Avocatnet.ro, amendat pentru nereguli la crearea de cont

Avocatnet.ro, amendat pentru nereguli la crearea de cont

Detinatorul site-ului avocatnet.ro a fost amendat de Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP) pentru nereguli la crearea de cont.

Astfel, Avocatnet.ro a primit o amenda in valoare de 9.000 de euro pentru incalcarea regulamentului GDPR.

 

In ce au constat incalcarea regulilor

 

Potrivit comunicatului oficial, actiunea a fost declansata ca urmare a unei sesizari prin care se semnala faptul ca pentru crearea unui cont nou pe site-ul avocatnet.ro – ce apartine operatorului Inteligo Media SA, se afiseaza o acsuta nebifata, cu un text alaturat cu urmatorul continut: “Nu vreau sa primesc ‘Personal Update”.

Din cauza acestor conditii stabilite de operator, daca utilizatorul omite bifarea acestei casute, este abonat in mod automat la informarile zilnice.

Astfel, abonarea la sistemul de informare a avut loc in absenta acordului utilizatorului de a fi introdus in baza de abonati avocatnet.ro.

Comunicatul oficial privind sanctiunea aplicata a fost publicat in data de 15 octombrie 2019 pe site-ul dataprotection.ro.

 

Ce spune Autoritatea Nationala de Supraveghere

 

Autoritatea Nationala de Supraveghere a finalizat in data de 26.09.2019 o investigatie la INTELIGO MEDIA SA, constatand urmatoarele:

Incalcarea prevederilor art. 5 alin. (1) lit. a) si b), art. 6 alin.(1) lit. a) si art. 7 din RGPD, ceea ce a condus la aplicarea unei amenzi contraventionale in cuantum de 9000 de Euro.

Sanctiunea a fost aplicata ca urmare a unor sesizari prin care se semnala faptul ca pentru crearea unui cont nou pe website-ul avocatnet.ro - ce apartine operatorului Inteligo Media SA, se afiseaza o casuta nebifata, cu un text alaturat cu urmatorul continut: «Nu vreau sa primesc "Personal Update", informarea trimisa zilnic, gratuit, pe email, de avocatnet.ro.

Potrivit acestor conditii stabilite de operator, in masura in care un utilizator omite bifarea acestei casute, el este automat abonat, respectiv e-mailul sau este introdus automat in baza de abonati la aceasta informare.

Astfel, abonarea a avut loc in absenta unei manifestari de vointa din partea utilizatorilor, care sa indice in mod clar acceptarea prelucrarii in scopul stabilit de operator.

In cadrul controlului, operatorul nu a putut face dovada obtinerii unui consimtamant explicit, in conditiile prevazute de art. 7 din RGPD, pentru un numar de 4357 de utilizatori, carora le-a prelucrat datele cu caracter personal.

De asemenea, pentru transmiterea prin e-mail a informarii zilnice, operatorul a prelucrat datele in baza unui temei legal neadecvat scopului, respectiv ‘executarea unui contract’.

In acest context, subliniem ca potrivit art. 7 din RGPD, in cazul in care prelucrarea se bazeaza pe consimtamant, operatorul trebuie sa fie in masura sa demonstreze ca persoana vizata si-a dat consimtamantul pentru prelucrarea datelor sale cu caracter personal.

Totodata, considerentul (32) din acelasi regulament prevede urmatoarele:

”Consimtamantul ar trebui acordat printr-o actiune neechivoca care sa constituie o manifestare liber exprimata, specifica, in cunostinta de cauza si clara a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declaratie facuta in scris, inclusiv in format electronic, sau verbal. Acesta ar putea include bifarea unei casute atunci cand persoana viziteaza un site, alegerea parametrilor tehnici pentru serviciile societatii informationale sau orice alta declaratie sau actiune care indica in mod clar in acest context acceptarea de catre persoana vizata a prelucrarii propuse a datelor sale cu caracter personal. Prin urmare, absenta unui raspuns, casutele bifate in prealabil sau absenta unei actiuni nu ar trebui sa constituie un consimtamant. Consimtamantul ar trebui sa vizeze toate activitatile de prelucrare efectuate in acelasi scop sau in aceleasi scopuri. Daca prelucrarea datelor se face in mai multe scopuri, consimtamantul ar trebui dat pentru toate scopurile prelucrarii. In cazul in care consimtamantul persoanei vizate trebuie acordat in urma unei cereri transmise pe cale electronica, cererea respectiva trebuie sa fie clara si concisa si sa nu perturbe in mod inutil utilizarea serviciului pentru care se acorda consimtamantul.” - Directia juridica si comunicare A.N.S.P.D.C.P.

