Biblioteca – Studii de Caz

 

Caută în Bibliotecă:

*Opiniile exprimate de consultanții noștri au în vedere cadrul legislativ în vigoare la data încărcării acestora în platforma GDPRHUB.

C

Consimțământ exprimat distinct

O rețea socială încuraja atât utilizatorii existenți, cât și noii adepți să-și invite prietenii din lista de contacte să se alăture platformei prin opțiunea „invită un prieten”. In acest fel, un utilizator al rețelei oferea furnizorului platformei sociale acces la lista sa de contacte, astfel încât să poată fi trimis un mesaj conținând o invitație pentru a se alătura platformei de socializare, devenind astfel membru.
Mai mult

Consimțământ granular

La semnarea unui contract de membru al operatorului, acesta incorpora clauze prestabilite privind protecția datelor persoanelor fizice care doreau să devină membri. Operatorul și-a bazat în parte legalitatea prelucrării unei părți a datelor cu caracter personal a membrilor săi pe consimțământul exprimat la semnarea contractului de membru cu privire la diferite scopuri ale prelucrării.
Mai mult

Cookies fara consimtamant

Google si Amazon trimit cookies de urmarire pe dispozitivele vizitatorilor fara acordul acestora.
Mai mult

Cookies fara consimtamant (2)

Website de stiri cu specific juridic trimite cookies de urmarire third party (Google Analytics) pe dispozitivele vizitatorilor fara acordul acestora, incadrandu-le la cookie-uri necesare.
Mai mult

Cookies fara consimtamant/ banner inadecvat, politica cookies eronata

Website de turism nu are un banner de cookies adecvat care sa permita selectarea granulara a cookie-urilor acceptate de vizitator + informatii eronate in politica de cookies.
Mai mult
D

Date colectate pentru targetare publicitara

Autoritatea de supraveghere a considerat ca exista o lipsa de transparență cu privire la modul în care datele sunt culese de la persoanele vizate și utilizate pentru targetare publicitară. Operatorul nu a oferit utilizatorilor suficiente informații despre politicile de consimțământ și nu le-a oferit suficient control asupra modului în care sunt prelucrate datele lor personale.
Mai mult

Date stocate inadecvat (necriptat) pierdute/furate

O companie de social media a fost atacara de hackeri care au furat datele a 330000 useri inclusiv parolele stocate in text clar (plain text).
Mai mult

Date stocate inadecvat, disponibile public pe internet

Site-ul autoritatii de stat care se ocupa de proprietatile din domeniul public din Malta a stocat in site peste 10Gb de date personale in clar, accesibile pe internet.
Mai mult

Divulgarea neautorizată a datelor cu caracter personal, măsuri tehnice sau organizatorice inadecvate, lipsa asigurării unui nivel de securitate corespunzător

O organizatie care activa pentru suportul persoanelor cu anumite afectiuni medicale a trimis un email catre 105 adrese punand in clientul de email (Outlook) toti destinatarii in sectiunea To / Cc (ceea ce face ca destinatarii sa se vada intre ei in informatia din headerul mailului) in loc de Bcc. Desi in scopul de trimitere de email-uri in masa, organizatia avea facut un cont intr-o aplicatie dedicata de mass-mailing, acesta nu a fost folosit. Dintre adresele folosite, 65 contineau date personale (numele destinatarului). Organizatia a descoperit imediat greseala si a anuntat autoritatea locala de protectie a datelor.
Mai mult

Divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal

O lista printata pe suport de hartie, utilizata pentru verificarea clientilor care serveau micul dejun si care continea date cu caracter personal ale unui numar de 46 de clienti, cazati la o unitate hoteliera a fost fotografiata de catre persoane neautorizate din afara societatii, ceea ce a condus la dezvaluirea in mediul on-line a datelor cu caracter personal ale unor clienti, prin publicare.
Mai mult

