Amendă administrativă în valoare de 900 000 de euro aplicată de către Autoritatea de Supraveghere din Hamburg pentru încălcarea articolului 5 și 6 din GDPR

Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenda administrativă în valoare de 900 000 de euro aplicată de către Autoritatea de Supraveghere din Hamburg (SA) unei companii din domeniul serviciilor de colectare a creditelor, pentru încălcarea articolului 5(Principii legate de prelucrarea datelor cu caracter personal) și articolului 6 (Legalitatea prelucrării) din GDPR.

SA din Hamburg a auditat companii cu o prezență puternică pe piață în domeniul serviciilor de colectare a creditelor, în cadrul unui audit direcționat. Hamburg este o locație lider în Europa în acest sector. Datele prelucrate cu privire la debitorii rău-platnici tind să fie deosebit de sensibile și sunt partajate în mod regulat cu alte părți, cum ar fi agențiile de referință pentru credite și serviciile de investigare a adreselor. Prin urmare, persoanele vizate trebuie să poată avea încredere că datele lor vor fi tratate în mod responsabil. Indiferent de plângerile individuale, a fost examinat modul în care datele debitorilor sunt stocate și prelucrate de furnizorii de servicii respectivi. În acest scop, companiilor le-au fost trimise chestionare detaliate, ale căror răspunsuri au oferit o perspectivă cuprinzătoare asupra stocării datelor. În plus, companiilor li s-a cerut să furnizeze documente precum lista activităților de prelucrare, listele măsurilor de securitate și exemple de scrisori utilizate.

În cea mai mare parte, SA din Hamburg a fost în măsură să determine un grad ridicat de profesionalism și sensibilitate. În timpul dialogurilor, au fost obținute îmbunătățiri în ceea ce privește stocarea datelor și transparența față de persoanele vizate. Cu toate acestea, în cazul unei companii, echipa de la SA din Hamburg a constatat în timpul inspecției la fața locului că, înregistrările de date au continuat să fie stocate fără un temei legal, chiar dacă termenele de ștergere au expirat de mult, încălcând astfel art. 5.1 litera (a) și 6 alineatul (1) din GDPR. Chiar dacă înregistrările de date prelucrate inițial nu au fost transmise unor părți terțe în această perioadă, unele dintre acestea nu fuseseră încă șterse din baza de date a companiei la cinci ani după expirarea perioadei legale de păstrare.

În acest context, SA din Hamburg a impus o amendă administrativă în valoare de 900 000 de euro. Decizia este obligatorie din punct de vedere juridic. Compania a recunoscut încălcarea și a acceptat amenda. Aceasta a cooperat în mod profesionist cu Autoritatea de Supraveghere în cadrul urmăririi, motiv pentru care amenda este relativ mică.

CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și de a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt conforme legislației în vigoare.