05.03.2024
O nouă sancțiune pentru nerespectarea GDPR
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a finalizat, în luna februarie a anului curent, o investigație la operatorul EURO MINI STORAGE ROMANIA SRL și a constatat încălcarea prevederilor art. 32 alin. (1) lit. b) și d), coroborat cu art. 32 alin. (2) și art. 24 alin. (1) din Regulamentul General privind Protecția Datelor (RGPD).
Ca atare, operatorul a fost sancționat contravențional cu amendă în cuantum de 24.884,50 lei, echivalentul a 5.000 EURO.
Investigația a fost demarată ca urmare a transmiterii de către operator a unei notificări de încălcare a securității datelor cu caracter personal în temeiul Regulamentului General privind Protecția Datelor.
Încălcarea securității datelor s-a produs ca urmare a unui atac informatic cu care s-a confruntat operatorul, atac ce a generat inclusiv un incident de încălcare a disponibilității și confidențialității datelor cu caracter personal la nivelul serverului utilizat în infrastructura IT a acestuia, activitatea EURO MINI STORAGE ROMANIA SRL fiind indisponibilizată pentru o perioadă de câteva săptămâni.
În cadrul investigației s-a constatat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prezentat de prelucrare, generat în special, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal.
Acest fapt a condus la încălcarea confidențialității prin accesul neautorizat în infrastructura IT utilizată de EURO MINI STORAGE ROMANIA SRL, la anumite date cu caracter personal ale unui număr de semnificativ de clienți, precum și afectarea disponibilității acestor date pentru o perioadă de câteva săptămâni.
Totodată, în temeiul art. 58 alin. (2) lit. d) din RGPD, s-a dispus, împotriva EURO MINI STORAGE ROMANIA SRL, măsura corectivă de a implementa sisteme de monitorizare/jurnalizare a accesului în infrastructura IT utilizată pentru prelucrarea datelor cu caracter personal care să includă o perioadă de retenție a log-urilor de acces de minim 30 zile, inclusiv introducerea unei proces de back-up asupra acestora.
Direcția juridică și comunicare
A.N.S.P.D.C.P.