eMAG, amenda de 40.000 de euro pentru incalcarea normelor GDPR in Ungaria
Autoritatea Nationala de Supraveghere transmite, intr-un comunicat, ca a fost sesizata de autoritatea pentru protectia datelor (DPA) din Ungaria cu privire la plangerile formulate de trei persoane fizice din acest stat impotriva Dante International SA (eMAG).
Potrivit sursei citate, DPA Ungaria a considerat Autoritatea Nationala de Supraveghere ca fiind autoritatea principala in acest caz, dat fiind faptul ca aceasta societate are sediul principal in Romania.
Autoritatea Nationala de Supraveghere a acceptat propunerea de a actiona ca autoritate de supraveghere principala avand in vedere faptul ca Dante International SA a stabilit, prin intermediul site-ului emag (cu versiuni in limba oficiala a trei tari: Romania, Ungaria si Bulgaria), realizarea de operatiuni de prelucrare a datelor personale in contextul comandarii produselor pe care le comercializeaza on line (direct sau prin parteneri).
Reclamatiile clientilor din Ungaria la adresa eMAG
Astfel, in cursul investigatiilor efectuate de Autoritatea Nationala de Supraveghere pentru solutionarea celor 3 cazuri semnalate, au fost constatate urmatoarele aspecte:
1. In primul caz, un petent a solicitat stergerea contului creat pe emag.hu, purtand o corespondenta in acest sens pe adresa info@emag.hu. Prin raspunsul primit de la aceasta adresa, petentului i s-a solicitat sa trimita o cerere datata si semnata (scanata sau fotografiata) la adresa data.protection@emag.ro.
In cursul investigatiei efectuate pentru solutionarea acestei plangeri, Autoritatea Nationala de Supraveghere a constatat lipsa unei instruiri regulate si adecvate de catre Dante International SA a angajatilor din grup, cu privire la procedura care trebuie urmata in vederea solutionarii cererilor persoanelor vizate.
S-a constatat ca instruirea personalului entitatii din Ungaria se realizeaza, in principal, la angajare, iar in cadrul fiecarei entitati din cadrul grupului, si ulterior, doar in situatii specifice si particularizate la nivel de departament .
Or, potrivit art. 24 din RGPD, operatorul este obligat sa puna in aplicare masuri tehnice si organizatorice adecvate, inclusiv politici adecvate de protectie a datelor, pentru a garanta si a fi in masura sa demonstreze ca prelucrarea se efectueaza in conformitate cu RGPD. Aceste politici ar trebui sa abordeze in mod corespunzator gestionarea cererilor primite din partea persoanelor vizate si realizarea unor sesiuni regulate de instruire a personalului implicat in prelucrarea datelor personale.
2. In cel de-al doilea caz, un alt petent a solicitat stergerea datelor sale catre mai multe adrese de e-mail ale operatorului (data.protection@emag.ro , catre info@emag.hu, catre data.protection@emag.hu) si, inclusiv, prin intermediul formularului de contact existent pe site-ul acestuia, insa acest lucru nu a fost posibil, intrucat serverele emag au respins cererea sa ca provenind de la o adresa ce nu prezinta incredere.
In privinta respingerii automate a cererilor petentului, operatorul a sustinut ca serverele sale folosesc liste publice furnizate de o terta parte, asupra careia nu detine controlul, iar situatia respectiva a fost una posibil generata de reputatia slaba/proasta a serviciului @freemail.hu de la momentul in care petentul a trimis respectivele cereri catre Dante.
Situatia constatata in acest caz, a dovedit faptul ca stabilirea unui canal unic si exclusiv de comunicare pe care il pot folosi persoanele vizate, cat si lipsa unei informari adecvate cu privire la anumite limitari din punct de vedere tehnic, pot conduce la restrictionarea neintemeiata a drepturilor acestora.
De asemenea, s-a constatat ca informarea de pe site-ul emag.hu nu continea informatii complete privind transferurile catre state terte, scopurile si destinatarii in acest context, conform prevederilor art. 13 alin. (1) lit. c), e), f) si art. 14 alin. (1) lit. c), e), f) din RGPD.
In urma investigatiei, operatorul si-a modificat politica de prelucrare a datelor personale publicata pe site-urile emag, oferind persoanelor vizate posibilitatea de a trimite cererile in baza RGPD atat pe e-mail (la o adresa de tipul data.protection@emag.hu), cat si prin posta/curier la o adresa fizica din respectivul stat.
