28 ianuarie – Ziua Europeană a Protecției Datelor 2022 – România pe locul 3 în UE la numărul de amenzi GDPR

Ziua Europeană a Protecției Datelor se celebrează în fiecare an la data de 28 ianuarie, de către toate statele membre ale Consiliului Europei. 28 ianuarie 2022 marchează 41 de ani de la adoptarea, în anul 1981, la Strasbourg, a Convenției 108 pentru protecția persoanelor referitoare la prelucrarea automatizată a datelor cu caracter personal.

Regulamentul general privind protecția datelor se aplică în toate statele membre începând cu 25 mai 2018. Aşa cum arată şi numele, GDPR are ca rol o protecţie mult mai strictă pentru viaţa privată şi drepturile cetăţenilor în raport cu entităţile care au acces la informaţii despre ei. Organizațiile care nu au respectat legislația au primit amenzi usturătoare, care continuă să crească în fiecare an.

Cu ocazia celebrării în data de 28 ianuarie a Zilei Europene a Protecției Datelor, GDPR Complet a pregătit o analiză a activității Autorităților Naționale de Supraveghere în domeniul protecției datelor din fiecare țară precum și o serie de sfaturi pentru operatori pentru a evita sancțiunile GDPR.

Statistici GDPR 2022

Din 2018 și până acum, în ianuarie 2022, s-au aplicat un număr de 929 de amenzi în valoare de peste 1.5 miliarde de EUR, la nivelul întregii Uniuni Europene (potrivit enforcementtracker.com).

Dacă ne uităm la amenzile lunare, cele mai multe amenzi pentru nerespectarea normelor GDPR s-au aplicat în luna decembrie 2020, și anume 57 de amenzi în valoare de 5 milioane de EUR.

Ca și număr de amenzi aplicate, România se situează pe locul 3 în UE, după Spania și Italia. Iată mai jos situația numărului de amenzi aplicate primelor 10 țări de către autorități.

1. Spania – 363 amenzi (cu o valoare totală de € 36,839,910)
2. Italia – 107 amenzi (cu o valoare totală de € 116,347,096)
3. România – 70 amenzi (cu o valoare totală de € 729,950)
4. Ungaria – 45 amenzi (cu o valoare totală de € 828,183)
5. Norvegia – 41 amenzi (cu o valoare totală de € 8,993,550)
6. Germania – 39 amenzi (cu o valoare totală de € 50,160,083)
7. Grecia – 31 amenzi (cu o valoare totală de € 1,050,000)
8. Polonia – 31 amenzi (cu o valoare totală de € 2,199,948)
9. Belgia – 27 amenzi (cu o valoare totală de € 1,108,000)
10. Cehia – 25 amenzi (cu o valoare totală de € 165,903)

Ca și valoare totală a amenzilor cumulate, România nu este nici măcar în top 10, primul loc fiind ocupat de Luxemburg cu o valoare totală a amenzilor de 746 milioane de EURO, aplicate în doar 18 amenzi.

Luxemburg – € 746,266,200 (cu 18 amenzi)

1. Franța – € 268,194,300 (cu 24 amenzi)
2. Irlanda – € 226,047,900 (cu 13 amenzi)
3. Italia – € 116,347,096 (cu 107 amenzi)
4. Germania –  € 50,160,083 (cu 39 amenzi)
5. Anglia – € 44,846,800 (cu 7 amenzi)
6. Spania – € 36,839,910 (cu 363 amenzi)
7. Austria – € 24,774,550 (cu 17 amenzi)
8. Suedia – € 15,331,730 (cu 24 amenzi)
9. Olanda – € 9,914,500 (cu 17 amenzi)

În ceea ce privește încălcările Regulamentului pentru care s-au acordat aceste amenzi, iată mai jos distribuția amenzilor: 

Vedem foarte clar că cea mai mare pondere a amenzilor au fost din cauza nerespectării principiilor generale de prelucrare a datelor, urmată de lipsa unui temei juridic pentru prelucrarea datelor și de neîndeplinirea obligațiilor de informare.

În funcție de sectorul companiilor cu valoarea cea mai mare a amenzilor, pe primul loc este sectorul Industie și Comert cu aproape 50% din valoarea totală a amenzilor, urmat de Media, telecomunicații și radiodifuziune.

Iată care sunt operatorii cărora li s-au aplicat cele mai importante sancțiuni, la nivel de UE: Nume Operator, Sector, Țara, Valoarea amenzii în EURO, Tipul încălcării, Data aplicării amenzii