Drept de acces

Operatorul nu a respectat cererea de acces fără întârzieri nejustificate sau în termen de o lună de la primire. Operatorul a furnizat datele personale persoanei vizate într-un mod fragmentar, în special ca răspuns la comunicările pe care le-a primit de la autoritatea de supraveghere. Desi a raspuns cererii de acces, totalitatea datelor cu caracter personal la care avea dreptul persoana vizată nu a fost furnizată de operator in termenul maxim de 5 (cinci) luni de la primirea cererii.
Mai mult

Drept de acces, comunicare raspuns la cererea de exercitare drepturi

În cadrul investigațiilor efectuate, ANSPDCP a dispus unele măsuri corective în sarcina operatorilor raportat la cereri de exercitare drepturi (cereri de acces) formulate de catre persoanele vizate carora nu li s-a raspuns ori li s-a raspuns incomplet.
Mai mult

Drept de stergere

Autoritatea pentru Protecția Datelor a efectuat un audit privind modul în care Operatorul gestionează dreptul persoanelor de a se elimina din motorul de căutare acele listări de rezultate ale căutării care includ numele lor, în caz de lipsă de acuratețe, relevanță sau dacă este considerat superflu. În decizia sa, autoritatea a concluzionat că o serie de rezultate ale căutării ar trebui eliminate și ulterior a ordonat operatorului să facă acest lucru.
Mai mult

Drept la stergerea datelor, obligarea operatorului la a da curs cererii de stergere, comunicare raspuns la cererea de stergere

În cadrul investigațiilor efectuate, ANSPDCP a dispus unele măsuri corective în sarcina operatorilor raportat la cereri de exercitare drepturi (cereri de stergere date) formulate de catre persoanele vizate carora nu li s-a dat curs, respectiv nu li s-a raspuns ori li s-a raspuns incomplet.
Mai mult
E

Efectuare comunicari comerciale fara consimtamant

Autoritatea de supraveghere primeste o plangere in care persoana vizata mentioneaza ca a primit un apel de la compania operator de date personale care afirma ca are numarul in cauza de la un prieten al persoanei vizate pentru a-i oferi o ofertă / voucher in cadrul unei promoții. Persoana vizata si-a contactat ulterior prietenul prin WhatsApp confirmându-se suspiciunea că nu a autorizat operatorul să-l contacteze. Din moment ce operatorul nu a fost autorizat să contacteze persoana vizata în scopuri publicitare, se consideră că apelul menționat este o intruziune și o încălcare a dreptului la viața privată a datelor persoanei vizate.
Mai mult

Efectuare comunicari marketing fara efectuare verificari opozitii, comunicari marketing fara informarea privind prelucrarea datelor si fara consimtamant

Autoritatea de supraveghere a constatat a) încălcarea articolelor 5, alin. 1 și 2, 6 și 7 din Regulamentul 679/2016, pentru că Operatorul a achiziționat ilegal de la un tert datele cu caracter personal conținute în propuneri contractuale, colectate în timpul campaniilor de telemarketing în absența consimțământului părților interesate sau a altor condiții de legalitate aferente; b) desfășurarea activităților de telemarketing fără a fi consultat lunar registrul opozitiilor la prelucrarea pentru scopuri de marketing sau în orice caz înainte de fiecare campanie c) efectuarea prelucrării datelor cu caracter personal în scopuri promoționale ale produselor și serviciilor, fără a fi informat persoanele vizate în calitatea sa de operator de date sau fără a fi solicitat aceeași autorizație scrisă specifică si d) încălcarea art. 28 din Regulament, pentru stabilirea relației de colaborare cu companiile și cu persoanele fizice care efectuau operatiunile de marketing in numele operatorului (apeluri, trimiteri de emailuri, etc) fără a fi stabilit cu acestea un contract sau alt act juridic.
Mai mult
I

Informarea cu privire la prelucrare de imagini video

O societate utiliza supraveghere video, însă fără a informa în mod adecvat, distinct persoanele vizate.
Mai mult

Interes legitim

Prelucrarea unor date obținute direct de la persoanele vizate si apoi completate cu o varietate de date obtinute din surse publice. Operatorul propune persoanelor vizate o serie de produse prin comunicari de marketing. Aceste servicii de comuncari sunt disponibile unor terte parti care doresc sa vanda diferite produse, permitandu-le acestora accesul la un tool de marketing direct mai eficient.
Mai mult

