Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a finalizat în luna iulie 2023 o investigație la operatorul BODY LINE SRL și a constatat că acesta a încălcat prevederile art. 5, 6, 9, 17 și art. 32 alin. (1) și (2) din Regulamentul (UE) 2016/679 (GDPR).
Operatorul a fost sancționat contravențional cu amenzi în cuantum total de 49.322 lei, echivalentul a 10.000 EURO.
Investigația a fost demarată ca urmare a unei plângeri prin care s-a reclamat divulgarea de către operator a datelor personale ale unui petent (client al operatorului) prin postarea unei înregistrări audio-video pe paginile de socializare ale operatorului.
În cursul investigației efectuate Autoritatea Națională de Supraveghere a constatat că BODY LINE SRL, prin intermediul paginilor sale de socializare, a diseminat datele petentului din înregistrarea audio-video și a folosit în comentarii un apelativ ce dezvăluia originea etnică a acestuia, fără a avea temei legal, încălcându-se astfel prevederile art. 5, 6 și 9 din Regulamentul (UE) 2016/679.
De asemenea, s-a constatat că operatorul nu a dat curs cererii petentului de ștergere a datelor încălcând prevederile art. 17 din Regulamentul (UE) 2016/679.
În același timp, s-a constatat și faptul că operatorul nu a adoptat suficiente măsuri tehnice și organizatorice adecvate în vederea asigurării confidențialității datelor personale prelucrate prin intermediul sistemului de supraveghere audio-video.
Această situație a condus la accesarea și, ulterior, la diseminarea pe paginile de socializare ale operatorului a unei înregistrări audio-video cu imagini ale petentului, fiind astfel încălcate prevederile art. 32 alin. (1) și (2) din Regulamentul (UE) 2016/679.
Totodată, operatorului BODY LINE SRL i s-au aplicat și următoarele măsuri corective:
– de a asigura conformitatea cu GDPR a operațiunilor de prelucrare a datelor personale, inclusiv prin elaborarea de proceduri scrise, astfel încât datele personale ale persoanelor vizate să fie prelucrate cu stricta respectare a dispozițiilor legale privind protecția datelor personale, prin evitarea colectării și/sau divulgării ilegale/excesive/neautorizate a datelor personale ale acestora;
– de a da curs cererii de ștergere a datelor personale ale petentului, aferente postărilor de pe paginile de socializare ale operatorului;
– de a asigura conformitatea cu GDPR a operațiunilor de prelucrare a datelor personale, prin implementarea unor măsuri tehnice și organizatorice adecvate, în special sub aspectul instruirii persoanelor care prelucrează date sub autoritatea sa (angajați sau colaboratori), prin organizarea regulată a unor sesiuni de instruire cu acestea, în legătură cu obligațiile ce le revin privind prelucrarea datelor personale prin intermediul sistemului de supraveghere video, al stabilirii condițiilor în care pot fi accesate imaginile sau înregistrările audio-video de către un număr redus de persoane, pe baza unor credențiale individuale, al verificării periodice a accesului la înregistrările imaginilor, precum și al detectării rapide, gestionării și raportării unor situații de încălcare a securității datelor personale.
Sursa: A.N.S.P.D.C.P