Amendă administrativă în valoare de 13,9 milioane de euro aplicată de către Autoritatea Cehă pentru Protecția Datelor unei companii pentru încălcarea articolului 6 și 13 din GDPR
Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenda administrativă în valoare de 13,9 milioane de euro aplicată de către Autoritatea Cehă pentru Protecția Datelor (SA) unei companii înregistrată în Republica Cehă pentru încălcarea articolului 6 Legalitatea prelucrării și 13 Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată din GDPR.
Cazul se referă la transferul de către operator a datelor cu caracter personal colectate de către acesta de la utilizatorii software-ului său antivirus către o companie afiliată. Procedura a fost inițiată pe baza rapoartelor din mass-media și a unui dosar anonim.
În urma investigațiilor, SA Cehă a constatat că operatorul a transferat datele cu caracter personal ale utilizatorilor de software antivirus și de extensii de browser către compania afiliată fără a avea un temei legal pentru o astfel de prelucrare. Datele transferate se refereau la aproximativ 100 de milioane de utilizatori și cuprindeau în special istoricul de navigare pe internet pseudonimizat al utilizatorilor, legat de un identificator unic. În plus, SA Cehă a constatat că operatorul și-a informat în mod eronat utilizatorii (subiecții de date) cu privire la transferurile de date menționate, întrucât a susținut că datele transferate au fost anonimizate și utilizate exclusiv pentru analiza statistică a vânzărilor. Totodată, Autoritatea Cehă pentru Protecția Datelor a concluzionat că istoricul de navigare pe internet, chiar dacă nu este complet, poate constitui date cu caracter personal, deoarece ar putea avea loc o reidentificare a cel puțin unora dintre subiecții de date. Încălcarea operatorului este cu atât mai gravă cu cât acesta este unul dintre cei mai importanți experți în domeniul securității cibernetice, care oferă publicului instrumente de protecție a datelor și a vieții private.
În acest context, operatorului de date i-a fost impusă o amendă administrativă în valoare de 13,9 milioane de euro (351 milioane coroane cehe). Decizia este definitivă și executorie.
CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și de a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt conforme legislației în vigoare.