Acasă » OPINII-ANALIZĂ » Avocat despre amenda primită de Fan Courier pentru încălcarea GDPR: ”nu pare a respecta principiul proporționalitãții”

Avocat despre amenda primită de Fan Courier pentru încălcarea GDPR: ”nu pare a respecta principiul proporționalitãții”

Avocatul Lucian Pop din cadrul SCA Iordăchescu și Asociații a realizat o analiză a comunicatului ANSPDCP cu privire la amenda aplicată companiei Fan Courier pentru încălcarea GDPR. Redăm mai jos textul preluat de pe site-ul societății de avocatură:

La o primã analiză a acestor mențiuni pe care le regãsim pe site-ul Agenției, nu putem sã nu observãm faptul cã vorbim, cel puțin la prima vedere, de o mãsurã lipsitã de proporționalitate prin raportare la numãrul persoanelor afectate șI amenda aplicatã pentru respectiva încãlcare a RGDP.

Bineînțeles cã informațiile puse la dispoziție de Autoritate sunt succinte, spre exemplu nu cunoaștem motivul declanșãrii investigației, ni se precizeazã doar cã aceasta s-a finalizat cu o anumitã sancțiune, nu știm dacã a existat o breșã de securitate sau dacã scurgerea de date a fost descoperitã doar cu ocazia controlului, însã luând aspectele menționate sub beneficiu de inventar,  putem realiza o analizã cel puțin asupra proporționalitãții mãsurii.

Întrebarea care se naște este în ce mãsurã, aspectele privind cauza declanșatoare a investigației sau existența unei breșe de securitate, ar fi importante în analiza proporționalitãții?

Încã de la bun început ținem sã precizãm cã pentru a putea analiza  proporționalitatea sancțiunii,  este important a stabili care este starea de fapt, respectiv cum s-a ajuns la investigația Autoritãții (dacã a fost declanțatã în urma Notificãrii operatorului sau dacã în urma sesizãrii persoanei vizate ori a unui terț), care a fost conduita operatorului în situația datã, dacã a existat o intervenție neautorizatã sau vorbim de o neglijențã crasã a operatorului.

În aceeașI ordine de idei este foarte important de stabilit dacã a existat o așa numitã  “breșã de Securitate”, respectiv o scurgere de date personale, eveniment care trebuia anunțat în termen de cel mult 72 de ore de la momentul la care s-a aflat de cãtre operator acest fapt. Or, în situația în care a exsitat o astfel de breșã, iar operatorul a și omis sã Notifice Autoritatea, breșa fiind descoperitã cu ocazia controlului, este evident cã sancțiunile putea fi și mai însemnate în acest caz.

De asemenea, este foarte importantã reacția operatorului dupã constatarea breșei în eventualitatea Notificãrii Autoritãții, reacție care trebuia sã diminueze eventualele consecințe ale acestei breșe, precum și luarea unor mãsuri de remediere a deficiențelor constatate în procesul de prelucrare  a datelor.

Într-o altã ordine de idei, strict prin raportare la numãrul persoanelor afectate, respectiv 1100 de persoane fizice și la natura datelor personale ce au fãcut obiectul încãlcãrii dispozițiilor GDPR, sancțiunea aplicatã nu pare a respecta principiul proporționalitãții, fapta fiind de o gravitate mult mai ridicatã.

Desigur dacã avem în vedere dispozițiile art. 82 al. 2 din RGDP, care prevăd faptul că ”orice operator implicat în operațiunile de prelucrare este răspunzător pentru prejudiciul cauzat de operațiunile sale de prelucrare care încalcă prezentul regulament”, putem asista în continuare la eventuale litigii privind atragerea răspunderii operatorului de către persoanele ale căror date personale au fost expuse, pentru recuperarea eventualelor prejudicii pe care acestea le-ar invoca, sens în care operatorul ar fi mult mai afectat din punct de vedere patrimonial decât prin simpla amendă.

De asemenea trebuie precizat faptul că operatorul este obligat potrivit dispozițiilor art. 34 din RGDP ca ”În cazul în care încălcarea securității datelor cu caracter personal este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul informează persoana vizată fără întârzieri nejustificate cu privire la această încălcare.”

Teoretic, din analiza informațiilor furnizate de Autoriate în acest caz, încălcarea securității datelor cu caracter personal este susceptibilă să genereze un risc ridicat, mai ales dacă avem în vedere că vorbim de următoarele date personale:  cod siguranţă card (cvv), adresă titular card, cod numeric personal, serie și număr card identitate, număr cont IBAN, limită credit aprobat, adresa de corespondenţă.

Nu știm la acest moment dacă a existat vreo astfel de Notificare, însă putem preciza că doar în aceste condiții dreptul persoanei vizate de a solicita despăgubiri de la operatorul sancționat pentru prejudiciul produs ca urmare a scurgerii de date personale, va putea fi valorificat.  Desigur există varianta notificări Autorității, venite din partea unei persoane vizate, în vederea clarificării situației cu privire la îndeplinirea procedurii de informare prevăzute de art 34 din GDPR  sau folosirea acestor date de către un terț și aflarea de către persoana vizată.

Din păcate informațiile furnizate de către Autoritate pe site-ul folosit de aceasta spre informare nu ne permit o analiză completă asupra încălcării dispozițiilor GDPR, putând doar să presupunem că societatea respectivă, nefiind sancționată și pentru alte încălcări, ar fi respectat dispozițiile GDPR la care am făcut referie în prezentul articol, urmând a verifica dacă vor fi litigii legate de acest subiect ori notificări către Autoritate cu privire la îndeplinirea obligației de informare a persoanei vizate, prevăzută de GDPR, prin dispozițiile art. 34 . Apreciem că pe viitor ar fi de preferat ca Autoritatea să nu mai fie așa de succintă în prezentarea stării de fapt sau în menționarea prevederilor încălcate de către operator și să pună la dispoziție anumite informații care să permită o analiză mai completă.

Comments

comentarii

Lasă un răspuns

error: Conținut protejat. Contactați-ne la office@clujust.ro dacă vreți să preluați! Apăsați CTRL+P dacă vreți să printați pagina