3. Un alt petent a reclamat faptul ca una dintre adresele sale de e-mail era in continuare prelucrata de Dante, desi solicitase inlocuirea acesteia cu o alta adresa de e-mail.
In cursul investigatiei efectuate, s-a constatat faptul ca, desi cererea de rectificare a fost initial solutionata pozitiv, cand operatorul a confirmat petentului rectificarea adresei sale de e-mail, adresa respectiva a continuat sa fie prelucrata de Dante, in contextul unei corespondente mai indelungate purtate cu petentul.
Intrucat s-a constatat ca adresa de e-mail a petentului a fost salvata in continuare in baza de date in scopul indeplinirii obligatiei legale de pastrare a documentelor justificative contabile, in considerarea facturilor electronice transmise anterior, Autoritatea de supraveghere a considerat ca acest scop al prelucrarii difera de cel legat de solutionarea reclamatiilor, astfel ca reactivarea acestei adrese si folosirea sa in corespondenta electronica ar fi fost posibila doar in baza consimtamantului persoanei vizate, prevazut de art. 6 alin. (1) lit. a) din Regulamentul (UE) 2016/679.
Fata de aspectele prezentate mai sus, Autoritatea de supraveghere a constatat urmatoarele:
Autoritatea Nationala de Supraveghere a apreciat ca circumstantele cazurilor mentionate mai sus prezinta un grad de gravitate care impune aplicarea unei sanctiuni cu amenda impotriva operatorului. Cazurile au fost analizate din punctul de vedere al criteriilor de individualizare a amenzilor prevazute la articolul 83 aliniatul (2) si (3) din RGDP, rezultand urmatoarele:
- natura, gravitatea si durata incalcarii nerespectarea conditiilor de transparenta prevazute de art. 12 din RGPD in privinta facilitarii exercitarii drepturilor persoanelor vizate la nivelul societatii din Ungaria (parte a grupului Dante) si implicit, neadoptarea imediata a masurilor de stergere a datelor personale in cazul a doua persoane vizate din aceasta tara, conform art. 17 din RGPD; neasigurarea unei informari complete pe site-ul emag.hu in legatura cu transferul datelor in state terte, potrivit art. 13 si 14 din RGPD; politica de gestionare a cererilor persoanelor vizate de exercitare a drepturilor prevazute de RGPD, care, cel putin in cazul societatii din Ungaria, limita modalitatile de depunere a cererilor la un singur canal de comunicare (o adresa de e-mail dedicata);
- caracterul neglijent al vinovatiei operatorului in aceste cazuri;
- masurile de remediere a unora dintre aspectele sesizate, adoptate de operator pe parcursul investigatiilor intreprinse de DPA Ungaria si de ANSPDCP, atat in cazurile particulare ale petentilor, cat si in privinta procedurilor generale aplicate de operator;
- tipurile de date personale prelucrate in cazul petentilor datele personale specifice pentru preluarea unei comenzi on line, achitarea si livrarea produsului comandat (in principal, nume, prenume, adresa e-mail, numar telefon, adresa de livrare si/sau facturare);
- sanctiunile anterioare existente, aplicate de ANSPDCP impotriva Dante International SA.
Astfel, in urma investigatiilor efectuate, Autoritatea Nationala de Supraveghere a informat celelalte autoritati de supraveghere, inclusiv autoritatea din Ungaria, in cadrul unei proceduri de consultare informala, bazata pe art. 60 din Regulamentul (UE) 2016/679, cu privire la concluziile rezultate din investigatiile efectuate in cele trei cazuri cu impact transfrontalier, precum si cu privire la proiectul de decizie intocmit de ANSPDCP.
Ca urmare a propunerilor transmise de DPA Ungaria, Autoritatea Nationala de Supraveghere a emis decizia finala, conform prevederilor art. 60 din Regulamentul (UE) 679/2016.
Avand in vedere faptul ca Dante International SA efectueaza o prelucrare transfrontaliera, s-au aplicat dispozitiile art. 60 din Regulamentul (UE) 679/2016, precum si cele ale art. 16 alin. (3), (5), (6), (7) din Legea nr. 102/2005, republicata, care prevad aplicarea sanctiunilor/masurilor corective prin decizie a presedintelui ANSPDCP, care are la baza procesul-verbal de constatare si raportul personalului de control.
Ca atare, Dante International SA a fost sanctionat contraventional:
1. cu amenda in cuantum de 148.830 lei (echivalentul sumei de 30.000 EURO) pentru incalcarea prevederilor art. 12 alin. (2) si a art. 17 alin. (1) din Regulamentul (UE) 2016/679;
2. cu avertisment pentru incalcarea prevederilor art. 13 alin. (1) lit. c), e), f) si art. 14 alin. (1) lit. c), e), f) din Regulamentul (UE) 2016/679;
3. cu amenda in cuantum de 49.610 lei (echivalentul sumei de 10.000 EURO) pentru incalcarea prevederilor art. 6 alin. (1) lit. a) din Regulamentul (UE) 2016/679.
In acelasi timp, in temeiul art. 58 alin. (2) lit. d) din Regulamentul (UE) 2016/679, Autoritatea de supraveghere a dispus fata de operator urmatoarele masuri corective:
Potrivit sursei citate, DPA Ungaria a considerat Autoritatea Nationala de Supraveghere ca fiind autoritatea principala in acest caz, dat fiind faptul ca aceasta societate are sediul principal in Romania.
Autoritatea Nationala de Supraveghere a acceptat propunerea de a actiona ca autoritate de supraveghere principala avand in vedere faptul ca Dante International SA a stabilit, prin intermediul site-ului emag (cu versiuni in limba oficiala a trei tari: Romania, Ungaria si Bulgaria), realizarea de operatiuni de prelucrare a datelor personale in contextul comandarii produselor pe care le comercializeaza on line (direct sau prin parteneri).
Reclamatiile clientilor din Ungaria la adresa eMAG
Astfel, in cursul investigatiilor efectuate de Autoritatea Nationala de Supraveghere pentru solutionarea celor 3 cazuri semnalate, au fost constatate urmatoarele aspecte:
1. In primul caz, un petent a solicitat stergerea contului creat pe emag.hu, purtand o corespondenta in acest sens pe adresa info@emag.hu. Prin raspunsul primit de la aceasta adresa, petentului i s-a solicitat sa trimita o cerere datata si semnata (scanata sau fotografiata) la adresa data.protection@emag.ro.
In cursul investigatiei efectuate pentru solutionarea acestei plangeri, Autoritatea Nationala de Supraveghere a constatat lipsa unei instruiri regulate si adecvate de catre Dante International SA a angajatilor din grup, cu privire la procedura care trebuie urmata in vederea solutionarii cererilor persoanelor vizate.
S-a constatat ca instruirea personalului entitatii din Ungaria se realizeaza, in principal, la angajare, iar in cadrul fiecarei entitati din cadrul grupului, si ulterior, doar in situatii specifice si particularizate la nivel de departament .
Or, potrivit art. 24 din RGPD, operatorul este obligat sa puna in aplicare masuri tehnice si organizatorice adecvate, inclusiv politici adecvate de protectie a datelor, pentru a garanta si a fi in masura sa demonstreze ca prelucrarea se efectueaza in conformitate cu RGPD. Aceste politici ar trebui sa abordeze in mod corespunzator gestionarea cererilor primite din partea persoanelor vizate si realizarea unor sesiuni regulate de instruire a personalului implicat in prelucrarea datelor personale.
2. In cel de-al doilea caz, un alt petent a solicitat stergerea datelor sale catre mai multe adrese de e-mail ale operatorului (data.protection@emag.ro , catre info@emag.hu, catre data.protection@emag.hu) si, inclusiv, prin intermediul formularului de contact existent pe site-ul acestuia, insa acest lucru nu a fost posibil, intrucat serverele emag au respins cererea sa ca provenind de la o adresa ce nu prezinta incredere.
In privinta respingerii automate a cererilor petentului, operatorul a sustinut ca serverele sale folosesc liste publice furnizate de o terta parte, asupra careia nu detine controlul, iar situatia respectiva a fost una posibil generata de reputatia slaba/proasta a serviciului @freemail.hu de la momentul in care petentul a trimis respectivele cereri catre Dante.
Situatia constatata in acest caz, a dovedit faptul ca stabilirea unui canal unic si exclusiv de comunicare pe care il pot folosi persoanele vizate, cat si lipsa unei informari adecvate cu privire la anumite limitari din punct de vedere tehnic, pot conduce la restrictionarea neintemeiata a drepturilor acestora.
De asemenea, s-a constatat ca informarea de pe site-ul emag.hu nu continea informatii complete privind transferurile catre state terte, scopurile si destinatarii in acest context, conform prevederilor art. 13 alin. (1) lit. c), e), f) si art. 14 alin. (1) lit. c), e), f) din RGPD.
In urma investigatiei, operatorul si-a modificat politica de prelucrare a datelor personale publicata pe site-urile emag, oferind persoanelor vizate posibilitatea de a trimite cererile in baza RGPD atat pe e-mail (la o adresa de tipul data.protection@emag.hu), cat si prin posta/curier la o adresa fizica din respectivul stat.
3. Un alt petent a reclamat faptul ca una dintre adresele sale de e-mail era in continuare prelucrata de Dante, desi solicitase inlocuirea acesteia cu o alta adresa de e-mail.
In cursul investigatiei efectuate, s-a constatat faptul ca, desi cererea de rectificare a fost initial solutionata pozitiv, cand operatorul a confirmat petentului rectificarea adresei sale de e-mail, adresa respectiva a continuat sa fie prelucrata de Dante, in contextul unei corespondente mai indelungate purtate cu petentul.
Intrucat s-a constatat ca adresa de e-mail a petentului a fost salvata in continuare in baza de date in scopul indeplinirii obligatiei legale de pastrare a documentelor justificative contabile, in considerarea facturilor electronice transmise anterior, Autoritatea de supraveghere a considerat ca acest scop al prelucrarii difera de cel legat de solutionarea reclamatiilor, astfel ca reactivarea acestei adrese si folosirea sa in corespondenta electronica ar fi fost posibila doar in baza consimtamantului persoanei vizate, prevazut de art. 6 alin. (1) lit. a) din Regulamentul (UE) 2016/679.
Fata de aspectele prezentate mai sus, Autoritatea de supraveghere a constatat urmatoarele:
- Dante International SA a incalcat prevederile art. 12 alin. (2), raportate la art. 17 din RGPD, precum si prevederile art. 17 alin. (1) din RGPD, in privinta obligatiei operatorului de a facilita exercitarea drepturilor persoanelor vizate si de a sterge datele acestora fara intarzieri nejustificate;
- Dante International SA a incalcat prevederile art. 13 alin. (1) lit. c), e), f) si art. 14 alin. (1) lit. c), e), f) din RGPD, intrucat la data inceperii investigatiei, informarea de pe site-ul emag.hu nu continea informatii complete privind transferurile catre state terte, scopurile si destinatarii datelor in acest context;
- Dante International SA a incalcat prevederile art. 6 alin. (1) lit. a) din RGPD, intrucat a prelucrat in continuare adresa de e-mail a unei persoane vizate in cadrul corespondentei purtate cu acesta, ulterior cererii de rectificare a acesteia, fara consimtamantul sau.
Autoritatea Nationala de Supraveghere a apreciat ca circumstantele cazurilor mentionate mai sus prezinta un grad de gravitate care impune aplicarea unei sanctiuni cu amenda impotriva operatorului. Cazurile au fost analizate din punctul de vedere al criteriilor de individualizare a amenzilor prevazute la articolul 83 aliniatul (2) si (3) din RGDP, rezultand urmatoarele:
- natura, gravitatea si durata incalcarii nerespectarea conditiilor de transparenta prevazute de art. 12 din RGPD in privinta facilitarii exercitarii drepturilor persoanelor vizate la nivelul societatii din Ungaria (parte a grupului Dante) si implicit, neadoptarea imediata a masurilor de stergere a datelor personale in cazul a doua persoane vizate din aceasta tara, conform art. 17 din RGPD; neasigurarea unei informari complete pe site-ul emag.hu in legatura cu transferul datelor in state terte, potrivit art. 13 si 14 din RGPD; politica de gestionare a cererilor persoanelor vizate de exercitare a drepturilor prevazute de RGPD, care, cel putin in cazul societatii din Ungaria, limita modalitatile de depunere a cererilor la un singur canal de comunicare (o adresa de e-mail dedicata);
- caracterul neglijent al vinovatiei operatorului in aceste cazuri;
- masurile de remediere a unora dintre aspectele sesizate, adoptate de operator pe parcursul investigatiilor intreprinse de DPA Ungaria si de ANSPDCP, atat in cazurile particulare ale petentilor, cat si in privinta procedurilor generale aplicate de operator;
- tipurile de date personale prelucrate in cazul petentilor datele personale specifice pentru preluarea unei comenzi on line, achitarea si livrarea produsului comandat (in principal, nume, prenume, adresa e-mail, numar telefon, adresa de livrare si/sau facturare);
- sanctiunile anterioare existente, aplicate de ANSPDCP impotriva Dante International SA.
