Cum a ajuns o copie de buletin să coste 10.000 €?

Universuljuridic.ro PREMIUM

Aici găsiți informaţiile necesare desfăşurării activităţii dvs. profesionale.

Universuljuridic.ro PREMIUM pune la dispoziția profesioniștilor lumii juridice un prețios instrument de pregătire profesională. Oferim un volum vast de conținut: articole, editoriale, opinii, jurisprudență și legislație comentată, acoperind toate domeniile și materiile de drept. Clar, concis, abordăm eficient problematicile actuale, răspunzând scenariilor de activitate din lumea reală, în care practicienii activează.

Testează ACUM beneficiile Universuljuridic.ro PREMIUM prin intermediul abonamentului GRATUIT pentru 7 zile!

În data de 19 septembrie 2019, autoritatea de supraveghere belgiană a publicat un comunicat prin care a anunțat o sancțiune de 10.000 de euro pentru nerespectarea minimizării datelor prelucrate și justificarea prelucrării în baza unui consimțământ invalid.

Citirea eID-ului în schimbul unui card de fidelitate

Autoritatea a primit o reclamație cu privire la utilizarea cărții electronice de identitate (eID) de către un comerciant pentru furnizarea unui serviciu comercial, și anume crearea unui card de fidelitate. Deoarece reclamantul a refuzat să-și ofere cartea de identitate, oferindu-se totodată să-și trimită datele în scris, comerciantul a refuzat eliberarea cardului de fidelitate.

Autoritatea a evaluat această practică din mai multe motive ca nerespectând Regulamentul general privind protecția datelor (GDPR):

– Nerespectarea principiului minimizării datelor prelucrate

Principiul minimizării prelucrărilor de date este un principiu important în GDPR, care impune operatorului să limiteze cantitatea de date cu caracter personal colectate și perioada de stocare la ceea ce este strict necesar pentru scopul urmărit.

Pentru a crea cardul de fidelitate, comerciantul necesită citirea datelor de pe eID, cum ar fi numele, prenumele, adresa etc., dar și fotografia și codul de bare care este legat de numărul Registrului național belgian.

Autoritatea subliniază că numărul registrului național (echivalentul CNP-ului) este un subiect care este supus unor reguli stricte în ceea ce privește consultarea și utilizarea sa.

Prin urmare, autoritatea a opinat că citirea și utilizarea tuturor datelor de pe cardul de identitate electronic într-un context comercial reprezintă o prelucrare disproporționată în raport cu scopul creării unui card de client.

– Fără un consimțământ valabil

Pentru a fi legală, prelucrarea datelor cu caracter personal trebuie să se bazeze pe una din cele șase baze legale ale GDPR. Comerciantul se bazează pe consimțământ ca bază legală pentru a justifica prelucrarea datelor din eID, dar Autoritatea a contestat validitatea acestuia.

Pentru a fi valabil, consimțământul trebuie să fie gratuit, specific și informat. Autoritatea a opinat că prelucrarea datelor din eID în baza consimțământului, în acest caz, nu poate fi considerat ca fiind oferit liber, deoarece clientului nu i se oferă o altă alternativă. Dacă clientul refuză să permită utilizarea cărții sale de identitate electronică pentru crearea unui card de client, acesta va fi penalizat și nu se va putea bucura de beneficii și reduceri, deoarece nu i se va oferi o alternativă.

„Companiile sau comercianții trebuie să gestioneze datele cu caracter personal mai conștient atunci când solicită tot felul de date cu caracter personal pentru un serviciu, mai ales dacă acest lucru se întâmplă fără acordul valid al clientului. GMS oferă principii și obligații care ar trebui să ghideze servesc la procesarea corectă a datelor cu caracter personal” a explicat Hielke Hijmans, președintele Camerei Disputelor a autorității de supraveghere belgiene.

O copie de buletin la preț de xerox profesional
Având în vedere nerespectarea principiului minimizării datelor prelucrate și lipsa unei baze legale valabile, autoritatea a  decis să aplice o amendă administrativă de 10.000 de euro.

„Utilizarea cărților de identitate electronice drept card de client este o practică obișnuită. Cu toate acestea, accesul la multe date cu caracter personal nu este permis în cadrul GDPR dacă nu este strict necesar pentru furnizarea unui serviciu și nu există o bază legală valabilă pentru aceasta. Camera litigiilor consideră că aceasta a fost o încălcare gravă și, prin urmare, impune o amendă” , concluzionează Hielke Hijmans, președintele Camerei Disputelor.

David Stevens, președintele autorității de supraveghere: „Această decizie este un element important așezat pe drumul către o mai bună protejare a vieții private a cetățenilor noștri”.

În loc de încheiere
De câte ori nu vi s-a cerut buletinul la bancă pentru a putea face o amărăciune de plată?! Poate n-or avea toate aceleași politici și nu vreau sa generalizez, însă este clar că încă suntem departe de a înțelege cum ne afectează indolența cu care împărțim date, asemeni un dealer la masa de poker, fără a fi conștienți că datele noastre sunt potul și suntem all in.

Abia când nepăsarea noastră va produse efecte, ne vom face curaj și vom îndrăzni să ne împotrivim când ne vor fi solicitate date în mod excesiv sau chiar ilegal. Însă până vom ajunge în acel punct, avem de parcurs un drum lung, anevoios, cu mersul piticului.