Amenzi aplicate de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal din România
Centrul Național pentru Protecția Datelor cu Caracter Personal, cu titlu informativ și aplicativ, comunică despre o serie de sancțiuni aplicate de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal din România pentru încălcarea prevederilor Regulamentului General privind Protecția Datelor (GDPR).
– Un agent economic a fost sancționat cu o amendă de 15.000 euro ca urmare a încălcării securității datelor cu caracter personal. Pe pagina de Facebook pe care operatorul a desfășurat un concurs on-line de atragere a clienților participanți în service-ul auto, a fost postat un document cu o captură din codul sursă al website-ului în care era inclusă și parola de acces la formularele completate de participanții la concurs.
Această situație a creat posibilitatea vizualizării și accesului neautorizat la datele cu caracter personal ale unui număr de 436 de clienți ai operatorului, prin intermediul website-ului acestuia și la divulgarea neautorizată a acestor date, contrar obligațiilor prevăzute de art. 32 din GDPR.
– Totodată, o instituție bancară a fost amendată cu 5.000 de euro pentru că a colectat copiile de buletin ale clienților prin intermediul telefonului personal al unei angajate.
Investigația a fost demarată în urma unei plângeri iar în cursul desfășurării acesteia, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal din România a constatat că instituția bancară nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării. Operatorul nu a luat măsuri pentru a asigura ca, orice persoană fizică care acționează sub autoritatea sa și care are acces la date cu caracter personal, nu le prelucrează decât la cererea sa, cu excepția cazului în care această obligație îi revine în temeiul dreptului Uniunii sau al dreptului intern.
Mai mult decât atât, instituția bancară ar fi trebuit să implementeze unele măsuri tehnice astfel încât să poată asigura confidențialitatea datelor cu caracter personal și accesul strict autorizat la datele transmise de clienții săi.
Nerespectarea cerințelor indicate supra a determinat constatarea încălcării GDPR-ului și sancționarea operatorului vizat cu 5 000 de euro.