Interes legitim (2)

Autoritatea de control a primit o reclamație cu privire la utilizarea de către un operator a formularului de cerere de locuri de muncă pentru a colecta informații, printre altele, despre convingerile religioase ale solicitantului, posibila sarcină și datele referitoare la membrii familiei solicitantului.
Mai mult
L

Legatura intre Regulamentul 679/2016 si legislatia nationala privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice

Autoritatea Naţională de Supraveghere a aplicat sancțiunea ca urmare a unei petiții prin care se reclama faptul că operatorul a transmis petentului mesaje comerciale nesolicitate pe adresa de e-mail a acestuia fără consimțământul său. Astfel, deși petentul solicitase societății să îi fie șterse datele cu caracter personal din baza de date a operatorului întrucât fuseseră obținute fără acordul său, acesta a continuat să primească din partea operatorului mesaje comerciale nesolicitate pe adresa sa de e-mail.
Mai mult

Lipsa informării adecvate cu privire la prelucrare

Magazin online - nota de informare publicată pe site - neadecvată, incompletă, nu era formulată într-un limbaj ușor de înțeles, clar și simplu.
Mai mult

Lipsa informării adecvate cu privire la prelucrare (2)

Operatorul economic își desfășoară activitatea în mai multe domenii, oferind clienților săi, printre altele, produse financiare ori de fidelizare.
Mai mult

Lipsa informării în termen de 72 de ore

Un angajat a trimis documente ce conțineau date cu caracter personal ale unor persoane, pe email, către alte persoane. Operatorul a considerat că nu e vorba de o încălcare a securității datelor, întrucât înseși persoanele vizate furnizaseră adresele de email greșit.
Mai mult
M

Metode inadecvate de acces a fiselor pacientilor

In urma unui control, s-a constatat ca la un spital fisele pacientilor puteau fi accesate de personal fara restrictii, neputand sa se faca astfel limitarea accesului si trasabilitatea accesului.
Mai mult

Metode inadecvate de acces a fisierelor care contin date cu caracter personal prin website

In urma unui control facut la o companie din Franta, s-a constatat ca o vulnerabilitate a site-ului permite accesul la date cu caracter personal. Fisiere care contin datele personale ale 29,440 de persoane au putut fi accesate prin web folosind o vulnerabilitate stiuta de companie. Pe langa acest aspect, s-au descoperit si alte incalcari ale Regulamentului 679/2016.
Mai mult

Metode inadecvate de acces a statiilor de lucru

In urma unui control la o companie din Franta au fost descoperite mai multe incalcari ale Regulamentului 679/2016, printre care si art 32, respectiv accesul pe statiile de lucru se facea fara user si parola, securitatea datelor si trasabilitatea accesului fiind astfel imposibil de realizat.
Mai mult

Metode inadecvate de acces al unei baze de date

O companie din Italia a folosit mai multe cai de access al unei baze de date inclusiv prin web unde nu era nevoie de autentificare. Mai multi angajati foloseau acelasi user negand astfel nivelul de access si trasabilitatea.
Mai mult
N

Nerespectare drept de opozitie la prelucrarea in scop de marketing

Autoritatea de supraveghere a primit reclamații de la destinatarii de mesaje publicitare de la Operator cu privire la lipsa capacității lor de a se dezabona de la lista de destinatari de mesaje publicitare. În cursul examinării reclamațiilor, a rezultat că, din cauza unei erori tehnice, eliminarea de pe listele destinatarilor de mesaje publicitare nu a funcționat pentru acei destinatari care au folosit linkul „dezabonare”. Operatorul nu a avut măsura organizatorică adecvată, adică o procedură definită prin care să poată detecta că dreptul persoanei vizate de a obiecta nu putea fi îndeplinit. Autoritatea a constatat o încălcare a dreptului de a obiecta la prelucrare în scopuri de marketing direct (articolul 21 alineatul (3) din Regulamentul 679/2016), precum și articolul 25 (protecția datelor prin proiectare) din Regulament.
Mai mult
O

