărât CJUE. De asemenea, Curtea a subliniat că scuzele pot constitui o formă adecvată de despăgubire pentru prejudiciul moral, dar numai dacă acestea compensează integral prejudiciul. Totodată, intenția operatorului nu poate influența cuantumul despăgubirii, care trebuie să reflecte prejudiciul concret suferit de persoana vizată.
5. CJUE impune limitări semnificative privind prelucrarea datelor personale de către rețelele sociale în scopuri publicitare. Curtea a subliniat că operatorii de rețele sociale trebuie să respecte principiul minimizării datelor, limitând colectarea acestora la perioada necesară scopurilor prelucrării, și că prelucrarea datelor sensibile nu poate fi realizată fără consimțământul explicit al utilizatorilor.
Amenzi de care am aflat în 2024
6. Amendă GDPR pentru transmiterea eronată a unui e-mail într-un proces de recrutare. O companie a fost sancționată de ANSPDCP cu o amendă de 2.000 de euro după ce o angajată a trimis, din greșeală, un e-mail care conținea date personale ale unui candidat aflat în proces de recrutare. Autoritatea a impus companiei implementarea unor măsuri corective, inclusiv desemnarea unor persoane responsabile pentru monitorizarea proceselor de prelucrare a datelor, pentru a preveni incidente similare.
7. O companie, amendată pentru monitorizarea prin GPS a mașinii utilizate de angajat. Care au fost încălcările GDPR. O companie a fost sancționată contravențional cu o amendă de 2.000 euro și două avertismente pentru încălcarea GDPR în ceea ce privește utilizarea unui sistem de monitorizare GPS pe autoturismul folosit de un fost angajat. Investigația ANSPDCP a evidențiat lipsa unui temei legal pentru prelucrarea datelor, informarea insuficientă a angajaților și stocarea peste limita prevăzută de lege a datelor GPS.
8. Un angajator, sancționat pentru utilizarea necorespunzătoare a datelor personale în procesul de redirecționare a procentului din impozit. O companie a fost amendată cu 5.000 de euro pentru că a folosit datele angajaților pentru a le impune redirecționarea unei părți din impozitul pe venit către o fundație proprie, fără un temei legal adecvat și fără a respecta principiile de transparență și informare. Această practică a fost considerată o încălcare gravă a drepturilor angajaților și a subliniat importanța respectării reglementărilor GDPR chiar și în cazurile de bună intenție.
9. Fotografierea și distribuirea imaginilor înregistrate de camerele de securitate încalcă GDPR. ANSPDCP a sancționat cu o amendă în valoare de 5.000 de euro un mare retailer din România pentru încălcarea GDPR, după ce datele înregistrate de camerele de supraveghere au fost redistribuite de angajații companiei. Incidentul a inclus atât accesul neautorizat la imagini sensibile, cât și divulgarea acestora, în special prin intermediul agenților de pază care le-au împărtășit unei persoane vizate, și prin fotografierea lor de un client, care ulterior le-a postat pe rețelele sociale.
10. ANSPDCP: Amendă de 20.000 euro pentru accesul neautorizat la datele clienților. Nu orice angajat trebuie să aibă acces la aceste informații. Un important operator bancar din România a fost sancționat cu 20.000 de euro de ANSPDCP pentru încălcarea prevederilor GDPR, după ce angajații băncii au accesat ilegal și au divulgat date personale ale clienților. Ancheta a relevat mai multe incidente grave, inclusiv accesul neautorizat la informații confidențiale și utilizarea acestora în scopuri personale, cum ar fi retragerea de numerar sau transferuri bancare.
10. ANSPDCP: Amendă de 20.000 euro pentru accesul neautorizat la datele clienților. Nu orice angajat trebuie să aibă acces la aceste informații. Un important operator bancar din România a fost sancționat cu 20.000 de euro de ANSPDCP pentru încălcarea prevederilor GDPR, după ce angajații băncii au accesat ilegal și au divulgat date personale ale clienților. Ancheta a relevat mai multe incidente grave, inclusiv accesul neautorizat la informații confidențiale și utilizarea acestora în scopuri personale, cum ar fi retragerea de numerar sau transferuri bancare.
11. O companie a fost amendată pentru că a transmis fără temei date ale angajaților unui prestator de servicii. ANSPDCP a sancționat o companie cu o amendă de 10.000 de euro și avertisment pentru încălcarea GDPR, după ce aceasta a transmis copii ale cărților de identitate ale angajaților către un prestator de servicii, fără temei legal. De asemenea, Autoritatea a impus măsuri corective, inclusiv instruirea angajaților și întărirea securității datelor.
12. ANSPDCP a amendat o companie cu 110.000 de euro din cauza unui angajat care a transmis ilegal datele clienților în scopul obținerii unor credite de la instituții financiare nebancare, fără consimțământul acestora. Incidentul a fost raportat de companie, care a notificat autoritățile despre accesul neautorizat și divulgarea datelor personale, inclusiv copii ale cărților de identitate și adeverințelor de salariat. ANSPDCP a constatat că societatea nu a implementat măsuri de securitate corespunzătoare pentru protejarea datelor și a sancționat încălcarea reglementărilor GDPR referitoare la confidențialitatea și integritatea datelor.
Confidențialitate și securitate în utilizarea chatbot-urilor AI
13. Utilizarea unui chatbot AI poate duce la încălcări ale GDPR. Utilizarea asistenților digitali AI, precum ChatGPT sau Claude, poate pune în pericol confidențialitatea datelor, deoarece furnizorii acestor tehnologii stochează informațiile introduse pe serverele lor. Autoritatea Olandeză pentru Protecția Datelor a primit notificări de încălcări grave ale GDPR, inclusiv un caz în care un angajat dintr-un cabinet medical a introdus date sensibile ale pacienților într-un chatbot AI, încălcând confidențialitatea.
14. Angajații ar trebui instruiți și în privința furnizării de date personale platformelor de A.I. În contextul GDPR, angajații ar trebui să anonimizeze datele sau să folosească exemple fictive când utilizează astfel de tehnologii. În plus, este esențial să nu se introducă date personale sensibile, cum ar fi informațiile de identificare, financiare, medicale, biometrice sau judiciare, într-o platformă AI.
