Amenda GDPR Sanctiune cu amenda de 15.000 Euro pentru incalcarea GDPR de către un hotel al WTC Bucuresti

În data de 02.07.2019,  Autoritatea Națională de Supraveghere, ANSPDCP a finalizat încă o investigație la WORLD TRADE CENTER BUCHAREST S.A. și a constatat că operatorul a încălcat prevederile Art. 32 alin. (4) raportat la Art. 32 alin. (1) și alin. (2) din GDPR – Regulamentul General privind Protecţia Datelor, referitoare la securitatea prelucrării datelor personale procesate, fapt pentru care a hotărât sancționarea cu amenda în valoare de 15.000 Euro.

Conform comumicatului de presă al ANSPDCP, din data de 8 Iulie 2019, Operatorul WORLD TRADE CENTER BUCHAREST S.A. a fost sancționat contravențional cu amendă în cuantum de 71.028 lei, echivalentul sumei de 15.000 euro pentru încălcarea GDPR.

Încălcarea securității datelor cu caracter personal a constat în faptul că o listă printată pe suport de hârtie, utilizată pentru verificarea clienților care serveau micul dejun și care conținea date cu caracter personal ale unui număr de 46 de clienți, cazați la unitatea hotelieră aparținând WORLD TRADE CENTER BUCHAREST S.A., a fost fotografiată de către persoane neautorizate din afara societății, ceea ce a condus la dezvăluirea în mediul on-line a datelor cu caracter personal ale unor clienți, prin publicare.

Operatorul WORLD TRADE CENTER BUCHAREST S.A. a fost sancționat cu amenda pentru incalcarea GDPR, deoarece nu a luat măsuri pentru a se asigura că angajații săi care au acces la date cu caracter personal nu le prelucrează decât la cererea sa, potrivit legii.

De asemenea, operatorul sanctionat pentru incalcarea GDPR, nu a implementat măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării generat în special, în mod accidental sau ilegal, de divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal.

Aceasta a condus la accesul neautorizat la datele cu caracter personal ale unui număr de 46 de clienți ai WORLD TRADE CENTER BUCHAREST S.A și divulgarea neautorizată a acestor date, în mediul on-line, ceea ce a condus la afectarea drepturilor la viață privată și la protecția datelor cu caracter personal, garantate de art. 7 și art. 8 din Convenția Europeană a Drepturilor Omului și de art. 16 din Tratatul Fundamental al Uniunii Europene.

Autoritatea Naţională de Supraveghere a efectuat investigația ca urmare a transmiterii de către WORLD TRADE CENTER BUCHAREST S.A. a unei notificări privind încălcarea securității datelor cu caracter personal prin completarea formularului privind încălcarea securității datelor cu caracter personal, prevăzută de art. 33 din GDPR.

Regulamentul General privind Protecţia Datelor instituie, prin art. 24, principiul responsabilității operatorului, potrivit căruia:

”Ținând seama de natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi de riscurile cu grade diferite de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice, operatorul pune în aplicare măsuri tehnice şi organizatorice adecvate pentru a garanta şi a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc şi se actualizează dacă este necesar.”

Totodată,  considerentul (75) din GDPR precizează:

”Riscul pentru drepturile şi libertăţile persoanelor fizice, prezentând grade diferite de probabilitate de materializare şi de gravitate, poate fi rezultatul unei prelucrări a datelor cu caracter personal care ar putea genera prejudicii de natură fizică, materială sau morală, în special în cazurile în care:

prelucrarea poate conduce la discriminare, furt sau fraudă a identităţii, pierdere financiară, compromiterea reputaţiei, pierderea confidenţialităţii datelor cu caracter personal protejate prin secret profesional, inversarea neautorizată a pseudonimizării sau la orice alt dezavantaj semnificativ de natură economică sau socială;

persoanele vizate ar putea fi private de drepturile şi libertăţile lor sau împiedicate să-şi exercite controlul asupra datelor lor cu caracter personal;

(…) sunt evaluate aspecte de natură personală, în special analizarea sau previzionarea unor aspecte privind randamentul la locul de muncă, situaţia economică, starea de sănătate, preferinţele sau interesele personale, fiabilitatea sau comportamentul, locaţia sau deplasările, în scopul de a se crea sau de a se utiliza profiluri personale;

sunt prelucrate date cu caracter personal ale unor persoane vulnerabile, în special ale unor copii; sau prelucrarea implică un volum mare de date cu caracter personal şi afectează un număr larg de persoane vizate.”

Informații preluate prin comunicatul de presă oferit de Biroul juridic şi comunicare al A.N.S.P.D.C.P

Cum întâmpinăm astfel de situații si investigațiile Autorității

Pentru a vă pregăti să tratați corespunzător și sa răspundeți în cazul unei investigații din partea Autorității de Supraveghere vă recomandăm parcurgerea Cursului Incidente de securitate GDPR & CyberSecurity – Abordare, Evaluare, Prevenție, Acțiune, Căi de atac – curs ce vă pregătește pentru astfel de situații sau aplelați la serviciile practicanților din domeniul protecției datelor personale – Consultanță de urgență SOS GDPR.

Citiți acum și despre

Acest articol a fost publicat în Informații utile și etichetat cu , , , , , , , , , , , , , , , , , , . Salvează legătura permanentă.



Pentru a evita sancțiuni uriașe financiare și de imagine vă recomandăm să verificați GRATUIT online dacă compania / instituția dvs. trebuie să fie conformă cu prevederile impuse de GDPR (Regulamentul European 679/2016 & Legea 190/2018) și dacă trebuie să externalizați un DPO sau să aveți desemnat intern o persoană pe poziția de DPO Responsabil cu protecția datelor cu caracter personal, specializat ulterior prin urmarea unui Curs DPO Autorizat Certificat.


Dacă întâmpinați greutăți în implementarea GDPR, puteți apela la echipa de specialiști GDPR sau puteți cotracta serviciile profesionale de consultanță GDPR de specialitate.


Pentru a vă sprijini, , echipa de specialiști GDPR vă pune la dipoziție setul de instrumente necesare pentru realizare evaluării de impact DPIA (politica, procedura, formular, raportul privind analiza impactului, soft de realizare evaluare de impact, etc) împreună cu instrucțiuni și sfaturi practice, șabloanele si alte evaluari DPIA completate ca exemplu, pentru a vă ajuta să înțelegeti ce trebuie realizat pentru a desfășura o evaluare de imact conform prevederilor GDPR și prevederilor Deciziei 174/2018 emise de ANSPDCP.