GDPR și afacerile: Spețe interesante de care să ții cont

Un caz relevant este cel al operatorului sancționat cu 2.000 de euro pentru colectarea indirectă de date personale din surse publice, în vederea unei propuneri de participare la o cercetare de piață. Investigația a demarat în urma unei sesizări privind mesaje nesolicitate trimise de operator, chiar și după ce persoana vizată s-a opus prelucrării. S-a constatat că operatorul nu a asigurat o informare clară și completă a persoanei ale cărei date le-a colectat din surse publice, omițând să comunice informații esențiale prevăzute de GDPR, cum ar fi sursa colectării datelor. 

GDPR stabilește obligații specifice pentru operatorii care prelucrează date obținute indirect, inclusiv informarea persoanei vizate cu privire la identitatea operatorului, scopurile prelucrării și sursa datelor, menționând dacă acestea provin din surse publice. În acest caz, nici informarea disponibilă pe site-ul operatorului nu prezenta clar sursa de colectare a datelor.

Operatorul a fost obligat să analizeze legalitatea prelucrării datelor colectate anterior din alte surse decât direct de la persoanele vizate și să elimine datele a căror prelucrare nu respecta GDPR. Această speță arată cât de importantă este transparența și informarea completă atunci când datele personale sunt colectate din surse publice.

Un alt caz edificator ilustrează necesitatea acordării unei atenții deosebite în ceea ce privește accesul angajaților la datele personale ale clienților. Un important operator bancar a fost amendat cu echivalentul a 20.000 de euro, după ce ANSPDCP a constatat că angajații băncii au accesat și divulgat neautorizat datele personale ale clienților.

Ancheta a fost inițiată chiar de bancă, în urma unor notificări privind încălcări ale securității datelor. Au fost descoperite situații grave, cum ar fi utilizarea ilegală a cererii de credit a unui client de către un angajat, retrageri de numerar și transferuri bancare efectuate în numele mai multor persoane, afectând o gamă largă de date personale.

De asemenea, doi angajați au divulgat informații confidențiale despre tranzacțiile unui client către un fost angajat, prin intermediul rețelelor sociale, informații care au ajuns ulterior la rude ale clientului. 

Un alt incident a implicat un angajat care a efectuat operațiuni ilegale, inclusiv modificarea datelor de contact și solicitarea de credite, în numele clienților. Investigația a relevat lipsa unui plan procedural pentru testarea și evaluarea periodică a acțiunilor de introducere sau actualizare a datelor personale, inclusiv notificarea și obținerea acordului clientului pentru orice modificare efectuată de angajați.

Măsurile impuse de ANSPDCP au inclus implementarea unui sistem strict de acces diferențiat la date, monitorizarea sistematică a modului în care angajații accesează datele și dezvoltarea de proceduri clare de notificare și aprobare pentru orice modificare a datelor clienților, alături de programe regulate de instruire a personalului. Această speță arată importanța implementării unor măsuri riguroase de securitate și a controlului accesului angajaților la datele personale ale clienților.

Și platformele online trebuie să fie vigilente în privința respectării drepturilor persoanelor vizate. O platformă de vanzare online de bilete pentru spectacole și concerte a fost amendată cu echivalentul a 2.000 de euro și a primit un avertisment pentru încălcarea GDPR.

În acest caz, un client a reclamat ștergerea contului după dezabonarea de la newsletter și faptul că nu i s-a oferit posibilitatea de reactivare a acestuia. ANSPDCP a constatat încălcări ale principiilor de legalitate, echitate și transparență, precum și nerespectarea dreptului la ștergere și a dreptului de opoziție.

De asemenea, platforma nu a respectat dreptul clientului la informare și acces la datele sale și a prelucrat numărul de telefon al acestuia în scop de marketing, direct prin SMS, fără consimțământ expres. Autoritatea a dispus măsuri corective privind conformitatea operațiunilor de prelucrare, comunicarea cu persoana vizată și instruirea personalului. Speța ne arată necesitatea de a respecta drepturile persoanelor vizate, inclusiv dreptul la ștergere și dreptul de a se opune marketingului direct, dar și de a obține consimțământul expres al destinatarilor pentru comunicări comerciale.

Nerespectarea solicitărilor persoanelor vizate și a autorității de supraveghere poate atrage, de asemenea, sancțiuni. O firmă a fost amendată cu aproximativ 2.000 de euro pentru că nu a răspuns cererii unui client de ștergere a contului și a datelor asociate și nici solicitărilor ANSPDCP în timpul investigației .

Sancțiunea a fost aplicată pentru încălcarea GDPR, care prevede amenzi pentru nerespectarea unui ordin al autorității de supraveghere sau neacordarea accesului. S-a dispus măsura corectivă de a comunica către ANSPDCP informațiile solicitate.

