Amendă de 17.000 de euro pentru nerespectarea dreptului de ștergere

Article Amenda stergere date conform GDPR

 

Ce s-a întâmplat?

 

Banca Poloneză Alior Bank SA, prin sucursala sa din România - Alior Bank SA Varșovia Sucursala București, a primit o amendă semnificativă, în valoare de 17.000 euro, pentru încălcarea normelor GDPR.

 

În fapt, un client, în urma finalizării raporturilor contractuale ale acestuia cu banca, solicitase ștergerea datelor sale din baza de date (în baza dreptului de a fi uitat, despre care vom discuta mai jos). Banca, primind solicitarea acestuia, i-a transmis în comunicarea referitoare la încetarea relațiilor bancare că a șters datele clientului din baza sa. Cu toate acestea, el a primit în continuare diferite mesaje de la aceștia, atât pe adresa de mail, cât și prin SMS. Aceste comunicări efectuate de bancă nu au fost solicitate de fostul client în vreun fel. Un alt aspect semnalat a fost faptul că banca a transmis corespondența cu caracter comercial, deși acesta și-a exprimat refuzul de a primi astfel de comunicări.

 

 Cum a acționat Autoritatea?

 

Având în vedere implicațiile transnaționale ale acestei prelucrări, Autoritatea pentru Protecția Datelor cu Caracter Personal (ANSPDPC) a luat legătura cu autoritatea omoloagă din Polonia, pentru a o consulta în acest caz.

 

Din investigația efectuată de ANSPDPC, a reieșit că Alior Bank SA Varșovia Sucursala București folosea o serie de aplicații și sisteme de comunicare pentru clienți. Sistemul informatic de la București era integrat în sistemul central, cel de la Varșovia, care implementa astfel și metodologia de verificare a bazei de date. În acest fel, mesajele comunicate clienților ulterior încetării relației contractuale cu banca au fost transmise de către departamentul tehnic Alior Bank SA Varșovia din Polonia, conform cerințelor transmise de Sucursala din București.

 

Concluzia ANSPDCP a fost aceea că, banca, după încetarea relației contractuale cu clienții, continua să monitorizeze activitatea acestora și să transmită mesaje privind anumite operațiuni. Așadar, acest fapt a constituit o încălcare a normelor GDPR, mai exact a art. 5 alin. (1) lit. a) și b) și art. 6.

 

ANSPDCP însă nu s-a limitat doar la aplicarea unei amenzi (17.000 euro), ci a aplicat și o măsură corectivă „ prin care s-a dispus ca operatorul să monitorizeze în mod regulat la respectarea principiilor și regulilor prevăzute de art. 5 și art. 6 din Regulamentul (UE) nr. 2016/679, pentru a se evita prelucrarea nelegală a datelor personale ale persoanelor vizate, iar în situația în care ar fi necesară reconfigurarea unor sisteme sau aplicații folosite în prelucrarea datelor personale, Alior Bank SA Varșovia-Sucursala București- să aducă la cunoștința Alior Bank SA din Polonia aceste aspecte, în scopul implementării corespunzătoare a principiilor prevăzute de Regulamentul (UE) nr. 2016/679”.

În altă ordine de idei, Autoritatea a dispus ca banca să își conformeze sistemele informatice astfel încât să respecte standardele impuse de GDPR.

 

 De ce a aplicat Autoritatea aceste sancțiuni?

 

Referitor la analiza din punctul de vedere al reglementărilor GDPR, vom analiza temeiurile care au stat la baza sancțiunii.

În ceea ce privește art. 5, autoritatea a avut în vedere faptul că nu putem vorbi despre o prelucrare în mod legal a datelor cu caracter personal (adresa de e-mail). Cu toate că inițial exista o legitimitate a prelucrării datelor (ivită pe parcursul relației contractuale), acestea sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri.

