avocatnet.ro 
Investigația ANSPDCP a fost demarată în urma unei plângeri prin care se reclama prelucrarea datelor personale fără consimțământ în cadrul unei polițe de asigurare împotriva dezastrelor naturale, emisă de o societate de asigurări mandatată de o companie bancară autohtonă.
Autoritatea a constatat că, deși contractul de credit imobiliar al persoanei vizate se încheiase, operatorul bancar a solicitat eronat emiterea unei noi polițe de asigurare, accesorie contractului de credit imobiliar deja expirat. Această acțiune a însemnat, evident, utilizarea datelor personale ale petentului de către societatea de asigurări, fără acordul său și, ca urmare a expirării contractului de credit, fără o bază legală.
Conform ANSPDCP, această situație reprezintă o încălcare a principiului de “legalitate, echitate și transparență” prevăzut de GDPR, concretizată prin nerespectarea articolului 5 alin. (1) lit. a) raportat la art. 6 alin. (1) din Regulament.
Articolele în cauză stipulează că datele cu caracter personal trebuie prelucrate în mod legal și cu consimțământul persoanei vizate sau în baza unui alt temei juridic prevăzut de lege. În cazul de față, odată cu încetarea contractului de credit, motivul legitim pentru prelucrarea datelor personale, în scopul încheierii unei asigurări accesorii, expirase.
Mai mult, constatarea că operatorul a solicitat eronat emiterea unui număr semnificativ de polițe de asigurare, utilizând date personale (inclusiv cele ale petentului din cazul descris), scoate în evidență necesitatea ca firmele, indiferent de domeniul de activitate, să stabilească proceduri clare și să instruiască personalul care prelucrează baze de date care conțin informații sensibile din punct de vedere al GDPR.
Lipsa unor astfel de măsuri poate conduce la prelucrări nelegale, așa cum s-a întâmplat în acest caz, care arată, încă o dată, rolul împuternicitului (în acest caz, societatea de asigurări mandatată de bancă) în asigurarea respectării GDPR.
Chiar dacă operatorul (operatorul bancar) a fost cel sancționat, este important ca și împuterniciții să se asigure că prelucrează datele personale doar în limitele mandatului primit și pe baza unui temei legal valid.
În situația descrisă, societatea de asigurări a prelucrat datele personale ale petentului fără consimțământ și fără o instrucțiune legală validă din partea operatorului, dat fiind că relația contractuală inițială încetase, situație care ar fi trebuit să ducă la o actualizare și corelare a bazelor de date puse la dispoziția împuternicitului de către operator.
Ca urmare a acestei încălcări, ANSPDCP a aplicat operatorului o amendă în cuantum de 24.883 lei (echivalentul a 5.000 euro)1.
În plus, a fost dispusă măsura corectivă de a asigura conformitatea cu GDPR a operațiunilor de colectare și prelucrare ulterioară a datelor personale. Aceasta include implementarea unor măsuri tehnice și organizatorice adecvate, stabilirea unor proceduri scrise și instruirea regulată a persoanelor care prelucrează date sub autoritatea operatorului.
Expirarea motivelor legitime de deținere și folosire a datelor personale impune încetarea prelucrării, cu excepția cazurilor în care există un alt temei legal valid. Ancheta ANSPDCP arată că operatorii trebuie să implementeze mecanisme pentru a identifica momentul în care scopul inițial al colectării datelor a fost atins și pentru a asigura ștergerea sau anonimizarea datelor respective, inclusiv în ceea ce privește bazele de date manipulate de împuterniciții săi.
catali123456