GDPR & Fan Courier Express
În data de 25.11.2019, Direcția Juridică și Comunicare din cadrul Autorității Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal, a publicat pe site-ul acesteia câteva referiri cu privire la o nouă sancțiune dispusă de autoritate pentru încălcări ale Regulamentului General de Protecție a Datelor Personale.
Astfel se precizează că ” În data de 28.10.2019 Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul FAN COURIER EXPRESS SRL și a constatat că acesta a încălcat prevederile art. 32 alin. (1) și alin. (2) din Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (RGPD).
Operatorul FAN COURIER EXPRESS SRL a fost sancționat contravențional cu amendă în cuantum de 52.325,9 lei, echivalentul a 11000 EURO.
Sancțiunea a fost aplicată operatorului întrucât nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurarii unui nivel de securitate corespunzator riscului prelucrării generat în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod, ceea ce a condus la pierderea datelor cu caracter personal (nume, prenume, numar card, cod siguranta card (cvv), adresa titular card, cod numeric personal, serie si număr card identitate, numar cont IBAN, limita credit aprobat, adresa de corespondenta) și la divulgarea/accesarea neautorizată a datelor cu caracter personal, fiind afectate de incidentele de securitate un număr de aproximativ 1100 persoane fizice vizate, deși operatorul avea obligația luării măsurilor de securitate adecvată a datelor cu caracter personal potrivit dispozițiilor art. 5 alin. (1) lit. f din RGPD.”
La o primã analizã a acestor mențiuni pe care le regãsim pe site-ul Agenției, nu putem sã nu observãm faptul cã vorbim, cel puțin la prima vedere, de o mãsurã lipsitã de proporționalitate prin raportare la numãrul persoanelor afectate șI amenda aplicatã pentru respectiva încãlcare a RGDP.
Bineînțeles cã informațiile puse la dispoziție de Autoritate sunt succinte, spre exemplu nu cunoaștem motivul declanșãrii investigației, ni se precizeazã doar cã aceasta s-a finalizat cu o anumitã sancțiune, nu știm dacã a existat o breșã de securitate sau dacã scurgerea de date a fost descoperitã doar cu ocazia controlului, însã luând aspectele menționate sub beneficiu de inventar, putem realiza o analizã cel puțin asupra proporționalitãții mãsurii.
Întrebarea care se naște este în ce mãsurã, aspectele privind cauza declanșatoare a investigației sau existența unei breșe de securitate, ar fi importante în analiza proporționalitãții?
Încã de la bun început ținem sã precizãm cã pentru a putea analiza proporționalitatea sancțiunii, este important a stabili care este starea de fapt, respectiv cum s-a ajuns la investigația Autoritãții (dacã a fost declanțatã în urma Notificãrii operatorului sau dacã în urma sesizãrii persoanei vizate ori a unui terț), care a fost conduita operatorului în situația datã, dacã a existat o intervenție neautorizatã sau vorbim de o neglijențã crasã a operatorului.
În aceeașI ordine de idei este foarte important de stabilit dacã a existat o așa numitã “breșã de Securitate”, respectiv o scurgere de date personale, eveniment care trebuia anunțat în termen de cel mult 72 de ore de la momentul la care s-a aflat de cãtre operator acest fapt. Or, în situația în care a exsitat o astfel de breșã, iar operatorul a și omis sã Notifice Autoritatea, breșa fiind descoperitã cu ocazia controlului, este evident cã sancțiunile putea fi și mai însemnate în acest caz.
De asemenea, este foarte importantã reacția operatorului dupã constatarea breșei în eventualitatea Notificãrii Autoritãții, reacție care trebuia sã diminueze eventualele consecințe ale acestei breșe, precum și luarea unor mãsuri de remediere a deficiențelor constatate în procesul de prelucrare a datelor.
Într-o altã ordine de idei, strict prin raportare la numãrul persoanelor afectate, respectiv 1100 de personae fizice și la natura datelor personale ce au fãcut obiectul încãlcãrii dispozițiilor GDPR, sancțiunea aplicatã nu pare a respecta principiul proporționalitãții, fapta fiind de o gravitate mult mai ridicatã.
Desigur dacã avem în vedere dispozițiile art. 82 al. 2 din RGDP, care prevăd faptul că ”orice operator implicat în operațiunile de prelucrare este răspunzător pentru prejudiciul cauzat de operațiunile sale de prelucrare care încalcă prezentul regulament”, putem asista în continuare la eventuale litigii privind atragerea răspunderii operatorului de către persoanele ale căror date personale au fost expuse, pentru recuperarea eventualelor prejudicii pe care acestea le-ar invoca, sens în care operatorul ar fi mult mai afectat din punct de vedere patrimonial decât prin simpla amendă.
De asemenea trebuie precizat faptul că operatorul este obligat potrivit dispozițiilor art. 34 din RGDP ca ”În cazul în care încălcarea securității datelor cu caracter personal este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul informează persoana vizată fără întârzieri nejustificate cu privire la această încălcare.”
Teoretic, din analiza informațiilor furnizate de Autoriate în acest caz, încălcarea securității datelor cu caracter personal este susceptibilă să genereze un risc ridicat, mai ales dacă avem în vedere că vorbim de următoarele date personale: cod siguranţă card (cvv), adresă titular card, cod numeric personal, serie și număr card identitate, număr cont IBAN, limită credit aprobat, adresa de corespondenţă.
Nu știm la acest moment dacă a existat vreo astfel de Notificare, însă putem preciza că doar în aceste condiții dreptul persoanei vizate de a solicita despăgubiri de la operatorul sancționat pentru prejudiciul produs ca urmare a scurgerii de date personale, va putea fi valorificat. Desigur există varianta notificări Autorității, venite din partea unei persoane vizate, în vederea clarificării situației cu privire la îndeplinirea procedurii de informare prevăzute de art 34 din GDPR sau folosirea acestor date de către un terț și aflarea de către persoana vizată.
Din păcate informațiile furnizate de către Autoritate pe site-ul folosit de aceasta spre informare nu ne permit o analiză completă asupra încălcării dispozițiilor GDPR, putând doar să presupunem că societatea respectivă, nefiind sancționată și pentru alte încălcări, ar fi respectat dispozițiile GDPR la care am făcut referie în prezentul articol, urmând a verifica dacă vor fi litigii legate de acest subiect ori notificări către Autoritate cu privire la îndeplinirea obligației de informare a persoanei vizate, prevăzută de GDPR, prin dispozițiile art. 34 . Apreciem că pe viitor ar fi de preferat ca Autoritatea să nu mai fie așa de succintă în prezentarea stării de fapt sau în menționarea prevederilor încălcate de către operator și să pună la dispoziție anumite informații care să permită o analiză mai completă.