 

Cateva informatii despre GDPR

 

 

Ce este GDPR

 

GDPR reprezinta Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul general privind protectia datelor).

GDPR a fost publicat in Jurnalul Oficial al Uniunii Europene L119/4 mai 2016, a intrat in vigoare la 25 mai 2016 si este aplicabil din 25 mai 2018 la nivelul intregii Uniuni Europene.

GDPR contine un set de reguli menite sa ofere cetatenilor mai mult control asupra datelor care sunt de natura sa ii identifice.

 

Cine este obligat sa implementeze GDPR

 

GDPR se aplica oricarei organizatii care opereaza in cadrul UE, precum si oricarei organizatii din afara UE care ofera bunuri sau servicii clientilor sau intreprinderilor din UE.

In cele din urma, inseamna ca aproape fiecare corporatie majora din lume va trebui sa fie pregatita la intrarea in vigoare a GDPR. Scopul GDRP este de a simplifica mediul de reglementare pentru afaceri, astfel incat cetatenii si intreprinderile sa poata beneficia pe deplin de economia digitala.

 

La ce se refera regulamentul GDPR

 

Toate firmele, organizatiile si autoritatile sunt nevoite sa respecte noile obligatii, altfel risca amezi foarte mari si procese cu clientii sau angajatii. Iata cele mai importante lucruri pe care trebuie sa le stii despre acest regulament.

 

Prin date personale, regulamentul se refera la:

 

♦ Numele unei persoane fizice.

♦ Numerele de identificare.

♦ Date despre localizare.

♦ Orice alt tip de identificator online care este specific din punct de vedere fizic, psihologic, genetic, mental, economic, cultural sau social unei anumite persoane fizice.

♦ Orice operator de astfel de date trebuie:

♦ Sa se asigure ca datele colectate au un scop clar si nu sunt folosite in alt scop, arata o analiza GpeC.

♦ In cazul unui grup care detine mai multe firme sau al unui unei firme care detine mai multe magazine (spre exemplu), datele colectate nu pot fi folosite „la comun” deoarece scopul colectarii a fost diferit.

♦ Sa resctrictioneze accesul la datele clientilor doar angajatilor care au nevoie de acele date pentru a-si indeplini sarcinile de serviciu;

♦ Sa detina un registru al evidentelor in care sa tina cont de activitatile de prelucrare a datelor deoarece activitatea acestora nu este ocazionala.

♦ Sa se asigure ca tertii cu care lucreaza sunt in UE, Spatiul Economic European, sau in alte state cu regim adecvat si ca asigura securitatea datelor; prin terti se intelege orice operator, tool, plug-in sau alte instrumente tehnice care folosesc sau colecteaza date personale, inclusiv Facebook Pixel;

♦ Sa informeze clientii, in pagina de check-out, cu privire la folosirea datelor pe care le acestia le ofera (datele de facturare si livrare) intrucat informarea clientilor cu privire la datele colectate este obligatorie din momentul colectarii datelor;

♦ Sa stearga datele la cererea clientului, daca cererea are un temei legal, indiferent daca acest lucru se face prin suprascriere sau stergere definitiva, atat timp cat procesul este ireversibil;

♦ Sa aiba acordul cu privire la procesarea datelor cu caracter personal al angajatilor firmei.

 

Sanctiuni

 

Nerespectarea prevederilor GDPR poate avea drept rezultat o amenda de la 10 milioane de euro la 20 de milioane de euro, respectiv intre 2% si 4% din cifra de afaceri anuala globala a companiei vizate.

Amenzile vor depinde de severitatea incalcarii regulamentului si daca se considera ca firma a luat in serios masurile necesare pentru a asigura securitatea datelor.

Amenda maxima de 20 de milioane de euro sau 4% din cifra de afaceri anuala globala a companiei se va acorda la incalcarea drepturilor persoanelor vizate, transferul neautorizat international de date cu caracter personal si neadoptarea procedurilor sau ignorarea cererii accesului unei persoane la datele personale.

Amenzile de 10 milioane de euro sau 2% din cifra de afaceri anuala globala vor fi aplicate companiilor care folosesc datele cu caracter personal in alte moduri. Acestea includ nesemnalizarea cazurilor de incalcare a securitatii datelor si neasigurarea confidentialitatii si a protectiei datelor in prima etapa a proiectului.

Te-ar putea interesa si: Amenda GDPR pentru transmiterea de date personale prin WhatsApp!

Cauta in articole: