Amenzile GDPR confirmate de instanțele de judecată!

Din ce în ce mai multe amenzi GDPR date de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, în continuare denumită Autoritatea, sunt confirmate de către instanțele de judecată!

Un asemenea caz este și cel al operatorului Banca Transilvania SA care la data de 26.11.2020 a fost sancționat contravențional cu amendă în cuantum de 487.380 lei (echivalentul a 100.000 EURO) pentru încălcarea dispozițiilor art. 32 alin. (1) și (2) coroborate cu art. 5 lit. f) din Regulamentul General privind Protecția Datelor, respectiv pentru dezvăluirea în spațiul public (on-line) a declarației solicitată de operator unui client al său cu privire la modul în care intenționa să utilizeze o anumită sumă de bani pe care acesta dorea să o ridice din contul său. Această declarație a fost distribuită între câțiva angajați ai Băncii Transilvania SA pe adresele de e-mail de serviciu. Unul dintre angajați a listat e-mailul ce conținea declarația clientului, precum și e-mailul ce conținea conversația internă între angajații operatorului. Un alt angajat a fotografiat cu telefonul mobil înscrisul listat și l-a distribuit prin intermediul aplicației WhatsApp. Ulterior, înscrisul listat a fost postat și distribuit pe rețeaua de socializare Facebook și pe un site.

Procesul verbal de constatare și sancționare a contravenției a fost contestat în fața instanțelor de judecată. După aproape 2 ani de litigii, Curtea de Apel Cluj s-a pronunțat definitiv prin Decizia civilă nr. 9 din 13.04.2022, prin care a confirmat amenda în cuantum de 100.000 de euro aplicată de Autoritate Băncii Transilvania.

Pentru a hotărî astfel, instanța de judecată a reținut faptul că Regulamentul a introdus un nivel mult mai ridicat de responsabilizare a operatorului de date în comparație cu Directiva 95/46/CE privind protectia datelor, iar articolele 25 și 32 din RGPD prevăd că operatorii „au în vedere stadiul actual al tehnologiei, costurile implementării și natura, domeniul de aplicare, contextul, scopurile prelucrării, precum și riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice pe care le prezintă prelucrarea”.

De asemenea, instanța a reținut în mod corect următoarele aspecte: ”În cauză, pentru a dovedi conduita sa diligentă în ce privește instruirea personalului în domeniul protecției datelor cu caracter personal reclamanta a depus o serie de reglementări interne precum și dovada organizării unor cursuri având această tematică, însă apare important de subliniat că nu s-a dovedit participarea efectivă a personalului la aceste cursuri și nici aplicarea efectivă a vreunei modalități de verificare a însușirii acestor cunoștințe și informații”.

Aspectele invocate de reclamantă în sensul în care ar fi luat măsuri adecvate, în scopul implementării prevederilor din Regulament, sunt contrazise chiar de faptele constatate prin procesul verbal de contravenție și necontestate, care atestă divulgarea intenționată, în mod neautorizat, de către persoanele aflate sub autoritatea Băncii, a unui [set] însemnat de date cu caracter personal (unele din categoria datelor extrem de sensibile) către un număr foarte mare de persoane.

Dezinvoltura cu care angajații reclamantei au acționat, transmițând de la unul la altul datele cu caracter personal ale clientului băncii și ulterior, unor terțe persoane, prin intermediul aplicației Whatsapp, atestă nu doar necunoașterea procedurilor de lucru privind prelucrarea datelor cu caracter pesonal cât mai ales (și mai grav) inabilitatea acestora de a identifica și califica datele la care au acces ca find date cu caracter personal, ceea ce denotă o lipsă acută de instruire efectivă.

În ce privește consecințele încălcării, s-a reținut că ”acestea au fost corect calificate de către autoritate ca find grave prin raportare la cantitatea datelor cu caracter personal diseminate de angajații Băncii, natura sensibilă a acestora, modalitatea de diseminare (prin internet, mailul cuprinzand datele clientului Băncii circulând intens în spatiul public, informații sintetice find preluate inclusiv de bloguri, canale TV și site-uri de știri), numărul extrem de mare al persoanelor care au dobandit acces la datele clientului Băncii pentru o perioadă de timp imposibil de determinat, urmare a transmiterii informațiilor prin mijloacele cele mai diverse, toate aceste aspecte fiind în măsură să confere o imagine corectă cu privire la amploarea și gravitatea consecințelor incidentului de securitate.

În final, concluzia instanțelor de judecată a fost în sensul că amenda în cuantum de 100.000 euro este legală, „eficace, proporțională și disuasivă” și a fost stabilită cu luarea în considerare a naturii, gravității și consecintelor încălcării, precum și tuturor celorlalte criterii prevazute de Regulament, criterii care au fost analizate de autoritate în mod coerent și obiectiv.

Facem trimitere mai jos și la alte două cazuri similare de încălcare a dispozițiilor Regulamentului referitoare la principiile prelucrării datelor și la măsurile de asigurare a securității acestora, unde instanțele de judecată au menținut procesele – verbale contestate, respectiv:

  • Curtea de Apel București a confirmat amenzile aplicate operatorului Vreau Credit în cuantum total de 95.024 lei (echivalentul a 20.000 euro) pentru încălcarea art. 32 și 33 din RGPD;
  • Curtea de Apel București a confirmat amenzile aplicate operatorului Hora Credit în cuantum total de 66.901,8 lei (echivalentul a 14.000 EUR), pentru încălcarea art. 5 alin. (1) lit. d) și f), art. 5 alin. (2), art. 25, art. 32 și art. 33 alin. (1) din RGPD.