Regulamentul General privind Protecţia Datelor Regulamentul (GDPR) a împlinit luni doi ani de la aplicare, în 25 mai 2018.
Momentul vine în plină pandemie Vocid-19, când dezbaterile privind GDPR au fost mai prezente decât oricând în societate, din numeroase motive – digitalizare rapidă și forțată a unor domenii, explodarea temporară a telemuncii (chiar dacă am avut în UE cel mai mic procent de angajați care au lucrat de acasă din cauza noului coronavirus), telemedicina etc.
Peste 500.000 de joburi noi create în UE
În momentul instituirii obligativității reglementărilor GDPR, aproximativ 20% dintre operatorii europeni declanșaseră deja procedurile de conformare la noile standarde de protejare a datelor personale. Se estimează că procentul a urcat până la circa 60%, la nivel UE, în prezent.
GDPR a dus la apariția unei noi meserii, Responsabil cu protecția datelor cu caracter personal (DPO), iar anul trecut în UE existau aproximativ 500.000 de asemenea joburi.
Statistică GDPR
- suma totală a sancțiunilor acordate în UE, în cei doi ani de aplicare a GDPR, a fost de 114 millioane de dolari
- cele mai mari amenzi au fost înregistrate în Franța (56,5 milioane dolari), Germania (26,1 milioane $) și Austria (10,9 milioane dolari).
- cele mai multe notificări adresate autorităților naționale – Olanda (40.647), Germania (37.636) și Marea Britanie (22.181).
- de la 25 mai 2018 și până la 27 ianuarie 2019, în UE s-au înregistrat, în medie, 247 de notificări privind încălcarea GDPR, iar de pe 28 ianuarie 2019 și până la 27 ianuarie 2020, această medie a crescut cu 12,6%, până la 278 de notificări zilnice.
România – 26 de amenzi, cea mai mare a fost de 150.000 de euro
În doi ani, instituția responsabilă, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), a aplicat 26 de sancțiuni, ceea ce plasează România pe locul trei în UE, după după Spania şi Germania, la numărul de amenzi.
Dintre cele 26 de amenzi, cele mai multe au fost aplicate unor companii mari găsite vinovate pentru că angajați ai lor au divulgat datele clienților, dar au fost și cazuri de angajatori mici sancționați pentru supravegherea video a propriilor salariați.
Prima amendă aplicată în România – în iunie 2019, Unicredit Bank a fost amendată cu 130.000 de euro, întrucât nu a luat măsuri adecvate pentru protejarea datelor personale ale clienţilor săi.
Alte amenzi aplicate în România:
- Raiffeisen Bank – amendă de 150.000 de euro după ce doi angajaţi au transmis datele clienţilor pe WhatsApp.
- ING Bank – 80.000 euro, pentru nerespectarea conceptelor privacy by design şi privacy by default (protecţia datelor din momentul conceperii şi protecţia implicită a datelor). Au fost afectaţi peste 225.000 de clienţi.
- Tarom – 20.000 de euro după ce unul dintre angajaţii companiei a accesat neautorizat aplicaţia de rezervări şi a fotografiat o listă cu datele personale a 22 de pasageri, după care a divulgat online lista.
- BCR – amendată cu 24.163,50 lei (aproximativ 5.000 euro), pentru că nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării – a avut loc o colectare a copiilor actelor de identitate ale clienților persoanelor fizice (minori și reprezentanți legali) prin intermediul telefonului personal al unei angajate a operatorului, precum și transmiteri ale copiilor acestor acte la nivelul operatorului, prin aplicația Whatsapp, cu încălcarea procedurii de lucru.
- Enel Energie Muntenia SA – 3.000 euro, pentru încălcarea securității și confidențialității datelor cu caracter personal. Operatorul Enel Energie Muntenia SA a transmis pe adresa de e-mail a unui client persoană fizică, date personale (nume și prenume, adresă, adresă de e-mail, cod client, cod eneltel) ale unui alt client.
- Vodafone România SA – trei amenzi, în valoare totală de peste 34.000 lei, pentru că un operator a încălcat prevederile privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, precum și pentru că nu a notificat breșele de securitate.
Prima mare amendă în UE – 50 milioane de euro, sancțiune primită de Google în Franța
Prima mare amendă a fost primită de Google. Autoritatea națională franceză (CNIL) a sancționat gigantul tech cu 50 de milioane de euro, în ianuarie 2019, din cauza insuficientei informări a utilizatorilor în legătură cu exploatarea datelor lor personale,
„Nu negăm că Google informează” noul utilizator de smartphone Android, dar „informația nu este accesibilă cu ușurință, ea este diseminată în diferite documente” pe care internautul nu le va consulta niciodată, a argumentat el.
Cea mai mare amendă dată în UE
Autoritatea britanică (British Information Commissioner’s Office, ICO) a amendat British Airways, în iulie 2019, cu 221 milioane de dolari, pentru breșele de securitate ce au dus la furtul datelor a 380.000 de clienți ce și-au achiziționat călătoria de pe site-ul operatorului aerian.
Pentru comparație, cu puțin înainte de intrarea în vigoare a GDPR, tot ICO a amendat cu numai 605.000 dolari (500.000 de lire sterline) compania Facebook, în scandalul Cambridge Analytica.
Datele a cel puţin 1 milion de utilizatori britanici au fost colectate de Cambridge Analytica şi folosite în scopuri politice.
500.000 de lire sterline era amenda maximă prevăzută în Marea Britanie înainte de 25 mai 2018, când a intrat în vigoare Regulamentul GDPR.
