Ce s-a întâmplat de la introducerea GDPR?

Pe ^data de 25 mai 2018, în urmă cu aproape zece luni, regulamentul european general privind protecția datelor a intrat în vigoare. După hype-ul enorm cauzat de introducere, s-ar putea să vă întrebați dacă noul regulament a avut vreun efect. De fapt, s-au întâmplat multe, s-au dat amenzi și avertismente și s-au depus multe procese.

Pentru a vă oferi o imagine de ansamblu asupra locurilor în care sunt încălcate problemele legate de protecția datelor, am colectat amenzi, avertismente și procese în curs bazate pe GDPR.

Amenzi aplicate pe baza GDPR

Cazul 1: Furtul datelor utilizatorului – Germania

Platforma de chat „Knuddels” a fost spartă și parolele, pseudonimele și adresele de e-mail au fost furate, deoarece aceste informații au fost stocate necriptate. Stocarea necriptată a datelor este o protecție insuficientă a datelor cu caracter personal. Acest lucru încalcă principiul confidențialității implicite și confidențialitatea prin proiectare cerut de GDPR.

Amenda aplicată în acest caz se ridică la 20.000 de euro.
Sursa: Furtul datelor utilizatorilor – Germania (germană)

Cazul 2: Publicarea datelor de sănătate – Germania

Probabil din cauza unei greșeli neintenționate, datele personale de sănătate au devenit accesibile online. (Nu au fost dezvăluite alte detalii cu privire la acest caz.) Și în acest caz, principiul confidențialității implicite și confidențialitatea prin proiectare a fost încălcat deoarece au fost luate măsuri de protecție inadecvate.

Amenda s-a ridicat aici la 80.000 de euro.
Sursa: Publicarea datelor de sănătate – germană ( germană )

Cazul 3: Aprobarea utilizatorului Google lipsă/eronată – Franța

Cea mai mare amendă de până acum a fost aplicată Google. Acest proces a fost intentat în ziua în care GDPR a intrat în vigoare. În acest caz, amenda s-a întemeiat pe încălcarea obligației de informare și transparență și lipsa unui temei legal pentru utilizarea publicității personalizate.

În acest caz, amenda aplicată se ridică la 50.000.000 de euro.
Quelle: Lipsa Google de aprobare a utilizatorului
Comunicarea Oficială a CNIL (Autoritatea Franceză pentru Protecția Datelor)

În total, de la intrarea în vigoare a GDPR au fost aplicate în Germania 41 de amenzi cu sume cuprinse între 15.000 și 100.000 de euro . Amenzile au fost justificate de o serie de factori:

• au fost luate măsuri tehnice și organizatorice inadecvate de către un hotel, care nu a putut exclude posibilitatea ca cardul de credit sau alte date ale clienților din sistemul său de rezervare să fi fost dezvăluite în cazul unui atac extorsionat al hackerilor;
• publicarea datelor de sănătate pe internet din cauza mecanismelor de control intern inadecvate,
• eroare umană: dezvăluirea datelor de sănătate către un pacient greșit de către un spital,
• înregistrarea tuturor apelurilor efectuate și primite către o brigadă de pompieri a statului Bremen,
• dezvăluirea extraselor de cont către persoane neautorizate care utilizează servicii bancare online,
• e-mailuri publicitare inacceptabile ,
• copie neautorizată a datelor clienților în timpul unui atac de hacker asupra unui magazin web,
• utilizarea neautorizată a camerei Dashcam ,
• o listă de distribuție de e-mail deschisă ,
• supraveghere video neautorizată a clienților și angajaților.

În Europa, de la intrarea în vigoare a GDPR au fost aplicate un total de 91 de amenzi .

Atenționări și judecăți de la intrarea în vigoare a GDPR

Cazul 1: Site web fără criptare

Tribunalul districtual din Wurzburg a interzis unui avocat să folosească site-ul ei fără criptare și fără o declarație suficientă de protecție a datelor, sub amenințarea cu o amendă de 250.000 de euro.
Sursa: site web fără criptare (germană)

Cazul 2: Utilizarea publicului personalizat Facebook

Oficiul de Stat Bavarez pentru Protecția Datelor a interzis unui magazin online să folosească „Facebook Custom Audience”. Verdictul a fost confirmat de către „Verwaltungsgericht” și „Verwaltungsgerichtshof”. Motivul prezentat aici a fost utilizarea datelor personale fără acordul vizitatorilor.

Sursa: Utilizarea publicului personalizat Facebook (germană)

Procese în curs din cauza GDPR

• Instagram (Belgia): Motiv: Informații insuficiente și consimțământ forțat, lipsă sau insuficient.
• WhatsApp (Hamburg): Motiv: Informații insuficiente și consimțământ forțat, lipsă sau insuficient.
• Facebook (Austria): Motiv: Informații insuficiente și consimțământ forțat, lipsă sau insuficient.
• Austria: Banca Austriacă percepe 30 EUR pentru preluarea datelor personale stocate ale unui client pentru acel client. Instanța a dat în favoarea reclamantului, după care banca a contestat decizia la o instanță superioară, Curtea Administrativă Federală. Motivul deciziei instanței aici a fost refuzul de a acorda dreptul la divulgarea gratuită a datelor cu caracter personal stocate.
• Curtea Europeană de Justiție: Acțiune împotriva utilizării Scutului de confidențialitate SUA-UE (exemplu Facebook), deoarece transferurile către SUA pot fi interceptate de NSA conform legislației SUA.
• Regatul Unit și Irlanda: Google și IAB au fost dați în judecată pentru licitare în timp real (RTB) în reclame. Potrivit reclamantului, sistemele RTB partajează zilnic sute de miliarde de puncte de date personale cu alte sisteme fără acordul utilizatorului. Chiar și date sensibile precum „abuz, incest sau statut HIV” sunt partajate. Potrivit reclamantului, IAB știa dinainte că sistemul său nu este conform GDPR. Google, pe de altă parte, încearcă să transmită obligația site-urilor web care afișează reclame de a obține consimțământul utilizatorului.

Surse:
https://noyb.eu/
https://mashable.com/article/gdpr-google-iab-complaint-evidence-update/?europe=true

De la intrarea în vigoare a GDPR, peste 59.000 de scurgeri de date au fost raportate autorităților europene de protecție a datelor. Țările cu cel mai mare număr de scurgeri de date raportate sunt Țările de Jos cu 15.400 de scurgeri de date, Germania cu 12.600 și Marea Britanie cu 10.600. Cipru cu 35 de rapoarte, Islanda cu 25 și Liechtenstein cu 15 sunt țările cu cele mai puține scurgeri de date.

Oficiul de Stat Bavarez pentru Supravegherea Protecției Datelor (BayLDA) a verificat 40 de site-uri web ale companiilor de mare acoperire pentru a verifica dacă sunt conforme cu GDPR în ceea ce privește consimțământul și documentația utilizatorului . Niciunul dintre cele 40 de site-uri web ale companiei nu a implementat corect un proces de obținere a consimțământului utilizatorului și informații corecte despre utilizator. Și aici există amenințarea cu procese și avertismente.

După cum puteți vedea, s-au întâmplat multe în domeniul protecției datelor în ultimele zece luni. Noul regulament privind protecția datelor oferă un temei juridic important pentru ca utilizatorii să își protejeze datele personale. Prin urmare, companiilor li se solicită și sunt bine sfătuite să respecte noile cerințe de protecție a datelor .

Vă rugăm să rețineți că GDPR și noile cerințe se aplică și companiilor elvețiene care își oferă serviciile și produsele cetățenilor UE.