Amendă administrativă în valoare de 174 640 de euro aplicată de către Autoritatea Belgiană pentru Protecția Datelor companiei BLACK TIGER BELGIUM pentru lipsa de transparență și prelucrarea ilegală a datelor cu caracter personal colectate indirect

Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenda administrativă în valoare de 174 640 de euro aplicată de către Autoritatea Belgiană pentru Protecția Datelor (SA) companiei BLACK TIGER BELGIUM pentru încălcarea art. 5 Principii legate de prelucrarea datelor cu caracter personal, art. 6 Legalitatea prelucrării, art. 12 Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor subiectului de date, art. 14  Informații care se furnizează în cazul în care datele cu caracter personal nu au fost obținute de la subiectul de date, art. 15 Dreptul de acces al subiectului de date, art. 24 Responsabilitatea operatorului, art. 25 Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit și art. 30 Evidențele activităților de prelucrare, din GDPR.

SA belgiană a primit o plângere cu privire la activitățile de prelucrare desfășurate de BISNODE BELGIUM – care a fost ulterior preluată de grupul francez BLACK TIGER GROUP și redenumită BLACK TIGER BELGIUM (denumită în continuare „BTB”) -, susținând că compania a colectat indirect și a prelucrat în mod ilegal datele cu caracter personal ale reclamanților timp de peste 15 ani, fără a-i informa în prealabil în mod corespunzător.

În urma investigațiilor, SA belgiană a constatat că BTB nu se putea baza pe interesele sale legitime, deoarece datele cu caracter personal colectate indirect nu puteau fi considerate necesare pentru a urmări interesul de a menține la zi registrul de evidență a subiecților de date. Totodată,  interesele BTB au fost excluse de drepturile fundamentale ale subiecților de date, din cauza lipsei de informații furnizate în mod proactiv și individual acestora, a contextului prelucrării și a naturii datelor cu caracter personal, precum și a perioadei de păstrare timp de 15 ani. În plus, BTB nu a luat în considerare în mod corespunzător toate riscurile care decurg din prelucrare, stabilind că BTB nu a răspuns în mod adecvat la solicitările reclamanților în temeiul art.15. În cele din urmă, SA belgiană a constatat că registrul activităților de prelucrare este incomplet.

În acest context, SA belgiană a impus BTB trei amenzi administrative, în valoare totală de 174 640 de euro. Aceste amenzi se referă la prelucrarea ilegală a datelor cu caracter personal fără informarea subiecților de date într-un mod proactiv, individual și transparent, la faptul că nu a răspuns în mod corespunzător la cererile de acces la date și, în cele din urmă, la diverse încălcări legate de înregistrarea activităților de prelucrare.

În plus, SA belgiană a impus BTB mai multe măsuri corective, inclusiv o interdicție temporară de prelucrare a datelor cu caracter personal ale subiecților de date pentru care BTB deține datele de contact, până când compania nu îi va notifica în mod individual cu privire la prelucrarea datelor lor și nu le va oferi posibilitatea de a se opune prelucrării.

CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și de a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt conforme legislației în vigoare.