Baza de date scoasa la vanzare, subiectul unei noi sanctiuni GDPR

Subiectul unei noi sanctiuni GDPR face valuri, o importanta firma de curierat din Romania a fost sanctionata dupa ce o persoana fizica a reclamat faptul ca baza acesteia de date a fost scoasa la vanzare pe un site.

Reprezentantii ANSPDCP au pornit o investigatie in urma careia au constatat faptul ca firma de curierat este persoana imputernicita a doua societati pentru prelucrarea datelor cu caracter personal.

In calitate de imputernicit, aceasta avea obligatia sa ia toate masurile necesare pentru a proteja baza de date care i-a fost incredintata si pentru a asigura o prelucrare in conditii de siguranta a datelor cu caracter personal ale persoanelor fizice, asa cum prevede art. 28 alin. (3) lit. c) din RGPD, inclusiv impotriva divulgarii si/sau accesului neautorizat la date.

Din cele comunicate de ANSPDCP pe site-ul sau, datele cu caracter personal apartineau unui numar de 26.566 persoane fizice vizate, fiind vorba de urmatoarele categorii de date:

  • numar si data AWB – documentul de transport ce insoteste obligatoriu expedierea oricarui colet,
  • indicativi curieri,
  • nume expeditor,
  • nume si prenume destinatar,
  • numar de telefon,
  • adresa,
  • status livrare,
  • tipul serviciului,
  • greutate colet,
  • suma de incasat,
  • intervalul de livrare.

Toate aceste date erau disponibile pe un forum de unde puteau fi accesate de oricine iar scopul publicarii lor era acela de a fi scoase la vanzare.

In cazul de fata este vorba de un incident de securitate a datelor, fapt care a dus initial la sustragerea bazei de date si mai apoi la accesul neautorizat la aceste date, fiind vorba de o incalcare a drepturilor persoanelor vizate la confidentialitatea si siguranta datelor.

Din lista mentionata mai sus, se poate usor observa faptul ca vorbim de un volum relativ mare de date cu caracter personal si de indici care pot duce usor la identificarea posesorilor acelor date.

Mai mult, din aceasta lista fac parte o serie de date cu caracter personal ce pot fi prelucrate in foarte multe scopuri si care sunt usor de tranzactionat pe multe piete (nume si prenume, numar de telefon, adresa), fiind datele ce stau la baza unor domenii precum: marketing, vanzari, servicii de prospectare a pietei in diverse scopuri, s.a.m.d. .

Reprezentantii autoritatii au retinut faptul ca operatorul nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii pentru drepturile si libertatile persoanelor fizice, ceea ce a condus la divulgarea si/sau accesul neautorizat la datele cu caracter personal pentru 26.566 persoane fizice vizate. Operatorul fiind sanctionat cu amenda in valoare de 14,825.70 lei (echivalentul a 3.000 EURO) si suferind un mare prejudiciu adus imaginii acestuia.

Multumim,

Echipa MyBiz GDPR