Val de amenzi pentru încălcări GDPR: V&M Contab&Management SRL sancționată cu 10.000 de euro, iar UniCredit Bank cu 15.000 de euro

Autoritatea de protecție a datelor personale a comunicat marți o amendă de 10.000 de euro impusă firmei V&M Contab&Management SRL, în urma unei investigații care s-a finalizat în decembrie anul trecut, ce a relevat o încălcare a Regulamentului UE referitor la protecția datelor personale (GDPR). Cu o zi înainte, UniCredit Bank primise o sancțiune de 15.000 de euro.

Motivul sancționării firmei V&M Contab&Management SRL

În cazul sancțiunii de 10.000 de euro aplicate V&M Contab&Management SRL, autoritatea a constatat că „în timpul investigației s-a observat că operatorul a transmis prin WhatsApp către o terță persoană un tabel ce conține parole de acces în platforma Revisal pentru mai multe entități juridice, permițând astfel accesul la informații personale ale angajaților sau foștilor angajați ai acestora”.

• „Incidentul a dus la accesul și divulgarea neautorizată a datelor cu caracter personal (inclusiv numele, prenumele, cetățenia, codul numeric personal și adresa).
• Prin urmare, operatorul nu a implementat măsuri pentru a se asigura că persoanele care acționează sub autoritatea sa nu prelucrează datele decât la solicitarea operatorului.
• De asemenea, nu au fost instituit măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscurilor asociate prelucrării, inclusiv menținerea confidențialității și integrității sistemelor și serviciilor de prelucrare.
• Astfel, s-a observat o nerespectare a prevederilor articolului 32 alineatul (1) lit. b) și alineatul (2) și (4) din Regulamentul (UE) 2016/679”, conform autorității.

Investigația a fost inițiată în urma unei plângeri privind o posibilă încălcare a regulamentului, iar în cadrul acesteia, operatorul nu a răspuns solicitărilor de informații din partea Autorității Naționale de Supraveghere, încălcând astfel prevederile articolului 58 alineatul (1) lit. a) și e) din Regulamentul (UE) 2016/679.

Totodată, s-a dispus operatorului să schimbe toate credențialele de acces în platforma Revisal disponibilă pe site-ul https://reges.inspectiamuncii.ro/ pentru toate entitățile afectate de incident.

Motivele sancționării UniCredit Bank

Pe 3 februarie, Autoritatea Națională de Supraveghere a anunțat aplicarea unei amenzi de 15.000 de euro pentru UniCredit Bank, după finalizarea unei investigații în decembrie a anului trecut.

Investigația a fost declanșată ca urmare a transmiterii de către UniCredit Bank a două notificări de încălcare a securității datelor cu caracter personal, conform RGPD.

În timpul investigației, s-a constatat că, într-o primă situație, o încălcare a securității datelor a avut loc din cauza funcționării defectuoase a aplicației care generează numele de utilizator, fără a fi efectuate teste prealabile într-un mediu de test.

Această situație a condus la divulgarea neautorizată a unor date cu caracter personal ale clienților, inclusiv numele, prenumele, informații despre contul curent, tranzacții și solduri de cont.

În a doua situație, încălcarea a fost generată de implementarea unei soluții de comunicare a clienților cu banca, fără testare prealabilă adecvată, ceea ce a dus la divulgarea neautorizată a datelor personale (numele titularului de card, numărul de telefon, data tranzacției, valuta, adresa de email și suma tranzacției) ale unui număr semnificativ de clienți.

Astfel, conform criteriilor de aplicare a sancțiunilor stipulate în articolul 83 din RGPD, s-a decis aplicarea unei amenzi pentru încălcarea articolului 25 alineatul (1) din RGPD, având în vedere că operatorul nu a implementat măsuri tehnice și organizatorice adecvate atât la stabilirea modalităților de prelucrare, cât și în cadrul prelucrării datelor.

De asemenea, a fost impus operatorului să implementeze tehnic și organizatoric un plan de testare a tuturor componentelor și aplicațiilor care urmează a fi utilizate în procesul de prelucrare a datelor personale, prin evaluarea tuturor funcționalităților în condiții simulative de mediu.

Autoritatea a menționat că UniCredit Bank a achitat amenda impusă.