Autoritatea pentru protecția datelor personale a anunțat marți că a amendat cu 10.000 de euro firma V&M Contab&Management SRL, după o investigație finalizată în decembrie anul trecut care a constatat încălcarea Regulamentului UE privind protecția datelor personale (GDPR). Cu o zi în urmă, autoritatea a anunțat o amendă de 15.000 de euro și către UniCredit Bank.
De ce a fost amendată firma V&M Contab&Management SRL
În cazul amenzii de 10.000 de euro către V&M Contab&Management SRL, autoritatea susține că „în cursul investigației, s-a constatat că operatorul a transmis prin Whatsapp către o persoană terță un tabel cu parole de acces în platforma Revisal pentru mai multe entități juridice, prin intermediul cărora se puteau accesa datele personale ale angajaților sau foștilor angajați ai acestor societăți”.
„Acest incident a condus la accesul neautorizat și la divulgarea neautorizată a datelor cu caracter personal (precum, numele, prenumele, cetățenia, codul numeric personal, domiciliul) prelucrate. Prin urmare, operatorul nu a luat măsuri pentru a se asigura că orice persoană fizică care acționează sub autoritatea sa și are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului. Totodată, operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării, incluzând capacitatea de a asigura confidențialitatea și integritatea sistemelor și serviciilor de prelucrare. Astfel, au fost încălcate prevederile art. 32 alin. (1) lit. b) și alin. (2) și alin. (4) din Regulamentul (UE) 2016/679”, arată autoritatea.
Investigația a fost demarată ca urmare a unei sesizări prin care s-a reclamat o posibilă încălcare a dispozițiilor Regulamentului UE, iar în cadrul investigației operatorul nu a răspuns solicitărilor de informații ale Autorității Naționale de Supraveghere, deși avea obligația de a permite accesul instituției noastre la datele cu caracter personal și la toate informațiile necesare în vederea îndeplinirii atribuțiilor legale, fiind astfel încălcate prevederile art. 58 alin. (1) lit. a) și e) din Regulamentul (UE) 2016/679.
În același timp, față de operator s-a dispus măsura corectivă de schimbare a tuturor credențialelor de acces în platforma Revisal disponibilă pe site-ul https://reges.inspectiamuncii.ro/ pentru toate entitățile juridice afectate de incident.
De ce a fost amendată Unicredit Bank
Luni, 3 februarie, ANSPDCP a anunțat aplicarea unei amenzi de 15.000 de euro către UniCredit Bank, tot la capătul unei investigații finalizate în luna decembrie a anului trecut.
Investigația a fost demarată ca urmare a transmiterii de către Unicredit Bank a două notificări de încălcăre a securității datelor cu caracter personal în temeiul RGPD.
În cadrul investigației efectuate s-a constatat faptul că, într-o primă situație, încălcarea securității prelucrării datelor s-a produs ca urmare a funcționării eronate a aplicației operatorului prin care se creează numele de utilizator, fără a efectua o testare prealabilă într-un mediu de test.
Această situație a condus la divulgarea neautorizată a unor date cu caracter personal prelucrate ale unor clienți, cum ar fi: nume, prenume, informații despre contul current, tranzacții cont, sold cont, tranzacții card, sold card.
În cea de-a doua situație, încălcarea securității prelucrării datelor s-a produs ca urmare a implementării de către operator a unei soluții de comunicare a clienților cu banca, fără a efectua testarea prealabilă adecvată în mediul de test, ceea ce a condus la divulgarea neautorizată a datelor cu caracter personal (numele titularului de card, numărul de telefon, data tranzacției, valuta, adresa de email, suma tranzacției, motivul de refuz la plată) ale unui număr semnificativ de clienți ai Unicredit Bank SA.
Ca atare, raportat la criteriile de individualizare a sancțiunilor prevăzute de art. 83 din RGPD, s-a stabilit sancționarea cu amendă pentru încălcarea prevederilor art. 25 alin. (1) din RGPD, întrucât operatorul nu a implementat, atât în momentul stabilirii mijloacelor de prelucrare, cât și în cel al relucrării în sine, măsuri tehnice și organizatorice adecvate, destinate să pună în aplicare în mod eficient principiile de protecție a datelor și să integreze garanțiile necesare în cadrul prelucrării.
În același timp, s-a dispus față de operator și măsura corectivă de a implementa tehnic și organizatoric un plan de testare a tuturor componentelor/aplicațiilor ce se doresc a fi introduse în cadrul activităților care includ prelucrări de date cu caracter personal prin analizarea tuturor funcționalităților acestora într-un mediu de test, care să simuleze scenariul real din mediul de producție.
Autoritatea subliniază că Unicredit Bank a achitat amenda aplicată.