Noi amenzi GDPR: Tarom, ING şi un salon de nunţi. O listă cu datele unor clienţi Tarom a ajuns pe internet
0Compania românească Tarom, banca ING şi un salon de nunţi sunt cele mai recente firme amendate pentru încălcarea regulamentului privind protecţia datelor personale (GDPR).
Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a anunţat, în ultimele zile, aplicarea mai multor amenzi pentru încălcarea GDPR.
Tarom
La Tarom, Autoritatea susţine că un angajat al companiei a accesat neautorizat aplicaţia de rezervări şi a fotografiat o listă conţinând datele cu caracter personal a 22 pasageri/clienţi Tarom, pe care a divulgat-o neautorizat în mediul on-line.
Compania naţională a fost sancţionată contravenţional cu amendă în cuantum de 95.194 lei, echivalentul a 20.000 de euro.
Investigaţia a fost efectuată ca urmare a notificării autorităţii de supraveghere de către companie din data de 13 septembrie cu privire la încălcarea securităţii datelor cu caracter personal.
Sancţiunea a fost aplicată operatorului ca urmare a faptului că acesta nu a implementat măsuri tehnice şi organizatorice adecvate pentru a se asigura că orice persoană fizică care acţionează sub autoritatea acestuia şi care are acces la date cu caracter personal, nu le prelucrează decât la cererea sa. Corelat cu acest aspect, operatorul nu a luat nici măsuri adecvate pentru a asigura un nivel de securitate corespunzător riscului generat de divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.
ING Bank
Autoritatea a finalizat în data de 4 noiembrie o investigaţie la ING Bank – Sucursala Bucureşti, ca urmare a unei sesizări, aplicând o amendă contravenţională în cuantum de 80.000 euro.
Potrivit instituţiei, compania nu a asigurat respectarea principiului protecţiei datelor începând cu momentul conceperii şi cel al protecţiei implicite a datelor (privacy by design şi privacy by default), întrucât nu a procedat la adoptarea de măsuri tehnice şi organizatorice corespunzătoare, privind integrarea de garanţii adecvate în sistemul automatizat de prelucrare a datelor în cadrul procesului de decontare al tranzacţiilor cu cardul.
Drept urmare, a fost afectat un număr de 225.525 de clienţi ale căror operaţiuni de plată au fost dublate în perioada 8-10.10.2018.
UPDATE Reprezentanţii ING Bank au trimis un punct de vedere referitor la amenda ANSPDCP.
„Confirmăm luarea la cunoştinţă a demersului de sacţionare a ING Bank România de către Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal în contextul incidentului operaţional din luna octombrie 2018, când o parte din tranzacţiile cu cardurile emise ING au fost dublate.
Urmare a acestui incident, clienţii afectaţi au fost informaţi imediat, tranzacţiile dublate au fost stornate în cursul aceleiaşi zile, fiind totodată revizuite şi actualizate unele reguli operaţionale interne, în sensul întăririi acestora. Incidentul operaţional nu a condus la o afectare a datelor cu caracter personal”, afirmă ING Bank.
Royal President
O a treia amendă, de circa 2.500 de euro, a fost dată unui salon pentru nunţi şi botezuri, cu opţiuni de cazare, din Bragadiru, Ilfov.
Operatorul Royal President SRL a fost sancţionat cu avertisment şi cu amendă în cuantum de 11.932,25 lei, echivalentul sumei de 2.500 euro. Sancţiunile au fost aplicate ca urmare a unei plângeri prin care se reclama faptul că Royal President SRL a refuzat soluţionarea unei cereri de exercitare a dreptului de acces prevăzut de art. 15 din Regulamentul General privind Protecţia Datelor, precum şi faptul că acesta a dezvăluit date cu caracter personal fără acordul persoanei vizate.
În cadrul investigaţiei, compania nu a putut face dovada soluţionării cererii de exercitare a dreptului de acces în termenul prevăzut.
De asemenea, s-a constatat că datele cu caracter personal colectate prin intermediul fişei de cazare nu au fost prelucrate într-un mod care să asigure securitatea lor, prin luarea de măsuri tehnice sau organizatorice corepunzătoare, pentru a se putea evita orice dezvăluire neautorizată.
Totodată, operatorului i s-a aplicat şi o măsură corectivă care a constat în întocmirea şi implementarea unei proceduri interne privind protecţia datelor cu caracter personal ale beneficiarilor serviciilor de cazare.
Se încarcă comentariile...
