22.08.2024
Sancțiuni pentru încălcarea RGPD
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a finalizat în 2024 două investigații la doi operatori.
Investigațiile au fost demarate ca urmare a unor notificări de încălcare a securității datelor, în temeiul dispozițiilor art. 33 din Regulamentul (UE) 2016/679, care au fost transmise de Kruk România SRL și Kaufland România SCS.
Ca atare, s-a constatat că:
1. Operatorul Kruk România SRL a încălcat dispozițiile art. 32 alin. (1) lit. b) coroborat cu art. 32 alin. (2) din Regulamentul (UE) 2016/679 și a fost sancționat contravențional cu amendă în cuantum de 14.922,3 RON (echivalentul sumei de 3000 EURO).
2. Operatorul Kaufland România SCS a încălcat dispozițiile art. 32 alin. (1) lit. b) și art. 32 alin. (2) și alin. (4) din Regulamentul (UE) 2016/679 și a fost sancționat cu 3 amenzi în cuantum total de 34.839 lei (echivalentul sumei de 7000 EURO).
1. În cadrul investigației, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a constatat faptul că, în calitate de împuternicit al operatorului, Kruk România SRL a transmis eronat o serie de notificări de cesiune de creanță către mai mulți destinatari și notificări privind posibilitatea de a încheia un angajament de plată cu debitorii prin efectuarea de operațiuni manuale de prelucrare necorespunzătoare asupra bazei de date transmise de un partener contractual în baza unui contract de cesiune de creanțe.
Această situație a condus, la divulgarea neautorizată și/sau accesul neautorizat la datele cu caracter personal (precum, numele, prenumele, adresa, data și numărul de contract, suma datorată, creditorul inițial, creditorul și administratorul de creanțe) cuprinse în respectivele documente.
Din verificările efectuate, a rezultat că, împuternicitul operatorului, Kruk România SRL nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării, incluzând capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare.
În același timp, operatorului i s-a aplicat și măsura corectivă de a revizui și actualiza măsuri tehnice și organizatorice implementate ca urmare a evaluării privind riscul pentru drepturile și libertățile persoanelor, inclusiv a procedurilor de lucru referitoare la protecția datelor cu caracter personal, în vederea asigurării protecției datelor prelucrate (manual) împotriva prelucrării neautorizate, a pierderii, distrugerii sau deteriorării accidentale și a unor măsuri privind instruirea persoanelor care acționează sub autoritatea sa, referitor la obligațiile ce le revin conform prevederilor Regulamentului (UE) 2016/679, inclusiv cu privire la riscurile și consecințele pe care le implică divulgarea neautorizată/accesul neautorizat/pierderea datelor cu caracter personal.
2. În cadrul investigației efectuate la operatorul Kaufland România SCS, în urma transmiterii mai multor notificări de încălcare a securității datelor cu caracter personal, s-a constatat încălcarea prelucrării datelor pentru următoarele situații:
Astfel, o primă situație a vizat înregistrarea cu telefonul mobil de către agenții de pază ai operatorului a unor imagini surprinse de camerele de supraveghere ale magazinului cu privire la un incident petrecut în incintă. Aceasta situație a condus, la accesarea neautorizată și divulgarea acestor imagini către una dintre persoanele vizate, la cererea ei.
În cadrul investigației, s-a constatat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate pentru a asigura faptul că orice persoană fizică care acționează sub autoritatea operatorului sau a persoanei împuternicite de operator care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării generat în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod, încălcând astfel prevederile art. 32 alin. (1) lit. b) și alin. (4) din Regulamentul (UE) 2016/679.
Pentru această încălcare operatorul a fost sancționat cu amendă în cuantum de 9.954 lei (echivalentul sumei de 2000 EURO).
O a două situațe privește fotografierea, cu telefonul mobil, ale unor imagini din camera de monitorizare a operatorului. Astfel, o clientă a sesizat agentului de pază al operatorului sustragerea telefonului din geantă și a solicitat imaginile video ale incidentului. Agentul de pază i-a permis clientei accesul în camera de monitorizare. Aceasta a fotografiat imaginile cu presupusa persoană (persoana vizată) și ulterior le-a postat pe contul său de Facebook. Situația creată a condus la accesul neautorizat al unui terț și divulgarea neautorizată în mediul on-line a imaginii unui client. Acest fapt poate duce, în special, la prejudicii fizice, materiale sau morale aduse persoanei fizice afectate, cum ar fi pierderea controlului asupra datelor lor cu caracter personal sau pierderea confidenţialităţii datelor cu caracter personal protejate prin secret profesional sau alt dezavantaj semnificativ de natură economică sau socială adus persoanei fizice în cauză.
În cadrul investigației, s-a constatat că operatorul nu a luat măsuri pentru a asigura că orice persoană fizică care acționează sub autoritatea operatorului și are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului și nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării, incluzând capacitatea de a asigura confidențialitatea și integritatea sistemelor și serviciilor de prelucrare, încălcând astfel dispozițiile art. 32 alin. (1) lit. b) și alin. (2) și (4) din Regulamentul (UE) 2016/679.
Pentru această încălcare operatorul a fost sancționat cu amendă în cuantum de 14.931 lei (echivalentul sumei de 3000 EURO).
A treia situație se referă la pierderea confidențialității datelor, întrucât o angajată Kaufland implicate în procesul de recrutare al unui candidat (persoana vizată) a transmis, din eroare, un e-mail către o altă persoană, deținătoare a unui domeniu de internet. Această situație a condus la accesul neautorizat și divulgarea neautorizată către deținătorul domeniului de internet a datelor cu caracter personal (precum, numele, prenumele, locația magazinului unde a aplicat) ale unei persoane care a aplicat pentru un job în cadrul operatorului.
Ca urmare a investigației, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a constat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate pentru a asigura faptul că orice persoană fizică care acționează sub autoritatea operatorului sau a persoanei împuternicite de operator care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului și în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării generat în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod, încălcând astfel art. 32 alin. (1) lit. b), alin. (2) și alin. (4) din Regulamentul (UE) 2016/679.
Pentru această încălcare operatorul a fost sancționat cu amendă în cuantum de 9.954 lei (echivalentul sumei de 2000 EURO).
În temeiul art. 58 alin. (2) lit. d) din Regulamentul (UE) 2016/679, s-a dispus operatorului și măsura corectivă de desemnare a unei/unor persoane la nivelul operatorului/persoanei împuternicite de operator care să monitorizare desfășurarea activităților de prelucrare a datelor cu caracter personal ale persoanelor care acționează sub autoritatea operatorului/persoanei împuternicite de operator, în conformitate cu procedurile de lucru, pentru evitarea unor incidente de securitate similare.
Menționăm că operatorii au achitat amenzile aplicate.
Direcția juridică și comunicare
A.N.S.P.D.C.P