Astfel, institutia bancara ne-a informat cu privire la faptul ca, in urma unei sesizari efectuata de catre un client (tert de situatie), a luat la cunostinta despre producerea unui incident de securitate, constand in dezvaluirea in spatiul public (on-line) a declaratiei solicitata de operator unui client al sau cu privire la modul in care intentiona sa utilizeze o anumita suma de bani pe care acesta dorea sa o ridice din contul sau. Aceasta declaratie a fost distribuita intre cativa angajati ai bancii pe adresele de e-mail de serviciu . Unul dintre angajati a listat e-mailul ce continea declaratia clientului, precum si e-mailul ce continea conversatia interna intre angajatii operatorului. Un alt angajat a fotografiat cu telefonul mobil inscrisul listat si l-a distribuit prin intermediul aplicatiei WhatsApp. Ulterior, inscrisul listat a fost postat si distribuit pe reteaua de socializare Facebook si pe un site.
Din investigatia efectuata in acest caz, a rezultat ca institutia bancara a incalcat prevederile art. 32 alin. (1) si alin. (2) din Regulamentul (UE) 2016/679, deoarece nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii. Aceasta a condus la divulgarea neautorizata si accesul neautorizat la datele cu caracter personal (nume si prenume, adrese de e-mail, date comportamentale, preferinte personale, valoare tranzactie financiara, adresa locului de munca, functia si locul muncii, numar de telefon de serviciu) a 4 persoane fizice vizate (un client si 3 angajati proprii), prin dezvaluirea in spatiul public a unei conversatii, prin intermediul postei electronice (clasificata de ``uz intern``) intre angajatii proprii, listata, fotografiata cu telefonul mobil si dezvaluita pe retelele de socializare, desi potrivit art. 5 lit. f) din Regulamentul (UE) 2016/679, operatorul avea obligatia de a respecta principiul ``integritate si confidentialitate``.
Totodata, s-a constatat ca dezvaluirea produsa probeaza ineficienta instruirii interne a angajatilor operatorului privind obligatiile acestora referitoare la protectia datelor cu caracter personal ale persoanelor vizate, inclusiv a masurilor pe care operatorul era obligat sa le ia, potrivit art. 32 alin. (4) din Regulamentul (UE) 2016/679, pentru a asigura faptul ca orice persoana care actioneaza sub autoritatea sa nu prelucreaza date cu caracter personal decat la cererea sa.
De asemenea, ca urmare a sesizarii primite din partea persoanei vizate afectata de incidentul de securitate, Autoritatea nationala de supraveghere a constatat ca, dezvaluirea datelor cu caracter personal in spatiul public a generat o serie de prejudicii de natura morala, precum si alte dezavantaje semnificative de natura economica sau sociala pentru aceasta.
In urma investigatiei efectuate, Autoritatea nationala de supraveghere a sanctionat operatorul cu amenda in cuantum de 487.380,00 lei (echivalentul a 100.000 EURO), pentru incalcarea prevederilor art. 32 alin. (1) si alin. (2) din Regulamentul (UE) 2016/679.
Orice persoana are dreptul sa stie cui i-au fost comunicate datele sale personale Sursa: MCP Cabinet avocati
Incidenta Regulamentului GDPR in cazul difuzarii in direct prin videoconferinta a cursurilor de invatamant scolar Sursa: MCP Cabinet avocati
Obtinerea unei copie a datelor cu caracter personal impune punerea la dispozitie a unei reproduceri fidele si inteligibila a tuturor acestor date Sursa: MCP Cabinet avocati
Simpla incalcare a Regulamentului GDPR nu constituie temeiul unui drept la despagubiri Sursa: MCP Cabinet avocati
Lipsa consimtamantului persoanei vizate pentru transmiterea de date personale catre instanta de judecata Sursa: Raportul pe anul 2020 al ANSPDCP
Transmiterea unor date personale in cadrul unui dosar aflat pe rolul instantelor de judecata Sursa: Raportul pe anul 2020 al ANSPDCP
Transmitere de mesaje de catre o banca, desi relatia contractuala aceasta entitate era incheiata Sursa: Raportul pe anul 2020 al ANSPDCP
Comunicare informatii de interes public. Excluderea de la comunicare a informatiilor ce privesc datele personale Pronuntaţă de: Curtea de Apel Iasi, Sectia Contencios administrativ si fiscal, Decizia nr. 180/10 februarie 2021
Publicarea numelui reclamantului in cuprinsul listei debitorilor, ulterior stingerii obligatiei de plata si anularii titlurilor de creanta. Nerespectarea dispozitiilor legale privind protectia datelor cu caracter personal Pronuntaţă de: Judecatoria Iasi - Sentinta civila nr. 13391 din data de 27 Noiembrie 2019
Opinie contrara: mentinerea sanctiunii pentru nedeclararea salariului confidential al membrilor de familie Pronuntaţă de: Judecatoria Sectorul 3 Bucuresti, Sentinta civila nr. 1221 din 13.02.2019
Societatilor comerciale tranzactionate pe o bursa de valori mobiliare le sunt aplicabile prevederile speciale ale Legii nr. 297/2004. GDPR actionari Pronuntaţă de: Inalta Curte de Casatie si Justitie - Decizia nr. 1733/2019