A doua amendă pe GDPR s-a dat pentru divulgarea de date personale. O listă de clienți a ajuns pe internet

ANSPDCP a trecut, cu siguranță, peste perioada de tatonare, în care a „menajat” companiile care prelucrează date. Luni seară a fost anunțată a doua amendă aplicată în România pentru nerespectarea GDPR, după ce prima a fost anunțată acum câteva zile.

În acest caz, este vorba de accesul neautorizat la datele personale ale clienților companiei World Trade Center București, date care apoi au fost divulgate online. Concret, o listă tipărită a clienților a fost pozată de persoane din afara firmei și apoi a fost postată pe internet. Așadar, au fost afectate atât dreptul la protejarea datelor personale, cât și dreptul la viață privată.

„Operatorul World Trade Center Bucharest S.A. a fost sancționat deoarece nu a luat măsuri pentru a se asigura că angajații săi care au acces la date cu caracter personal nu le prelucrează decât la cererea sa, potrivit legii. De asemenea, operatorul nu a implementat măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării generat în special, în mod accidental sau ilegal, de divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal”, este explicat într-un comunicat de presă al ANSPDCP.

„Dacă prima amendă pe GDPR se referea la minimizarea datelor și privacy by design și by default, anunțând cea de-a doua amendă pe GDPR, Autoritatea de Supraveghere din România dorește să consolideze necesitatea de a asigura atât securitatea datelor personale, cât și demonstrarea acestor măsuri. Prin fundamentarea deciziei de aplicare a amenzii, Autoritatea de Supraveghere a subliniat din nou obligația generală a operatorului, în temeiul articolului 24 din GDPR, de a pune în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura și a putea demonstra că prelucrarea este compatibilă cu GDPR”, a explicat Roxana Ionescu, head of data protection la NNDKP, într-o informare de aseară.

Prin urmare, dacă prima amendă a adus în discuție acțiunile companiilor de minimizare a datelor personale prelucrate, a doua amendă subliniază nevoia de a proteja datele personale și de a putea demonstra eforturile făcute în acest sens, conchide specialista.

GDPR reprezintă cadrul legal unic la nivel european în materie de protecție a datelor personale și se aplică, inclusiv în România, din 25 mai 2018.

Recent, într-un raport de activitate referitor la primul an de aplicare a GDPR, cei de la ANSPDCP subliniau că s-au axat mai ales pe îndrumarea operatorilor de date pentru conformarea adecvată la dispozițiile regulamentului european. Astfel, în perioada respectivă s-au aplicat numai avertismente și măsuri corective. Însă de-acum s-a trecut și la aplicarea amenzilor.