Obligația de efectuare a unei analize de risc asupra drepturilor și libertăților persoanei vizate; notificare a unei breșe de securitate către autoritatea de supraveghere și către persoanele vizate

Un document conținând date cu caracter personal (poliță de asigurare) a fost transmis, din eroare, pe email, unei alte persoane decât celei căreia îi era adresat. Autoritatea de supraveghere a interpelat operatorul de date, solicitând informații privind efectuarea unei analize de risc asupra drepturilor si libertatilor persoanei vizate, analiză necesară pentru a stabili dacă breșa de securitate a condus la o încălcare a securității datelor personale, respectiv pentru a stabilit dacă se impune notificarea acesteia către autoritate și persoana vizată. Operatorul de date nu a oferit niciun răspuns.
Mai mult

Obligația de efectuare a unei analize de risc asupra drepturilor și libertăților persoanei vizate; notificare a unei breșe de securitate către autoritatea de supraveghere și către persoanele vizate; obligație de documentare și de păstrare a documentației privind toate breșele de securitate

Platformă de social media - apariția unui bug în legătură cu setările de vizualizare a postărilor (public/privat). Operatorul de date nu a documentat corespunzător breșa de securitate și nici nu a informat autoritatea în termen de 72 de ore de la data când a luat cunoștință de incident.
Mai mult
P

Prelucrare date biometrice angajați fără o analiză privind proporționalitatea intruziunii cu scopul urmărit

O societate a decis să utilizeze amprentele angajaților pentru a evita fraudarea evidenței timpului petrecut la muncă de către angajați. Operatorul de date nu a putut justifica caracterul proporțional al deciziei sale de prelucrare a unor asemenea date.
Mai mult

Prelucrare date dupa incetarea relatiei contractuale / prelucrare intr-un mod incompatibil cu scopurile pentru care datele au fost initial colectate

Sancțiunea a fost aplicată operatorului ca urmare a faptului că acesta a prelucrat datele cu caracter personal ale unei persoane fizice ulterior încheierii relației contractuale cu operatorul in cauza - institutie financiara. Astfel, in cursul desfășurării investigației, Autoritatea Națională de Supraveghere a constatat că operatorul a transmis pe adresa de e-mail a unei persoane fizice mesaje referitoare la actualizarea datelor sale cu caracter personal, deși aceasta solicitase deja închiderea ultimului produs bancar deținut, respectiv un cont curent.
Mai mult

Prelucrare date dupa incetarea relatiei contractuale / prelucrare intr-un mod incompatibil cu scopurile pentru care datele au fost initial colectate (2)

În timpul inspecțiilor la fața locului, autoritatea de supraveghere a constatat că operatorul (companie activand in domeniul imobiliar) a folosit un sistem de arhivă pentru stocarea datelor cu caracter personal ale chiriașilor care nu oferea posibilitatea de a elimina datele care nu mai erau necesare.
Mai mult

Prelucrare date fara scopuri determinate si legitime, prelucrare intr-un mod incompatibil cu scopurile pentru care datele au fost initial colectate

Autoritatea de control care a inspectat operatorul a constatat ca datele cu caracter personal utilizate pentru rezervarea și decontarea serviciului (in speta serviciul de taxi) sunt anonime după doi ani, deoarece nu mai este nevoie de identificarea clientului. Cu toate acestea, numai numele clientului este șters după acești doi ani, dar nu și numărul de telefon.
Mai mult

Prelucrare date in scop de marketing

Autoritatea de supraveghere a constatat mai multe incalcari ale Regulamentului 679/2016, printre care si o încălcare prin prelucrarea datelor privind frecvența coletelor și frecvența relocărilor în scopuri de marketing direct, aspect care nu a fost considerat ca fiind acoperit de Regulament.
Mai mult

Prelucrare de date biometrice ale minorilor

O școală a folosit scanere biometrice de amprente digitale pentru a autentifica elevii pentru procesul de plată în cantina școlii.
Mai mult

