Amenzile aplicate anul trecut de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) companiei Dante International, administratorul eMAG, cel mai mare retailer local online, au fost diminuate cu 50%, prin decizie a instanței, conform datelor Profit.ro. În cuantum total de 40.000 euro, amenzile au fost aplicate cu argumentul de încălcare de către subsidiara din Ungaria a unor prevederi ale Regulamentului General privind Protecția Datelor.
30 mai - Maratonul Fondurilor Europene
6 iunie - Maratonul Energiei
13 iunie - Eveniment Profit: Piața de Capital.forum - Provocări pentru dezvoltarea piețelor și creșterea lichidității, Ediția a IV-a. Parteneri BCR, CEC Bank, Sphera, Teraplast
ANSPDCP a fost sesizată de Autoritatea pentru protecția datelor (DPA) din Ungaria cu privire la plângerile formulate de 3 persoane fizice, din acest stat, împotriva Dante International. DPA Ungaria a considerat ANSPDCP ca fiind autoritatea principală în acest caz, dat fiind faptul că societatea are sediul principal în România.
În cursul investigațiilor efectuate de instituție pentru soluționarea celor 3 cazuri semnalate, ANSPDCP a constatat că, în primul caz, un petent ar fi solicitat ștergerea contului creat pe emag.hu, purtând o corespondență în acest sens pe adresa info@emag.hu.
Prin răspunsul primit de la această adresă, petentului i s-ar fi solicitat să trimită o cerere datată și semnată (scanată sau fotografiată) la adresa data.protection@emag.ro.
"În cursul investigației efectuate pentru soluționarea acestei plângeri, ANSPDCP a constatat lipsa unei instruiri regulate și adecvate de către Dante International a angajaților din grup, cu privire la procedura care trebuie urmată în vederea soluționării cererilor persoanelor vizate. S-a constatat că instruirea personalului entității din Ungaria se realizează, în principal, la angajare, iar în cadrul fiecărei entități din cadrul grupului, și ulterior, doar în ”situații specifice și particularizate la nivel de departament”.
Or, potrivit articolului 24 din RGPD, operatorul este obligat să pună în aplicare măsuri tehnice și organizatorice adecvate, inclusiv politici adecvate de protecție a datelor, pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu RGPD. Aceste politici ar trebui să abordeze în mod corespunzător gestionarea cererilor primite din partea persoanelor vizate și realizarea unor sesiuni regulate de instruire a personalului implicat în prelucrarea datelor personale", potrivit instituției.
În cel de-al doilea caz, un alt petent ar fi solicitat ștergerea datelor sale către mai multe adrese de e-mail ale operatorului (data.protection@emag.ro , către info@emag.hu, către data.protection@emag.hu) și, inclusiv, prin intermediul formularului de contact existent pe site-ul acestuia, însă acest lucru nu a fost posibil, întrucât serverele ar fi respins cererea sa ca provenind de la o adresă ce nu prezintă încredere.
În privința respingerii automate a cererilor petentului, operatorul ar fi susținut că serverele sale folosesc liste publice furnizate de o terță parte, asupra căreia nu deține controlul, iar situația respectivă a fost una posibil generată de reputația slabă/proastă a serviciului @freemail.hu de la momentul în care petentul a trimis respectivele cereri către Dante International.
"Situația constatată în acest caz, a dovedit faptul că stabilirea unui canal unic și exclusiv de comunicare pe care îl pot folosi persoanele vizate, cât și lipsa unei informări adecvate cu privire la anumite limitări din punct de vedere tehnic, pot conduce la restricționarea neîntemeiată a drepturilor acestora. De asemenea, s-a constatat că informarea de pe site-ul emag.hu nu conținea informații complete privind transferurile către state terțe, scopurile și destinatarii în acest context, conform prevederilor articolului 13, aliniatul (1), litera c), e) și f) și articolul 14, aliniatul (1), litera c), e) și f) din RGPD", potrivit instituției.
În urma investigației, eMAG și-a modificat politica de prelucrare a datelor personale, oferind persoanelor vizate posibilitatea de a trimite cererile în baza RGPD atât pe e-mail (la o adresă de tipul data.protection@emag.hu), cât și prin poștă/curier, la o adresă fizică din respectivul stat.
Un alt petent a reclamat faptul că una dintre adresele sale de e-mail ar fi fost în continuare prelucrată de Dante International, deși solicitase înlocuirea acesteia cu o altă adresa de e-mail.
În cursul investigației efectuate, ANSPDCP a constatat faptul că, deși cererea de rectificare a fost inițial soluționată pozitiv, când operatorul a confirmat petentului rectificarea adresei sale de e-mail, adresa respectivă ar fi continuat să fie prelucrată de Dante International, în contextul unei corespondențe mai îndelungate purtate cu petentul.
Întrucât s-a constatat că adresa de e-mail a petentului a fost salvată în continuare în baza de date în scopul îndeplinirii obligației legale de păstrare a documentelor justificative contabile, în considerarea facturilor electronice transmise anterior, ANSPDCP a considerat că acest scop al prelucrării diferă de cel legat de soluționarea reclamațiilor, astfel că reactivarea acestei adrese și folosirea sa în corespondența electronică ar fi fost posibilă doar în baza consimțământului persoanei vizate, prevăzut de articolul 6, aliniatul (1), litera a) din Regulamentul (UE) 2016/679.
Autoritatea a apreciat că circumstanțele cazurilor menționate mai sus prezintă un grad de gravitate care impune aplicarea unei sancțiuni cu amendă împotriva Dante International.
"Urmare a propunerilor transmise de DPA Ungaria, a a emis decizia finală, conform prevederilor articolului 60 din Regulamentul (UE) 679/2016. Ca atare, Dante International SA a fost sancționat contravențional cu amendă în cuantum de 148.830 lei (echivalentul sumei de 30.000 euro) pentru încălcarea prevederilor articolul 12, aliniatul (2) și a articolului 17, aliniatul (1) din Regulamentul (UE) 2016/679; cu avertisment pentru încălcarea prevederilor articolului 13, aliniatul (1), litera c), e) și f) și articolul 14, aliniatul (1), litera c), e) și f) din Regulamentul (UE) 2016/679; cu amendă în cuantum de 49.610 lei (echivalentul sumei de 10.000 euro) pentru încălcarea prevederilor articolului 6, aliniatul (1), litera a) din Regulamentul (UE) 2016/679", potrivit ANSPDCP.
În același timp, instituția a dispus față de Dante International o serie de măsuri corective, respectiv asigurarea unei informări complete a persoanelor vizate, informare care să fie disponibilă pe site-urile emag administrate de operator, în versiunea lingvistică națională din fiecare stat, aplicarea unei metode de anonimizare prin care să fie prevenit riscul de reidentificare a persoanelor ale căror date personale sunt supuse acestei proceduri, precum și dispunerea de măsuri de instruire regulată a personalului din societățile ce fac parte din grupul de companii Dante (din România, Ungaria și Bulgaria) cu privire la procedura care trebuie urmată în vederea soluționării corecte a cererilor depuse de persoanele vizate în baza Regulamentul (UE) 2016/679.
Dante International, compania care cuprinde eMAG România, o parte din vânzările din eMAG Ungaria și Bulgaria, și Fashion Days, a avut în 2022 o cifră de afaceri de 7,1 miliarde de lei și un profit de 123,7 milioane de lei.
Mai multe detalii AICI.
Compania este controlată de MIH B2C Holdings BV (Olanda) și Iulian Stanciu, potrivit termene.ro.
