GDPR în e-commerce: ce mai învățăm din măsurile luate de Autoritate

(Timp estimat pentru citirea acestui articol: 1 min)

Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a publicat o listă cu 55 de măsuri (avertismente, amenzi și alte măsuri coercitive) luate în perioada iunie – septembrie 2019, în ceea ce privește respectarea regulamentului datelor personale (GDPR).

Transparența Autorității este de apreciat, mai ales că avem de învățat destule lucruri și putem extrage bune practici din aceste măsuri. Cele mai frecvente probleme au fost:

  1. Magazinele online și site-urile analizate nu au răspuns (deloc sau suficient sau în termenul legal) la cererile persoanelor fizice privind încălcarea GDPR.
  2. Site-urile au trimis mesaje comerciale fără consimțământul persoanelor vizate (sau fără dovada acestui consimțământ). De asemenea, site-urile au continuat să trimită mesaje și după ce utilizatorii au încercat să se dezaboneze.
  3. Nu au fost luate măsuri de securitate suficiente sau deloc pentru a proteja datele personale colectate, ceea ce a dus (sau putea duce) la dezvăluiri neuautorizate de informații private.

Iată câteva cazuri semnificative:

Site (firmă) Încălcarea / încălcările din GDPR depistate de ANSPDCP
Vola.ro (Vola.RO SRL) Nu a luat măsuri de securitate pentru protejarea datelor personale colectate. Site-ul a transmis e-mailuri destinate unui client al societății către mai mulți destinatari, aspect ce a dus la divulgarea neautorizată a acestor date către persoane neautorizate și la compromiterea confidențialității.
Altex.ro (Altex România SRL) A transmis unui petent mesaje comerciale promoționale nesolicitate, prin e-mail, fără a dovedi existența consimțământului expres prealabil al acestuia.
Emag.ro (Dante International SA) Nu a respectat Procedura de lucru Customer Care Identificarea clientului persoană fizică.
Emag.ro (Dante International SA) Nu a făcut dovada că a transmis, până la data procesului verbal, un răspuns complet adresat petentului, la cererea sa transmisă prin e-mail, prin care și-a exercitat dreptul de acces.
Emag.ro (Dante International SA) Nu a luat în considerare opțiunea petentului de a-i fi dezactivată din baza de date adresa sa de e-mail pentru mesaje de tipul chestionarelor de satisfacție, opțiune adusă la cunoștința operatorului printr-o solicitare, astfel încât, două luni mai tarziu, a primit un alt mesaj de acest tip.
Avocatoo.ro (Legal Company & Tax Hub SRL) A divulgat neautorizat și a oferit accesul neautorizat la datele cu caracter personal ale persoanelor care au efectuat tranzacții pe avocatoo.ro, documente accesibile publicului pe aceste site, timp de aproape două luni.
Bigotti.ro (SC Graftex Prodcom SRL) N-a făcut dovada existenței acordului petentului pentru comunicarea de mesaje comerciale.
Artmark.ro (Societatea Artmark Holding SRL) N-a făcut dovada obținerii consimțământului prealabil expres și neechivoc al petentului pentru transmiterea de mesaje comerciale pe adresa sa de e-mail, la o anumită dată.
Olarian.ro (Olarian Augustin-Maradona PFA) Nu a putut face dovada obținerii consimțământului prealabil al persoanelor vizate, inclusiv al petentului, pentru prelucrarea adreselor lor de e-mail, colectate de pe internet, în scopul transmiterii de mesaje comerciale. De asemenea, nu mai poate să prelucreze datele personale fără consimțământul persoanelor vizate și i s-a recomandat utilizarea metodei "double opt-in” pentru colectarea adreselor de e-mail.
Avocatnet.ro (Inteligo Media SA) N-a putut face dovada obținerii consimțământului explicit, pentru un număr de mare de utilizatori cărora le-a prelucrat datele cu caracter personal, pe o perioadă de 15 luni. A colectat datele personale ale utilizatorilor respectivi într-un mod nelegal și netransparent față de persoana vizată, ulterior fiind prelucrate într-un mod incompatibil cu scopul în care au fost colectate inițial. (Amenda a fost contestată în instanță)
Elefant.ro (Elefant Online S.A.) Nu a făcut dovada obținerii consimțământului prealabil expres și neechivoc pentru transmiterea de mesaje comerciale prin e-mail.

Până acum, ANSPDCP a dat amenzi de peste 325.000 de euro pentru încălcarea legislației privind protecția datelor, de la intrarea în vigoare a GDPR-ului, adică 25 mai 2018.

Citește și:
>
Primele 3 amenzi GDPR în România: de la „Se poate întâmpla” până la „Criptarea, soluția minune”
>
PREMIUM: Ați văzut ultimele amenzi ale ANPC? Să învățăm din ele!

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.