Prelucrare excesiva, obligarea la stergerea datelor

Persoana vizata a introdus acțiune împotriva operatorului de date, solicitând in instanta: înlăturarea (ștergerea) datelor personale constând în adresa de domiciliu, cod numeric personal,  data și locul eliberării cărții de identitate publicate și menținute de către societatea pârâtă într-o decizie societara publicata in cadrul platformei sale online si obligarea acesteia la plata unor daune morale în cuantum de 60 000 lei pentru prejudiciul continuu cauzat, constând în lezarea drepturilor garantate privind protecția datelor cu caracter personal prin prelucrarea în cadrul platformei online indicate anterior a datelor cu caracter personal.
Mai mult

Prelucrarea CNP

În documentele de tranzacționare online oferite prin aplicatia unei bănci, beneficiarul tranzacției putea, atunci când cerea un extras de cont/detalii cu privire la tranzacții, să vadă CNP-ul și adresa persoanelor care efectuau plăți din conturile bancii respective.
Mai mult

Prelucrarea datelor foștilor angajați

Operatorul s-a folosit de identitatea unui fost angajat în transmiterea unor e-mail-uri în interes de serviciu fără ca acesta din urmă să fi fost informat în prealabil.
Mai mult

Prelucrarea datelor medicale (2)

Un doctor a publicat online informații cu caracter medical ale pacienților săi, incluzând rețete medicale, diagnostice, internări ori externări, etc.
Mai mult

Prelucrarea de date medicale

O unitate de învățământ a publicat pe site-ul său o clasificare a profesorilor. Datele publicate conțineau și informații privind starea de sănătate.
Mai mult

Principiul responsabilității

Un operator a raportat autorității un incident referitor la protecției datelor cu caracter personal, care vizau accesul neautorizat la baza de date a clienților magazinelor online și, în consecință, obținerea datelor personale ale clienților care fac cumpărături în magazinele online ale operatorului. S-a constatat astfel o vulnerabilitate care permitea accesul la baza de date care privea clienții operatorului.
Mai mult

Principiul transparenței

O companie a oferit contracte de furnizare de energie electrică cu un bonus oferit doar noilor clienți. Pentru a afla dacă noii clienți nu cumva sunt sau au fost deja clienți ai companiei în trecut, aceasta a efectuat comparații cu datele clienților din anii precedenți, date care erau deținute și prelucrate conform legislației fiscale și civile. Această verificare a avut scopul de a împiedica clienții care beneficiaseră de serviciile companiei în trecut să încheie noi contracte de furnizare cu bonusul oferit în contextul noii campanii. Scopul campaniei era acela de a atrage noi clienți, deoarece extinderea campaniei către vechii clienți ai societății ar fi determinat o lipsă a profitabilității a acelei campanii.
Mai mult
R

Răspunderea angajatului în contextul GDPR

Regulamentul UE 679/2016 stabilește un set unic de reguli, direct aplicabile în toate statele membre ale Uniunii, destinat protejării mai
Mai mult

Răspunderea solidară

S-a constat o prelucrare a datelor de către doi operatori asociați din care unul era o autoritate publica. Datele prelucrate erau cookies. Autoritatea de control a considerat că baza legală a prelucrării era consimțământul, inclusiv in cazul autorității publice. Consimțământul privind prelucrarea și utilizarea cookie-urilor a fost colectat prin aceeași interfață web cu care interacționa persoana vizată.
Mai mult
S

Sistemele de supraveghere video in spatiile închiriate. Locator vs locatar

Locatarul a solicitat locatorului un raport de evaluare a impactului asupra protectiei datelor personale (DPIA) pentru utilizarea sistemului CCTV in locatia unde se afla, inter alia, si spatiul inchiriat.  In absenta unei astfel de evaluari, locatarul a solicitat locatorului completarea unui chestionar privind utilizarea sistemului CCTV pentru punctul de lucru infiintat de catre locatar in spatiul inchiriat de la locator.
Mai mult

Supraveghere video salariati

Compania a monitorizat video angajații atât la locul unde aceștia își desfășoară activitatea, cât la locul unde aceștia își țineau lucrurile (vestiare), precum și în sala de mese.
Mai mult