Astfel, in urma investigatiilor efectuate, Autoritatea Nationala de Supraveghere a informat celelalte autoritati de supraveghere, inclusiv autoritatea din Ungaria, in cadrul unei proceduri de consultare informala, bazata pe art. 60 din Regulamentul (UE) 2016/679, cu privire la concluziile rezultate din investigatiile efectuate in cele trei cazuri cu impact transfrontalier, precum si cu privire la proiectul de decizie intocmit de ANSPDCP.
Ca urmare a propunerilor transmise de DPA Ungaria, Autoritatea Nationala de Supraveghere a emis decizia finala, conform prevederilor art. 60 din Regulamentul (UE) 679/2016.
Avand in vedere faptul ca Dante International SA efectueaza o prelucrare transfrontaliera, s-au aplicat dispozitiile art. 60 din Regulamentul (UE) 679/2016, precum si cele ale art. 16 alin. (3), (5), (6), (7) din Legea nr. 102/2005, republicata, care prevad aplicarea sanctiunilor/masurilor corective prin decizie a presedintelui ANSPDCP, care are la baza procesul-verbal de constatare si raportul personalului de control.
Ca atare, Dante International SA a fost sanctionat contraventional:
1. cu amenda in cuantum de 148.830 lei (echivalentul sumei de 30.000 EURO) pentru incalcarea prevederilor art. 12 alin. (2) si a art. 17 alin. (1) din Regulamentul (UE) 2016/679;
2. cu avertisment pentru incalcarea prevederilor art. 13 alin. (1) lit. c), e), f) si art. 14 alin. (1) lit. c), e), f) din Regulamentul (UE) 2016/679;
3. cu amenda in cuantum de 49.610 lei (echivalentul sumei de 10.000 EURO) pentru incalcarea prevederilor art. 6 alin. (1) lit. a) din Regulamentul (UE) 2016/679.
In acelasi timp, in temeiul art. 58 alin. (2) lit. d) din Regulamentul (UE) 2016/679, Autoritatea de supraveghere a dispus fata de operator urmatoarele masuri corective:
- de a asigura o informare completa a persoanelor vizate, prin furnizarea tuturor informatiilor prevazute de art. 13 si 14 din Regulamentul (UE) 2016/679, inclusiv in contextul transferului datelor personale catre state terte, informare care sa fie disponibila pe site-urile emag administrate de operator, in versiunea lingvistica nationala din fiecare stat;
- de a pune in aplicare o metoda de anonimizare prin care sa fie prevenit riscul de reidentificare a persoanelor ale caror date personale sunt supuse acestei proceduri, conform art. 32 din Regulamentul (UE) 2016/679;
- de a dispune masuri de instruire regulata a personalului din societatile ce fac parte din grupul de companii Dante (din Romania, Ungaria si Bulgaria) cu privire la procedura care trebuie urmata in vederea solutionarii corecte a cererilor depuse de persoanele vizate in baza Regulamentul (UE) 2016/679.
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!
Articole similare din categoria Entitati amendate
18Dec2024
Companie de transport public, amendata GDPR. Soferii erau filmati excesiv iar inregistrarile erau folosite la sanctiuni
de Colectivul de Specialisti Rentrop&Straton
18 Dec 2024
21Nov2024
Clienti cu bani retrasi din conturi si credite nesolicitate. Raiffeisen Bank, amenzi GDPR in valoare de 20.000 EURO
de Colectivul de Specialisti Rentrop&Straton
21 Nov 2024
19Nov2024
UNTOLD SRL - Amenzi de 15.000 EURO pentru nerespectarea GDPR
de Portal Protectia Datelor
19 Nov 2024
28Aug2024
Gafe majore cu imaginile surprinse de camerele de supraveghere. Kaufland Romania, amendata cu 7.000 Euro
de Portal Protectia Datelor
28 Aug 2024