 

Din perspectiva art. 6, prelucrarea în cauză nu este legală întrucât:

·    Persoana vizată și-a exprimat refuzul față de această prelucrare a datelor sale;

·   Relația contractuală dintre client și bancă a încetat, astfel încât procesarea nu mai este necesară în scopul executării contractului;

·    Comunicările în cauză au avut un scop pur comercial.

 

Totodată, nu putem omite faptul că ne aflăm în prezența „dreptului de a fi uitat”, consacrat în art. 17. Acesta prevede faptul că persoana vizată are dreptul de a-i cere operatorului să șteargă din baza de date toate datele cu caracter personal ce o privesc, iar operatorul are obligația de a onora această cerere, atunci când sunt incidente anumite motive, dintre care menționăm:

 

a)    datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate; 

b)   persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea, în conformitate cu articolul 6 alineatul (1) litera (a);

c)    persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (1) și nu există motive legitime care să prevaleze în ceea ce privește prelucrarea sau persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (2);

 

Toate cele 3 motive se regăsesc în situația prezentată.

 

 

De asemenea, putem vorbi și despre existența premisei unor „operatori asociați” (art. 26). Pentru a determina dacă ne aflăm în această situație, trebuie să avem în vedere operațiunile pentru care datele sunt folosite. În cazul în care operatorii respectivi folosesc datele în scopuri diferite (de ex. unul le folosește pentru efectuarea operațiunilor bancare, iar celălalt în scopuri comerciale) ne aflăm în ipoteza existenței a doi operatori independenți. Dacă, în schimb, operatorii întreprind acțiuni similare, iar unul dintre ei, să presupunem că mai întreprinde și o operațiune secundară pe lângă (spre ex. ambii folosesc datele pentru operațiuni bancare, dar unul le folosește și în scop comercial), ne aflăm în situația existenței unor operatori asociați.

 

Într-un caz asemănător, ce implică cunoscuta companie H&M, autoritatea suedeză a sancționat cu aprox. 30.000 euro trimiterea de mail-uri în scop publicitar unor persoane care și-au exprimat în mod direct refuzul de a mai primi astfel de materiale. Este de notat faptul că, deși plângerile au venit de la 6 persoane din state diferite (Polonia, Italia și Regatul Unit), competența soluționării acestui caz a revenit autorității din Suedia, întrucât sediul H&M se află în această țară.

 

Recomandări:

Atunci când prelucrarea de date cu caracter personal este efectuată de către o sucursală într-un alt sistem centralizat, este esențial să ne asigurăm că cererile primite de la persoanele vizate ajung la cei ce operează sistemul central. Pentru o mai bună gestionare a unor astfel de situații, recomandăm:

      stocarea datelor într-un singur sistem, la nivel de sucursală

 dacă totuși avem un sistem centralizat, delimitarea clară a clienților în funcție de sucursala care operează aceste date, iar administrarea acestor date să fie făcută de sucursala care le și operează, pentru o gestionare adecvată a acestora

      redirecționarea automată a cererilor către sistemul centralizat, pentru a le putea adresa

      utilizarea unor acorduri diferite pentru sucursală și compania mamă

De asemenea, trebuie să ne asigurăm că cererile nu doar primesc un răspuns, ci și o rezolvare în adevăratul sens al cuvântului, altfel există pericolul unei sancțiuni.

Atunci când ne aflăm în situația în care o persoană își exprimă refuzul de a primi materiale de marketing, să ducem la îndeplinire fără intârziere aceste cereri.

Să avem în vedere faptul că atunci când o societate străină prelucrează date din România, dacă ANSPDCP nu are competența teritorială, în toate statele din UE există o autoritate de supraveghere în domeniul de Data Protection care poate sancționa o companie cu sediul în oricare din aceste țări.

Pentru informatii suplimentare despre conformitatea cu prevederile GDPR ne puteti scrie la office@decalex.ro 

 

Mihai Florea

Data protection trainee

Decalex Digital

 

Share:
DECALEX  TEAM
Autor: DECALEX TEAM We make privacy easy

PUNE O INTREBARE