Autoritatea nationala pentru protectia datelor cu caracter personal (ANSPDCP) a anuntat joi, 18 iunie, pe site-ul propriu, ca a aplicat amenzi in valoare totala de 36.000 de lei operatorilor de turism Vega Turism, Dovia 95 Impex, K & D London Entertaiment si Confiden Travel pentru ca ar fi folosit in mod nelegal cookie-uri pe paginile web proprii sau pentru prelucrarea nelegala a datelor personale prin intermediul sistemelor video amplasate in hoteluri. Amintim ca in 19 iunie, aceeasi autoritate a anuntat aplicarea unor amenzi de 68.500 lei catre Telekom, Orange, RCS&RDS si Vodafone pentru prelucrarea nelegala a datelor personale ale utilizatorilor prin intermediul cookie-urilor de pe site-urile aestor operatori telecom.

• Cookie-urile sunt fisiere de mici dimensiuni, formate din litere si numere, care sunt stocate pe computerul / terminalul mobil sau alte echipamente ale unui utilizator de pe care se acceseaza Internetul.

Redam mai joscomunicatul integral cu sanctiunile aplicate de ANSPDCP operatorilor de turism:

"Reprezentantii Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal au continuat efectuarea de controale tematice la operatori de date cu caracter personal din domeniul turismului, in vederea verificarii modului de respectare a prevederilor Legii nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, precum si a prevederilor Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice.

Dintre investigatiile efectuate finalizate cu aplicarea de amenzi contraventionale, mentionam:

1. In cadrul investigatiei efectuate la la SC Vega Turism SA, s-a constatat savarsirea urmatoarelor fapte contraventionale:

• - Omisiunea de a notifica si notificarea cu rea-credinta, sub forma omisiunii de a notifica in conditiile art. 22 alin. (1) din Legea nr. 677/2001, intrucat acest operator nu a notificat prelucrarea datelor cu caracter personal in scopul monitorizarii/securitatii persoanelor/spatiilor si/sau bunurilor publice/private prin utilizarea sistemului de supraveghere video, incepand cu anul 2012, contraventie prevazuta de art. 31 din Legea nr. 677/2001, modificata si completata;
• - Prelucrarea nelegala a datelor cu caracter personal, sub aspectul nerespectarii art. 12 alin. (1) din Legea nr. 677/2001, intrucat la data incheierii procesului verbal SC Vega Turism SA nu a prezentat nicio dovada a informarii persoanelor vizate, pentru prelucarile efectuate in scopurile 'reclama, marketing si publicitate', 'servicii hoteliere si de turism' si 'monitorizarea/securitatea persoanelor/spatiilor si/sau bunurilor publice/private, contraventie prevazuta de art. 32 din Legea nr. 677/2001, modificata si completata;
• - Nerespectarea conditiilor prevazute de art. 4 alin. (5) din Legea nr. 506/2004, modificata si completata, intrucat SC Vega Turism SA, la nivelul site-ului www.hotelvega.ro, pentru informatiile stocate in echipamentul terminal al utilizatorului nu a indeplinit in mod cumulativ conditiile prevazute de art. 4 alin. (5), lit. a) si b) din Legea nr. 506/2004, respectiv obtinerea acordului utilizatorului in cauza pentru cookie-urile existente la nivelul website-ului www.hotelvega.ro si furnizarea informatiilor anterior exprimarii acordului privind scopul general al procesarii informatiilor stocate, durata de viata, ce informatii sunt stocate si accesate precum si permiterea stocarii si/sau accesului unor terti la informatiile stocate in echipamentul terminal al utilizatorului, contraventie prevazuta de art. 13 alin. (1) lit. i) din Legea nr. 506/2004, modificata si completata.
• Ca urmare, Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal a aplicat o amenda contraventionala in cuantum total de 8000 lei acestui operator.