Relația dintre operator și împuternicit este, de asemenea, un aspect important de avut în vedere în contextul GDPR. O companie a fost amendată cu echivalentul a 5.000 de euro în urma unor sesizări privind o posibilă încălcare a regulamentului în cadrul unei campanii de crowdfunding desfășurate prin intermediul unui împuternicit.

Mai exact, în speța în discuție, acționarul majoritar al unei echipe de fotbal a transmis, prin intermediul împuternicitului, un e-mail cu o bază de date extinsă, incluzând persoane care cumpăraseră bilete, propunându-le să finanțeze echipa.

ANSPDCP a constatat că operatorul nu a furnizat instrucțiuni scrise clare împuternicitului cu privire la categoriile de persoane vizate cărora trebuia să li se adreseze e-mailul. Această omisiune a fost considerată o încălcare a GDPR, care stipulează că prelucrarea datelor de către un împuternicit trebuie să se bazeze pe instrucțiuni documentate din partea operatorului. Acesta are obligația de a-și alege cu grijă împuterniciții, asigurându-se că oferă garanții suficiente și de a încheia un contract scris care să definească clar responsabilitățile.

Împuternicitul, la rândul său, trebuie să prelucreze datele doar conform instrucțiunilor operatorului și să implementeze măsuri de securitate adecvate. Necesitatea de a defini clar responsabilitățile și de a furniza instrucțiuni precise împuterniciților care prelucrează date personale în numele operatorului este clar evidențiată de această speță. 

În contextul deciziilor automatizate, Curtea de Justiție a Uniunii Europene (CJUE) a clarificat modul în care trebuie abordat conflictul dintre dreptul de acces la date și protejarea secretelor comerciale.

Un litigiu care ilustrează foarte clar o astfel de situație este cel declanșat de o persoană care a solicitat informații despre logica utilizată, după ce a fost refuzată la încheierea unui contract, pe baza unei evaluări automate negative a bonității sale.

Compania care a efectuat evaluarea a invocat existența unui secret comercial, pentru a-și proteja algoritmii. CJUE a statuat că dreptul de acces nu poate fi golit de conținut pentru a apăra un presupus secret comercial. Informațiile oferite trebuie să fie pertinente și să permită persoanei vizate să înțeleagă cum au fost utilizate datele sale.

Într-o astfel de situație, judecătorii au arătat că nu se impune dezvăluirea întregului algoritm, dar simpla trimitere la ”factori interni” nu este suficientă. În astfel de situații se impune o ”cântărire proporțională” pentru a nu divulga know-how esențial, dar nici a obstrucționa dreptul persoanei de a înțelege decizia.

Dacă operatorul consideră că dezvăluirea completă ar afecta secretul comercial, trebuie să comunice elementele relevante autorității de supraveghere sau instanței, iar statele membre nu pot emite reguli naționale care să excludă automat accesul la date pe motivul secretului comercial. Această hotărâre clarifică limitele invocării secretului comercial în fața dreptului de acces al persoanei vizate în cazul deciziilor automatizate.

Chiar și adresele de e-mail profesionale personalizate sunt considerate date personale și intră sub incidența GDPR, chiar dacă au aparținut unui fost angajat. O adresă de e-mail de forma prenume.nume@companie.com este considerată dată personală. Deși nu există o reglementare legală explicită privind gestionarea acestor adrese la plecarea unui angajat, deciziile trebuie luate cu respectarea GDPR. Se recomandă blocarea sau dezactivarea adresei imediat după plecarea fostului angajat și dezactivarea definitivă a adresei în maximum trei luni. Gestionarea adreselor de e-mail profesionale intră sub incidența și trebuie să se facă în conformitate cu principiile GDPR. 

Securizarea datelor personale este o altă obligație a companiilor, iar nerespectarea confidențialității unui e-mail poate atrage sancțiuni. Transmiterea de date personale prin e-mail fără măsuri de securitate adecvate, cum ar fi utilizarea câmpului "Bcc" pentru a evita divulgarea adreselor de e-mail ale destinatarilor multipli, reprezintă o încălcare a GDPR.

O eroare tehnică combinată cu testarea insuficientă a unei aplicații mobile a dus la expunerea datelor personale ale clienților unui mare furnizor de energie electrică, compania fiind sancționată cu echivalentul a 15.000 de euro și obligată să implementeze un plan de testare adecvat, caz care subliniază importanța implementării unor măsuri tehnice și organizatorice adecvate pentru asigurarea securității datelor personale, inclusiv testarea riguroasă a aplicațiilor și utilizarea corectă a funcțiilor de e-mail pentru a proteja confidențialitatea.