În data de 02.07.2019, Autoritatea Națională de Supraveghere, ANSPDCP a finalizat încă o investigație la WORLD TRADE CENTER BUCHAREST S.A. și a constatat că operatorul a încălcat prevederile Art. 32 alin. (4) raportat la Art. 32 alin. (1) și alin. (2) din GDPR – Regulamentul General privind Protecţia Datelor, referitoare la securitatea prelucrării datelor personale procesate, fapt pentru care a hotărât sancționarea cu amenda în valoare de 15.000 Euro.
Conform comumicatului de presă al ANSPDCP, din data de 8 Iulie 2019, Operatorul WORLD TRADE CENTER BUCHAREST S.A. a fost sancționat contravențional cu amendă în cuantum de 71.028 lei, echivalentul sumei de 15.000 euro pentru încălcarea GDPR.
Încălcarea securității datelor cu caracter personal a constat în faptul că o listă printată pe suport de hârtie, utilizată pentru verificarea clienților care serveau micul dejun și care conținea date cu caracter personal ale unui număr de 46 de clienți, cazați la unitatea hotelieră aparținând WORLD TRADE CENTER BUCHAREST S.A., a fost fotografiată de către persoane neautorizate din afara societății, ceea ce a condus la dezvăluirea în mediul on-line a datelor cu caracter personal ale unor clienți, prin publicare.
Operatorul WORLD TRADE CENTER BUCHAREST S.A. a fost sancționat cu amenda pentru incalcarea GDPR, deoarece nu a luat măsuri pentru a se asigura că angajații săi care au acces la date cu caracter personal nu le prelucrează decât la cererea sa, potrivit legii.
De asemenea, operatorul sanctionat pentru incalcarea GDPR, nu a implementat măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării generat în special, în mod accidental sau ilegal, de divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal.
Aceasta a condus la accesul neautorizat la datele cu caracter personal ale unui număr de 46 de clienți ai WORLD TRADE CENTER BUCHAREST S.A și divulgarea neautorizată a acestor date, în mediul on-line, ceea ce a condus la afectarea drepturilor la viață privată și la protecția datelor cu caracter personal, garantate de art. 7 și art. 8 din Convenția Europeană a Drepturilor Omului și de art. 16 din Tratatul Fundamental al Uniunii Europene.
Autoritatea Naţională de Supraveghere a efectuat investigația ca urmare a transmiterii de către WORLD TRADE CENTER BUCHAREST S.A. a unei notificări privind încălcarea securității datelor cu caracter personal prin completarea formularului privind încălcarea securității datelor cu caracter personal, prevăzută de art. 33 din GDPR.
Regulamentul General privind Protecţia Datelor instituie, prin art. 24, principiul responsabilității operatorului, potrivit căruia:
”Ținând seama de natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi de riscurile cu grade diferite de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice, operatorul pune în aplicare măsuri tehnice şi organizatorice adecvate pentru a garanta şi a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc şi se actualizează dacă este necesar.”
Totodată, considerentul (75) din GDPR precizează:
”Riscul pentru drepturile şi libertăţile persoanelor fizice, prezentând grade diferite de probabilitate de materializare şi de gravitate, poate fi rezultatul unei prelucrări a datelor cu caracter personal care ar putea genera prejudicii de natură fizică, materială sau morală, în special în cazurile în care:
prelucrarea poate conduce la discriminare, furt sau fraudă a identităţii, pierdere financiară, compromiterea reputaţiei, pierderea confidenţialităţii datelor cu caracter personal protejate prin secret profesional, inversarea neautorizată a pseudonimizării sau la orice alt dezavantaj semnificativ de natură economică sau socială;
persoanele vizate ar putea fi private de drepturile şi libertăţile lor sau împiedicate să-şi exercite controlul asupra datelor lor cu caracter personal;
(…) sunt evaluate aspecte de natură personală, în special analizarea sau previzionarea unor aspecte privind randamentul la locul de muncă, situaţia economică, starea de sănătate, preferinţele sau interesele personale, fiabilitatea sau comportamentul, locaţia sau deplasările, în scopul de a se crea sau de a se utiliza profiluri personale;
sunt prelucrate date cu caracter personal ale unor persoane vulnerabile, în special ale unor copii; sau prelucrarea implică un volum mare de date cu caracter personal şi afectează un număr larg de persoane vizate.”
Informații preluate prin comunicatul de presă oferit de Biroul juridic şi comunicare al A.N.S.P.D.C.P
Cum întâmpinăm astfel de situații si investigațiile Autorității
Pentru a vă pregăti să tratați corespunzător și sa răspundeți în cazul unei investigații din partea Autorității de Supraveghere vă recomandăm parcurgerea Cursului Incidente de securitate GDPR & CyberSecurity – Abordare, Evaluare, Prevenție, Acțiune, Căi de atac – curs ce vă pregătește pentru astfel de situații sau aplelați la serviciile practicanților din domeniul protecției datelor personale – Consultanță de urgență SOS GDPR.
Citiți acum și despre
- amendă aplicată Raiffeisen Bank si VreauCredit srl
- amendă aplicată Avocatnet.ro pentru încălcare GDPR (consimțământ)
- amenda aplicată Unicredit pentru încălcarea GDPR
- cum să evitați sancțiuni pentru nerespectarea GDPR
- amendă aplicată World Trade Center pentru nerespectarea GDPR
- măsuri tehnice și organizatorice pentru a repecta GDPR
- amendă aplicată unei companii de consultanță GDPR pentru încălcarea GDPR
- amendă aplicată uni companii pentru dezvăluirea de date personale CNP si CCTV
- Kituri predefinite pentru conformarea la prevederile GDPR