IKEA si HIDROELECTRICA au fost sanctionate. Detalii in articol

La inceputul acestei saptamani au fost publicate pe site-ul autoritatii doua noi sanctiuni aplicate de reprezentantii acesteia.

Este vorba de Ikea Romania si Hidroelectrica S.A., doi mari operatori de date, unul dintre cei mai mari furnizori de energie electrica si unul dintre cei mai mari retaileri de articole de mobilier si produse casnice din Romania.

In cazul Hidroelectrica S.A., din comunicatul autoritatii reiese ca acestia au notificat numeroase incalcari ale Regulamentului GDPR, mai exact:

In data de 01.10.2021 Autoritatea Nationala de Supraveghere a finalizat o investigatie la operatorul S.P.E.E.H. Hidroelectrica S.A. si a constatat incalcarea dispozitiilor Regulamentului General privind Protectia Datelor (RGPD).

Operatorul S.P.E.E.H. Hidroelectrica S.A. a fost sanctionat contraventional astfel:

– amenda in cuantum de 24.739,50 lei, echivalentul a 5.000 EURO, pentru incalcarea dispozitiilor art. 32 alin. (1) lit. b) si alin. (2) din RGPD;

– avertisment, pentru incalcarea dispozitiilor art. 5 alin. (1) lit. a) si ale art. 6 alin. (1) din RGPD.

Investigatia a fost demarata ca urmare a transmiterii de catre operator a mai multor notificari de incalcare a securitatii datelor cu caracter personal.

Autoritatea nationala de supraveghere a constatat ca operatorul nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prezentat de prelucrare.

Aceasta situatie a condus la accesarea ori divulgarea ilicita catre destinatari eronati, a datelor cu caracter personal ale unui numar de 325 persoane fizice.

De asemenea, operatorul a prelucrat datele cu caracter personal a 3 persoane fizice, clienti proprii, ulterior exercitarii dreptului la stergerea datelor si retragerii consimtamantului pentru prelucrarea datelor de catre acestea. Astfel, prelucrarea a fost efectuata fara existenta unuia dintre temeiurile legale prevazute de art. 6 alin. (1) din RGPD, desi operatorul avea obligatia de a prelucra datele in mod legal, echitabil si transparent fata de persoana vizata.

Gravitatea acestor incalcari face ca sanctiunea sa fie semnificativa, insa reprezentantii autoritatii de control au dorit sa remedieze cat mai repede aceasta situatie si au cerut luarea unor masuri urgente de siguranta prin masurile corective propuse:

– revizuirea si actualizarea masurilor tehnice si organizatorice implementate ca urmare a evaluarii privind riscul pentru drepturile si libertatile persoanelor, inclusiv a procedurilor de lucru referitoare la protectia datelor cu caracter personal, precum si implementarea unor masuri privind instruirea periodica a persoanelor care actioneaza sub autoritatea sa, referitor la obligatiile ce le revin conform prevederilor RGPD, inclusiv cu privire la riscurile pe care le comporta prelucrarea datelor cu caracter personal, in functie de specificul activitatii;

– identificarea si implementarea unor masuri pentru a se asigura ca datele cu caracter personal prelucrate sunt exacte si actualizate, avand in vedere scopurile pentru care sunt prelucrate, inclusiv in ceea ce priveste evidenta exercitarii de catre persoanele vizate a dreptului la stergerea datelor cu caracter personal.

Prin aceste masuri operatorul va reduce semnificativ riscul producerii unor astfel de incidente pe viitor, insa numai in cazul in care acestea vor fi respectate si implementate corect.

In cazul Ikea Romania, din articolul postat pe site-ul ANSPDCP, va prezentam urmatoarele informatii:

Operatorul a fost sanctionat contraventional cu amenda in cuantum de 4948.80 lei (echivalentul a 1.000 EURO).

Investigatia a fost demarata ca urmare a transmiterii de IKEA ROMANIA SA catre Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal a unei notificari de incalcare a securitatii datelor cu caracter personal.

Astfel, conform mentiunilor din formularul de notificare, IKEA ROMANIA SA a organizat un concurs de desene la care au participat copiii membrilor IKEA Family. Participantii au incarcat in platforma on-line dedicata membrilor desenele proprii, impreuna cu formularele de participare, care contineau datele lor cu caracter personal dar si ale părintilor/tutorilor legali, inclusiv consimtamantul acestora. In vederea votarii celui mai bun desen, pe platforma on-line au fost publicate, din eroare, desenele copiilor, impreuna cu datele cu caracter personal cuprinse in formularele de participare.

La data efectuarii investigatiei s-a constatat ca incidentul de securitate produs a condus la divulgarea neautorizată a datelor cu caracter personal ale membrilor IKEA Family (numele, prenumele si varsta persoanelor fizice minore, numele, prenumele, orasul, tara, e-mailul, numarul de membru IKEA Family si semnatura olografa a parintelui/tutorelui legal), pe platforma on-line dedicata membrilor IKEA Family din Romania, accesibila doar acestora, timp de aproximativ 40 de ore, fiind afectate un numar de 114 persoane fizice (jumatate dintre acestia fiind minori).

Fiind vorba de compromiterea sigurantei si confidentialitatii datelor ce apartin minorilor, reprezentantii autoritatii de supraveghere au tinut sa precizeze faptul ca:

Copiii au nevoie de o protectie specifica a datelor lor cu caracter personal, intrucat pot fi mai putin constienti de riscurile, consecintele, garantiile in cauza si drepturile lor in ceea ce priveste prelucrarea datelor cu caracter personal. Aceasta protectie specifica ar trebui sa se aplice in special utilizarii datelor cu caracter personal ale copiilor in scopuri de marketing sau pentru crearea de profiluri de personalitate sau de utilizator si la colectarea datelor cu caracter personal privind copiii in momentul utilizarii serviciilor oferite direct copiilor.

Sursa articol: site Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal

https://www.dataprotection.ro/

Multumim

Echipa MyBiz GDPR