1. Amazon Europe Core S.à.r.l. – Industrie și comerț – Luxemburg – € 746,000,000 – Nerespectarea principiilor generale de prelucrare a datelor – 16.iul.21
2. WhatsApp Ireland Ltd. – Media, telecomunicații și radiodifuziune – Irlanda – € 225,000,000 – Neîndeplinirea obligațiilor de informare – 02.sept.21
3. Google LLC – Media, telecomunicații și radiodifuziune – Franța – € 90,000,000 – Lipsa temeiului juridic pentru prelucrarea datelor – 31.dec.21
4. Facebook Ireland Ltd. – Media, telecomunicații și radiodifuziune – Franța – € 60,000,000 – Lipsa temeiului juridic pentru prelucrarea datelor – 31.dec.21 
5. Google Ireland Ltd. – Media, telecomunicații și radiodifuziune – Franța – € 60,000,000 – Lipsa temeiului juridic pentru prelucrarea datelor – 31.dec.21 
6. Google LLC – Media, telecomunicații și radiodifuziune – Franța – €50,000,000 – Lipsa temeiului juridic pentru prelucrarea datelor – 21.ian.19 
7. H&M Hennes & Mauritz Online Shop A.B. & Co. KG – Ocuparea forței de muncă – Germania – € 35,258,708 – Lipsa temeiului juridic pentru prelucrarea datelor – 01.oct.20 
8. TIM (telecommunications operator ) – Media, telecomunicații și radiodifuziune – Italia – € 27,800,000 – Lipsa temeiului juridic pentru prelucrarea datelor – 15.ian.20 
9. Enel Energia S.p.A – Transport și energie – Italia – € 26,500,000 – Lipsa temeiului juridic pentru prelucrarea datelor – 16.dec.21 
10. British Airways – Transport și energie – Anglia – € 22,046,000 – Lipsa măsurilor tehnice și organizatorice pentru a asigura securitatea informațiilor – 16.oct.20

La nivelul României, iată care sunt operatorii care au fost sancționați cu cele mai mari amenzi:

• Raiffeisen Bank SA a fost amendat în oct 2019, cu suma de 150.000 EURO, pentru nerespectarea prevederilor art. 32 din GDPR, nu a luat măsurile corespunzătoare pentru a se asigura că orice persoană fizică care acționează sub autoritatea acestuia și care are acces la date cu caracter personal, nu le prelucrează decât la cererea sa.
• UNICREDIT BANK SA a fost amendat în iunie 2019, cu 130.000 EURO deoarece nu a respectat principiul privacy by design și privacy by default în direcția conformării aplicațiilor / platformei de plăți ceea ce a dus la o scurgere de date cu caracter personal.
• Banca Transilvania SA a fost amendata în decembrie 2020 cu 100.000 EURO deoarece operatorul nu a luat suficiente măsuri pentru a se asigura că salariații acesteia, care au acces la date cu caracter personal nu prelucrează date decât la cererea băncii. 

Analizând aceste informații, concluziile care merită reținute ar fi următoarele:

• Consumatorii sunt tot mai educați despre drepturile lor, reclamă tot mai des probleme semnalate la operatorii cu care intră în contact iar autoritățile de supraveghere dau amenzi usturătoare.
• Amenzile nu se dau doar pentru breșele sau incidentele de securitate în sine, ci și pentru lipsa unor proceduri menite să asigure conformarea. 
• Autoritățile Naționale de Supraveghere în domeniul protecției datelor din fiecare țară urmăresc îndeaproape companiile pentru a se asigura că prelucrează în mod responsabil datele persoanale.

După cum spune și Dan Gurghian, inginer software expert în domeniul GDPR, reținem că “deși interpretările Regulamentului GDPR pot fi multiple și uneori specificul complicat, până la urmă ceea ce se dorește prin GDPR este grija firească față de datele personale ale celor care apelează la serviciile / produsele tale. Când această grijă există, este firesc să fii transparent cu clienții despre ce date și pentru ce anume le colectezi, este firesc să te asiguri că ele nu ajung unde nu trebuie, este firesc să îți instruiești angajații să protejeze datele cu caracter personal cu care intră în contact și este firesc ca până la urmă să depui eforturile necesare unei conformări pe bune la GDPR, și nu a unei implementări de fațadă.” Dan Gurghian, parte din echipa GDPR Complet, a fost implicat pe parcursul perioadei 2018 – 2021 în zeci de proiecte de implementare GDPR la instituţii publice şi companii private de toate mărimile din România, la crearea de cursuri de pregătire online şi aplicaţii software destinate conformării la cerinţele GDPR. GDPR Complet

De aici și următoarele sfaturi pentru operatori:

• Nu colecta / nu prelucra mai multe date decât ai nevoie!
• Fii transparent cu clienții despre ce date prelucrezi și pentru ce anume!
• Asigură-te că datele clienților, angajaților, colaboratorilor nu ajung unde nu trebuie!
• Instruiește-ți angajații să protejeze datele cu caracter personal cu care intră în contact!
• Atenție la conformarea la GDPR a furnizorilor cu care lucrați.

Indiferent de domeniul în care lucrezi, contactează echipa GDPRComplet pentru orice nelămurire ai referitoare la protecția datelor cu caracter personal și stabilim împreună de ce ai nevoie pentru a scăpa de grija GDPR-ului.

Cine e GDPR Complet?

O echipă de specialiști cu experiență de peste 10 ani în domeniul managerial, juridic și IT. Suntem alături de cei care doresc să respecte viața privată și datele cu caracter personal ale angajaților, clienților, colaboratorilor și care vor să evite amenzile și sancțiunile specifice domeniului GDPR. 

Cu ce te putem ajuta?Am oferit servicii de conformare GDPR, Consultanță GDPR și implementare GDPR cu expertiză juridică, expertiză în securitate IT și expertiză în managementul afacerilor pentru 800 de companii și instituții publice, de la proiecte simple precum conformarea website-ului la GDPR până la DPO externalizat pentru municipii reședință de județ.