ANSPDCP a amendat o companie cu 110.000 de euro din cauza unui angajat care a transmis ilegal datele clienților în scopul obținerii unor credite la IFN-uri

ANSPDCP a aplicat o amendă în valoare de 546.073 de lei (aproximativ 110.000 de euro) unei societăți comerciale pentru acces neautorizat și divulgarea datelor personale ale unor clienți.

Incidentul a fost raportat chiar de societatea în cauză care a notificat ANSPDCP prin completarea mai multor formulare privind încălcarea securității datelor cu caracter personal conform Regulamentului (UE) 2016/679, cu privire la accesul neautorizat și la încălcarea confidențialității datelor cu caracter personal ale unor persoane fizice (copia cărții de identitate și adeverința de salariat erau prelucrate de către operator prin intermediul unei aplicații informatice care permitea beneficiarilor diferite servicii).  

Investigația a arătat că un angajat al companiei a utilizat datele clienților, inclusiv copii ale cărților de identitate și adeverințe de salariat, pentru a solicita credite de la instituții financiare nebancare, fără consimțământul persoanelor vizate. Datele expuse au inclus informații precum numele, prenumele, seria și numărul cărții de identitate, CNP-ul, adresa, locul nașterii, fotografia, semnătura, veniturile și vechimea în muncă.

ANSPDCP a constatat că societatea nu a luat măsuri pentru a se asigura că orice persoană fizică care acționează sub autoritatea operatorului și are acces la datele cu caracter personal nu le prelucrează decât la cererea sa.

De asemenea, operatorul nici nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării incluzând capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare. 

• capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare;
• la evaluarea nivelului adecvat de securitate, se ține seama în special de riscurile prezentate de prelucrare, generate, în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod;
• operatorul și persoana împuternicită de acesta iau măsuri pentru a asigura faptul că orice persoană fizică care acționează sub autoritatea operatorului sau a persoanei împuternicite de operator și care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului, cu excepția cazului în care această obligație îi revine în temeiul dreptului Uniunii sau al dreptului intern.