2. In cadrul investigatiei efectuate la SC Dovia 95 Impex SRL s-a constatat savarsirea urmatoarelor fapte contraventionale:

• - Omisiunea de a notifica si notificarea cu rea credinta, sub forma omisiunii de a notifica in intrucat SC Dovia 95 Impex SRL nu a efectuat notificarea in conditiile art. 22 alin. (1) din Legea nr. 677/2001, pentru prelucrarea datelor cu caracter personal in scopul 'servicii hoteliere si de turism' si pentru 'monitorizarea/securitatea persoanelor/spatiilor si/sau bunurilor publice/private' prin intermediul sistemului de supraveghere video, contraventie prevazuta de art. 31 din Legea nr. 677/2001.
• - Prelucrarea nelegala a datelor cu caracter personal cu incalcarea prevederilor art. 4 alin. (1) lit. c) din Legea nr. 677/2001, intrucat SC Dovia - 95 Impex SRL a prelucrat excesiv datele cu caracter personal ale angajatilor prin mijloace de supraveghere video amplasate in hotel, incalcandu-se prevederile art. 8 alin. (3) din Decizia nr. 52/2012 a ANSPDCP si art. 12 alin. (1) din Legea nr. 677/2001, precum si intrucat nu a realizat sub nicio modalitate prevazuta de lege informarea persoanelor vizate pentru scopul 'servicii hoteliere si de turism', contraventie prevazuta de art. 32 din Legea nr. 677/2001.
• In consecinta, Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal a aplicat o amenda contraventionala in cuantum total de 8.000 lei acestui operator.

3. In cadrul investigatiei efectuate la SC K & D London Entertaiment SRL s-a constatat savarsirea urmatoarelor fapte contraventionale:

• - Omisiunea de a notifica si notificarea cu rea-credinta, sub forma omisiunii de a efectua notificarea in conditiile art. 22 din Legea nr. 677/2001, intrucat K & D London Entertainment SRL nu a notificat prelucrarea datelor cu caracter personal pe care o realizeaza in scop de 'monitorizare/securitatea persoanelor/spatiilor si/sau bunurilor publice/private' prin intermediul sistemului de supraveghere video, incalcandu-se astfel dispozitiile art. 22 alin. (1) din Legea nr. 677/2001, contraventie prevazuta de art. 31 din Legea nr. 677/2001;
• - Prelucrarea nelegala a datelor cu caracter personal, in sensul incalcarii prevederilor art. 12 din Legea nr. 677/2001, intrucat SC K & D London Entertaiment SRL nu a facut dovada efectuarii informarii clientilor (persoane vizate) cu privire la formularul de inscriere in programul de fidelizare , nici cu privire la prelucrarea datelor personale in scop de 'servicii hoteliere si de turism',  si nici nu a facut dovada realizarii informarii privind sistemul de supraveghere video utilizat, contraventie prevazuta de art. 32 din Legea nr. 677/2001;
• - Neindeplinirea obligatiilor privind confidentialitatea si aplicarea masurilor de securitate, in sensul neindeplinirii obligatiilor privind aplicarea masurilor de securitate si de pastrare a confidentialitatii prelucrarilor de date cu caracter personal prevazute de art. 20 din Legea nr. 677/2001, modificata si completata, intrucat procedura de securitate a prelucrarilor de date cu caracter personal nu respecta in totalitate dispozitiile stabilite prin Ordinul nr. 52/2002, contraventie prevazuta de art. 33 din Legea nr. 677/2001, modificata si completata.  
• Ca urmare, Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal a aplicat o amenda contraventionala in cuantum total de 9.000 lei acestui operator.

4. In cadrul investigatiei efectuate la SC Confiden Travel SRL s-a constatat savarsirea urmatoarelor fapte contraventionale:

• - Omisiunea de a notifica si notificarea cu rea-credinta, sub forma omisiunii de a efectua notificarea in conditiile art. 22 din Legea nr. 677/2001, intrucat SC Confiden Travel SRL nu a notificat prelucrarea datelor cu caracter personal pe care o realizeaza in scop de 'servicii hoteliere si de turism', de 'reclama, marketing si publicitate' si in scop de supraveghere video, contraventie prevazuta de art. 31 din Legea nr. 677/2001;
• - Prelucrarea nelegala a datelor cu caracter personal, , deoarece SC Confiden Travel SRL nu a putut prezenta nicio dovada a informarii persoanelor vizate conform art. 12 din Legea nr. 677/2001, pentru prelucrarile de date cu caracter personal pe care le efectueaza in scop de 'servicii hoteliere si de turism', in scop de 'reclama, marketing si publicitate',  contraventie prevazuta de art. 32 din Legea nr. 677/2001;
• - Neindeplinirea obligatiilor privind confidentialitatea si aplicarea masurilor de securitate, contraventie prevazuta de art. 33 din Legea nr. 677/2001, modificata si completata, prin neindeplinirea obligatiilor privind aplicarea masurilor de securitate si de pastrare a confidentialitatii prelucrarilor prevazute de art. 20 din Legea nr. 677/2001, deoarece SC Confiden Travel SRL nu a intocmit si implementat o politica/procedura privind masurile minime de securitate a prelucrarilor de date cu caracter personal pe care le efectueaza, iar angajatii care au atributii referitoare la prelucrarea datelor cu caracter personal nu au fost instruiti corespunzator;
• - Nerespectarea conditiilor prevazute de art. 4 alin. (5) din Legea nr. 506/2004, modificata si completata, intrucat SC Confiden Travel SRL la nivelul site-ului www.ramadapitesti.ro, pentru informatiile stocate si accesate la nivelul echipamentului terminal al utilizatorului nu a indeplinit in mod cumulativ conditiile prevazute de art. 4, alin. (5) lit. a) si b) din Legea nr. 506/2004, modificata si completata, respectiv obtinerea acordului utilizatorului in cauza pentru cookie-urile existente la nivelul website-ului www.ramadapitesti.ro si furnizarea informatiilor anterior exprimarii acordului privind scopul general al procesarii informatiilor stocate, durata de viata, ce informatii sunt stocate si accesate precum si permiterea stocarii si/sau accesului unor terti la informatiile stocate in echipamentul terminal al utilizatorului, contraventie prevazuta de art. 13 alin. (1) lit. i) din Legea nr. 506/2004, modificata si completata.      
• Ca urmare, Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal a aplicat o amenda contraventionala in cuantum total de 11.000 lei acestui operator."
  

Amintim ca in 19 iunie, aceeasi autoritate a anuntat aplicarea unor amenzi de 68.500 lei catre Telekom, Orange, RCS&RDS si Vodafone pentru prelucrarea nelegala a datelor personale ale utilizatorilor prin intermediul cookie-urilor de pe site-urile aestor operatori telecom.

• Pentru detalii citeste si: UPDATE2 Telekom Romania Communications, Orange, RCS&RDS si Vodafone, amendati cu 68.500 lei pentru utilizarea ilegala a modulelor cookies la nivelul website-urilor proprii

UPDATE HotNews.ro a solicitat luni ANSPDCP sa ofere o explicatie in legatura cu nivelul mai mare al amenzilor aplicate operatorilor telecom decat celor de turism pentru prelucrarea nelegala a datelor personale ale utilizatorilor prin intermediul cookie-urilor, iar autoritatea o furnizat urmatorul raspuns:

• "Potrivit dispoziţiilor art. 21 alin. (3) din Ordonanţa Guvernului nr. 2/2001 privind regimul juridic al contravenţiilor, “sancţiunea se aplică în limitele prevăzute de actul normativ şi trebuie să fie proporţională cu gradul de pericol social al faptei săvârşite, ţinându-se seama de împrejurările în care a fost săvârşită fapta, de modul şi mijloacele de săvârşire a acesteia, de scopul urmărit, de urmarea produsă, precum şi de circumstanţele personale ale contravenientului şi de celelalte date înscrise în procesul-verbal”.
• În acest context, arătăm că la aplicarea amenzilor atât operatorilor de turism cât şi operatorilor telecom, pentru folosirea nelegală de cookie-uri şi monitorizări video, s-au avut în vedere criteriile de individualizare a sancţiunilor menţionate mai sus, situaţiile fiind  însă diferite.
• Astfel, menţionăm că în cazul investigaţiilor la operatorii de turism numărul utilizatorilor unici (persoane vizate) era mult mai mic comparativ cu numărul utilizatorilor unici de la nivelul operatorilor din domeniul telecomunicaţiilor, iar în cazul unor operatori de turism sancţionaţi nu s-a reţinut şi încălcarea prevederilor Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice".